اتصال رمزهای عبور یک بار مصرف اضافی به پنجره ورود به سیستم ویندوز. دسترسی به سیستم احراز هویت با استفاده از رمزهای عبور یکبار مصرف (OTP)

• آموزش

برخی از شما احتمالاً در مورد این حادثه که اخیراً به اطلاع عموم رسیده است، شنیده اید. شرکت سازنده نیمه هادی ایالات متحده، Allegro MicroSystem LLC از متخصص سابق فناوری اطلاعات خود به دلیل خرابکاری شکایت کرده است. نیمش پاتل که 14 سال در این شرکت کار می کرد، در هفته اول سال مالی جدید، داده های مالی مهم را از بین برد.

چطوری این پیش آمد؟

دو هفته پس از اخراج، پاتل به منظور ربودن یک شبکه وای فای شرکتی، وارد دفتر مرکزی شرکت در ووسستر، ماساچوست، ایالات متحده شد. پاتل با استفاده از اعتبار یک همکار سابق و یک لپ تاپ کاری وارد شبکه شرکتی شد. او سپس کد را به ماژول اوراکل تزریق کرد و آن را طوری برنامه ریزی کرد که برای اول آوریل 2016، اولین هفته سال مالی جدید اجرا شود. این کد برای کپی کردن هدرها یا اشاره گرهای خاص در یک جدول پایگاه داده جداگانه و سپس حذف آنها از ماژول بود. دقیقا در 1 آوریل داده ها از سیستم حذف شد. و از آنجایی که مهاجم به طور قانونی وارد شبکه آلگرو شد، اقدامات وی بلافاصله مورد توجه قرار نگرفت.

عموم مردم از جزئیات اطلاعی ندارند، اما به احتمال زیاد این حادثه تا حد زیادی به دلیل استفاده از احراز هویت رمز عبور برای دسترسی به شبکه ممکن شده است. مطمئناً مشکلات امنیتی دیگری نیز وجود داشته است، اما این رمز عبور است که می تواند بدون توجه کاربر به سرقت رفته و واقعیت سرقت رمز عبور در بهترین حالت تا لحظه استفاده از اطلاعات کاربری سرقت شده شناسایی نشود.

استفاده از احراز هویت قوی دو عاملی و ممنوعیت استفاده از رمزهای عبور، همراه با یک خط مشی امنیتی صحیح، می تواند به جلوگیری از توسعه رویدادهای توصیف شده کمک کند، سپس اجرای چنین طرحی را بسیار پیچیده می کند.

ما به شما خواهیم گفت که چگونه می توانید سطح امنیتی شرکت خود را به میزان قابل توجهی بهبود بخشید و از خود در برابر چنین حوادثی محافظت کنید. شما یاد خواهید گرفت که چگونه احراز هویت و امضای داده های حساس را با استفاده از توکن ها و رمزنگاری (چه خارجی و چه داخلی) تنظیم کنید.

در مقاله اول، نحوه تنظیم احراز هویت دو مرحله ای قوی با استفاده از PKI هنگام ورود به حساب دامنه ویندوز را توضیح خواهیم داد.

در مقاله‌های بعدی، نحوه راه‌اندازی Bitlocker، محافظت از ایمیل و ساده‌ترین گردش کار را به شما خواهیم گفت. ما همچنین با شما همکاری خواهیم کرد تا دسترسی ایمن به منابع شرکت و دسترسی ایمن از راه دور از طریق VPN را تنظیم کنیم.

احراز هویت دو مرحله ای

مدیران باتجربه سیستم و سرویس‌های امنیتی به خوبی می‌دانند که کاربران نسبت به رعایت سیاست‌های امنیتی به شدت ناخودآگاه هستند؛ آنها می‌توانند اعتبار خود را روی یک برچسب بنویسند و آن را در کنار رایانه بچسبانند، رمز عبور را به همکاران خود ارسال کنند و مواردی از این قبیل. این امر به ویژه زمانی اتفاق می افتد که رمز عبور پیچیده باشد (شامل بیش از 6 کاراکتر و متشکل از حروف مختلف، اعداد و کاراکترهای خاص) و به خاطر سپردن آن دشوار است. اما چنین سیاست هایی توسط مدیران به دلایلی تعیین می شود. این برای محافظت از حساب کاربری در برابر حمله brute-force ساده در فرهنگ لغت ضروری است. همچنین، مدیران توصیه می کنند که حداقل هر 6 ماه یک بار رمزهای عبور را تغییر دهید، به این دلیل که در این مدت، از نظر تئوری می توان حتی یک رمز عبور پیچیده را به صورت بی رحمانه اعمال کرد.

بیایید به یاد داشته باشیم که احراز هویت چیست. در مورد ما، این فرآیند تأیید صحت یک موضوع یا شی است. احراز هویت کاربر فرآیند تأیید هویت یک کاربر است.

و احراز هویت دو مرحله ای احراز هویتی است که در آن باید حداقل از دو روش مختلف برای تأیید هویت خود استفاده کنید.

ساده ترین مثال از احراز هویت دو مرحله ای در زندگی واقعی، گاوصندوق با قفل و ترکیبی است. برای باز کردن چنین گاوصندوقی، باید کد آن را بدانید و کلید آن را داشته باشید.

توکن و کارت هوشمند

احتمالا مطمئن ترین و ساده ترین راه برای اجرای احراز هویت دو مرحله ای استفاده از رمز رمزنگاری یا کارت هوشمند است. توکن یک دستگاه USB است که همزمان هم خواننده و هم کارت هوشمند است. اولین عامل در این مورد این است که شما صاحب دستگاه هستید و دومین عامل آگاهی از کد پین آن است.

