- tutorial
Neki od vas sigurno su čuli za incident koji je nedavno objavljen u javnosti. Američki proizvođač poluprovodnika Allegro MicroSystem LLC tužio je svog bivšeg IT stručnjaka za sabotažu. Nimesh Patel, koji je u kompaniji već 14 godina, uništio je važne finansijske podatke u prvoj sedmici nove fiskalne godine.
Kako se to dogodilo?
Dvije sedmice nakon što je otpušten, Patel je ušao u sjedište kompanije u Worcesteru, Massachusetts, SAD, kako bi uhvatio Wi-Fi mrežu kompanije. Koristeći akreditive bivšeg kolege i radni laptop, Patel se prijavio na korporativnu mrežu. Zatim je ubacio kod u Oracle modul i programirao ga da radi 1. aprila 2016. godine, prve sedmice nove fiskalne godine. Kod je trebao kopirati određena zaglavlja ili pokazivače u zasebnu tabelu baze podataka i zatim ih ukloniti iz modula. Tačno 1. aprila podaci su izbrisani iz sistema. A pošto se napadač legalno prijavio na Allegro mrežu, njegovi postupci nisu odmah uočeni.
Šira javnost ne zna detalje, ali najvjerovatnije je incident postao moguć uglavnom zbog činjenice da je kompanija koristila autentifikaciju lozinkom za pristup mreži. Sigurno je bilo i drugih sigurnosnih problema, ali to je lozinka koja može biti ukradena neprimijećeno od strane korisnika i činjenica krađe lozinke neće biti otkrivena, u najboljem slučaju, sve do trenutka kada se ukradeni akreditivi ne koriste.
Upotreba jake dvofaktorske autentifikacije i zabrana korištenja lozinki, u kombinaciji s kompetentnom sigurnosnom politikom, mogli bi pomoći, ako ne izbjeći opisani razvoj događaja, onda uvelike zakomplicirati implementaciju takvog plana.
Razgovaraćemo o tome kako možete značajno povećati nivo bezbednosti vaše kompanije i zaštititi se od ovakvih incidenata. Naučit ćete kako postaviti autentifikaciju i potpisivanje važnih podataka pomoću tokena i kriptografije (i stranih i domaćih).
U prvom članku ćemo objasniti kako postaviti jaku dvofaktorsku autentifikaciju koristeći PKI prilikom prijavljivanja na račun domene na Windows-u.
U sljedećim člancima ćemo vam reći kako da postavite Bitlocker, sigurnu e-poštu i najjednostavniji tok posla. Također ćemo zajedno s vama postaviti siguran pristup korporativnim resursima i siguran daljinski pristup putem VPN-a.
Dvofaktorska autentifikacija
Iskusni sistem administratori i sigurnosno osoblje itekako su svjesni da su korisnici krajnje nesavjesni po pitanju usklađenosti sa sigurnosnim politikama, mogu upisati svoje akreditive na ljepljivu notu i zalijepiti je pored računara, prenijeti lozinke svojim kolegama i slično. Ovo se posebno često dešava kada je lozinka složena (sadrži više od 6 znakova i sastoji se od slova različitih velikih i malih slova, brojeva i posebnih znakova) i teško ju je zapamtiti. Ali takva pravila postavljaju administratori s razlogom. Ovo je neophodno kako bi se korisnički nalog zaštitio od jednostavnog pretraživanja lozinki u rječniku. Također, administratori preporučuju promjenu lozinki najmanje jednom svakih 6 mjeseci, jednostavno uzimajući u obzir da za to vrijeme čak i složena lozinka teoretski može biti grubo prisiljena.
Prisjetimo se šta je autentifikacija. U našem slučaju, to je proces potvrđivanja identiteta subjekta ili objekta. Autentifikacija korisnika je proces provjere identiteta korisnika.
Dvofaktorska autentifikacija je autentifikacija u kojoj morate koristiti najmanje dvije različite metode da potvrdite svoj identitet.
Najjednostavniji primjer dvofaktorske autentifikacije u stvarnom životu je sef sa bravom i kombinacijom koda. Da biste otvorili takav sef, morate znati šifru i posjedovati ključ.
Token i pametna kartica
Vjerojatno najpouzdaniji i najlakši za implementaciju dvofaktorski metod autentifikacije je korištenje kriptografskog tokena ili pametne kartice. Token je USB uređaj koji je istovremeno i čitač i pametna kartica. Prvi faktor u ovom slučaju je činjenica o vlasništvu uređaja, a drugi je poznavanje njegovog PIN koda.
