2장 - 스마트 카드 기술
게시 날짜: 2005년 6월 30일 | 업데이트 날짜: 2007년 5월 7일
네트워크 데이터 스토리지는 거의 모든 조직에서 비즈니스에 반드시 필요한 요소입니다. 조직에서는 의사 소통과 수익 창출을 위해 조직 내부의 민감한 데이터가 포함된 네트워크를 종종 인터넷에 연결해야 합니다. 대부분의 조직에서 인증 및 네트워크 리소스 액세스를 위해 사용자 이름 및 암호를 사용하기 때문에 네트워크를 지속적으로 확장하는 경우 중대한 보안 위험에 노출될 수 있습니다.
1장, "소개"에서는 사용자 이름과 암호를 사용할 때의 주요 보안 문제에 대해 다룹니다. 사용자 이름은 비밀이 아니므로 암호만이 다른 사용자를 가장하여 침입을 시도하는 공격자에 대한 보안 수단을 제공합니다. 사용자 이름과 암호 자격 증명의 취약점에 대한 인식이 높아짐에 따라 이중 인증 시스템에 대한 관심이 증가하게 되었습니다.
이 페이지에서
이중 인증
구현 전제 조건
Woodgrove National Bank 시나리오
요약
이중 인증
이중 인증을 사용하면 사용자 이름과 암호 이외에 PIN을 포함한 고유한 형식의 토큰을 제출해야 합니다. 현재 이중 인증을 구현하는 방법은 여러 가지가 있으며 앞으로 더 많은 방법이 개발될 것입니다.
하드웨어 토큰
하드웨어 토큰은 사용자가 키 또는 신용 카드 인증기와 같은 실제 개체를 사용하는 이중 인증 방식입니다. 이 하드웨어는 일반적으로 60초마다 변경되는 간단한 일회성 인증 코드를 제공합니다. 사용자는 일회성 코드와 비밀 PIN을 일치시켜 ID를 확인하고 액세스 권한을 얻습니다.
하드웨어 토큰은 스마트 카드의 많은 이점을 제공하지만 보다 복잡한 계획 및 배포 과정이 필요할 수도 있습니다. Microsoft® Windows Server™ 2003 및 Windows® XP는 하드웨어 토큰을 기본적으로 지원하지 않습니다.
스마트 카드
플라스틱 재질의 신용 카드 크기인 스마트 카드에는 마이크로 컴퓨터와 작은 용량의 메모리가 수록되어 있어 개인 키와 X.509 보안 인증서를 안전하고 위조할 수 없게 저장합니다. 스마트 카드는 일반적으로 단지 1KB의 RAM과 함께 32KB 또는 64KB의 EEPROM(Electrically Erasable Programmable Read Only Memory) 및 ROM(Read Only Memory)을 포함하고 있습니다. ROM에는 스마트 카드 운영 체제가 수록되어 있으며 EEPROM에는 파일 및 디렉터리 구조, PIN 관리 애플릿 및 인증서가 수록되어 있습니다. RAM은 암호화와 암호 해독과 같은 카드 작업을 위한 작업 메모리를 제공합니다.
컴퓨터 또는 원격 액세스 연결에 대해 인증하려면 스마트 카드를 적절한 판독기에 넣은 다음 PIN을 입력해야 합니다. PIN 또는 스마트 카드 중 하나만 있으면 액세스할 수 없습니다. PIN을 여러 번 잘못 입력하면 스마트 카드가 잠기기 때문에 반복 시도 공격을 통해 스마트 카드의 PIN을 알아낼 수는 없습니다. PIN은 대개 8자 이하이므로 긴 임의의 문자 암호보다 기억하기 쉽습니다. 스마트 카드는 Microsoft에서 선호하는 이중 인증 메커니즘입니다.
참고: 스마트 카드 PIN에는 문자를 사용할 수도 있습니다. 스마트 카드 공급업체 개발 키트를 사용하면 원하는 대로 알파벳, 숫자, 대문자, 소문자 또는 특수 문자의 수를 지정할 수 있습니다.
