پشت زره دوتایی احراز هویت دو مرحله ای خدمات دامنه اکتیو دایرکتوری

نظرات و توضیحات فوق‌العاده خوبی را از یکی از دوستان دریافت کردم که مایل بود ناشناس بماند:
1) در همان ابتدای پیکربندی سرور، دستور را وارد کنید:
multiotp.exe -debug -config default-request-prefix-pin = 0 display-log = 1 بعد از آن نیازی به وارد کردن پین کد هنگام تنظیم کاربر نیست و نمایش گزارش هر عملیات به کنسول روشن شد

2) با استفاده از این دستور می توانید زمان استفاده از رمز عبور را برای کاربرانی که اشتباه کرده اند (پیش فرض 30 ثانیه) تنظیم کنید:
multiotp.exe -debug -config شکست- delayed-time = 60
3) آنچه در برنامه Google Authenticator بالای 6 رقم نوشته می شود صادر کننده نامیده می شود، می توانید از MultiOTP پیش فرض به چیز دیگری تغییر دهید:
multiotp.exe -debug -config صادرکننده = دیگر
4) پس از انجام عملیات، دستور ایجاد کاربر کمی ساده تر می شود:
multiotp.exe -debug -create user TOTP 12312312312312312321 6 (زمان به روز رسانی ارقام را 30 ثانیه تنظیم نمی کنم، به نظر می رسد به طور پیش فرض 30 باشد).

5) هر کاربر می تواند توضیحات (متن زیر اعداد در برنامه Google Auth) را تغییر دهد:
multiotp.exe -set توضیحات نام کاربری = 2
6) کدهای QR را می توان مستقیماً در برنامه ایجاد کرد:
multiotp.exe -qrcode نام کاربری c: \ multiotp \ qrcode \ user.png: \ multiotp \ qrcode \ user.png
7) می توانید نه تنها از TOTP، بلکه از HOTP نیز استفاده کنید (ورودی تابع هش زمان فعلی نیست، بلکه مقدار شمارنده افزایشی است):
multiotp.exe -debug -ایجاد نام کاربری HOTP 12312312312312312321 6

امروز به شما می گوییم که چگونه می توانید به سرعت و به راحتی احراز هویت دو مرحله ای را تنظیم کنید و داده های مهم را رمزگذاری کنید، حتی با قابلیت استفاده از بیومتریک. این راه حل برای شرکت های کوچک یا فقط برای یک رایانه شخصی یا لپ تاپ مرتبط خواهد بود. مهم است که برای این کار ما به زیرساخت کلید عمومی (PKI)، سروری با نقش یک مرجع گواهی (سرویس های گواهی) نیازی نداریم و حتی به یک دامنه (Active Directory) نیاز نداریم. تمامی نیازهای سیستم به سیستم عامل ویندوز و وجود کلید الکترونیکی برای کاربر کاهش می‌یابد و در صورت احراز هویت بیومتریک، یک خواننده اثر انگشت نیز وجود دارد که مثلاً ممکن است قبلاً در لپ‌تاپ شما تعبیه شده باشد.

برای احراز هویت ما از نرم افزار توسعه خود استفاده خواهیم کرد - JaCarta SecurLogon و یک کلید الکترونیکی JaCarta PKI به عنوان یک احراز هویت. ابزار رمزگذاری استاندارد EFS ویندوز خواهد بود، دسترسی به فایل های رمزگذاری شده نیز از طریق کلید JaCarta PKI (همان مورد استفاده برای احراز هویت) انجام می شود.

به یاد بیاورید که JaCarta SecurLogon یک راه حل نرم افزاری و سخت افزاری از Aladdin RD است که توسط FSTEC روسیه تایید شده است، که امکان انتقال ساده و سریع از احراز هویت تک عاملی بر اساس جفت ورود به سیستم رمز عبور به احراز هویت دو مرحله ای در سیستم عامل با استفاده از توکن های USB را فراهم می کند. یا کارت های هوشمند ماهیت راه حل بسیار ساده است - JSL یک رمز عبور پیچیده (~ 63 کاراکتر) تولید می کند و آن را در حافظه محافظت شده کلید الکترونیکی می نویسد. در این حالت ممکن است رمز عبور برای خود کاربر مشخص نباشد، کاربر فقط کد پین را می داند. با وارد کردن پین در حین احراز هویت، قفل دستگاه باز می شود و رمز عبور برای احراز هویت به سیستم ارسال می شود. در صورت تمایل، می توانید با اسکن اثر انگشت کاربر، ورودی پین را جایگزین کنید و همچنین می توانید از ترکیب پین + اثر انگشت استفاده کنید.