Koristite token ili pametnu karticu, što vam više odgovara. Ali istorijski se dogodilo da su u Rusiji više navikli na korištenje tokena, jer ne zahtijevaju korištenje ugrađenih ili eksternih čitača pametnih kartica. Tokeni također imaju svoje nedostatke. Na primjer, ne možete odštampati fotografiju na njemu.
Fotografija prikazuje tipičnu pametnu karticu i čitač.
Ali vratimo se korporativnoj sigurnosti.
I počećemo sa Windows domenom, jer je u većini kompanija u Rusiji korporativna mreža izgrađena oko njega.
Kao što znate, politike Windows domena, korisničke postavke i grupne postavke u Active Directory-u pružaju i ograničavaju pristup velikom broju aplikacija i mrežnih usluga.
Zaštitom naloga u domeni možemo zaštititi većinu, au nekim slučajevima i sve interne resurse informacija.
Zašto je dvofaktorska autentifikacija u domeni pomoću tokena s PIN kodom sigurnija od obične šeme lozinke?
PIN je vezan za određeni uređaj, u našem slučaju, token. Poznavanje PIN koda samo po sebi ne daje ništa.
Na primjer, PIN kod sa tokena može se telefonski diktirati drugim osobama i to neće dati ništa napadaču ako se prema tokenu postupate dovoljno pažljivo i ne ostavljate ga bez nadzora.
Sa lozinkom je situacija potpuno drugačija, ako je napadač pokupio, pogodio, špijunirao ili na neki način došao do lozinke sa naloga u domeni, tada će moći slobodno da uđe i u samu domenu i u druge servise kompanije koji koriste isti nalog.
Token je jedinstveni fizički objekt koji se ne može kopirati. Vlasnik je legitimnog korisnika. Dvofaktorska autentifikacija pomoću tokena može se zaobići samo kada je administrator namjerno ili previdom ostavio "rupe" u sistemu za to.
Prednosti prijavljivanja na domenu pomoću tokena
PIN tokena je lakše zapamtiti jer može biti mnogo jednostavniji od lozinke. Sigurno je svako barem jednom u životu vidio kako „iskusan“ korisnik nakon nekoliko pokušaja bolno ne može da se autentifikuje u sistemu, pamti i unese svoju „sigurnu“ lozinku.
PIN ne treba stalno mijenjati, jer su tokeni otporniji na grubu silu PIN-a. Nakon određenog broja neuspješnih pokušaja unosa, token se blokira.
Kada se koristi token za korisnika, prijava izgleda ovako: nakon što se računar pokrene, on jednostavno utakne token u USB port računara, unese 4-6 cifara i pritisne dugme Enter. Brzina unosa brojeva kod običnih ljudi je veća od brzine unosa slova. Zbog toga se PIN kod unosi brže.
Tokeni rješavaju problem "napuštenog radnog mjesta" - kada korisnik napusti svoje radno mjesto i zaboravi da se odjavi sa svog naloga.
Politika domene može se konfigurirati da automatski zaključa računar kada se token preuzme. Takođe, token može biti opremljen RFID oznakom za prolaz između prostorija kompanije, tako da bez uzimanja tokena sa svog radnog mjesta, zaposleni jednostavno neće moći da se kreće po teritoriji.
Nedostaci, kuda bez njih
Tokeni ili pametne kartice nisu besplatni (odlučuje budžet).
Treba ih voditi računa, administrirati i održavati (o tome odlučuju sistemi za upravljanje tokenima i pametne kartice).
Neki informacioni sistemi možda ne podržavaju autentifikaciju pomoću tokena iz kutije (to je rešeno sistemima Single Sign-On - dizajnirani da organizuju mogućnost korišćenja jednog naloga za pristup svim resursima u regionu).
Postavljanje dvofaktorske autentifikacije u Windows domenu
Teorijski dio:
Usluga direktorija Active Directory podržava provjeru autentičnosti pametnih kartica i tokena od Windowsa 2000. Ugrađena je u ekstenziju PKINIT (inicijalizacija javnog ključa) za Kerberos RFC 4556 protokol.
Kerberos protokol je posebno dizajniran da pruži snažnu autentifikaciju korisnika. Može da koristi centralizovano skladištenje podataka za autentifikaciju i predstavlja osnovu za izgradnju mehanizama Single Sing-On. Protokol se zasniva na ključnom entitetu Ticket (ticket).
Ticket (ticket) je šifrirani paket podataka koji izdaje pouzdani centar za autentifikaciju, u smislu Kerberos protokola – Key Distribution Center (KDC, key distributer center).