Microsoft는 도메인 관리자와 네트워크 리소스 원격 액세스를 위해 스마트 카드를 배포하고 있으며 강력한 보안을 구현하기 위한 노력의 일환으로 스마트 카드의 활용에 관심을 갖고 있습니다. Microsoft 컨설팅 서비스, Premier Support, 고객 지원 서비스, Microsoft 파트너 및 기타 솔루션 공급자는 조직에서 네트워크 액세스의 보안을 위해 스마트 카드를 사용하도록 권장하고 있습니다.
다음 목록은 네트워크 관리자를 위한 스마트 카드 솔루션을 구현하는 데 필요한 단계를 설명합니다.
스마트 카드를 사용하는 계정을 통해 대화형 로그온, 보조 로그온, 원격 데스크톱 로그온을 지원하도록 대상 서버를 구현합니다.
스마트 카드를 사용하는 도메인 수준의 관리자 계정이 필요한 관리자를 파악합니다.
스마트 카드 판독기를 배포합니다.
스마트 카드를 배포하고 관리자를 등록하는 보안 프로세스를 개발합니다.
다음 목록은 원격 액세스를 위해 스마트 카드 솔루션을 통합하는 데 필요한 과정을 개괄적으로 설명합니다.
스마트 카드 인증을 지원하도록 원격 액세스 서버를 업그레이드합니다.
원격 액세스에 스마트 카드를 사용해야 하는 사용자를 파악합니다.
스마트 카드 판독기를 배포합니다.
스마트 카드를 적절한 관리자에 배포하고 원격 사용자를 등록합니다.
구현 전제 조건
스마트 카드를 배포하려면 조직에서 구현 단계를 시작하기 전에 모든 문제점을 고려할 수 있도록 체계적인 접근 방식이 요구됩니다. 이 단원에서는 가장 일반적인 전제 조건을 다루지만 사용자의 환경에 따라 추가적인 요구 사항이 있을 수 있습니다.
계정 인증
스마트 카드를 배포함에 있어 스마트 카드를 사용하여 액세스해야 하는 사용자 및 그룹을 파악하는 과정은 중요한 부분입니다.
참고: 예산 및 보안 요구 사항이 허락되어 모든 사용자를 대상으로 스마트 카드 액세스를 구현할 수 있는 조직은 이 단계를 건너뛸 수 있습니다.
스마트 카드가 필요한 그룹 및 사용자는 다음이 포함됩니다.
포리스트에 있는 모든 도메인의 도메인 관리자
스키마 관리자
엔터프라이즈 관리자
데이터베이스 관리자
인사 관리자
원격 액세스하는 사용자
회계 및 금융 정보와 같이 민감한 리소스에 사용자 또는 관리자 계정으로 액세스하는 사용자
또한 이사회 중역과 같이 위의 목록에 없는 사용자 및 그룹도 스마트 카드 액세스가 필요할 수 있습니다. 이러한 계정을 구현 과정 초기에 파악하면 프로젝트 및 제어 비용의 범위를 파악하는 데 도움이 됩니다.
중요한 계정을 파악하려면 언제 스마트 카드를 사용할지를 결정해야 합니다. 예를 들어, 관리자는 전자 메일과 같은 일상 작업 처리를 위한 표준 계정과 서버 관리 및 기타 관리 작업 처리를 위한 관리자 수준 계정의 두 개의 사용자 계정을 사용하는 것이 보안상 바람직합니다. 대개 관리자는 사용자 수준 계정을 사용하여 로그온하고 Secondary Logon 서비스를 사용하여 관리 작업을 수행합니다. 또는 스마트 카드 로그온을 지원하는 Windows Server 2003의 관리용 원격 데스크톱 구성 요소를 사용할 수도 있습니다. 관리자 계정에 대한 자세한 내용은 3장 "관리자 계정 보호를 위한 스마트 카드 사용"의 "관리자 계정 및 그룹 인증" 단원을 참조하십시오.
