Sigurnosne metode pri korištenju provjere autentičnosti lozinkom. Da biste zaštitili lozinke od hakovanja, morate konfigurirati odgovarajuću politiku. Da biste to uradili, koristite meni Start-> Administrativni alati-> Upravljanje grupnim pravilima da pokrenete upravljačku konzolu grupne politike GPMC, izaberite potrebni objekat grupne politike pod Konfiguracija računara-> Politika-> Sigurnosne postavke-> Politika naloga-> Politika lozinke Pogledajte sl. 1 (Upravljanje postavkama lozinke).
Rice. 1 Upravljajte postavkama lozinke.
Možete postaviti minimalnu dužinu lozinke, što će nam omogućiti da izbjegnemo kratke lozinke (Minimum lozinka dužina). Da bi korisnik pitao složene lozinke zahtjev za složenost treba uključiti (Lozinka mora upoznaj složenost zahtjevi).
Da biste osigurali redovnu promjenu lozinke, morate je postaviti maksimalni rokživot (Maksimum lozinka Dob).
Kako korisnici ne bi ponavljali stare lozinke, potrebno je konfigurirati pohranu historije lozinki (Izvršiti lozinka istorija) .
I na kraju, kako korisnik ne bi mijenjao svoju lozinku u staru mnogo puta mijenjajući lozinke, postavite minimalni period tokom kojeg se lozinka ne može mijenjati. (Minimum lozinka Dob).
Kako bismo se zaštitili od rječničkih napada, konfigurisaćemo blokiranje naloga kada se lozinka unese više puta pogrešno. Da biste to učinili, u GPMC-u odaberite željeni odjeljak GPO Kompjuter Konfiguracija-> Politike-> Sigurnost Postavke-> Račun Politike-> Račun Lockout Policy ... Vidi sl. 2 (Upravljanje zaključavanjem korisničkog računa).
Rice. 2 Upravljajte zaključavanjem korisničkog računa.
Da biste podesili trajno blokiranje naloga (prije deblokiranja od strane administratora), postavite nula vrijednost parametar trajanja blokiranja (Račun lockout trajanje).
U brojaču broja neuspješnih pokušaja prijave na mrežu (Račun lockout prag) potrebno je navesti potrebnu vrijednost. U većini slučajeva prihvatljivo je 3-5 pokušaja prijave.
Na kraju treba podesiti interval za resetiranje brojača neuspješnih pokušaja. (Resetovati račun lockout counter poslije).
Za zaštitu od trojanskih konja, trebali biste koristiti antivirusni alati i blokiranje neovlaštenog softvera.
Da bi se ograničila mogućnost korisnika da unesu viruse u informacioni sistem, opravdano je: postavljanje zabrane rada sa eksternih uređaja(CD, DVD, Flash), strogi UAC režim, korišćenje samostalnih internet kioska baziranih na računarima koji nisu deo radne mreže. I, na kraju, uvođenje strogih propisa o radu koji definišu pravila rada korisnika u korporativnoj mreži (zabrana prenosa njihovih akreditiva na bilo koga drugog, zabrana ostavljanja akreditiva na pristupačnim mestima, obavezna blokada radne stanice pri napuštanju radno mesto itd.) NS.).
Kao rezultat toga, moći ćemo postići smanjenje rizika povezanih sa narušavanjem sigurnosti kompanije.
Pretpostavimo da je sve ovo urađeno. Ipak, prerano je reći da smo uspjeli osigurati sigurnu autentifikaciju u našem sistemu.
Ljudski faktor je najveća prijetnja.
Postoje i prijetnje s kojima se nismo uspjeli nositi. Jedan od najznačajnijih - ljudski faktor... Korisnici naših informacionih sistema nisu uvijek dovoljno svjesni i, uprkos objašnjenjima administratora sigurnosti, evidentiraju svoje vjerodajnice (korisničko ime i lozinku) i ne mare za tajnost ovog povjerljiva informacija... Vidio sam naljepnice na monitoru više puta, vidi sl. 3, ili ispod tastature vidi sl. 4 sa korisničkim imenom i lozinkom.
Rice. 3. Divan poklon za uljeza, zar ne?
Rice. 4. Još jedan poklon za provalnika.
Kao što vidimo, duge i složene lozinke su ugrađene u sistem i asocijativni niz nije jasno vidljiv. Međutim, korisnici su pronašli "efikasan" način za pamćenje i pohranjivanje vjerodajnica...
Dakle, možete vidjeti da je u ovom slučaju funkcija koju sam gore spomenuo tačno radila: Duge i složene lozinke se snimaju i možda neće biti pravilno pohranjene.
Insajder
Još jedna značajna sigurnosna prijetnja je mogućnost da napadač fizički dobije pristup radnoj stanici legitimnog korisnika i prenese povjerljive informacije trećim stranama. Odnosno, govorimo o situaciji kada se unutar kompanije nalazi zaposlenik koji krade informacije od svojih kolega.
Sasvim je očigledno da je vrlo teško osigurati "fizičku" sigurnost radne stanice korisnika. Možete jednostavno povezati hardverski keylogger na prekid tastature, moguće je i presretanje signala sa bežičnih tastatura. Takvi uređaji postoje. Naravno, ko samo ne uđe u kancelariju kompanije, ali svi znaju da je najopasniji interni špijun. On već ima fizički pristup vašem sistemu i neće biti teško postaviti keylogger, pogotovo jer su ovi uređaji dostupni širokom spektru ljudi. Osim toga, ne možete poništiti programe keyloggera. Uostalom, uprkos svim naporima administratora, nije isključena mogućnost instaliranja ovakvog "špijunskog" softvera. Da li korisnik uvijek zaključava svoju radnu stanicu kada napušta svoju radno mjesto? Da li je administrator informacionog sistema u mogućnosti da osigura da korisniku ne budu dodijeljena prekomjerna ovlaštenja, posebno kada je potrebno korištenje starih softverskih proizvoda? Da li je administrator uvijek, posebno u maloj kompaniji, kvalifikovan da implementira preporuke proizvođača softvera i hardvera za izgradnju sigurnih informacionih sistema?
Stoga možemo zaključiti da je autentifikacija lozinkom općenito nepouzdana. Zbog toga je potrebna multifaktorska autentifikacija, i to u ovom slučaju takva da se korisnička lozinka ne upisuje na tastaturi.
Šta nam može pomoći?
Ima smisla razmotriti dvofaktorsku autentifikaciju: 1. faktor je posjedovanje lozinke, drugi je poznavanje PIN koda. Lozinka domene se više ne kuca na tastaturi, što znači da se ne presretne keylogger... Presretanje lozinke domene prepuno je mogućnosti prijave, presretanje PIN koda nije toliko opasno, jer je potrebna dodatna pametna kartica.