Kada korisnik izvrši primarnu autentifikaciju nakon uspješne autentifikacije korisnika, KDC izdaje primarni identitet korisnika za pristup mrežnim resursima, Ticket Granting Ticket (TGT).
Ubuduće, prilikom pristupa pojedinačnim mrežnim resursima, korisnik, prezentujući TGT, dobija od KDC-a identitet za pristup određenom mrežnom resursu - Ticket Granting Service (TGS).
Jedna od prednosti Kerberos protokola, koji pruža visok nivo sigurnosti, je da se ni lozinke ni heš vrijednosti lozinke ne prenose u čistom tekstu tokom bilo kakve interakcije.
Ekstenzija PKINIT vam omogućava da koristite dvofaktorsku autentifikaciju pomoću tokena ili pametnih kartica tokom faze Kerberos pre-autentifikacije.
Prijava se može osigurati pomoću usluge imenika domene ili lokalne usluge imenika. TGT se kreira na osnovu elektronskog potpisa, koji se obračunava na pametnoj kartici ili tokenu.
Svi kontrolori domena moraju imati instaliran certifikat Domain Controller Authentication, ili Kerberos Authentication, jer je implementiran proces međusobne autentifikacije klijenta i servera.
Vježba:
Počnimo sa postavljanjem.
Pobrinut ćemo se da možete ući u domenu pod vašim računom samo uz predočenje tokena i saznanja PIN koda.
Za demonstraciju ćemo koristiti Rutoken EDS PKI proizvođača Aktiv.
Faza 1 - Postavljanje domene Prvi korak je instaliranje Certificate Services.
Odricanje od odgovornosti.
Ovaj članak nije vodič o tome kako implementirati poslovni PKI. Pitanja dizajniranja, implementacije i kompetentnog korištenja PKI-a ovdje se ne razmatraju zbog obima ove teme.
Svi kontroleri domena i svi klijentski računari u šumi u kojoj se implementira takvo rješenje moraju nužno imati povjerenje u korijensko certifikacijsko tijelo (Certification Authority).
Zadatak certifikacijskog tijela je provjera autentičnosti ključeva za šifriranje korištenjem certifikata elektroničkog potpisa.
Tehnički, CA je implementiran kao komponenta globalnog servisa imenika odgovornog za upravljanje kriptografskim ključevima korisnika. Javne ključeve i druge informacije o korisnicima čuvaju sertifikacioni organi u obliku digitalnih sertifikata.
CA koji izdaje certifikate za korištenje pametnih kartica ili tokena mora biti smješten u NT Authority store.
Idite na Server Manager i odaberite "Dodaj uloge i funkcije".
Prilikom dodavanja uloga servera, odaberite "Active Directory Certificate Services" (Microsoft snažno preporučuje da to ne radite na kontroleru domena, kako ne biste pogoršali probleme s performansama). U prozoru koji se otvori odaberite "Dodaj funkcije" i odaberite "Certificate Authority".
Na stranici za potvrdu instalacije komponenti kliknite na "Instaliraj".
Faza 2 - Postavljanje prijave na domenu pomoću tokena
Da bismo se prijavili, potreban nam je certifikat koji sadrži ID-ove za prijavu na pametnu karticu i autentifikaciju klijenta.
Certifikat za pametne kartice ili tokene također mora sadržavati korisnički UPN (sufiks korisničkog glavnog imena). Podrazumevano, UPN sufiks za nalog je DNS ime domene koja sadrži korisnički nalog.
Certifikat i privatni ključ moraju biti smješteni u odgovarajuće dijelove pametne kartice ili tokena, dok privatni ključ mora biti u sigurnom području memorije uređaja.
Certifikat mora sadržavati putanju do CRL distribucijske točke. Takav fajl sadrži listu sertifikata, sa naznakom serijskog broja sertifikata, datuma opoziva i razloga za opoziv. Koristi se za saopštavanje informacija o opozvanim sertifikatima korisnicima, računarima i aplikacijama koje pokušavaju da provere autentičnost sertifikata.
Konfigurirajmo instalirane servise certifikata. U gornjem desnom uglu kliknite na žuti trokut sa uskličnikom i kliknite na "Konfiguriraj servise certifikata...".
U prozoru Credentials izaberite potrebne korisničke vjerodajnice da biste konfigurirali ulogu. Odaberite "Certificate Authority".
Odaberite Enterprise CA.
Enterprise CA su integrirani sa AD. Oni objavljuju certifikate i CRL-ove za AD.
Odredite tip "Root CA".
