我想分享我們多年來在尋找解決方案來組織對我們組織中的電子安全密鑰(用於訪問市場、銀行、軟件安全密鑰等的密鑰)的集中和簡化訪問的解決方案方面的經驗。 由於我們的分支機構在地理位置上彼此相距甚遠,並且每個分支機構都存在多個電子安全密鑰,因此對它們的需求不斷出現,但在不同的分支機構中。 在又一次因丟失鑰匙而大驚小怪之後,管理層設定了任務 - 解決這個問題並將所有 USB 安全設備收集到一個地方,並確保無論員工身在何處,它們都能正常工作。
因此,我們需要在一間辦公室收集我們公司可用的客戶銀行的所有密鑰、1c 許可證 (hasp)、rutokens、ESMART Token USB 64K 等。 用於遠程物理和虛擬 Hyper-V 計算機上的後續操作。 USB 設備的數量為 50-60 個,當然這不是限制。 虛擬化服務器在辦公室(數據中心)之外的位置。 辦公室中所有 USB 設備的位置。
我們研究了集中訪問USB設備的現有技術,並決定重點研究USB over IP(USB over IP)技術。 事實證明,許多組織都使用這種解決方案。 市場上有USB over IP硬件和軟件,但它們並不適合我們。 據此,進一步我們將僅討論硬件 USB over IP 的選擇,並且首先討論我們的選擇。 來自中國(未命名)的設備我們也排除在考慮範圍之外。
互聯網上描述最多的 USB over IP 硬件解決方案是美國和德國製造的設備。 為了進行詳細研究,我們購買了該USB over IP 的大型機架版本,設計用於14 個USB 端口,能夠安裝在19 英寸機架中;德國USB over IP,設計用於20 個USB 端口,還能夠安裝安裝在 19 英寸機架中。 不幸的是,這些製造商沒有更多的 USB over IP 設備端口。
第一個設備非常昂貴且有趣(互聯網上充滿了評論),但有一個很大的缺點 - 沒有用於連接 USB 設備的授權系統。 任何安裝 USB 連接應用程序的人都可以訪問所有密鑰。 此外,實踐表明,USB 設備“esmart token est64u-r1”不適合與該設備一起使用,並且展望未來,在 Win7 操作系統上使用“德語” - 連接到它時,會出現永久性的 BSOD。
第二個 USB over IP 設備對我們來說似乎更有趣。 該設備具有大量與網絡功能相關的設置。 USB over IP 接口在邏輯上分為多個部分,因此初始設置非常簡單快捷。 但是,正如前面提到的,連接多個密鑰時存在問題。
進一步研究硬件USB over IP遇到了國內廠商。 該系列包括 16、32、48 和 64 端口版本,具有 19 英寸機架安裝功能。 製造商描述的功能甚至比之前購買的USB over IP還要豐富。 最初,我喜歡國產託管 USB over IP 集線器在通過網絡共享 USB 時為 USB 設備提供兩級保護:
- 遠程物理打開和關閉USB設備;
- 通過登錄名、密碼和IP地址授權連接USB設備。
- 通過登錄名、密碼和 IP 地址授權連接 USB 端口。
- 記錄客戶端對 USB 設備的所有打開和連接以及此類嘗試(密碼輸入不正確等)。
- 流量加密(原則上,對於德國模式來說,這還不錯)。
- 此外,該設備雖然不便宜,但比之前購買的設備便宜了好幾倍(當轉換為端口時,差異變得尤其明顯,我們考慮的是 64 端口 USB over IP)。
我們決定與製造商核實一下對之前出現連接問題的兩種類型的智能令牌的支持情況。 我們被告知他們不能 100% 保證支持所有 USB 設備,但到目前為止還沒有發現任何設備會出現問題。 這個答案不太適合我們,我們建議製造商轉移代幣進行測試(幸運的是,由運輸公司發送只需 150 盧布,而且我們有足夠的舊代幣)。 發送密鑰4 天后,我們收到了連接數據的通知,並且我們使用Windows 7、10 和Windows Server 2008 完美地連接到了它們。一切正常,我們連接了我們的令牌,沒有任何問題,並且能夠使用它們。
我們購買了一個用於 64 個 USB 端口的託管 USB over IP 集線器。 我們連接了不同分支機構的 18 台計算機的所有 64 個端口(32 個鑰匙和其餘的 - 閃存驅動器、硬盤驅動器和 3 個 USB 攝像頭) - 所有設備都工作正常。 總的來說,該設備很滿意。
我沒有給出 USB over IP 設備的名稱和製造商(以免做廣告),它們很容易在互聯網上找到。
來源: www.habr.com