Može se tvrditi da korisnik može ostaviti svoju karticu u čitaču, a na naljepnici upisati pin, kao i prije. Međutim, postoje kontrolni sistemi koji mogu blokirati napuštenu karticu jer je implementirana u bankomatima. Dodatno, na karticu je moguće postaviti propusnicu za ulazak/izlazak iz kancelarije, odnosno možemo koristiti karticu sa RFID oznakom, čime se kombinuje sistem autentikacije u servisu imenika sa sistemom za razlikovanje fizičkog pristupa. U tom slučaju, da bi otvorio vrata, korisniku će biti potrebna njegova pametna kartica ili USB token, pa će ga morati stalno nositi sa sobom.
osim toga, savremena rešenja za dvofaktorsku autentifikaciju, ne radi se samo o mogućnosti autentifikacije pomoću AD ili AD DS-a. Upotreba pametnih kartica i USB ključeva pomaže i u mnogim drugim slučajevima, na primjer, pri pristupu javnoj e-pošti, online trgovinama gdje je potrebna registracija, aplikacijama koje imaju vlastitu uslugu imenika itd. itd.
Tako možete dobiti praktično univerzalni lijek autentifikaciju.
Implementacija dvofaktorske autentifikacije zasnovane na asimetrična kriptografija u AD DS.
Servis Aktivni direktorij Direktorij podržava provjeru autentičnosti pametne kartice od Windows 2000.
U svojoj srži, autentifikacija pametne kartice je ugrađena u ekstenziju PKINIT (inicijalizacija javnog ključa) za Kerberos RFC 4556 protokol. Ekstenzija PKINIT dozvoljava korištenje certifikata javnog ključa u fazi Kerberos pre-autentifikacije.
Zahvaljujući tome, postaje moguće koristiti pametne kartice. Odnosno, možemo govoriti o mogućnosti dvofaktorske autentifikacije u Microsoft sistemi zasnovano kadrovski resursi počevši od Windowsa 2000, pošto je Kerberos + PKINIT šema već implementirana.
Bilješka. Pre-autentifikacijaKerberos- proces koji osigurava dodatni nivo sigurnost. Izvedeno prije izdavanjaTGT (Ulaznica Odobrenje Ulaznica) sa servera za distribuciju ključeva (KDC). Koristi se u protokoluKerberos v... 5 za suzbijanje oflajn napada pogađanja lozinke. Saznajte više o tome kako protokol funkcioniraKerberosmože se naći u RFC 4120.Cm
Naravno, govorimo o računarima u domenu. Ako postoji potreba da se pribegne dvofaktorskoj autentifikaciji prilikom rada u radna grupa, ili kada koristite više rane verzije operativnim sistemima, morat ćemo se obratiti softveru treće strane, na primjer SafeNet (Aladdin) eToken Network Logon 5.1. Cm.
Prijava na sistem može se omogućiti korištenjem usluge imenika domene ili lokalne usluge imenika. U tom slučaju se korisnička lozinka ne upisuje na tastaturi, već se prenosi iz sigurnog skladišta na pametnoj kartici.
Provjera autentičnosti pametne kartice implementirana je kroz Kerberos PKINIT ekstenziju, koja omogućava asimetrične kriptografske algoritme.
Što se tiče uslova za implementaciju korišćenja pametnih kartica u sprezi sa PKINIT-om, za operativne Windows sistemi 2000, Windows 2003 Server, oni su sljedeći:
Svi kontroleri domena i sve klijentski računari u šumi u kojoj se implementira naše rješenje, oni svakako moraju vjerovati root Certification Authority (Certifikacijski centar).
Certifikacijsko tijelo koje izdaje certifikate za korištenje pametnih kartica mora biti smješteno u NT Authority store
Certifikat mora sadržavati identifikatore za prijavu na pametnu karticu i autentifikaciju klijenta
· Certifikat za pametne kartice mora sadržavati UPN korisnika.
· Sertifikat i privatni ključ moraju biti smješteni u odgovarajuće dijelove pametne kartice, dok privatni ključ mora biti u sigurnom dijelu pametne kartice.
Certifikat mora sadržavati putanju do CRL distribucijske točke
· Svi kontroleri domena moraju imati instaliran certifikat Domain Controller Authentication, odnosno Kerberos Authentication, jer je implementiran proces međusobne autentifikacije klijenta i servera.
Došlo je do niza promjena u zahtjevima operativni sistemi počevši od Windows Servera 2008:
Više nije potrebno CRL proširenje u certifikatima za prijavu na pametne kartice
· Sposobnost uspostavljanja odnosa između račun korisnika i sertifikata
Upisivanje sertifikata je moguće u bilo kom dostupnom delu pametne kartice
· EKU ekstenzija ne mora uključivati Smart Card Logon OID, dok pošteno treba napomenuti da ako planirate koristiti jedan predložak certifikata za klijente svih operativnih sistema, onda, naravno, Smart Card Logon OID mora biti omogućen .
Nekoliko riječi o samoj proceduri prijave klijenta. Ako govorimo o operativnim sistemima od Windows Vista i novijih, onda treba napomenuti da su se i ovdje dogodile brojne promjene:
Prvo, postupak prijave pametne kartice se više ne pokreće automatski kada umetnete pametnu karticu u čitač kartica ili povežete svoj USB ključ na USB port, odnosno morate pritisnuti Ctrl + Alt + Delete.
Drugo, nova mogućnost korištenja bilo kojeg slota za pametnu karticu za pohranjivanje certifikata pruža korisniku izbor između niza identifikacionih objekata pohranjenih na kartici, dok ovog trenutka sertifikat je prikazan kao dostupan za upotrebu.
zaključci
Dakle, analizirali smo nekoliko glavnih aspekata koji se tiču teorijskog dijela dvofaktorske autentifikacije u Active Directory-u. Usluge domena, i možemo rezimirati.
Osiguranje procesa autentikacije na sistemu je kritično. Vrste razbijanja lozinki koje danas postoje stvaraju potrebu za višefaktorskom autentifikacijom.
Za malu kompaniju možete ograničiti se na strogu politiku zaštite vjerodajnica, implementaciju antivirusnog softvera, uskratiti korisnicima mogućnost rada sa vanjski mediji informiranje, blokiranje pokretanja neovlaštenog softvera, sprovođenje propisa za rad korisnika itd. itd.
Kada je u pitanju velika kompanija, odnosno kompanija za koju postoji jasan interes sajber kriminalaca, ta sredstva nisu dovoljna. Greške i insajderske informacije mogu potkopati napore da se izgradi sigurnosni sistem, pa se mora krenuti drugim putem. Već ima smisla govoriti o implementaciji sigurne autentifikacije.
Korištenje dvofaktorske autentifikacije - dobra odluka u smislu sigurnosti.
Imamo drugi faktor autentifikacije, osim pin koda, korisnik mora imati i pametnu karticu ili USB ključ.