스마트 카드 인프라 지원
스마트 카드는 운영 체제 및 네트워크 요소에서 지원되는 적절한 인프라가 필요합니다. Microsoft는 스마트 카드 구현을 위해 다음과 같은 구성 요소를 지원합니다.
Microsoft 인증서 서비스 또는 외부 공개 키 구조(PKI)
인증서 템플릿
Windows Server 2003
Active Directory® 디렉터리 서비스
보안 그룹
그룹 정책
등록 스테이션 및 등록 에이전트
활성화 웹 서버
EAP – TLS(확장할 수 있는 인증 프로토콜 – 전송 계층 보안) — 원격 액세스 솔루션에만 필요
추가 구성 요소에는 등록 스테이션과 등록 에이전트가 포함됩니다.
PKI(공개 키 구조)
스마트 카드를 사용하려면 Active Directory에서 계정 매핑이 가능하도록 PKI에서 공개 키/개인 키 쌍을 가진 인증서를 제공해야 합니다. 이 PKI는 외부 조직에 내부 인증서 구조를 제공하거나 Windows Server 2003의 인증서를 사용하는 두 가지 방법 중 하나로 구현할 수 있습니다. 조직은 스마트 카드를 위한 인증서 관리 과정의 전체 또는 일부를 아웃소싱할 수 있습니다.
재무 조직의 경우 전자 메일 확인 및 파트너와 보안 트랜잭션을 위해 PKI를 외부의 신뢰할 수 있는 루트로 링크하면 유용합니다. 다른 방법은 Windows Server 2003의 인증서 서비스를 사용하여 PKI를 제공하는 것입니다.
Windows Server 2003의 인증서 서비스에 대한 자세한 내용은 Windows Server 2003의 공개 키 구조 웹 사이트(www.microsoft.com/windowsserver2003/technologies/pki/default.mspx)를 참조하십시오.
PKI에는 인증서 해지를 처리하는 메커니즘이 있어야 합니다. 인증서 해지는 인증서가 만료되거나 공격자에 노출된 경우 필요합니다. 각 인증서는 인증서 해지 목록(CRL)의 위치를 포함하고 있습니다. 인증서 해지를 관리하는 방법에 대한 자세한 내용은 www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/en-us/sag\_CS\_procs\_revocation.asp에서 인증서 해지 관리 항목을 참조하십시오.
인증서 템플릿
Windows Server 2003에는 스마트 카드에서 사용하는 디지털 인증서를 발급하는 특정 인증서 템플릿이 포함되어 있습니다. 이러한 인증서를 복사한 다음 조직의 요구 사항에 맞게 사용자 지정할 수 있습니다. 스마트 카드에 사용하는 세 가지 인증서 템플릿은 다음과 같습니다.
등록 에이전트. 승인된 사용자가 다른 사용자에 대해 인증서를 요청할 수 있습니다.
스마트 카드 사용자. 사용자가 스마트 카드를 사용하여 로그온하고 전자 메일에 서명할 수 있습니다. 또한 클라이언트 인증도 제공합니다.
스마트 카드 로그온. 스마트 카드를 사용하여 로그온할 수 있고 클라이언트 인증을 제공하지만 서명된 전자 메일은 사용할 수 없습니다.
Windows Server 2003 Enterprise Edition은 로그온, 서명된 전자 메일 메시지 및 파일 암호화와 같은 여러 기능을 제공하도록 수정하고 확장할 수 있는 버전 2(v2) 템플릿을 제공합니다. 또한 건강 검진 자료나 연금 내역과 같이 조직에 필요한 추가 정보를 제공하도록 인증서 템플릿을 확장할 수도 있습니다. Windows Server 2003 Enterprise Edition은 대규모 조직에서 스마트 카드를 보다 쉽게 관리할 수 있는 자동 등록을 지원합니다. 인증서 갱신 요청을 받으면 현재 인증서를 사용하여 요청에 서명할 수 있습니다.