از یک توکن یا یک کارت هوشمند استفاده کنید، برای کسی راحت تر است. اما از نظر تاریخی چنین اتفاقی افتاده است که در روسیه مردم بیشتر به استفاده از توکن ها عادت دارند، زیرا آنها نیازی به استفاده از کارت خوان های داخلی یا خارجی ندارند. توکن ها هم معایبی دارند. مثلا نمی توانید عکسی را روی آن چاپ کنید.

عکس یک کارت هوشمند و خواننده معمولی را نشان می دهد.

با این حال، به امنیت شرکت بازگردیم.

ما با دامنه ویندوز شروع می کنیم، زیرا در اکثر شرکت ها در روسیه، شبکه شرکتی حول آن ساخته شده است.

همانطور که می دانید، سیاست های دامنه ویندوز، تنظیمات کاربر، تنظیمات گروه در اکتیو دایرکتوری دسترسی به تعداد زیادی از برنامه ها و خدمات شبکه را فراهم می کند و محدود می کند.

با ایمن سازی یک حساب کاربری در یک دامنه، می توانیم از بیشتر و در برخی موارد به طور کلی از تمام منابع اطلاعات داخلی محافظت کنیم.

چرا احراز هویت دو مرحله‌ای در یک دامنه با استفاده از یک رمز دارای پین امن‌تر از طرح رمز عبور معمولی است؟

پین به یک دستگاه خاص گره خورده است، در مورد ما به یک توکن. دانستن پین به خودی خود کاری نمی کند.

به عنوان مثال، کد پین از توکن را می توان از طریق تلفن به افراد دیگر دیکته کرد و اگر دقت کافی در مورد توکن داشته باشید و آن را بدون مراقبت رها نکنید، چیزی به مهاجم نمی دهد.

در مورد رمز عبور، وضعیت کاملاً متفاوت است، اگر مهاجمی رمز عبور را از یک حساب کاربری در دامنه دریافت کند، حدس بزند، جاسوسی کند یا به نحوی آن را در اختیار داشته باشد، می‌تواند آزادانه هم دامنه و هم سایر خدمات را وارد کند. شرکتی که از همین حساب استفاده می کند.

توکن یک شی فیزیکی منحصر به فرد غیر قابل کپی است. توسط یک کاربر قانونی در اختیار است. احراز هویت دو مرحله‌ای با توکن تنها زمانی قابل دور زدن است که مدیر، عمداً یا از روی سهل انگاری، «خلاف‌هایی» در سیستم برای این کار ایجاد کند.

مزایای ورود به یک دامنه با توکن

به خاطر سپردن کد پین از توکن آسان تر است، زیرا می تواند بسیار ساده تر از رمز عبور باشد. هر کس احتمالا حداقل یک بار در زندگی خود دیده است که چگونه یک کاربر "تجربه" پس از چندین بار تلاش، به خاطر سپردن و وارد کردن رمز عبور "ایمن" خود، به طرز دردناکی نمی تواند در سیستم احراز هویت کند.

نیازی نیست که پین ​​دائماً تغییر کند، زیرا توکن‌ها در برابر کدهای پین brute-force مقاومت بیشتری دارند. پس از تعدادی تلاش برای ورودی ناموفق، رمز مسدود می شود.

هنگام استفاده از رمز برای یک کاربر، ورود به سیستم به این صورت است: پس از بوت کردن رایانه، او به سادگی توکن را به پورت USB رایانه متصل می کند، 4-6 رقم را وارد می کند و دکمه Enter را فشار می دهد. سرعت درج اعداد برای افراد عادی از سرعت وارد کردن حروف بیشتر است. بنابراین کد پین سریعتر وارد می شود.

توکن ها به حل مشکل "محل کار متروک" کمک می کنند - زمانی که کاربر محل کار خود را ترک می کند و فراموش می کند از حساب خود خارج شود.

خط مشی دامنه را می توان به گونه ای پیکربندی کرد که هنگام بازیابی رمز، رایانه به طور خودکار قفل شود. همچنین، توکن را می توان به یک برچسب RFID برای عبور بین محل شرکت مجهز کرد، بنابراین، بدون گرفتن توکن از محل کار خود، کارمند به سادگی قادر به حرکت در سراسر قلمرو نخواهد بود.

معایب، بدون آنها کجا می توانیم برویم

توکن ها یا کارت های هوشمند رایگان نیستند (بر اساس بودجه تعیین می شود).

آنها باید در نظر گرفته شوند، اداره و نگهداری شوند (با سیستم های مدیریت رمز و کارت هوشمند حل شوند).

برخی از سیستم‌های اطلاعاتی ممکن است "خارج از جعبه" از احراز هویت توسط نشانه‌ها پشتیبانی نکنند (که توسط سیستم‌هایی مانند Single Sign-On حل می‌شود - طراحی شده برای سازماندهی امکان استفاده از یک حساب واحد برای دسترسی به هر منبع منطقه).

پیکربندی احراز هویت دو مرحله ای در دامنه ویندوز

بخش تئوری:

اکتیو دایرکتوری از تأیید اعتبار کارت هوشمند و رمز از ویندوز 2000 پشتیبانی می کند. در پسوند PKINIT (راه اندازی اولیه کلید عمومی) برای پروتکل Kerberos RFC 4556 تعبیه شده است.

Kerberos به طور خاص برای ارائه احراز هویت قوی کاربر طراحی شده است. می‌تواند از ذخیره‌سازی متمرکز داده‌های احراز هویت استفاده کند و اساس ساخت مکانیسم‌های Single Sing-On است. پروتکل بر اساس موجودیت کلیدی Ticket (ticket) است.