Korištenje pametnih kartica ili USB ključevi daje nam mogućnost da obezbijedimo dvofaktorsku autentifikaciju u AD i AD DS okruženjima.
U jednom od sljedećih članaka pokazaću vam kako da implementirate dvofaktorsku autentifikaciju u praksi. Proći ćemo kroz implementaciju i konfiguraciju Infrastrukture ovlaštenog za izdavanje certifikata (PKI) na Windows baziran Server 2008 Enterprise R2.
Bibliografija.
Http://www.rfc-archive.org/getrfc.php?rfc=4556
Http://www.rfc-archive.org/getrfc.php?rfc=4120
Http://www.aladdin.ru/catalog/etoken_products/logon
NCSC-TG-017 - "Vodič za razumijevanje identifikacije i autentifikacije u pouzdanim sistemima", objavljen od U.S. Nacionalni centar za kompjutersku sigurnost.
RFC4120 - Kerberos mrežna usluga provjere autentičnosti (V5)
RFC4556 - Kriptografija javnog ključa za početnu autentifikaciju u Kerberos (PKINIT)
Brian Komar Windows Server 2008 PKI i sigurnost certifikata
Leonid Šapiro,
MCT, MCSE: S, MCSE: M, MCITP EA, TMS certificirani trener
Ako je vaša lozinka jedina prepreka pristupu vašim podacima, izloženi ste velikom riziku. Trojanac može oboriti prolaz, presresti ga, odvući ga ili ga izvući uz pomoć socijalnog inženjeringa. Nemojte koristiti u ovoj situaciji dvofaktorska autentikacija- skoro zločin.
Već smo više puta govorili o ključevima za jednokratnu upotrebu. Značenje je vrlo jednostavno. Ako napadač nekako uspije doći do vašeg korisničkog imena-lozinke, onda može lako ući u vašu poštu ili se povezati na udaljeni server... Ali ako na njegovom putu biće dodatni faktor, na primjer jednokratni ključ (koji se naziva i OTP ključ), onda od toga neće biti ništa. Čak i ako takav ključ dođe do napadača, više ga neće biti moguće koristiti, jer vrijedi samo jednom. Kao takav drugi faktor može biti dodatni poziv, kod primljen putem SMS-a, ključ generiran na telefonu prema određenim algoritmima na osnovu trenutnog vremena (vrijeme je način sinhronizacije algoritma na klijentu i serveru). Isto Google već već dugo preporučuje svojim korisnicima da omoguće dvofaktornu autentifikaciju (par klikova u podešavanju naloga). Sada je vrijeme da dodate takav sloj zaštite za svoje usluge!
Šta nudi Duo Security?
Trivijalan primjer. Moj računar ima RDP port otvoren „napolju“ za vezu sa udaljenom radnom površinom. Ako lozinka za prijavu procuri, napadač će odmah primiti pun pristup do auta. Stoga nije bilo govora o poboljšanju zaštite OTP lozinkom – to je jednostavno trebalo učiniti. Bilo je glupo ponovo izmisliti točak i pokušati sve implementirati sami, pa sam samo pogledao rješenja koja postoje na tržištu. Većina njih se pokazala kao komercijalna (pogledajte bočnu traku za više detalja), ali za mali broj korisnika mogu se koristiti besplatno. Za dom, baš ono što vam treba. Jedna od najuspješnijih usluga koja vam omogućava da organizirate dvofaktorsku autentifikaciju za doslovno sve (uključujući VPN, SSH i RDP) je Duo Security (www.duosecurity.com). Činjenica da je programer i osnivač projekta John Oberhide, poznati stručnjak za informacijsku sigurnost, dodala je njegovu privlačnost. On je, na primjer, otvorio Google komunikacijski protokol sa Android pametni telefoni, pomoću kojih možete instalirati ili deinstalirati proizvoljne aplikacije. Takva baza se daje na uvid: da bi pokazali važnost dvofaktorske autentifikacije, momci su pokrenuli uslugu VPN Hunter (www.vpnhunter.com), koja u tren oka može pronaći skrivene VPN servere kompanije (i ujedno odrediti vrstu opreme na kojoj rade), servise za daljinski pristup (OpenVPN, RDP, SSH) i druge elemente infrastrukture koji omogućavaju napadaču da uđe u internu mrežu, samo znajući korisničko ime i lozinku. Smiješno je da su na službenom Twitteru servisa vlasnici počeli svakodnevno objavljivati izvještaje o skeniranju poznatih kompanija, nakon čega je nalog zabranjen :). Usluga Duo Security je, naravno, usmjerena prvenstveno na uvođenje dvofaktorske autentifikacije u kompanije sa velikim brojem korisnika. Na našu sreću, moguće je kreirati besplatni osobni račun koji vam omogućava da besplatno organizirate dvofaktorsku autentifikaciju za deset korisnika.
Šta bi mogao biti drugi faktor?
Zatim ćemo pogledati kako učvrstiti vezu sa udaljenom radnom površinom, kao i SSH, na serveru za bukvalno deset minuta. Ali prvo, želim govoriti o dodatnom koraku koji Duo Security uvodi kao drugi faktor autorizacije. Postoji nekoliko opcija: telefonski poziv, SMS sa šiframa, Duo Mobile šifre, Duo Push, elektronski ključ. Malo više o svakom.
Koliko dugo mogu koristiti besplatno?
Kao što je navedeno, Duo Security nudi namjenski tarifni plan"Lični". Potpuno je besplatan, ali broj korisnika ne bi trebao biti veći od deset. Podržava dodavanje neograničenih integracija, sve dostupne metode provjere autentičnosti. Pruža hiljadu besplatnih kredita za telefonske usluge. Krediti su poput interne valute koja se tereti s vašeg računa svaki put kada se autentifikujete putem poziva ili SMS-a. U postavkama računa možete podesiti tako da kada se dostigne navedeni broj kredita, dobijete obavijest na sapunu i imate vremena da dopunite stanje. Hiljadu kredita vrijedi samo 30 dolara. Cijena za pozive i SMS za različite zemlje je drugačije. Za Rusiju, poziv će koštati od 5 do 20 kredita, SMS - 5 kredita. Međutim, ništa se ne naplaćuje za poziv koji se dogodi prilikom provjere autentičnosti na web stranici Duo Security. Možete potpuno zaboraviti na kredite ako koristite aplikaciju Duo Mobile za autentifikaciju - ništa se ne naplaćuje.