참고: 강화된 보안 기능을 이용하려면 최신 Windows Server 2003 PKI를 Windows Server 2003 서비스 팩 1(SP1) PKI로 업그레이드하는 것이 좋습니다.
인증서 템플릿에 대한 자세한 내용은 www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/en-us/sag\_ct\_topnode.asp에서 인증서 템플릿 항목을 참조하십시오.
Windows Server 2003
Microsoft Windows 2000 Server는 콘솔 로그온 전용의 관리자 인증 및 원격 액세스를 위한 스마트 카드를 지원합니다. 관리자를 위한 스마트 카드를 구현하려면 관리되는 서버가 RDP(원격 데스크톱 프로토콜) 연결을 통한 스마트 카드 로그온과 같은 보조 작업을 지원하는 Windows Server 2003을 실행해야 합니다. 이 운영 체제 요구 사항에는 도메인 컨트롤러도 포함됩니다. 이 요구 사항에 대한 자세한 내용은 3장, "관리자 계정 보호를 위한 스마트 카드 사용"을 참조하십시오.
Active Directory
Active Directory는 스마트 카드 배포를 구현하기 위한 핵심 요소입니다. Windows Server 2003에서 제공되는 Active Directory는 기본적으로 스마트 카드의 대화형 로그온 및 인증서에 대한 계정 매핑을 지원합니다. 사용자 계정을 인증서에 매핑하는 이 기능은 스마트 카드의 개인 키를 Active Directory에 있는 인증서에 연결합니다. 로그온할 때 스마트 카드 자격 증명을 제공하려면 Active Directory가 고유한 사용자 계정에 특정 카드를 일치시켜야 합니다. 인증서 매핑에 대한 자세한 내용은 www.microsoft.com/resources/documentation/WindowsServ/2003/all/deployguide/en-us/dssch\_pki\_cyek.asp에서 사용자 계정에 인증서 매핑 항목을 참조하십시오.
Active Directory는 또한 쉽게 스마트 카드 로그온 과정 및 스마트 카드 발급을 관리할 수 있도록 보안 그룹 및 그룹 정책을 지원합니다.
보안 그룹
스마트 카드를 배포할 때는 다음과 같은 보안 그룹을 만들어야 합니다.
스마트 카드 등록 에이전트. 스마트 카드 등록 에이전트는 스마트 카드를 사용자에게 배포하는 역할을 담당합니다. 등록 에이전트에 대해서는 다음 단원에서 자세히 설명합니다.
스마트 카드 준비. 스마트 카드 준비 그룹에는 스마트 카드를 받도록 승인되었지만 등록 에이전트에서 아직 해당 카드가 등록되어 활성화되지 않은 모든 사용자가 포함됩니다.
스마트 카드 사용자. 이 그룹에는 등록 과정이 완료되고 활성화된 스마트 카드를 보유한 모든 사용자가 포함됩니다. 등록 에이전트는 스마트 카드 준비 그룹의 사용자를 스마트 카드 사용자 그룹으로 이동합니다.
그룹을 만드는 방법에 대한 자세한 내용은 www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/en-us/sag\_adgroups\_checklist\_create\_group.asp에서 검사 목록: 그룹 만들기 항목을 참조하십시오.
그룹 정책
그룹 정책을 사용하면 구성 설정을 여러 컴퓨터에 적용할 수 있습니다. 대화형 로그온에 스마트 카드를 사용하기 위한 요구 사항을 그룹 정책 개체(GPO)에 설정한 다음 이 GPO를 Active Directory의 조직 구성 단위나 사이트에 적용할 수 있습니다. 그룹 정책을 사용하는 방법에 대한 자세한 내용은 3장, "관리자 계정 보호를 위한 스마트 카드 사용"을 참조하십시오.
