Hasain Alshakarti

Under den tid som minidriver-baserade smartkort har funnits så har det varit ganska jobbigt att hantera admin/user pin på dessa kort om man inte haft tillgång till produkter och ramverk så som CLM.

Jag tycker att det är en "mänskligrättighet" att kunna hantera koder på ett smartkort för den som äger kortet; med en massa tjat från mig och mycket arbete från min kollega Björn Österman så kommer det snart att finnas ett verktyg för ganska komplett hantering av admin/user pin på minidriver-baserade kort. Verktyget kommer att finnas för nedladdning från LabCenter webben www.labcenter.se, dessutom kommer den att vara Open Source.

Man kommer att kunna unblocka ett kort med tillgång till admin pin, byta pin, byta admin pin samt använda den till att skapa svaret på den utmaning man får från pintool.exe i XP och  Vista i då en användare vill unblocka sitt kort. 

scUtil.exe unblockpin  <adminkey>  <newpin>
scUtil.exe changepin  <oldpin>  <newpin>
scUtil.exe changeadminkey  <oldadminkey>  <newadminkey>
scUtil.exe calculateresponse  <key>  <challange>

Ingen har väl missat att Windows Server 2008 kommer med ett nytt VPN protokoll, SSTP är Microsofts svar på alla SSL vpn som finns där ute. Ett trevligt sätt att köra VPN som desutom är ganska flexibelt ur många aspekter.

Under de tester jag gjort med SSTP så kan jag konstatera att SSTP klienten kräver en fungerande CRL eller möjlighet att kontrollera att server certifikatet inte är ogiltig. Kravet blir extra uppmärksammat om server certifikatet kommer från en intern PKI där CRL:er inte finns utanför den interna miljön.

Efter lite sökande så hittade jag följande KB http://support.microsoft.com/kb/947054 som beskriver de registry nycklar som finns i den nya RRAS tjänsten i WS2008 och en av dessa är särskilt intressant då den kan användas för att stänga av CRL kontrollen på SSTP klienten.

Jag har personligen fastnat för SSTP, och det givetvis med certifikat för autentiseringen på klienten samt full verifering av server certifikatet.

/Hasain