Jednostavna registracija
Da biste zaštitili svoj server pomoću Duo Security-a, potrebno je da preuzmete i instalirate poseban klijent koji će komunicirati sa Duo Security serverom za autentifikaciju i pružiti drugi sloj zaštite. Shodno tome, ovaj klijent će biti drugačiji u svakoj situaciji: u zavisnosti od toga gde je tačno potrebno implementirati dvofaktorsku autorizaciju. O tome ćemo govoriti u nastavku. Prvo što treba da uradite je da se registrujete u sistemu i dobijete nalog. Stoga, otvaramo početna stranica sajtu, kliknite na "Besplatna probna verzija", na stranici koja se otvori, kliknite na dugme "Sing up" ispod tipa Ličnog naloga. Zatim se od nas traži da unesemo ime, prezime, email adresu i naziv kompanije. Na mail treba poslati pismo koje sadrži link za potvrdu registracije. U tom slučaju, sistem će automatski birati navedeni telefonski broj: da biste aktivirali nalog, morate odgovoriti na poziv i pritisnuti dugme # na telefonu. Nakon toga, račun će biti aktivan i možete započeti borbene testove.
Osiguravanje RDP-a
Gore sam rekao da sam počeo sa velikom željom da zaštitim udaljene veze na vašu radnu površinu. Stoga ću kao prvi primjer opisati kako ojačati sigurnost RDP-a.
- Svaka implementacija dvofaktorske autentifikacije počinje s jednostavna akcija: Napravite takozvanu integraciju u Duo Security profilu. Idite na odjeljak "Integracije Nova integracija", navedite naziv integracije (na primjer, "Home RDP"), odaberite njen tip "Microsoft RDP" i kliknite na "Dodaj integraciju".
- U prozoru koji se pojavi prikazuju se parametri integracije: Integracijski ključ, Tajni ključ, API ime hosta. Trebat će nam kasnije kada konfiguriramo strana klijenta... Važno je razumjeti: niko ih ne bi trebao znati.
- Zatim morate instalirati poseban klijent na zaštićenu mašinu, koji će instalirati sve što vam je potrebno u Windows sistemu. Može se preuzeti sa službene stranice ili preuzeti s našeg diska. Sva njegova konfiguracija se svodi na činjenicu da ćete tokom procesa instalacije morati unijeti gore spomenuti ključ integracije, tajni ključ, API hostname.
- To je, u stvari, sve. Sada, kada se sljedeći put prijavite na server preko RDP-a, na ekranu će se prikazati tri polja: korisničko ime, lozinka i jednokratni Duo ključ. Shodno tome, više nije moguće prijaviti se na sistem sa samo jednim korisničkim imenom-lozinkom.
Prilikom prvog pokušaja prijave na sistem, novi korisnik će morati jednom proći proceduru Duo Security verifikacije. Usluga će mu dati posebnu vezu, klikom na koju morate unijeti svoj broj telefona i pričekati poziv za potvrdu. Za dobijanje dodatni ključevi(ili ih dobijete po prvi put), možete unijeti ključnu riječ "sms". Ako želite da se autentifikujete telefonskim pozivom - unesite "telefon", ako koristite Duo Push - "push". Povijest svih pokušaja povezivanja (i uspješnih i neuspješnih) sa serverom može se vidjeti u vašem nalogu na web stranici Duo Security, nakon što odaberete željenu integraciju i odete na njen "Evidencija autentifikacije".
Duo Security povezujemo bilo gdje!
Koristeći dvofaktorsku autentifikaciju, možete zaštititi ne samo RDP ili SSH, već i VPN, RADIUS servere i sve web servise. Na primjer, postoje gotovi klijenti koji dodaju dodatni sloj provjere autentičnosti popularnim Drupal i WordPress mašinama. Ako nema gotovog klijenta, ne biste trebali biti uznemireni: uvijek možete sami dodati dvofaktorsku autentifikaciju za svoju aplikaciju ili web stranicu kada API pomoć koje obezbeđuje sistem. Logika rada sa API-jem je jednostavna - postavljate zahtjev za URL specifičnom metodom i analizirati vraćeni odgovor koji može doći JSON format(ili BSON, XML). Kompletna dokumentacija za Duo REST API dostupna je na službenoj web stranici. Reći ću samo da postoje metode ping, check, preauth, auth, status, po čijem nazivu je lako pogoditi čemu su namijenjene.
Osiguravanje SSH
Razmotrimo drugu vrstu integracije - "UNIX integraciju" za implementaciju sigurne autentifikacije. Dodamo još jednu integraciju našem Duo Security profilu i nastavljamo sa instalacijom klijenta na sistem.
Izvore potonjeg možete preuzeti na bit.ly/IcGgk0 ili preuzeti sa našeg diska. koristio sam najnoviju verziju- 1.8. Inače, klijent radi na većini nix platformi, tako da ga lako možete instalirati na FreeBSD, NetBSD, OpenBSD, Mac OS X, Solaris/Illumos, HP-UX i AIX. Proces izgradnje je standardan - konfiguriši && napravi && sudo napravi instalaciju. Jedina stvar koju bih preporučio je da koristite configure sa --prefix = / usr opcijom, inače klijent možda neće pronaći potrebne biblioteke pri pokretanju. Nakon uspješne instalacije, idemo na uređivanje konfiguracijske datoteke /etc/duo/login_duo.conf. To se mora učiniti ispod korijena. Sve promjene koje je potrebno izvršiti uspješan rad, je za postavljanje vrijednosti integracijskog ključa, tajnog ključa, API imena hosta, koji se mogu naći na stranici za integraciju.
; Duo integracijski ključ ključ = INTEGRATION_KEY; Duo tajni ključ = SECRET_KEY; Duo API hostnamehost = API_HOSTNAME
Da biste natjerali sve korisnike koji se prijavljuju na vaš server preko SSH-a da koriste dvofaktorsku autentifikaciju, samo dodajte sljedeći red u datoteku / etc / ssh / sshd_config:
> ForceCommand / usr / local / sbin / login_duo
Također je moguće organizirati dvofaktorsku autentifikaciju samo za pojedinačne korisnike tako što ćete ih kombinirati u grupu i specificirati ovu grupu u datoteci login_duo.conf:
> grupa = točak
Sve što ostaje je ponovo pokrenuti ssh demon da bi promjene stupile na snagu. Od ovog trenutka, nakon uspješnog unosa lozinke za prijavu, korisnik će biti upitan da prođe dodatna autentifikacija... Jednu suptilnost ssh konfiguracije treba posebno napomenuti - snažno se preporučuje da se onemoguće opcije PermitTunnel i AllowTcpForwarding u konfiguracijskoj datoteci, budući da ih demon primjenjuje prije početka druge faze autentifikacije. Dakle, ako napadač ispravno unese lozinku, onda može dobiti pristup interna mreža prije završetka druge faze autentifikacije zahvaljujući prosljeđivanju porta. Da biste izbjegli ovaj efekat, dodajte sljedeće opcije u sshd_config:
PermitTunnel noAllowTcpForwarding br
Sada se vaš server nalazi iza dvostrukog zida i napadaču je mnogo teže doći do njega.