등록 스테이션 및 등록 에이전트
조직은 웹 기반 인터페이스를 사용하여 스마트 카드를 발급하거나 사용자를 등록할 수 있고 사용자는 자신의 자격 증명을 입력하고 스마트 카드를 얻을 수 있습니다. 그러나 이러한 방식은 웹 인터페이스에 제공된 자격 증명과 동일한 수준으로 스마트 카드의 보안을 약화시킵니다. 권장되는 솔루션은 등록 스테이션을 만들고 하나 이상의 관리자를 등록 에이전트로 지정하는 것입니다.
참고: 조직은 MMC(Microsoft Management Console) 인터페이스를 사용하거나 자체 활성화 응용 프로그램을 개발할 수 있습니다.
일반적인 등록 스테이션은 두 개의 스마트 카드 판독기가 연결된 컴퓨터입니다. 하나의 판독기는 등록 에이전트가 로그온하는 데 사용되고 다른 판독기는 사용자에게 새 스마트 카드를 발급하는 데 사용됩니다. 등록 스테이션을 사용하려면 등록 인증서가 필요하며 인증서 템플릿에 액세스할 수 있는 권한이 있어야 합니다. 등록 스테이션에는 등록 에이전트에서 스마트 카드가 제거되는 즉시 강제로 로그오프되도록 하는 그룹 정책 설정이 있습니다.
지정된 관리자는 등록 에이전트의 역할을 수행하며 자신의 스마트 카드를 사용하여 등록 스테이션에 로그온합니다. 그런 다음 인증서 서비스에 대한 웹 페이지를 열어 사용자 ID를 확인하고 사용자를 등록한 다음 등록된 스마트 카드를 발급합니다.
조직은 필요한 등록 스테이션 수와 이러한 스테이션의 위치를 신중하게 고려해야 합니다. 조직은 등록 스테이션을 시설이나 사이트에 대한 액세스 및 다른 보안 패스를 발급하는 설비와 함께 보안 부서 사무실에 배치할 수 있습니다. 등록 에이전트 팀이 지사 사무실에서 랩톱을 이동 등록 스테이션으로 사용하면 대규모 조직에서 신속하게 초기 배포를 수행할 수 있습니다.
참고: 관리 복잡성을 줄이고 스마트 카드 등록을 제어하려면 등록 에이전트 및 등록 스테이션 수를 배포에 필요한 최소한의 수로 제한하는 것이 좋습니다.
활성화 웹 서버
활성화 웹 서버는 사용자가 PIN 재설정을 통해 새 스마트 카드를 활성화할 수 있도록 하는 사용자 지정 구성 요소입니다. 일부 공급업체의 소프트웨어 개발 키트(SDK)에는 활성화 웹 서버를 구성하는 데 도움을 주는 도구가 포함되어 있습니다. Microsoft는 활성화 서버 구성 요소를 제공하지 않습니다.
PIN을 재설정하려면 스마트 카드에서 16진수 챌린지(challenge) 문자열을 생성하는 암호화 서비스 공급자(CSP) 유틸리티를 실행합니다. 사용자가 이 챌린지 문자열을 웹 페이지의 필드에 입력하면 활성화 웹 서버는 응답을 생성합니다. 사용자가 이 응답을 유틸리티의 응답 필드에 입력하면 스마트 카드 PIN을 설정할 수 있습니다.
활성화 웹 서버는 관리 프로세스의 일부가 될 수도 있습니다. PIN을 여러 번 잘못 입력하여 카드가 잠긴 경우 헬프 데스크 운영자는 이 프로세스를 사용하여 카드의 잠금을 해제할 수 있습니다. 이 경우 사용자는 헬프 데스크 운영자에게 챌린지를 제공하여 해당 응답을 얻습니다.
EAP-TLS
인증서 기반 보안 환경에서는 EAP-TLS(EAP-Transport Level Security)를 사용하여 가장 강력한 인증 및 키 확인 방법을 제공합니다. EAP-TLS는 상호 인증, 암호화 방법의 협상, 클라이언트와 인증자 간의 암호화된 키 확인을 제공합니다. RFC 2284는 EAP에 대한 자세한 설명을 제공합니다.