U sljedećem koraku odaberite "Kreiraj novi privatni ključ".
Odaberite period važenja certifikata.
Korak 3 - Dodavanje predložaka certifikata
Da biste dodali šablone sertifikata, otvorite kontrolnu tablu, izaberite Administrativni alati i otvorite Autoritet za sertifikaciju.
Kliknite na naziv foldera "Certificate Templates", odaberite "Manage".
Kliknite na naziv predloška "Korisnik pametne kartice" i odaberite "Kopiraj predložak". Sljedeći snimci ekrana pokazuju koje opcije u prozoru New Template Properties treba promijeniti.
Ako na listi provajdera nema „Aktiv ruToken CSP v1.0“, tada morate instalirati komplet „Rutoken Drivers for Windows“.
Počevši od Windows Server 2008 R2, možete koristiti "Microsoft Base Smart Card Crypto Provider" umjesto dobavljača specifičnog za dobavljača.
Za Rutoken uređaje, biblioteka "minidriver" koja podržava "Microsoft Base Smart Card Crypto Provider" distribuira se putem Windows Update-a.
Možete provjeriti da li je “minidriver” instaliran na vašem serveru tako što ćete povezati Rutoken na njega i pogledati u upravitelju uređaja.
Ako iz nekog razloga ne postoji „minidriver“, možete ga prisiliti instaliranjem kompleta „Rutoken Drivers for Windows“, a zatim koristiti „Microsoft Base Smart Card Crypto Provider“.
Komplet Rutoken drajvera za Windows se besplatno distribuira sa web stranice Rutoken.
Dodajte dva nova šablona "Certification Agent" i "User with Rutoken".
U prozoru "Snap-in upravitelja certifikata" odaberite "moj korisnički račun". U prozoru Add/Remove Snap-in potvrdite dodavanje certifikata.
Odaberite folder "Certifikati".
Zatražite novi certifikat. Otvara se stranica za registraciju certifikata. U koraku zahtjeva za certifikatom odaberite politiku upisa "Administrator" i kliknite na "Primijeni".
Na isti način zatražite potvrdu za Registracionog agenta.
Da biste zatražili certifikat za određenog korisnika, kliknite na "Certifikati", odaberite "Registriraj se kao...".
U prozoru za traženje sertifikata označite polje "Korisnik sa Rutokenom".
Sada morate odabrati korisnika.
U polje "Unesite nazive odabranih objekata" unesite ime korisnika u domenu i kliknite "Provjeri ime".
U prozoru za odabir korisnika kliknite na "Aplikacija".
Odaberite naziv tokena sa padajuće liste i unesite PIN kod.
Na isti način odaberite certifikate za druge korisnike u domeni.
Faza 4 - Postavljanje korisničkih naloga
Da biste podesili naloge, otvorite listu AD korisnika i računara.
Odaberite folder Korisnici i odaberite Svojstva.
Idite na karticu "Računi", označite polje "Zahtijeva pametnu karticu za interaktivnu prijavu".
Postavite sigurnosne politike. Da biste to uradili, otvorite kontrolnu tablu i izaberite Administrativni alati. Otvorite meni za upravljanje grupnim politikama.
Na lijevoj strani prozora za upravljanje pravilima grupe, kliknite na Default Domain Policy i odaberite Uredi.
Na lijevoj strani prozora uređivača upravljanja grupnim politikama odaberite Sigurnosne opcije.
Otvorite politiku "Interaktivna prijava: Zahtijeva pametnu karticu".
Na kartici "Postavke sigurnosne politike" potvrdite izbor u polju za potvrdu "Definiraj sljedeću postavku politike" i "Omogućeno".
Otvorite Politiku Interaktivna prijava: Ponašanje prilikom uklanjanja pametne kartice.
Na kartici "Postavke sigurnosne politike" označite polje "Definiši sljedeću postavku politike", odaberite "Zaključaj radnu stanicu" sa padajuće liste.
Ponovo pokrenite računar. I sljedeći put kada pokušate da se autentifikujete u domeni, već možete koristiti token i njegov PIN.
Konfigurisana je dvofaktorska autentikacija za prijavu na domen, što znači da je nivo sigurnosti za prijavu na Windows domenu značajno povećan bez trošenja sulude količine na dodatne sigurnosne alate. Sada, bez tokena, prijavljivanje na sistem je nemoguće, a korisnici mogu da odahnu i ne pate od složenih lozinki.
Sljedeći korak je sigurna pošta, pročitajte o tome i kako postaviti sigurnu autentifikaciju u drugim sistemima u našim sljedećim člancima.