Dodatne postavke
Ako odete na svoj Duo Security račun i odete u odjeljak "Postavke", možete sami podesiti neke postavke. Prvi važan odjeljak je "Telefonski pozivi". Ovdje određujete parametre koji će stupiti na snagu kada se telefonski poziv koristi za potvrdu autentifikacije. Stavka "Tasteri za glasovni poziv" vam omogućava da podesite koji taster na telefonu treba da se pritisne da biste potvrdili autentifikaciju. Podrazumevano postoji vrijednost "Pritisnite bilo koju tipku za autentifikaciju" - to jest, možete pritisnuti bilo koju. Ako postavite vrijednost "Pritisnite različite tipke za autentifikaciju ili prijavu prijevare", tada ćete morati postaviti dva ključa: klikom na prvi potvrđujete autentifikaciju (Key to authenticate), klikom na drugi (Key to report fraud) znači da proces autentifikacije nismo inicirali mi, odnosno neko je primio našu lozinku i pokušava se prijaviti na server koristeći je. Stavka "SMS lozinke" vam omogućava da podesite broj lozinki koje će jedan SMS sadržavati, kao i njihov vijek trajanja (važenje). Parametar "Lockout and fraud" vam omogućava da postavite adresu e-pošte na koju će biti poslano obavještenje u slučaju određenog datuma neuspjeli pokusaji prijavite se na server.
Iskoristi ga!
Iznenađujuće, mnogi ljudi još uvijek ignoriraju dvofaktorsku autentifikaciju. Ne razumijem zašto. To zaista doprinosi sigurnosti vrlo ozbiljno. Može se implementirati za gotovo sve, a pristojna rješenja su dostupna besplatno. Pa zašto? Od lenjosti ili nepažnje.
Analogne usluge
- Signify(www.signify.net) Usluga pruža tri opcije za organizovanje dvofaktorske autentifikacije. Prva je upotreba elektronski ključevi... Drugi način je korištenje pristupnih ključeva, koji se šalju korisniku na telefon putem SMS-a ili dolazi email... Treća opcija je mobilna aplikacija za Android telefoni, iPhone, BlackBerry, koji generiše jednokratne lozinke (u stvari, analog Duo Mobile-a). Usluga je namijenjena velikim kompanijama, stoga je potpuno plaćena.
- SecurEnvoy(www.securenvoy.com) Takođe omogućava da se mobilni telefon koristi kao drugi zaštitni sloj. Zaporke se šalju korisniku putem SMS-a ili e-pošte. Svaka poruka sadrži tri lozinke, odnosno korisnik se može prijaviti tri puta prije nego što zatraži novi dio. Usluga se takođe plaća, ali pruža besplatan period od 30 dana. Značajan plus je veliki broj i domaćih i nezavisnih integracija.
- PhoneFactor(www.phonefactor.com) Ova usluga omogućava vam da besplatno organizirate dvofaktornu autentifikaciju za do 25 korisnika, pružajući 500 besplatnih autentikacija mjesečno. Da biste organizirali zaštitu, morat ćete preuzeti i instalirati poseban klijent. Ako trebate dodati dvofaktorsku autentifikaciju na svoju web lokaciju, možete koristiti službeni SDK, koji pruža detaljnu dokumentaciju i primjere za sljedeće programske jezike: ASP.NET C #, ASP.NET VB, Java, Perl, Ruby, PHP .
- Tutorial
Neki od vas su vjerovatno čuli za incident koji je nedavno objavljen u javnosti. Američki proizvođač poluprovodnika Allegro MicroSystem LLC tužio je svog bivšeg IT stručnjaka za sabotažu. Nimesh Patel, koji je radio za kompaniju 14 godina, uništio je važne finansijske podatke u prvoj sedmici nove fiskalne godine.
Kako je do toga došlo?
Dvije sedmice nakon otpuštanja, Patel je ušao u sjedište kompanije u Worcesteru, Massachusetts, SAD, kako bi oteo korporativnu Wi-Fi mrežu. Koristeći akreditive bivšeg kolege i radni laptop, Patel se prijavio na korporativnu mrežu. Zatim je ubacio kod u Oracle modul i programirao ga da radi za 1. april 2016., prvu sedmicu nove fiskalne godine. Kod je trebao kopirati određena zaglavlja ili pokazivače u zasebnu tabelu baze podataka, a zatim ih ukloniti iz modula. Tačno 1. aprila podaci su izbrisani iz sistema. A pošto se napadač legalno prijavio na Allegro mrežu, njegovi postupci nisu odmah uočeni.
Šira javnost ne zna detalje, ali najvjerovatnije je incident postao moguć uglavnom zbog činjenice da je kompanija koristila autentifikaciju lozinkom za pristup mreži. Sigurno je bilo i drugih sigurnosnih problema, ali lozinka se može ukrasti neprimijećeno od strane korisnika i činjenica da je lozinka ukradena neće biti otkrivena. najbolji slucaj do tačke korišćenja ukradenih akreditiva.
Upotreba jake dvofaktorske autentifikacije i zabrana korištenja lozinki, u kombinaciji sa dobrom sigurnosnom politikom, mogli bi pomoći, ako ne izbjeći opisani razvoj događaja, onda uvelike zakomplicirati implementaciju takvog plana.
Reći ćemo vam kako možete značajno poboljšati nivo sigurnosti vaše kompanije i zaštititi se od ovakvih incidenata. Naučit ćete kako postaviti autentifikaciju i potpis osjetljivih podataka korištenjem tokena i kriptografije (i stranih i domaćih).
U prvom članku ćemo objasniti kako postaviti snažnu dvofaktorsku autentifikaciju pomoću PKI-a prilikom prijavljivanja na račun Windows domene.
U sljedećim člancima ćemo vam reći kako postaviti Bitlocker, zaštititi e-poštu i najjednostavniji tok posla. Također ćemo raditi s vama na postavljanju sigurnog pristupa korporativnim resursima i bezbjednosti daljinski pristup putem VPN-a.
Dvofaktorska autentifikacija
Iskusni sistem administratori a sigurnosne službe su itekako svjesne da su korisnici krajnje nesvjesni poštivanja sigurnosnih politika, mogu ispisati svoje akreditive na naljepnicu i zalijepiti je pored kompjutera, proslijediti lozinke svojim kolegama i slično. Ovo se posebno često dešava kada je lozinka složena (sadrži više od 6 znakova i sastoji se od slova različitih velikih i malih slova, brojeva i specijalni znakovi) i teško ga je zapamtiti. Ali takva pravila postavljaju administratori s razlogom. Ovo je neophodno za zaštitu korisničkog naloga od jednostavnog napada grubom silom iz rječnika. Također, administratori preporučuju promjenu lozinki najmanje jednom u 6 mjeseci, jednostavno iz razloga što je za to vrijeme teoretski moguće grubo forsirati čak i složenu lozinku.
Prisjetimo se šta je autentifikacija. U našem slučaju, to je proces potvrđivanja autentičnosti subjekta ili objekta. Autentifikacija korisnika je proces provjere identiteta korisnika.