스마트 카드 평가
스마트 카드를 평가할 때 중요한 요인은 선택한 모델에서 계획된 키 길이가 지원되는지 확인하는 것입니다. Windows Server 2003은 낮은 보안인 384비트에서 높은 보안인 16,384비트까지의 인증서 키 길이를 지원합니다.
키 길이가 더 긴 인증서는 키 길이가 짧은 인증서보다 더 높은 보안을 제공하지만 키 길이가 길수록 스마트 카드를 사용하여 로그온하는 시간이 크게 증가합니다. 또한 스마트 카드의 메모리 크기에 따라 사용할 수 있는 최대 키 길이도 제한됩니다.
1,024비트의 인증서 키 길이는 관리자 계정 보안이나 원격 액세스 보안에 적합합니다. 1,024비트 키를 사용하는 인증서는 스마트 카드에서 대략 2.5KB의 메모리 공간을 차지합니다. 다른 메모리 요구 사항에는 운영 체제(16KB), CSP와 같은 스마트 카드 공급업체 응용 프로그램(8KB), 스마트 카드 파일 및 디렉터리 구조(4KB) 등이 있습니다. 따라서 메모리가 32KB보다 작은 스마트 카드는 로그온 인증서 저장소에 적합하지 않으며 스마트 카드 솔루션을 확장하는 데 필요한 기능을 제공하지 않을 수 있습니다.
고려할 두 번째 요인은 카드가 기본적으로 Windows Server 2003 및 Windows XP를 지원하는지 여부입니다. 스마트 카드를 구입하기 전에 공급업체와 요구 사항에 대해 상의하십시오.
참고: 스마트 카드는 해당 공급업체로부터 직접 구입해야 합니다. Microsoft는 스마트 카드를 제공하지 않습니다.
Windows XP 및 Windows Server 2003 제품군은 일부 스마트 카드만 기본적으로 지원하지만 RSA 기반 암호화 스마트 카드도 추가적으로 사용할 수 있습니다. 카드가 Windows에서 기본적으로 지원되지 않는 경우 카드 공급업체가 카드에 대한 CryptoAPI 사용 CSP를 구현해야 합니다.
스마트 카드의 평가에 대한 자세한 내용은 https://technet2.microsoft.com/windowsserver/en/library/0eae38ec-d6e5-4ca7-96a3-42f2fd6c6e741033.mspx에서 스마트 카드 및 판독기 평가 항목을 참조하십시오.
PIN 관리
사용자는 CSP가 개인 키 PIN 대화 상자를 표시하도록 하는 유틸리티를 사용하여 언제든지 스마트 카드의 PIN을 변경할 수 있습니다. 그런 다음 기존 PIN을 입력하고 새 PIN을 두 번 입력합니다. PIN은 쉽게 기억할 수 있으므로 PIN을 변경할 수 있는 도구를 제공해야 합니다.
참고: 생일, 차량 번호판 또는 전화 번호와 같이 쉽게 추측할 수 있는 PIN을 사용하지 않도록 사용자에게 주의를 주어야 합니다.
CSP의 기능을 사용한 PIN 관리의 책임은 사용자에게 있습니다. Windows XP 및 Windows Server 2003 운영 체제 제품군은 PIN을 관리하지 않습니다. PIN 관리 도구 및 지침은 스마트 카드 공급업체에 문의하십시오.
대부분의 스마트 카드 공급업체는 추가 사용자 지정이나 개발 없이 Windows 2000 이상 버전과 직접 통합되는 스마트 카드를 제공하고 있습니다. 공급업체에서는 PIN이 미리 설정된 스마트 카드를 제공하며, 이후에 등록 시 카드의 PIN을 재설정하도록 요구하는 것과 같은 제한을 설정할 수 있습니다. 그러나 많은 경우에 있어 기업에서 이러한 방식은 부적절합니다.