Ticket یک بسته رمزگذاری شده از داده است که توسط یک مرکز احراز هویت قابل اعتماد بر اساس پروتکل Kerberos - مرکز توزیع کلید (KDC) صادر می شود.

هنگامی که کاربر پس از احراز هویت موفق، احراز هویت اولیه را انجام می دهد، KDC هویت اصلی کاربر را برای دسترسی به منابع شبکه صادر می کند - یک بلیط اعطا بلیط (TGT).

متعاقباً، هنگام دسترسی به منابع شبکه فردی، کاربر یک TGT ارسال می کند و از KDC یک هویت برای دسترسی به یک منبع شبکه خاص - خدمات اعطای بلیط (TGS) دریافت می کند.

یکی از مزایای امنیت بالای Kerberos این است که هیچ رمز عبور یا مقادیر هش به صورت متن واضح برای هیچ ارتباطی ارسال نمی شود.

پسوند PKINIT امکان احراز هویت دو مرحله‌ای با توکن‌ها یا کارت‌های هوشمند را در طول مرحله پیش‌احراز هویت Kerberos فراهم می‌کند.

ورود به سیستم می تواند با استفاده از سرویس دایرکتوری دامنه یا سرویس فهرست محلی ارائه شود. TGT از یک امضای الکترونیکی که بر روی یک کارت هوشمند یا توکن محاسبه می شود، تولید می شود.

از آنجایی که فرآیند احراز هویت متقابل مشتری و سرور اجرا می‌شود، همه کنترل‌کننده‌های دامنه باید گواهی تأیید اعتبار کنترل‌کننده دامنه یا Kerberos Authentication را نصب کرده باشند.

تمرین:

بیایید راه اندازی را شروع کنیم.

تنها با ارائه توکن و دانستن پین کد، امکان ورود دامنه تحت حساب شما را فراهم خواهیم کرد.

برای نمایش، ما از Rutoken PKI EDS ساخته شده توسط Aktiv استفاده خواهیم کرد.

مرحله 1 - تنظیم دامنهاولین قدم نصب خدمات صدور گواهینامه است.

سلب مسئولیت.

این مقاله آموزشی برای معرفی PKI سازمانی نیست. طراحی، استقرار و استفاده مناسب از PKI به دلیل گستردگی این موضوع در اینجا پوشش داده نشده است.

همه کنترل‌کننده‌های دامنه و همه رایانه‌های مشتری در جنگلی که چنین راه‌حلی در آن پیاده‌سازی می‌شود، باید به مرجع صدور گواهینامه ریشه (مرجع صدور گواهی) اعتماد کنند.

وظیفه یک مرجع صدور گواهی، تأیید صحت کلیدهای رمزگذاری با استفاده از گواهی امضای الکترونیکی است.

از نظر فنی، یک CA به عنوان جزئی از سرویس فهرست جهانی که مسئول مدیریت کلیدهای رمزنگاری برای کاربران است، پیاده سازی می شود. کلیدهای عمومی و سایر اطلاعات مربوط به کاربران توسط مقامات صدور گواهینامه در قالب گواهی های دیجیتال ذخیره می شوند.

CA که برای استفاده از کارت های هوشمند یا توکن ها گواهی صادر می کند باید در فروشگاه NT Authority قرار گیرد.

به مدیر سرور بروید و Add Roles and Features را انتخاب کنید.

هنگام افزودن نقش‌های سرور، «سرویس‌های گواهی اکتیو دایرکتوری» را انتخاب کنید (مایکروسافت اکیداً توصیه می‌کند این کار را در کنترل‌کننده دامنه انجام ندهید تا مشکلات عملکرد تشدید نشود). در پنجره ای که باز می شود، «Add Components» را انتخاب کرده و «Certification Authority» را انتخاب کنید.

در صفحه تأیید نصب مؤلفه ها، روی «نصب» کلیک کنید.

مرحله 2 - پیکربندی ورود به دامنه با استفاده از یک رمز

برای ورود به سیستم، به گواهینامه ای نیاز داریم که حاوی شناسه های ورود به کارت هوشمند و تأیید هویت مشتری باشد.

گواهی کارت های هوشمند یا توکن ها نیز باید حاوی UPN کاربر (پسوند UPN) باشد. به طور پیش فرض، پسوند UPN برای یک حساب، نام دامنه DNS است که حاوی حساب کاربری است.

گواهینامه و کلید خصوصی باید در بخش های مناسب کارت هوشمند یا توکن قرار داده شود، در حالی که کلید خصوصی باید در قسمت محافظت شده حافظه دستگاه باشد.

گواهی باید مسیر نقطه توزیع CRL را مشخص کند. این فایل حاوی لیستی از گواهینامه ها با شماره سریال گواهی، تاریخ ابطال و دلیل ابطال است. برای انتقال اطلاعات مربوط به گواهی‌های باطل شده به کاربران، رایانه‌ها و برنامه‌هایی که سعی در تأیید اعتبار گواهی دارند، استفاده می‌شود.

بیایید خدمات صدور گواهینامه نصب شده را پیکربندی کنیم. در گوشه سمت راست بالا، روی مثلث علامت تعجب زرد کلیک کنید و روی "Configure Certificate Services ..." کلیک کنید.

در پنجره Credentials، اعتبار کاربری مورد نیاز را برای پیکربندی نقش انتخاب کنید. "مرجع صدور گواهی" را انتخاب کنید.

Enterprise CA را انتخاب کنید.

CAهای سازمانی با AD یکپارچه شده اند. آنها گواهی ها و CRL ها را به AD منتشر می کنند.