Tagovi:
- windows server
- PKI
- Rutoken
- autentifikaciju
1) Na samom početku podešavanja servera unesite naredbu:
multiotp.exe -debug -config default-request-prefix-pin=0 display-log=1 nakon toga, ne morate unositi pin kod prilikom postavljanja korisnika i prikazati dnevnik svake operacije u konzoli.
2) Koristeći ovu naredbu, možete podesiti bantime za korisnike koji su pogriješili sa lozinkom (30 sekundi po defaultu):
multiotp.exe -debug -config fail-delayed-time=60
3) Ono što će biti napisano u aplikaciji google Authenticator iznad 6 cifara zove se izdavač, možete promijeniti zadani MultiOTP na nešto drugo:
multiotp.exe -debug -config issuer=other
4) Nakon izvršenih operacija, komanda za kreiranje korisnika postaje malo lakša:
multiotp.exe -debug -create korisnika TOTP 12312312312312312321 6 (ne postavljam vrijeme ažuriranja cifara na 30 sekundi, čini se da je zadana vrijednost 30).
5) Svaki korisnik može promijeniti opis (tekst ispod brojeva u Google Auth aplikaciji):
multiotp.exe -set korisničko ime opis=2
6) QR kodovi se mogu kreirati direktno u aplikaciji:
multiotp.exe -qrcode korisničko ime c:\multiotp\qrcode\user.png:\multiotp\qrcode\user.png
7) Možete koristiti ne samo TOTP, već i HOTP (unos hash funkcije nije trenutno vrijeme, već vrijednost inkrementalnog brojača):
multiotp.exe -debug -kreiraj korisničko ime HOTP 12312312312312312321 6
Lozinke mogu stvoriti veliku sigurnosnu glavobolju i upravljivost za IT administratore preduzeća i organizacija. Korisnici često kreiraju jednostavne lozinke ili zapisuju lozinke kako ih ne bi zaboravili. Pored toga, nekoliko postupaka resetovanja lozinke su efikasni i sigurni. S obzirom na ova ograničenja, kako se ove vrste sigurnosnih problema mogu ublažiti kada mreži pristupaju udaljeni korisnici? Kako možete učiniti rješenje za lozinku vaše kompanije sigurnijim znajući da mnogi korisnici zapisuju svoje lozinke?
Postoji rješenje - to je uvođenje u organizaciju dodatnog sistema zaštite pristupa baziranog na unosu jednokratnih lozinki (OTP - One Time Password), koje se generišu na mobilnom uređaju vašeg zaposlenika. Prijelaz na autentifikaciju zasnovanu na jednokratnim lozinkama obično se događa kada postane jasno da su standardne dugoročne lozinke nedovoljne u smislu sigurnosti, a istovremeno su mogućnosti korištenja pametnih kartica ograničene, na primjer, u situaciji masovne upotrebe mobilnih klijenata.
Naša kompanija je razvila tehnološko rješenje, što će vam omogućiti da dobijete dodatna linija odbrane za terminalski server ili 1C server na osnovu jednokratnih lozinki , na koji se zaposleni povezuju na daljinu.
Obim posla za implementaciju i konfiguraciju OTP sistema
Na vašem serveru je instaliran i konfigurisan specijalizovan softver za rad sistema za autentifikaciju pristupa zasnovanog na jednokratnim lozinkama (OTP) Svi zaposleni u organizaciji kojima je potreban pristup serveru ulaze u OTP sistem Za svakog zaposlenog vrši se inicijalna konfiguracija mobilnog telefona uz instalaciju programa za generisanje jednokratne lozinke
Počinje trošak uvođenja sistema za autentifikaciju pristupa terminalskom serveru ili 1C serveru zasnovanom na jednokratnim lozinkama (OTP) u organizaciji od 6 400 rubalja.
U slučajevima kada će OTP sistem biti raspoređen u sprezi sa iznajmljivanjem infrastrukture u našem sigurnom "oblaku", popust na implementaciju sistema zaštite korišćenjem jednokratnih lozinki (OTP) može dostići 50%.
Jednokratne lozinke - dodatni sloj sigurnosti podataka
Tradicionalna, statična lozinka se obično mijenja samo kada je potrebno, bilo kada istekne ili kada je korisnik zaboravi i želi da je resetuje. Pošto su lozinke keširane na hard diskovima računara i pohranjene na serveru, one su podložne hakovanju. Ovaj problem je posebno akutan za prijenosne računare jer ih je lako ukrasti. Mnoge kompanije daju zaposlenima laptop računare i otvaraju svoje mreže za daljinski pristup. Oni također zapošljavaju zaposlene na određeno vrijeme i dobavljače. U takvom okruženju, jednostavno rješenje statičke lozinke postaje nedostatak.