A dvofaktorska autentifikacija je autentifikacija u kojoj morate koristiti najmanje dva Različiti putevi da potvrdite svoj identitet.
Najjednostavniji primjer dvofaktorske autentifikacije u pravi zivot je sef sa bravom i kombinacijom. Da biste otvorili takav sef, morate znati šifru i posjedovati ključ.
Token i pametna kartica
Vjerojatno najpouzdaniji i najlakši način za implementaciju dvofaktorske autentifikacije je korištenje kriptografskog tokena ili pametne kartice. Token je USB uređaj koji je istovremeno i čitač i pametna kartica. Prvi faktor u ovom slučaju je činjenica da ste vlasnik uređaja, a drugi je poznavanje njegovog PIN-koda.
Koristite token ili pametnu karticu, nekome je zgodnije. Ali istorijski se dogodilo da su u Rusiji ljudi više navikli na korištenje tokena, jer im nije potrebna upotreba ugrađenih ili eksternih čitača pametnih kartica. Tokeni također imaju svoje nedostatke. Na primjer, ne možete odštampati fotografiju na njemu.
Fotografija prikazuje tipičnu pametnu karticu i čitač.
Međutim, vratimo se korporativnoj sigurnosti.
Počećemo sa Windows domenom, jer je u većini kompanija u Rusiji korporativna mreža izgrađena oko njega.
Kao što znate, pravila Windows domena, korisnička podešavanja, grupna podešavanja u Active Directory-u omogućavaju i ograničavaju pristup ogroman broj aplikacije i mrežne usluge.
Osiguravanjem naloga u domeni možemo zaštititi većinu, au nekim slučajevima i sve interne informacione resurse općenito.
Zašto je dvofaktorska autentifikacija u domeni koja koristi token sa PIN-om sigurnija od obične šeme lozinke?
PIN je vezan za određeni uređaj, u našem slučaju na token. Poznavanje PIN-a ništa ne čini samo po sebi.
Na primjer, PIN kod sa tokena se može izdiktirati preko telefona drugim osobama i to neće dati ništa napadaču ako budete dovoljno oprezni sa tokenom i ne ostavljate ga bez nadzora.
Sa lozinkom je situacija potpuno drugačija, ako je napadač pokupio, pogodio, špijunirao ili na neki način došao do lozinke sa naloga u domeni, tada će moći slobodno da uđe i u samu domenu i druge servise kompanije koja koristi ovaj isti račun.
Token je jedinstveni fizički objekt koji se ne može kopirati. Posjeduje ga legitimni korisnik. Dvofaktorska autentifikacija pomoću tokena može se zaobići samo kada je administrator, namjerno ili iz nemara, ostavio „rupe“ u sistemu za to.
Prednosti prijavljivanja na domenu pomoću tokena
PIN kod sa tokena je lakše zapamtiti, jer može biti mnogo lakše od lozinke... Svako je vjerovatno barem jednom u životu vidio kako "iskusan" korisnik nakon nekoliko pokušaja bolno ne može da se autentifikuje u sistemu, pamti i unese svoju "sigurnu" lozinku.
PIN se ne mora stalno mijenjati, jer su tokeni otporniji na bruteforce PIN kodove. Nakon nekoliko neuspješnih pokušaja unosa, token je blokiran.
Kada koristite token za korisnika, prijava izgleda ovako: nakon pokretanja računara, on jednostavno povezuje token sa USB portom računara, unosi 4-6 cifara i pritisne dugme Enter. Brzina unosa cifara obični ljudi veća od brzine unosa slova. Zbog toga se PIN kod unosi brže.
Tokeni pomažu u rješavanju problema "napuštenog radnog mjesta" - kada korisnik napusti svoje radno mjesto i zaboravi da se odjavi sa svog naloga.
Politika domene se može konfigurisati tako da se računar automatski zaključava kada se token preuzme. Također, token može biti opremljen RFID oznakom za prolaz između prostorija kompanije, stoga, bez uzimanja tokena sa svog radnog mjesta, zaposlenik jednostavno neće moći da se kreće po teritoriji.
Nedostaci, kuda bismo bez njih
Tokeni ili pametne kartice nisu besplatni (odlučuje se budžetom).
Treba ih uzeti u obzir, administrirati i održavati (rješeno sistemima upravljanja tokenima i pametnim karticama).
Neki informacioni sistemi možda neće podržavati autentifikaciju pomoću tokena iz kutije (rješeno sistemima jedinstvene prijave - dizajnirani da organiziraju mogućnost korištenja jednog naloga za pristup resursima bilo kojeg područja).
Konfiguriranje dvofaktorske autentifikacije na Windows domeni
Teorijski dio:
Active Directory podržava provjeru autentičnosti pametnih kartica i tokena od Windowsa 2000. Ugrađen je u ekstenziju PKINIT (inicijalizacija javnog ključa) za Kerberos protokol RFC 4556.
Kerberos je posebno dizajniran da pruži snažnu autentifikaciju korisnika. Može da koristi centralizovano skladištenje podataka za autentifikaciju i predstavlja osnovu za izgradnju mehanizama Single Sing-On. Protokol se zasniva na ključnom entitetu Ticket (ticket).
Ulaznica je šifrirani paket podataka koji izdaje pouzdani centar za autentifikaciju, u smislu Kerberos protokola - Key Distribution Center (KDC).
Kada korisnik izvrši primarnu autentifikaciju nakon uspješne provjere autentičnosti, KDC izdaje korisnikov primarni identitet za pristup mrežnim resursima - Ticket Granting Ticket (TGT).
Nakon toga, prilikom pristupa pojedinačnim mrežnim resursima, korisnik podnosi TGT i od KDC-a dobija identitet za pristup određenom mrežnom resursu – Ticket Granting Service (TGS).
Jedna od prednosti Kerberosa je to što pruža visoki nivo Sigurnost je da se tokom bilo kakve interakcije ni lozinke ni heš vrijednosti lozinke ne prenose u čistom tekstu.
PKINIT ekstenzija omogućava dvofaktorsku autentifikaciju sa tokenima ili pametnim karticama tokom faze Kerberos pre-autentifikacije.
Prijava na sistem može se omogućiti korištenjem usluge imenika domene ili lokalne usluge imenika. TGT je kreiran na osnovu elektronski potpis koji se obračunava na pametnoj kartici ili tokenu.
Svi kontroleri domena moraju imati instaliran certifikat Domain Controller Authentication, odnosno Kerberos Authentication, budući da je implementiran proces međusobne autentifikacije klijenta i servera.
Vježba:
Počnimo sa postavljanjem.
Omogućit ćemo ulazak u domenu pod vašim računom samo uz predočenje tokena i saznanja PIN koda.
Za demonstraciju ćemo koristiti Rutoken PKI EDS proizvođača Aktiv.