نوع "Root CA" را مشخص کنید.

در مرحله بعد «Generate New Private Key» را انتخاب کنید.

مدت اعتبار گواهی را انتخاب کنید.

مرحله 3 - اضافه کردن الگوهای گواهی

برای افزودن الگوهای گواهی، Control Panel را باز کنید، Administrative Tools را انتخاب کنید و Certification Authority را باز کنید.

روی نام پوشه "Certificate Templates" کلیک کنید، "Manage" را انتخاب کنید.

روی نام قالب "کاربر با کارت هوشمند" کلیک کرده و "کپی الگو" را انتخاب کنید. اسکرین شات های زیر به شما نشان می دهد که کدام گزینه را باید در پنجره New Template Properties تغییر دهید.

اگر "Aktiv ruToken CSP v1.0" در لیست ارائه دهندگان نیست، باید بسته "Rutoken Drivers for Windows" نصب شود.

با شروع Windows Server 2008 R2، می توان از Microsoft Base Smart Card Crypto Provider به جای یک ارائه دهنده سفارشی از سازنده استفاده کرد.

برای دستگاه‌های روتوکن، کتابخانه «minidriver» که از «ارائه‌دهنده رمزنگاری کارت هوشمند پایه مایکروسافت» پشتیبانی می‌کند، از طریق Windows Update توزیع می‌شود.

می توانید با اتصال Rutoken به آن و جستجو در Device Manager بررسی کنید که "minidriver" روی سرور شما نصب شده است یا خیر.

اگر بنا به دلایلی “minidriver” وجود نداشته باشد، می توان آن را با نصب کیت “Rutoken Drivers for Windows” به اجبار نصب کرد و سپس از “Microsoft Base Smart Card Crypto Provider” استفاده کرد.

مجموعه «درایورهای روتوکن برای ویندوز» به صورت رایگان از وب سایت روتوکن توزیع می شود.

دو قالب جدید "Certification Agent" و "User with Rutoken" اضافه کنید.

در پنجره "Certificate Manager Snap-in"، "My User Account" را انتخاب کنید. در پنجره Add/Remove Snap-in، اضافه شدن گواهینامه ها را تأیید کنید.

پوشه "Certificates" را انتخاب کنید.

درخواست گواهی جدید صفحه ای برای ثبت گواهی باز می شود. در مرحله درخواست گواهی، سیاست ثبت نام "Administrator" را انتخاب کرده و روی "Application" کلیک کنید.

به همین ترتیب برای Agent Enrollment درخواست گواهی کنید.

برای درخواست گواهی برای یک کاربر خاص، روی "گواهی ها" کلیک کنید، "ثبت نام به عنوان ..." را انتخاب کنید.

در پنجره درخواست گواهی، کادر "کاربر با روتوکن" را انتخاب کنید.

اکنون باید یک کاربر را انتخاب کنید.

در قسمت Enter the names of the selected objects، یک نام کاربری در دامنه وارد کنید و روی Check Name کلیک کنید.

در پنجره انتخاب کاربر، روی "برنامه" کلیک کنید.

یک نام رمز را از لیست کشویی انتخاب کنید و یک پین وارد کنید.

گواهینامه ها را برای سایر کاربران در دامنه به همین ترتیب انتخاب کنید.

مرحله 4 - راه اندازی حساب های کاربری

برای راه‌اندازی حساب‌ها، فهرست کاربران و رایانه‌های AD را باز کنید.

پوشه Users را انتخاب کرده و Properties را انتخاب کنید.

به تب Accounts بروید، کارت هوشمند مورد نیاز برای ورود به صورت تعاملی را انتخاب کنید.

سیاست های امنیتی را پیکربندی کنید برای انجام این کار، Control Panel را باز کرده و مورد "Administrative Tools" را انتخاب کنید. منوی مدیریت خط مشی گروه را باز کنید.

در سمت چپ پنجره Group Policy Management، روی Default Domain Policy کلیک کرده و Edit را انتخاب کنید.

در سمت چپ پنجره Group Policy Management Editor، Security Options را انتخاب کنید.

ورود تعاملی را باز کنید: به خط مشی کارت هوشمند نیاز دارد.

در برگه تنظیمات خط مشی امنیتی، کادرهای گزینه Define the following policy setting و Enabled را انتخاب کنید.

سیاست ورود به سیستم تعاملی: Smart Card Removal Behavior را باز کنید.

در برگه تنظیمات خط مشی امنیتی، کادر تیک Define the following policy setting را انتخاب کنید، از لیست کشویی گزینه Lock Workstation را انتخاب کنید.

کامپیوتر خود را مجددا راه اندازی کنید. و دفعه بعد که سعی کردید در دامنه احراز هویت کنید، می توانید از توکن و پین آن استفاده کنید.

احراز هویت دو مرحله‌ای برای ورود به دامنه پیکربندی شده است، به این معنی که سطح امنیت برای ورود به یک دامنه ویندوز بدون صرف مقدار غیرمجاز پول برای اقدامات امنیتی اضافی، به طور قابل توجهی افزایش می‌یابد. اکنون بدون توکن، ورود به سیستم غیرممکن است و کاربران می توانند نفس راحتی بکشند و با رمزهای پیچیده رنج نبرند.

مرحله بعدی ایمیل امن است، در مقاله های بعدی ما در مورد این و نحوه پیکربندی احراز هویت امن در سیستم های دیگر بخوانید.