Za razliku od statičke lozinke, jednokratna lozinka se mijenja svaki put kada se korisnik prijavi na sistem i vrijedi samo kratko vrijeme (30 sekundi). Same lozinke se kreiraju i šifriraju prema složenom algoritmu koji ovisi o mnogim varijablama: vremenu, broju uspješnih/neuspješnih prijava, nasumično generiranim brojevima itd. Ovaj naizgled složen pristup zahtijeva jednostavne radnje od korisnika - Instalirajte posebnu aplikaciju na svoj telefon koja se sinkronizira jednom sa serverom i naknadno generiše jednokratnu lozinku. Sa svakom novom uspješnom prijavom, klijent i server se automatski resinhroniziraju nezavisno jedan od drugog prema posebnom algoritmu. Vrijednost brojača se povećava svaki put kada se od uređaja zatraži OTP vrijednost i kada se korisnik želi prijaviti, unosi OTP koji je trenutno prikazan na njegovom mobilnom uređaju.
Lozinka nije jako jaka mjera sigurnosti. Vrlo često se koriste jednostavne, lako pogodne lozinke ili korisnici ne prate sigurnost svojih lozinki (dijele kolegama, pišu na papirićima itd.). Microsoft je odavno implementirao tehnologiju koja vam omogućava da koristite SmartCard za prijavu, tj. autentifikaciju u sistemu pomoću certifikata. Ali nije potrebno direktno koristiti pametne kartice, jer su i njima potrebni čitači, pa ih je lakše zamijeniti usb tokenima. Oni će vam omogućiti da implementirate dvofaktorsku autentifikaciju: prvi faktor je lozinka iz tokena, drugi faktor je certifikat na tokenu. Nadalje, koristeći primjer JaCarta usb tokena i Windows domene, reći ću vam kako implementirati ovaj mehanizam autentifikacije.
Prije svega, napravimo grupu "g_EtokenAdmin" u AD i računu. Unos agenta za upis koji pripada ovoj grupi. Ova grupa i korisnik će pokretati certifikacijski autoritet.
Dodatno, instalirat ćemo web servis za traženje certifikata.
Zatim odaberite opciju za preduzeće. Odaberite Root CA (ako imamo ovo je prvo certifikacijsko tijelo u domeni)
Kreiramo novi privatni ključ. Dužina ključa se može ostaviti manjom, ali je za algoritam heširanja bolje izabrati SHA2 (SHA256).
Unesite naziv CA i odaberite period važenja glavnog certifikata.
Ostale parametre ostavite kao zadane i pokrenite proces instalacije.
Nakon instalacije, idemo na snap-in centra za sertifikaciju i konfigurirajte prava na predloške. 
Zanimaju nas dva predloška: Enrollment Agent i Smartcard logon.
Idemo na svojstva ovih šablona i na kartici sigurnosti dodamo grupu "g_EtokenAdmin" s pravima čitanja i zahtjeva.
I oni će se pojaviti na našoj općoj listi.
Sljedeći korak je konfiguriranje grupnih politika:
Prije svega, reći ćemo svim računarima u domeni o root certifikacijskom tijelu, za to ćemo promijeniti Default Domain Policy.
Konfiguracija računara -> Smjernice -> Windows konfiguracija -> Sigurnosne postavke -> Politika javnog ključa -> Pouzdani korijenski certifikacijski autoriteti -> Uvoz
Odaberimo naš root certifikat koji se nalazi duž putanje: C:\Windows\System32\certsrv\CertEnroll. Zatvorite Default Domain Policy.
U sljedećem koraku ćemo kreirati politiku za kontejner koji će sadržavati računare sa tokenom (Smart Card) autentifikacijom.
Duž putanje Konfiguracija računara -> Politike -> Windows konfiguracija -> Sigurnosne postavke -> Lokalne politike -> Sigurnosne postavke. Konfigurirajmo dvije opcije "Interaktivna prijava: potrebna je pametna kartica" i "Interaktivna prijava: Ponašanje kada se pametna kartica ukloni".
To je sve s postavkama, sada možete generirati klijentski certifikat i provjeriti autentifikaciju pomoću tokena.