더 복잡하고 안전한 PIN을 만들려면 PIN 관리 도구를 사용하여 사용자가 5자에서 8자 사이의 PIN을 선택하도록 요구해야 합니다. 선택한 스마트 카드 공급업체가 최대 8자의 PIN을 지원하는지 확인하십시오.
스마트 카드 소프트웨어 개발 키트
Microsoft는 스마트 카드 배포를 위한 일반적 솔루션은 제공하지 않으므로 필요한 경우 추가 사용자 지정을 해야 할 수 있습니다.
스마트 카드 공급업체는 조직이 스마트 카드 배포를 사용자 지정하는 데 사용할 수 있는 SDK 및 개인화 도구를 제공합니다. 예를 들어, 개발자는 SDK를 사용하여 보류 상태의 스마트 카드를 발급할 수 있습니다. 그런 다음 등록 에이전트가 카드를 발급할 때 사용자는 이 카드를 활성화하고 PIN을 변경할 수 있습니다. 이 방법에서 제공하는 향상된 보안을 이용하려면 추가 사용자 지정 및 개발을 위한 예산이 필요합니다.
스마트 카드 판독기 평가
적절한 스마트 카드 판독기를 선택할 때 중요한 사항은 용도에 가장 적합한 판독기를 선택하는 것입니다. 예를 들어, 관리자의 책상 아래에 놓인 신형 워크스테이션에는 둘 이상의 USB 연결이 있으므로 USB 스마트 카드 판독기가 가장 적합한 선택이 될 수 있습니다. 사용자는 모니터 측면에 스마트 카드 판독기를 연결하거나 다른 편리한 위치에 판독기를 배치할 수 있습니다. 랩톱에서 원격 액세스 연결을 수행하는 사용자는 대개 PC 카드 형식의 스마트 카드 판독기를 선호합니다.
USB 인터페이스를 사용할 수 있는 키보드에 스마트 카드 판독기가 포함될 수도 있습니다. 이러한 키보드는 하나의 컴퓨터에서 사용하는 데 적합하며, USB가 장착된 KVM(Keyboard Video Mouse) 스위치를 사용하는 경우 서버 랙의 여러 컴퓨터에서 사용할 수도 있습니다. 선택한 KVM 스위치 공급업체에 문의하여 KVM 스위치가 여러 서버에서 스마트 카드 인증을 지원하는지 여부를 알아봅니다.
Windows XP 및 Windows Server 2003 제품군은 다음 표에 나열된 스마트 카드 판독기를 지원합니다. Windows에서 플러그 앤 플레이 스마트 카드 판독기 하드웨어가 검색되면 올바른 드라이버가 설치됩니다.
참고: Microsoft는 Windows 호환 로고가 붙은 스마트 카드 판독기를 사용할 것을 권장합니다.
표 2.1: Windows Server 2003에서 지원되는 스마트 카드 판독기
| 상표 | 모델 | 인터페이스 |
|---|---|---|
| American Express | GCR435 | USB |
| Bull | SmarTLP3 | 직렬 |
| Compaq | 직렬 판독기 | 직렬 |
| Gemplus | GCR410P | 직렬 |
| Gemplus | GPR400 | PCMCIA |
| Gemplus | GemPC430 | USB |
| Hewlett Packard | ProtectTools | 직렬 |
| Litronic | 220P | 직렬 |
| Schlumberger | Reflex 20 | PCMCIA |
| Schlumberger | Reflex 72 | 직렬 |
| Schlumberger | Reflex Lite | 직렬 |
| SConnection Manager Microsystems | SCR111 | 직렬 |
| SConnection Manager Microsystems | SCR200 | 직렬 |
| SConnection Manager Microsystems | SCR120 | PCMCIA |
| SConnection Manager Microsystems | SCR300 | USB |
| Systemneeds | 외장 | 직렬 |
| Omnikey AG | 2010 | 직렬 |
| Omnikey AG | 2020 | USB |
| Omnikey AG | 4000 | PCMCIA |