برچسب ها:

• سرور ویندوز
• PKI
• روتوکن
• احراز هویت

افزودن برچسب‌ها نظرات و توضیحات فوق‌العاده خوبی از دوستی که می‌خواست ناشناس بماند دریافت کرد:
1) در همان ابتدای پیکربندی سرور، دستور را وارد کنید:
multiotp.exe -debug -config default-request-prefix-pin = 0 display-log = 1 بعد از آن نیازی به وارد کردن پین کد هنگام تنظیم کاربر نیست و نمایش گزارش هر عملیات به کنسول روشن شد

2) با استفاده از این دستور می توانید زمان استفاده از رمز عبور را برای کاربرانی که اشتباه کرده اند (پیش فرض 30 ثانیه) تنظیم کنید:
multiotp.exe -debug -config شکست- delayed-time = 60
3) آنچه در برنامه Google Authenticator بالای 6 رقم نوشته می شود صادر کننده نامیده می شود، می توانید از MultiOTP پیش فرض به چیز دیگری تغییر دهید:
multiotp.exe -debug -config صادرکننده = دیگر
4) پس از انجام عملیات، دستور ایجاد کاربر کمی ساده تر می شود:
multiotp.exe -debug -create user TOTP 12312312312312312321 6 (زمان به روز رسانی ارقام را 30 ثانیه تنظیم نمی کنم، به نظر می رسد به طور پیش فرض 30 باشد).

5) هر کاربر می تواند توضیحات (متن زیر اعداد در برنامه Google Auth) را تغییر دهد:
multiotp.exe -set توضیحات نام کاربری = 2
6) کدهای QR را می توان مستقیماً در برنامه ایجاد کرد:
multiotp.exe -qrcode نام کاربری c: \ multiotp \ qrcode \ user.png: \ multiotp \ qrcode \ user.png
7) می توانید نه تنها از TOTP، بلکه از HOTP نیز استفاده کنید (ورودی تابع هش زمان فعلی نیست، بلکه مقدار شمارنده افزایشی است):
multiotp.exe -debug -ایجاد نام کاربری HOTP 12312312312312312321 6

رمزهای عبور می توانند یک دردسر امنیتی بزرگ باشندو قابلیت مدیریت برای مدیران فناوری اطلاعات شرکت ها و سازمان ها. کاربران اغلب رمزهای عبور ساده ایجاد می کنند یا رمزهای عبور را یادداشت می کنند تا آنها را فراموش نکنند. علاوه بر این، تنها تعداد کمی از روش های بازنشانی رمز عبور موثر و ایمن هستند. با توجه به این محدودیت ها، چگونه می توانید این نوع نگرانی های امنیتی را زمانی که دسترسی به شبکه توسط کاربران از راه دور انجام می شود، کاهش دهید؟ چگونه می توانید راه حل های رمز عبور شرکت خود را با دانستن اینکه بسیاری از کاربران رمز عبور خود را یادداشت می کنند، ایمن تر کنید؟

یک راه حل وجود دارد - این مقدمه ای در سازماندهی یک سیستم حفاظت از دسترسی اضافی بر اساس ورودی رمزهای عبور یک بار مصرف (OTP - One Time Password) است که در دستگاه تلفن همراه کارمند شما ایجاد می شود. انتقال به احراز هویت مبتنی بر رمز عبور یک‌باره معمولاً زمانی اتفاق می‌افتد که درک شود که رمزهای عبور استاندارد بلندمدت از نظر امنیتی کافی نیستند و در عین حال، استفاده از کارت‌های هوشمند محدود است، به عنوان مثال، در شرایط استفاده گسترده از مشتریان تلفن همراه.

شرکت ما یک راه حل تکنولوژیکی ایجاد کرده استکه به شما امکان می دهد به دست آورید خط حفاظت اضافی برای سرور ترمینال یا سرور 1C بر اساس رمزهای عبور یک بار مصرف که کارمندان از راه دور به آن متصل می شوند.

محدوده کار بر روی استقرار و پیکربندی سیستم OTP

بر روی سرور شما، نرم افزار تخصصی نصب و پیکربندی شده است تا سیستم احراز هویت دسترسی بر اساس رمزهای عبور یکبار مصرف (OTP) را اجرا کند. کلیه کارکنان سازمان که نیاز به دسترسی به سرور دارند وارد سیستم OTP می شوند. برای هر کارمند، راه اندازی اولیه تلفن همراه با نصب برنامه ای برای تولید رمز یک بار مصرف انجام می شود.

هزینه معرفی به سازمان یک سیستم احراز هویت دسترسی به سرور ترمینال یا سرور 1C بر اساس رمزهای عبور یکبار مصرف (OTP) آغاز می شود. از 6 400 روبل.

در مواردی که سیستم OTP همراه با اجاره زیرساخت در "ابر" امن ما مستقر می شود، تخفیف در اجرای سیستم حفاظتی رمز یکبار مصرف (OTP) می تواند به 50٪ برسد..