EFS، مانند JSL، می تواند در حالت مستقل کار کند، بدون نیاز به چیزی غیر از خود سیستم عامل. همه سیستم عامل های مایکروسافت از خانواده NT، از ویندوز 2000 و جدیدتر (به جز نسخه های خانگی)، دارای فناوری رمزگذاری داده داخلی، EFS (سیستم فایل رمزگذاری) هستند. رمزگذاری EFS بر اساس قابلیت های سیستم فایل NTFS و معماری CryptoAPI است و برای رمزگذاری سریع فایل ها بر روی هارد دیسک کامپیوتر طراحی شده است. رمزگذاری EFS از کلیدهای خصوصی و عمومی کاربر استفاده می کند که زمانی که کاربر برای اولین بار از تابع رمزگذاری استفاده می کند، ایجاد می شود. این کلیدها تا زمانی که حساب کاربری او وجود دارد بدون تغییر باقی می مانند. هنگام رمزگذاری یک فایل، EFS به طور تصادفی یک عدد منحصر به فرد تولید می کند، به اصطلاح کلید رمزگذاری فایل (FEK) با طول 128 بیت که فایل ها با آن رمزگذاری می شوند. FEK ها با یک کلید اصلی رمزگذاری می شوند که با کلید کاربران سیستمی که به فایل دسترسی دارند رمزگذاری می شود. کلید خصوصی کاربر توسط هش رمز عبور کاربر محافظت می شود. داده های رمزگذاری شده با EFS را فقط می توان با استفاده از همان حساب ویندوز با همان رمز عبوری که رمزگذاری از آن انجام شده است رمزگشایی کرد. و اگر گواهی رمزگذاری و کلید خصوصی را روی یک توکن USB یا کارت هوشمند ذخیره می‌کنید، برای دسترسی به فایل‌های رمزگذاری شده به این رمز USB یا کارت هوشمند نیز نیاز خواهید داشت که مشکل به خطر انداختن رمز عبور را حل می‌کند، زیرا به یک دستگاه اضافی نیاز دارید. در قالب یک کلید الکترونیکی

احراز هویت

همانطور که قبلاً اشاره شد، برای پیکربندی نیازی به AD یا مرجع صدور گواهینامه ندارید، به هر ویندوز مدرن، توزیع JSL و مجوز نیاز دارید. راه اندازی بسیار ساده است.

باید فایل لایسنس را نصب کنید.

افزودن نمایه کاربر

و شروع به استفاده از احراز هویت دو مرحله ای کنید.

احراز هویت بیومتریک

امکان استفاده از احراز هویت بیومتریک اثر انگشت وجود دارد. این راه حل روی فناوری Match On Card کار می کند. هش اثر انگشت در طول اولیه سازی اولیه روی کارت نوشته می شود و متعاقباً در برابر نسخه اصلی تأیید می شود. نقشه را جایی رها نمی کند، در برخی پایگاه داده ها ذخیره نمی شود. برای باز کردن قفل چنین کلیدی، از اثر انگشت یا ترکیبی از پین + اثر انگشت، پین یا اثر انگشت استفاده می‌شود.

برای شروع استفاده از آن، فقط باید کارت را با پارامترهای لازم مقداردهی اولیه کنید، اثر انگشت کاربر را ثبت کنید.

در آینده، همان پنجره قبل از ورود به سیستم عامل ظاهر می شود.

در مثال حاضر، کارت با امکان احراز هویت با اثر انگشت یا کد پین، همانطور که توسط پنجره احراز هویت نشان داده شده است، مقداردهی اولیه می شود.