Prijavite se na računar pod nalogom "Agent za upis" i otvorite pretraživač klikom na link http://Server_name_MS_CA/certsrv
Odaberite Zahtjev za certifikat -> Napredni zahtjev za certifikat -> Kreirajte i izdajte zahtjev ovom CA
Ako dobijete grešku kao što je "Da biste dovršili registraciju certifikata, morate konfigurirati web stranicu da CA koristi HTTPS autentifikaciju", tada morate vezati web lokaciju za https protokol na IIS serveru na kojem je instaliran MS CA.
Nastavimo s pribavljanjem certifikata, za to na stranici koja se otvori odaberite predložak: "Agent za registraciju" i kliknite na dugme za izdavanje i instaliranje certifikata.
Korisnik Enrollment Agenta sada može izdavati certifikate za druge korisnike. Na primjer, zatražit ćemo certifikat za test korisnika. Da biste to učinili, otvorite konzolu za upravljanje certifikatima certmgr.msc, jer preko web sučelja neće biti moguće upisati certifikat na usb token.
U ovoj konzoli, na ličnom folderu, napravićemo zahtjev u ime drugog korisnika
Kao potpis odaberite jedini certifikat "Agent za upis" i prijeđite na sljedeći korak, gdje biramo stavku "Prijava sa pametnom karticom" i kliknemo na detalje za odabir kripto provajdera.
U mom slučaju koristim JaCarta tokene, tako da je Athena kripto provajder instaliran zajedno sa drajverima:
U sljedećem koraku odaberite korisnika domene za kojeg izdajemo certifikat i kliknite na dugme "Aplikacija".
Ubacujemo token, unosimo pin kod i počinje proces generiranja. Kao rezultat, trebali bismo vidjeti okvir za dijalog koji kaže "Uspješno".
Ako je proces neuspješno završen, problem je možda u šablonu za dobivanje certifikata, u mom slučaju ga je trebalo malo dotjerati.
Počnimo s testiranjem, provjerimo rad tokena na računaru koji se nalazi u OU sa politikom grupe za prijavu na pametnu karticu.
Kada pokušavamo da se prijavimo sa nalogom sa lozinkom, trebalo bi da budemo odbijeni. Kada pokušamo da se prijavimo sa pametnom karticom (tokenom), od nas će biti zatraženo da unesemo pin i moramo se uspešno prijaviti na sistem.
P.s.
1) Ako automatsko blokiranje računara ili odjava ne uspije, nakon izvlačenja tokena pogledajte da li je pokrenuta usluga "Smart Card Removal Policy"
2) Možete pisati u token (generirati certifikat) samo lokalno, neće raditi preko RDP-a.
3) Ako nije moguće pokrenuti proces generiranja certifikata pomoću standardnog predloška "Prijava na pametnu karticu", kreirajte njegovu kopiju sa sljedećim parametrima.
To je sve, ako imate pitanja, pitajte, pokušaću da pomognem.
Danas ćemo vam reći kako možete brzo i jednostavno postaviti dvofaktorsku autentifikaciju i šifrirati važne podatke, čak i uz mogućnost korištenja biometrije. Rješenje će biti relevantno za male kompanije ili samo za personalni računar ili laptop. Važno je da nam za to nije potrebna infrastruktura javnog ključa (PKI), server sa ulogom sertifikacionog tela (Certificate Services) pa čak ni domen (Active Directory). Svi sistemski zahtjevi svodit će se na operativni sistem Windows i posjedovanje elektronskog ključa korisnika, a u slučaju biometrijske autentifikacije i čitača otiska prsta, koji je, na primjer, možda već ugrađen u vaš laptop.
Za autentifikaciju ćemo koristiti naš razvijeni softver - JaCarta SecurLogon i JaCarta PKI elektronski ključ kao autentifikator. Alat za šifrovanje će biti standardni Windows EFS, pristup šifrovanim datotekama će takođe biti putem JaCarta PKI ključa (isti onaj koji se koristi za autentifikaciju).
Podsjetimo da je JaCarta SecurLogon softversko i hardversko rješenje certificirano od strane FSTEC Rusije od strane Aladdin RD, koje omogućava jednostavan i brz prijelaz sa jednofaktorske autentifikacije zasnovane na paru login-lozinka na dvofaktorsku autentifikaciju u OS-u koristeći USB tokeni ili pametne kartice. Suština rješenja je prilično jednostavna - JSL generira složenu lozinku (~63 znaka) i upisuje je u sigurnu memoriju elektronskog ključa. U tom slučaju, lozinka možda neće biti poznata samom korisniku, korisnik zna samo PIN kod. Unošenjem PIN koda tokom autentifikacije, uređaj se otključava i lozinka se prenosi sistemu na autentifikaciju. Po želji, unos PIN-a možete zamijeniti skeniranjem otiska prsta korisnika, a možete koristiti i kombinaciju PIN + otisak prsta.