رمزهای عبور یکبار مصرف - یک لایه اضافی از امنیت داده ها

یک رمز عبور سنتی و ثابت معمولاً فقط در صورت لزوم تغییر می کند: یا زمانی که منقضی می شود یا زمانی که کاربر آن را فراموش کرده و می خواهد آن را بازنشانی کند. از آنجایی که رمزهای عبور بر روی هارد دیسک های کامپیوتر ذخیره می شوند و در سرور ذخیره می شوند، در برابر هک آسیب پذیر هستند. این مشکل به ویژه برای رایانه های لپ تاپ حاد است، زیرا می توان آنها را به راحتی به سرقت برد. بسیاری از شرکت ها به کارمندان رایانه های لپ تاپ می دهند و شبکه های آنها را برای دسترسی از راه دور باز می کنند. آنها همچنین کارکنان و تامین کنندگان موقت را استخدام می کنند. در چنین محیطی، یک راه حل ساده رمز عبور ثابت به یک نقطه ضعف تبدیل می شود.
بر خلاف رمز عبور ثابت، رمز عبور یک بار مصرف هر بار که کاربر وارد سیستم می شود تغییر می کند و فقط برای مدت زمان کوتاهی (30 ثانیه) معتبر است. رمزهای عبور خود با استفاده از یک الگوریتم پیچیده بسته به متغیرهای زیادی ایجاد و رمزگذاری می شوند: زمان، تعداد ورودی های موفق / ناموفق، اعداد تولید شده به طور تصادفی و غیره. این رویکرد به ظاهر پیچیده به اقدامات ساده ای از کاربر نیاز دارد - برنامه خاصی را روی تلفن خود نصب کنید که یک بار با سرور همگام شده و سپس یک رمز عبور یک بار مصرف ایجاد می کند. با هر ورود موفق جدید، مشتری و سرور به طور خودکار مستقل از یکدیگر با استفاده از یک الگوریتم خاص دوباره همگام می شوند. شمارنده هر بار که لازم است دستگاه دارای مقدار OTP باشد افزایش می یابد و هنگامی که کاربر می خواهد وارد سیستم شود، OTP نمایش داده شده در دستگاه تلفن همراه خود را وارد می کند.

رمز عبور یک معیار امنیتی خیلی قوی نیست. اغلب اوقات از رمزهای عبور ساده و قابل حدس زدن استفاده می شود یا کاربران به طور خاص بر ایمنی رمزهای عبور خود نظارت نمی کنند (آنها را به همکاران می دهند، روی کاغذ می نویسند و غیره). مایکروسافت مدتهاست که فناوری را پیاده سازی کرده است که به شما امکان می دهد از SmartCard برای ورود به سیستم استفاده کنید. با استفاده از گواهی در سیستم احراز هویت کنید. اما نیازی به استفاده مستقیم از کارت های هوشمند نیست، زیرا آنها به خواننده نیز نیاز دارند، بنابراین جایگزینی آنها با توکن های usb راحت تر است. آنها به شما اجازه می دهند تا احراز هویت دو مرحله ای را پیاده سازی کنید: اولین عامل رمز عبور از توکن است، عامل دوم گواهی روی توکن است. علاوه بر این، با استفاده از مثال JaCarta usb token و دامنه ویندوز، به شما خواهم گفت که چگونه این مکانیسم احراز هویت را پیاده سازی کنید.

اول از همه، در AD، یک گروه "g_EtokenAdmin" و حساب کاربری ایجاد کنید. یک ورودی "نماینده ثبت نام" در این گروه. این گروه و کاربر مرجع صدور گواهینامه را اجرا خواهند کرد.

علاوه بر این، ما سرویس وب را برای درخواست گواهی ها نصب خواهیم کرد.

در مرحله بعد، گزینه مربوط به شرکت را انتخاب می کنیم. Root CA را انتخاب کنید (اگر این اولین CA در دامنه باشد)
ما یک کلید خصوصی جدید ایجاد می کنیم. طول کلید را می توان تنگ تر گذاشت، اما الگوریتم هش بهتر است SHA2 (SHA256) را انتخاب کنید.

بیایید نام CA را وارد کرده و مدت اعتبار گواهی اصلی را انتخاب کنیم.
بقیه پارامترها را به صورت پیش فرض رها کنید و مراحل نصب را شروع کنید.

پس از نصب، به مرجع صدور گواهینامه می رویم و حقوق قالب ها را پیکربندی می کنیم.

ما به دو الگو علاقه مند خواهیم بود: عامل ثبت نام و ورود به کارت هوشمند.
بیایید به ویژگی های این قالب ها برویم و در تب امنیتی گروه "g_EtokenAdmin" را با حقوق خواندن و برنامه اضافه کنیم.

و آنها در لیست کلی ما ظاهر می شوند.

مرحله بعدی پیکربندی خط مشی های گروه است:
اول از همه، ما به همه رایانه های موجود در دامنه در مورد مرجع صدور گواهینامه ریشه می گوییم، برای این کار، Default Domain Policy را تغییر می دهیم.
پیکربندی رایانه -> خط‌مشی‌ها -> پیکربندی ویندوز -> تنظیمات امنیتی -> سیاست‌های کلید عمومی -> مقامات صدور گواهی ریشه مورد اعتماد -> واردات

اجازه دهید گواهی ریشه خود را که در امتداد مسیر قرار دارد انتخاب کنیم: C: \ Windows \ System32 \ certsrv \ CertEnroll. Default Domain Policy را ببندید.
در مرحله بعدی یک خط مشی برای کانتینر ایجاد می کنیم که شامل رایانه هایی با احراز هویت توسط توکن (کارت هوشمند) می شود.

در طول مسیر Computer Configuration -> Policies -> Windows Configuration -> Security Settings -> Local Policies -> Security Settings. ما دو پارامتر "ورود تعاملی: نیاز به کارت هوشمند" و "ورود تعاملی: رفتار هنگام حذف کارت هوشمند" را پیکربندی خواهیم کرد.

این همه با تنظیمات است، اکنون می توانید یک گواهی مشتری ایجاد کنید و احراز هویت را با توکن بررسی کنید.
با حساب کاربری "Enrollment Agent" وارد رایانه شوید و با کلیک روی پیوند http: // Server_name_MS_CA / certsrv مرورگر را باز کنید

مورد درخواست گواهی -> درخواست گواهی تمدید شده -> ایجاد و صدور یک درخواست برای این CA را انتخاب کنید
اگر خطایی مانند "برای تکمیل درخواست گواهی، باید وب سایت را برای CA پیکربندی کنید تا از احراز هویت HTTPS استفاده کند" دریافت کردید، سپس باید سایت را به پروتکل https در سرور IIS که MS CA روی آن قرار دارد، متصل کنید. نصب شده است.