پس از ارائه اثر انگشت یا پین کد، کاربر وارد سیستم عامل می شود.

رمزگذاری داده ها

راه اندازی EFS نیز چندان دشوار نیست، به تنظیم گواهی و صدور آن به یک کلید الکترونیکی و راه اندازی دایرکتوری های رمزگذاری مربوط می شود. به طور معمول، شما نیازی به رمزگذاری کل درایو ندارید. فایل‌های واقعاً مهم که دسترسی به آنها برای اشخاص ثالث مطلوب نیست، معمولاً در دایرکتوری‌های جداگانه قرار دارند و در سراسر دیسک پراکنده نیستند.

برای صدور گواهی رمزگذاری و کلید خصوصی، یک حساب کاربری باز کنید، - مدیریت گواهی های رمزگذاری فایل را انتخاب کنید. در ویزاردی که باز می شود، یک گواهی خودامضا روی کارت هوشمند ایجاد کنید. از آنجایی که ما همچنان از کارت هوشمند با اپلت BIO استفاده می کنیم، باید اثر انگشت یا پین خود را برای نوشتن گواهی رمزگذاری ارائه کنیم.

در مرحله بعد دایرکتوری هایی را که با گواهینامه جدید مرتبط می شوند را مشخص کنید، در صورت لزوم می توانید تمام درایوهای منطقی را مشخص کنید.

خود دایرکتوری رمزگذاری شده و فایل های موجود در آن با رنگ های متفاوت برجسته می شوند.

دسترسی به فایل ها تنها با حضور یک کلید الکترونیکی، با ارائه اثر انگشت یا کد پین، بسته به آنچه انتخاب شده است، انجام می شود.

این کل تنظیمات را تکمیل می کند.

شما می توانید از هر دو سناریو (احراز هویت و رمزگذاری) استفاده کنید، می توانید در یک چیز متوقف شوید.

واقعیت های کشورهایی که اکثر خابرووی ها در آن زندگی می کنند به گونه ای است که نگهداری سرورهایی با اطلاعات مهم در خارج از کشور تجارت به شکل خوبی تبدیل شده است که به شما امکان می دهد اعصاب و داده های خود را ذخیره کنید.

اولین سوالی که هنگام انتقال به ابر پس از رمزگذاری داده ها یا شاید حتی قبل از آن مطرح می شود، تضمین این است که دسترسی به داده ها با حساب کاربری توسط کاربر انجام می شود و نه توسط شخص دیگری. و اگر یک روش خوب برای رمزگذاری داده های میزبانی شده در یک ابر خصوصی در مقاله ای توسط همکار من مورد بحث قرار گیرد، پس با احراز هویت همه چیز پیچیده تر است.

درباره کاربران و روش های حفاظت

ماهیت یک کاربر معمولی به گونه ای است که نگرش به ایمنی رمزهای عبور از حساب ها کاملاً بیهوده است و رفع آن غیرممکن است. تجربه ما نشان می دهد که حتی اگر یک شرکت سیاست های سختگیرانه، آموزش کاربر و غیره داشته باشد، باز هم یک دستگاه رمزگذاری نشده وجود دارد که از دیوارهای دفتر خارج شده است و با نگاه کردن به لیست محصولات یک شرکت معروف، متوجه می شوید که استخراج رمز عبور از یک دستگاه رمزگذاری نشده فقط موضوع زمان است.

برخی از شرکت‌ها برای کنترل دسترسی به داده‌ها در فضای ابری، تونل‌هایی بین ابر و دفتر ایجاد می‌کنند، دسترسی از راه دور را ممنوع می‌کنند https://habrahabr.ru/company/pc-administrator/blog/320016/. به نظر ما، این یک راه حل کاملاً بهینه نیست، اولاً برخی از مزایای راه حل ابری از بین می رود و ثانیاً مشکلات عملکردی وجود دارد که در مقاله ذکر شده است.