EFS, kao i JSL, može raditi u samostalnom načinu rada, ne zahtijeva ništa osim samog OS-a. Svi Microsoft operativni sistemi iz NT porodice, počevši od Windows 2000 i novijih (osim kućnih verzija), imaju ugrađenu EFS (Encrypting File System) tehnologiju šifrovanja podataka. EFS enkripcija je zasnovana na mogućnostima NTFS sistema datoteka i CryptoAPI arhitekture i dizajnirana je za brzo šifrovanje datoteka na tvrdom disku računara. Šifriranje u EFS-u koristi privatne i javne ključeve korisnika, koji se generiraju prvi put kada korisnik koristi funkciju šifriranja. Ovi ključevi ostaju nepromijenjeni sve dok postoji njegov račun. Prilikom šifriranja datoteke, EFS nasumično generiše jedinstveni broj, takozvani ključ za šifrovanje datoteka (FEK), dužine 128 bita, kojim se šifruju datoteke. FEK-ovi su šifrirani glavnim ključem, koji je šifriran ključem korisnika sistema koji imaju pristup datoteci. Privatni ključ korisnika je zaštićen hešom korisničke lozinke. Podaci šifrirani pomoću EFS-a mogu se dešifrirati samo pomoću istog Windows računa s istom lozinkom pod kojom je šifriranje izvršeno. A ako pohranite certifikat za šifriranje i privatni ključ na USB token ili pametnu karticu, tada će vam također biti potreban ovaj USB token ili pametna kartica za pristup šifriranim datotekama, što rješava problem kompromitiranja lozinke, jer će također biti potreban dodatni uređaj u obliku elektronskog ključa.
Autentifikacija
Kao što je već napomenuto, nije vam potreban AD ili certifikacijski autoritet za konfiguraciju, potreban vam je moderni Windows, JSL distribucija i licenca. Postavka je jednostavna za sramotu.Morate instalirati datoteku licence.
Dodajte korisnički profil.
I počnite koristiti dvofaktorsku autentifikaciju.
Biometrijska autentifikacija
Moguće je koristiti biometrijsku autentifikaciju otiskom prsta. Rješenje radi na tehnologiji Match On Card. Heš otiska prsta se upisuje na karticu tokom početne inicijalizacije, a zatim se provjerava u odnosu na original. Ne ostavlja kartu nigdje, nije pohranjena u nekim bazama podataka. Za otključavanje takvog ključa koristi se otisak prsta ili kombinacija PIN + otisak prsta, PIN ili otisak prsta.Za početak korištenja potrebno je samo inicijalizirati karticu potrebnim parametrima, zapisati otisak prsta korisnika.
U budućnosti će se isti prozor pojaviti prije ulaska u OS.
U ovom primjeru, kartica je inicijalizirana sa mogućnošću autentifikacije otiskom prsta ili PIN kodom, što je naznačeno prozorom za autentifikaciju.
Nakon predstavljanja otiska prsta ili PIN koda, korisnik će ući u OS.
Šifrovanje podataka
Podešavanje EFS-a također nije mnogo komplikovano, svodi se na postavljanje certifikata i njegovo izdavanje elektronskom ključu i postavljanje direktorija za šifriranje. Obično ne morate šifrirati cijeli disk. Zaista važne datoteke, kojima nije poželjno pristupiti trećim stranama, obično se nalaze u zasebnim direktorijima i nisu razbacane po cijelom disku.Da biste izdali certifikat za šifriranje i privatni ključ, otvorite korisnički račun, odaberite - Upravljaj certifikatima šifriranja datoteka. U čarobnjaku koji se otvori kreirajte samopotpisani certifikat na pametnoj kartici. Budući da i dalje koristimo pametnu karticu sa BIO apletom, za pisanje certifikata za šifriranje mora se predočiti otisak prsta ili PIN.
U sljedećem koraku navedite direktorije koji će biti povezani s novim certifikatom; ako je potrebno, možete specificirati sve logičke pogone.
Sam šifrirani direktorij i datoteke u njemu bit će istaknuti drugom bojom.
Pristup datotekama se vrši isključivo elektronskim ključem, uz predočenje otiska prsta ili PIN koda, u zavisnosti od toga šta je odabrano.
Ovim je kompletno podešavanje završeno.
Možete koristiti oba scenarija (autentifikacija i enkripcija), možete se zaustaviti na jednoj stvari.