بیایید به دریافت گواهی ادامه دهیم، برای این کار در صفحه باز شده، الگوی "عامل ثبت" را انتخاب کنید و شماره دکمه را فشار دهید و گواهی را نصب کنید.

کاربر Enrollment Agent اکنون می تواند برای سایر کاربران گواهی صادر کند. به عنوان مثال، ما یک گواهی برای کاربر آزمایشی درخواست می کنیم. برای انجام این کار، کنسول مدیریت گواهی certmgr.msc را باز کنید از طریق رابط وب، نوشتن گواهی بر روی یک توکن usb کار نخواهد کرد.
در این کنسول، در پوشه شخصی، از طرف کاربر دیگری درخواست می کنیم

تنها گواهینامه “Enrollment Agent” را به عنوان امضا انتخاب می کنیم و به مرحله بعد می رویم که مورد “ورود با کارت هوشمند” را انتخاب می کنیم و روی مشخصات کلیک می کنیم تا ارائه دهنده رمزگذاری انتخاب شود.
در مورد من، من از نشانه های JaCarta استفاده می کنم، بنابراین ارائه دهنده رمزگذاری "Athena ..." به همراه درایورها نصب شده است:

در مرحله بعد کاربری دامنه ای را که برای آن گواهی صادر می کنیم انتخاب کنید و بر روی دکمه "Application" کلیک کنید.

رمز را وارد می کنیم، کد پین را وارد می کنیم و فرآیند تولید شروع می شود. در نتیجه باید کادر محاوره ای با عنوان "موفق" را ببینیم.
اگر فرآیند ناموفق به پایان رسید، شاید موضوع در قالب دریافت گواهی باشد، در مورد من نیاز به اصلاح کمی داشت.

بیایید آزمایش را شروع کنیم، عملکرد توکن را در رایانه ای واقع در یک OU با خط مشی گروه ورود به کارت هوشمند بررسی کنیم.
اگر بخواهیم با یک حساب کاربری با رمز عبور وارد شویم، باید رد شویم. زمانی که می خواهیم با کارت هوشمند (توکن) وارد شویم، پیشنهاد وارد کردن پین را دریافت می کنیم و باید با موفقیت وارد سیستم شویم.

P.s.
1) اگر قفل خودکار رایانه یا خروج از سیستم کار نمی کند، پس از بیرون کشیدن توکن، ببینید آیا سرویس «خط مشی حذف کارت هوشمند» در حال اجرا است.
2) می توانید فقط به صورت محلی روی یک توکن بنویسید (یک گواهی تولید کنید)، از طریق RDP کار نخواهد کرد.
3) اگر با استفاده از الگوی استاندارد «ورود با کارت هوشمند» نمی توانید فرآیند تولید گواهی را شروع کنید، یک کپی از آن با پارامترهای زیر ایجاد کنید.

این همه، اگر سوالی دارید بپرسید، من سعی می کنم کمک کنم.

امروز به شما می گوییم که چگونه می توانید به سرعت و به راحتی احراز هویت دو مرحله ای را تنظیم کنید و داده های مهم را رمزگذاری کنید، حتی با قابلیت استفاده از بیومتریک. این راه حل برای شرکت های کوچک یا فقط برای یک رایانه شخصی یا لپ تاپ مرتبط خواهد بود. مهم است که برای این کار ما به زیرساخت کلید عمومی (PKI)، سروری با نقش یک مرجع گواهی (سرویس های گواهی) نیازی نداریم و حتی به یک دامنه (Active Directory) نیاز نداریم. تمامی نیازهای سیستم به سیستم عامل ویندوز و وجود کلید الکترونیکی برای کاربر کاهش می‌یابد و در صورت احراز هویت بیومتریک، یک خواننده اثر انگشت نیز وجود دارد که مثلاً ممکن است قبلاً در لپ‌تاپ شما تعبیه شده باشد.

برای احراز هویت ما از نرم افزار توسعه خود استفاده خواهیم کرد - JaCarta SecurLogon و یک کلید الکترونیکی JaCarta PKI به عنوان یک احراز هویت. ابزار رمزگذاری استاندارد EFS ویندوز خواهد بود، دسترسی به فایل های رمزگذاری شده نیز از طریق کلید JaCarta PKI (همان مورد استفاده برای احراز هویت) انجام می شود.

به یاد بیاورید که JaCarta SecurLogon یک راه حل نرم افزاری و سخت افزاری از Aladdin RD است که توسط FSTEC روسیه تایید شده است، که امکان انتقال ساده و سریع از احراز هویت تک عاملی بر اساس جفت ورود به سیستم رمز عبور به احراز هویت دو مرحله ای در سیستم عامل با استفاده از توکن های USB را فراهم می کند. یا کارت های هوشمند ماهیت راه حل بسیار ساده است - JSL یک رمز عبور پیچیده (~ 63 کاراکتر) تولید می کند و آن را در حافظه محافظت شده کلید الکترونیکی می نویسد. در این حالت ممکن است رمز عبور برای خود کاربر مشخص نباشد، کاربر فقط کد پین را می داند. با وارد کردن پین در حین احراز هویت، قفل دستگاه باز می شود و رمز عبور برای احراز هویت به سیستم ارسال می شود. در صورت تمایل، می توانید با اسکن اثر انگشت کاربر، ورودی پین را جایگزین کنید و همچنین می توانید از ترکیب پین + اثر انگشت استفاده کنید.