Faza 1 - Podešavanje domene Prvi korak je instaliranje servisa za certifikaciju.
Odricanje od odgovornosti.
Ovaj članak nije vodič o uvođenju poslovnog PKI-ja. Dizajn, implementacija i pravilna upotreba PKI-a ovdje nisu obuhvaćeni zbog obima ove teme.
Svi kontroleri domena i svi klijentski računari unutar šume u kojoj je implementirano takvo rješenje moraju imati povjerenje u korijensko tijelo za izdavanje certifikata (Certificate Authority).
Zadatak certifikacijskog tijela je da provjeri autentičnost ključeva za šifriranje korištenjem certifikata elektroničkog potpisa.
Tehnički, CA se implementira kao komponenta globalnog servisa imenika odgovornog za upravljanje kriptografskim ključevima za korisnike. Javne ključeve i druge informacije o korisnicima čuvaju sertifikacioni organi u obliku digitalnih sertifikata.
CA koji izdaje certifikate za korištenje pametnih kartica ili tokena mora biti smješten u NT Authority store.
Idite na Server Manager i odaberite Dodaj uloge i funkcije.
Kada dodajete uloge servera, odaberite "Usluge certifikata Active Directory" (Microsoft snažno preporučuje da se to ne radi na kontroleru domene, kako ne bi pogoršali probleme s performansama). U prozoru koji se otvori odaberite "Dodaj komponente" i odaberite "Certification Authority".
Na stranici za potvrdu instalacije komponenti kliknite na "Instaliraj".
Faza 2 - Konfiguriranje prijave na domenu pomoću tokena
Da bismo se prijavili, potreban nam je certifikat koji sadrži identifikatore za prijavu na pametnu karticu i autentifikaciju klijenta.
Certifikat za pametne kartice ili tokene također mora sadržavati korisnički UPN (UPN sufiks). Podrazumevano, UPN sufiks za nalog je ime DNS domene koje sadrži korisnički nalog.
Certifikat i privatni ključ moraju biti smješteni u odgovarajuće dijelove pametne kartice ili tokena, dok privatni ključ mora biti u zaštićenom području memorije uređaja.
Certifikat mora specificirati stazu do CRL distribucijske točke. Ovaj fajl sadrži listu sertifikata sa serijskim brojem sertifikata, datumom opoziva i razlogom za opoziv. Koristi se za saopštavanje informacija o opozvanim sertifikatima korisnicima, računarima i aplikacijama koje pokušavaju da autentifikuju sertifikat.
Konfigurirajmo instalirane usluge certifikacije. U gornjem desnom uglu kliknite na žuti trokut sa uzvičnik i kliknite na "Konfiguriraj servise certifikata...".
U prozoru Credentials izaberite potrebne korisničke vjerodajnice da biste konfigurirali ulogu. Odaberite "Certification Authority".
Odaberite Enterprise CA.
Enterprise CA su integrirani sa AD. Oni objavljuju certifikate i CRL-ove za AD.
Odredite tip "Root CA".
U sljedećem koraku odaberite "Generiraj novi privatni ključ".
Odaberite period važenja certifikata.
Faza 3 - Dodavanje predložaka certifikata
Da biste dodali predloške certifikata, otvorite Control Panel, odaberite Administrativni alati i otvorite Certification Authority.
Kliknite na naziv foldera "Certificate Templates", odaberite "Manage".
Kliknite na naziv predloška "Korisnik sa pametnom karticom" i odaberite "Kopiraj predložak". Sljedeći snimci ekrana pokazuju koje opcije trebate promijeniti u prozoru Svojstva novog predloška.
Ako “Aktiv ruToken CSP v1.0” nije na listi provajdera, onda mora biti instaliran paket “Rutoken Drivers for Windows”.
Počevši od Windows Server 2008 R2, Microsoft Base Smart Card Crypto Provider se može koristiti umjesto prilagođenog dobavljača od proizvođača.
Za Rutoken uređaje, biblioteka "minidriver" koja podržava "Microsoft Base Smart Card Crypto Provider" distribuira se putem Windows Update-a.
Možete provjeriti da li je "minidriver" instaliran na vašem serveru tako što ćete povezati Rutoken na njega i pogledati u upravitelju uređaja.
Ako iz nekog razloga ne postoji „minidriver“, može se instalirati nasilno instaliranjem kompleta „Rutoken Drivers for Windows“, a zatim koristiti „Microsoft Base Smart Card Crypto Provider“.
Komplet "Rutoken drajveri za Windows" se besplatno distribuira sa web stranice Rutoken.
Dodajte dva nova šablona "Certification Agent" i "User with Rutoken".
U prozoru "Certificate Manager Snap-in" odaberite "Moj korisnički račun". U prozoru Dodaj / Ukloni Snap-in potvrdite dodavanje certifikata.
Odaberite folder "Certifikati".
Zatražite novi certifikat. Otvara se stranica za registraciju certifikata. U fazi traženja certifikata odaberite politiku registracije "Administrator" i kliknite "Prijava".
Na isti način zatražite certifikat za Agenta za upis.
Da biste zatražili certifikat za određenog korisnika, kliknite na "Certifikati", odaberite "Registriraj se kao ...".
U prozoru za traženje sertifikata označite polje za potvrdu "Korisnik sa Rutokenom".
Sada morate odabrati korisnika.
U polje Unesite imena odabranih objekata unesite korisničko ime u domenu i kliknite na Provjeri ime.
U prozoru za odabir korisnika kliknite na "Aplikacija".
Odaberite naziv tokena sa padajuće liste i unesite PIN.
Na isti način odaberite certifikate za druge korisnike u domeni.
Faza 4 - Postavljanje korisničkih naloga
Da biste podesili naloge, otvorite listu AD korisnika i računara.
Odaberite folder Korisnici i odaberite Svojstva.
Idite na karticu Računi, odaberite pametnu karticu potrebnu za interaktivnu prijavu.
Konfigurirajte sigurnosne politike. Da biste to učinili, otvorite Control Panel i odaberite stavku "Administrativni alati". Otvorite meni za kontrolu grupna politika.
Na lijevoj strani prozora za upravljanje pravilima grupe, kliknite na Default Domain Policy i odaberite Uredi.
Na lijevoj strani prozora uređivača upravljanja grupnim politikama odaberite Sigurnosne opcije.
Otvorite politiku interaktivne prijave: Zahtijevaj Smart Card.
Na kartici Postavke sigurnosne politike potvrdite izbor u poljima za potvrdu Definišite sljedeću postavku politike i Omogućeno.
Otvorite Politiku Interaktivna prijava: Ponašanje prilikom uklanjanja pametne kartice.
Na kartici Postavke sigurnosne politike potvrdite izbor u polju za potvrdu Definiši sljedeću postavku politike, a sa padajuće liste odaberite Zaključaj radnu stanicu.
Ponovo pokrenite računar. I na sljedeći pokušaj autentifikaciju domene, već će biti moguće koristiti token i njegov PIN.
Konfigurisana je dvofaktorska autentifikacija za prijavu na domenu, što znači da je nivo sigurnosti za prijavu na Windows domenu značajno povećan bez trošenja sulude količine novca na dodatna sredstva zaštita. Sada, bez tokena, prijava na sistem je nemoguća, a korisnici mogu da odahnu i ne pate sa složenim lozinkama.
Sljedeći korak je sigurna pošta, pročitajte o tome i kako konfigurirati sigurnu autentifikaciju na drugim sistemima u našim sljedećim člancima.
Tagovi:
- windows server
- PKI
- Rutoken
- autentifikaciju
Lozinka nije jako jaka mjera sigurnosti. Vrlo često se koriste jednostavne, lako pogodne lozinke ili korisnici ne prate posebno sigurnost svojih lozinki (daju ih kolegama, pišu na papirićima itd.). Microsoft je odavno implementirao tehnologiju koja vam omogućava da koristite SmartCard za prijavu na sistem, tj. autentifikaciju u sistemu koristeći certifikat. Ali nije potrebno direktno koristiti pametne kartice, jer su i njima potrebni čitači, pa ih je lakše zamijeniti usb tokenima. Oni će vam omogućiti da implementirate dvofaktorsku autentifikaciju: prvi faktor je lozinka iz tokena, drugi faktor je certifikat na tokenu. Nadalje, koristeći primjer JaCarta usb tokena i Windows domene, reći ću vam kako implementirati ovaj mehanizam autentifikacije.
Prije svega, u AD kreirajte grupu "g_EtokenAdmin" i nalog. unos "Agent za upis" u ovoj grupi. Ova grupa i korisnik će pokrenuti certifikacijsko tijelo.
Dodatno, instalirajte Web servis da traže sertifikate.
Zatim biramo opciju za preduzeće. Odaberite Root CA (ako imamo ovo prvi CA u domeni)
Kreiramo novi privatni ključ. Dužina ključa se može ostaviti manjom, ali je za algoritam heširanja bolje izabrati SHA2 (SHA256).
Unesite naziv CA i odaberimo period važenja glavnog certifikata.
Ostale parametre ostavite kao zadane i pokrenite proces instalacije.
Nakon instalacije, ući ćemo u snap-in certifikacijskog tijela i konfigurirati prava na predloške. 
Zanimaju nas dva predloška: Enrollment Agent i Smartcard logon.
Idemo na svojstva ovih šablona i na sigurnosnoj kartici dodamo grupu "g_EtokenAdmin" sa pravima čitanja i aplikacija.
I oni će se pojaviti na našoj općoj listi.
Sljedeći korak je konfiguriranje grupnih politika:
Prije svega, reći ćemo svim računarima u domeni o root certifikacijskom tijelu, za to ćemo promijeniti Default Domain Policy.
Konfiguracija računara -> Politika -> Windows konfiguracija-> Sigurnosne opcije -> Politika javnog ključa -> Pouzdani korijenski certifikacijski autoriteti -> Uvoz
Odaberimo naš root certifikat koji se nalazi duž putanje: C: \ Windows \ System32 \ certsrv \ CertEnroll. Zatvorite Default Domain Policy.
On sljedeći korak Kreirajmo politiku za kontejner koji će sadržavati računare sa tokenom autentifikacijom (Smart card).
Duž putanje Konfiguracija računara -> Politike -> Windows konfiguracija -> Sigurnosne postavke -> Lokalne politike-> Sigurnosne opcije. Konfigurirat ćemo dva parametra "Interaktivna prijava: potrebna je pametna kartica" i "Interaktivna prijava: ponašanje prilikom uklanjanja pametne kartice".
To je sve s postavkama, sada možete generirati klijentski certifikat i provjeriti autentifikaciju pomoću tokena.
Prijavite se na računar pod nalogom "Agent za upis" i otvorite pretraživač klikom na link http: // Server_name_MS_CA / certsrv
Odaberite stavku Zahtjev za certifikat -> Prošireni zahtjev za certifikat -> Kreirajte i izdajte zahtjev ovom CA
Ako dobijete grešku kao što je "Da biste dovršili aplikaciju za certifikat, morate konfigurirati web stranicu da CA koristi HTTPS autentifikaciju", tada morate vezati web lokaciju na https protokol na IIS serveru na kojem je MS CA instaliran.
Nastavimo s pribavljanjem certifikata, za to na stranici koja se otvori odaberite predložak: "Agent za registraciju" i pritisnite dugme izdati i instalirajte certifikat.
Korisnik Enrollment Agent sada može izdavati certifikate za druge korisnike. Na primjer, zatražit ćemo certifikat za test korisnika. Da biste to učinili, otvorite konzolu za upravljanje certifikatima certmgr.msc, pošto preko web sučelja neće raditi zapisivanje certifikata na usb token.
U ovoj konzoli, na ličnom folderu, napravićemo zahtjev u ime drugog korisnika
Odabiremo jedini certifikat "Agent za upis" kao potpis i prelazimo na sljedeći korak, gdje biramo stavku "Prijavite se sa pametnom karticom" i klikom na detalje biramo provajdera enkripcije.
U mom slučaju koristim JaCarta tokene, tako da je provajder enkripcije "Athena ..." instaliran zajedno sa drajverima:
U sljedećem koraku odaberite korisnika domene za kojeg izdajemo certifikat i kliknite na dugme "Aplikacija".
Ubacujemo token, unosimo pin kod i počinje proces generiranja. Kao rezultat, trebali bismo vidjeti dijaloški okvir s oznakom "Uspješno".
Ako je proces neuspješno završen, možda je stvar u šablonu za dobivanje certifikata, u mom slučaju ga je trebalo malo dotjerati.
Počnimo s testiranjem, provjerimo rad tokena na računaru koji se nalazi u OU sa politikom grupe za prijavu na pametnu karticu.
Ako pokušamo da se prijavimo sa nalogom sa lozinkom, trebalo bi da dobijemo odbijenicu. Kada pokušamo da se prijavimo sa pametnom karticom (tokenom), dobićemo ponudu da unesemo pin i moramo se uspešno prijaviti na sistem.
P.s.
1) Ako automatsko zaključavanje računara ili odjava ne radi, nakon izvlačenja tokena, pogledajte da li je pokrenuta usluga "Smart Card Removal Policy"
2) Možete pisati (generirati certifikat) u token samo lokalno, neće raditi preko RDP-a.
3) Ako ne možete započeti proces generiranja certifikata pomoću standardnog predloška „Prijavite se pomoću pametne kartice“, kreirajte njegovu kopiju sa sljedećim parametrima.
To je sve, ako imate pitanja, pitajte, pokušaću da pomognem.