EFS، مانند JSL، می تواند در حالت مستقل کار کند، بدون نیاز به چیزی غیر از خود سیستم عامل. همه سیستم عامل های مایکروسافت از خانواده NT، از ویندوز 2000 و جدیدتر (به جز نسخه های خانگی)، دارای فناوری رمزگذاری داده داخلی، EFS (سیستم فایل رمزگذاری) هستند. رمزگذاری EFS بر اساس قابلیت های سیستم فایل NTFS و معماری CryptoAPI است و برای رمزگذاری سریع فایل ها بر روی هارد دیسک کامپیوتر طراحی شده است. رمزگذاری EFS از کلیدهای خصوصی و عمومی کاربر استفاده می کند که زمانی که کاربر برای اولین بار از تابع رمزگذاری استفاده می کند، ایجاد می شود. این کلیدها تا زمانی که حساب کاربری او وجود دارد بدون تغییر باقی می مانند. هنگام رمزگذاری یک فایل، EFS به طور تصادفی یک عدد منحصر به فرد تولید می کند، به اصطلاح کلید رمزگذاری فایل (FEK) با طول 128 بیت که فایل ها با آن رمزگذاری می شوند. FEK ها با یک کلید اصلی رمزگذاری می شوند که با کلید کاربران سیستمی که به فایل دسترسی دارند رمزگذاری می شود. کلید خصوصی کاربر توسط هش رمز عبور کاربر محافظت می شود. داده های رمزگذاری شده با EFS را فقط می توان با استفاده از همان حساب ویندوز با همان رمز عبوری که رمزگذاری از آن انجام شده است رمزگشایی کرد. و اگر گواهی رمزگذاری و کلید خصوصی را روی یک رمز USB یا کارت هوشمند ذخیره می‌کنید، برای دسترسی به فایل‌های رمزگذاری‌شده به این رمز USB یا کارت هوشمند نیز نیاز خواهید داشت که مشکل به خطر انداختن رمز عبور را حل می‌کند، زیرا به یک دستگاه اضافی نیاز خواهید داشت. در قالب یک کلید الکترونیکی

احراز هویت

همانطور که قبلاً اشاره شد، برای پیکربندی نیازی به AD یا مرجع صدور گواهینامه ندارید، به هر ویندوز مدرن، توزیع JSL و مجوز نیاز دارید. راه اندازی بسیار ساده است.

باید فایل لایسنس را نصب کنید.

افزودن نمایه کاربر

و شروع به استفاده از احراز هویت دو مرحله ای کنید.

احراز هویت بیومتریک

امکان استفاده از احراز هویت بیومتریک اثر انگشت وجود دارد. این راه حل روی فناوری Match On Card کار می کند. هش اثر انگشت در طول اولیه سازی اولیه روی کارت نوشته می شود و متعاقباً در برابر نسخه اصلی تأیید می شود. نقشه را جایی رها نمی کند، در برخی پایگاه داده ها ذخیره نمی شود. برای باز کردن قفل چنین کلیدی، از اثر انگشت یا ترکیبی از پین + اثر انگشت، پین یا اثر انگشت استفاده می‌شود.

برای شروع استفاده از آن، فقط باید کارت را با پارامترهای لازم مقداردهی اولیه کنید، اثر انگشت کاربر را ثبت کنید.

در آینده، همان پنجره قبل از ورود به سیستم عامل ظاهر می شود.

در مثال حاضر، کارت با امکان احراز هویت با اثر انگشت یا کد پین، همانطور که توسط پنجره احراز هویت نشان داده شده است، مقداردهی اولیه می شود.

پس از ارائه اثر انگشت یا پین کد، کاربر وارد سیستم عامل می شود.

رمزگذاری داده ها

راه اندازی EFS نیز چندان دشوار نیست، به تنظیم گواهی و صدور آن به یک کلید الکترونیکی و راه اندازی دایرکتوری های رمزگذاری مربوط می شود. به طور معمول، شما نیازی به رمزگذاری کل درایو ندارید. فایل‌های واقعاً مهم که دسترسی به آنها برای اشخاص ثالث مطلوب نیست، معمولاً در دایرکتوری‌های جداگانه قرار دارند و در سراسر دیسک پراکنده نیستند.

برای صدور گواهی رمزگذاری و کلید خصوصی، یک حساب کاربری باز کنید، - مدیریت گواهی های رمزگذاری فایل را انتخاب کنید. در ویزاردی که باز می شود، یک گواهی خودامضا روی کارت هوشمند ایجاد کنید. از آنجایی که ما همچنان از کارت هوشمند با اپلت BIO استفاده می کنیم، باید اثر انگشت یا پین خود را برای نوشتن گواهی رمزگذاری ارائه کنیم.

در مرحله بعد دایرکتوری هایی را که با گواهینامه جدید مرتبط می شوند را مشخص کنید، در صورت لزوم می توانید تمام درایوهای منطقی را مشخص کنید.

خود دایرکتوری رمزگذاری شده و فایل های موجود در آن با رنگ های متفاوت برجسته می شوند.

دسترسی به فایل ها تنها با حضور یک کلید الکترونیکی، با ارائه اثر انگشت یا کد پین، بسته به آنچه انتخاب شده است، انجام می شود.

این کل تنظیمات را تکمیل می کند.

شما می توانید از هر دو سناریو (احراز هویت و رمزگذاری) استفاده کنید، می توانید در یک چیز متوقف شوید.