راه حل با استفاده از سرور ترمینال و دروازه دسکتاپ از راه دور (RDG)انعطاف پذیرتر، می توانید سطح بالایی از امنیت را پیکربندی کنید، همانطور که همکار من https://habrahabr.ru/post/134860/ توضیح داده است (مقاله 2011، اما خود اصل هنوز هم مرتبط است). این روش به شما امکان می دهد از انتقال داده ها از فضای ابری جلوگیری کنید، اما محدودیت هایی را برای کار کاربر ایجاد می کند و مشکل احراز هویت را به طور کامل حل نمی کند، بلکه یک راه حل DLP است.

شاید بهترین راه برای اطمینان از اینکه یک مهاجم تحت یک حساب کاربری اجرا نمی شود این باشد احراز هویت دو عاملی... مقالات همکار من https://habrahabr.ru/post/271259/ https://habrahabr.ru/post/271113/ راه اندازی MFA از مایکروسافت و گوگل را برای VPN مشتری توضیح می دهد. روش خوب است، اما، اولا، به CISCO ASA نیاز دارد، که اجرای آن همیشه آسان نیست، به خصوص در ابرهای بودجه، و ثانیا، کار از طریق VPN ناخوشایند است. کار با یک جلسه ترمینال از طریق RDG بسیار راحت تر است و پروتکل رمزگذاری SSL نسبت به VPN از CISCO همه کاره تر و قابل اعتمادتر به نظر می رسد.

راه حل های زیادی با احراز هویت دو مرحله ای در خود سرور ترمینال وجود دارد، در اینجا نمونه ای از راه اندازی یک راه حل رایگان وجود دارد - http://servilon.ru/dvuhfaktornaya-autentifikaciya-otp/. این راه حل، متأسفانه، از طریق RDG کار نمی کند.

سرور RDG تأیید مجوز را از سرور MFA درخواست می کند. MFA بسته به روش احراز هویت انتخاب شده، تماس می گیرد، پیامک ارسال می کند یا درخواستی را به برنامه تلفن همراه ارسال می کند. کاربر درخواست دسترسی را تایید یا رد می کند. MFA نتیجه دومین عامل احراز هویت را به سرور RDG برمی گرداند.

نصب و پیکربندی Azure Multi-Factor Authentication Server

یک ارائه دهنده احراز هویت در پورتال Microsoft Azure ایجاد کنید

به Microsoft Azure بروید (حساب باید دارای اشتراک یا نسخه آزمایشی باشد) و تأیید اعتبار چند عاملی (MFA) را پیدا کنید.

در حال حاضر مدیریت MFA به نسخه جدید پورتال Azure اضافه نشده است، بنابراین نسخه قدیمی پورتال باز خواهد شد.

برای ایجاد یک ارائه دهنده احراز هویت چند عاملی جدید، روی "ایجاد → خدمات برنامه → دایرکتوری فعال → ارائه دهنده احراز هویت چند عاملی → ایجاد سریع" در پایین سمت چپ کلیک کنید. نام و مدل استفاده را ارائه دهید.

نحوه پرداخت هزینه به مدل استفاده بستگی دارد، یا بر اساس تعداد کاربران یا تعداد احراز هویت.

پس از ایجاد، MFA در لیست ظاهر می شود. سپس با کلیک بر روی دکمه مربوطه به مدیریت بروید.

به قسمت دانلودها بروید و سرور MFA را دانلود کنید

استقرار سرور MFA

سرور MFA باید روی ماشین مجازی متفاوت از سرور RDG نصب شود. سیستم عامل های قدیمی تر از Windows Server 2008 یا Windows 7 پشتیبانی می شوند. Microsoft .NET Framework 4.0 برای عملکرد مورد نیاز است.

آدرس های موجود در پورت 443 باید در دسترس باشد:

ما سرور MFA را نصب می کنیم، در حین نصب، جادوگر تنظیمات را رد می کنیم.

در اولین شروع، باید داده هایی را از حساب وارد کنید، که باید در صفحه دانلود سرور ایجاد شود.

در مرحله بعد، کاربران را اضافه کنید. برای این کار به قسمت Users رفته و بر روی Import from Active Directory کلیک کنید، Users to import را انتخاب کنید.

در صورت لزوم، می توانید اضافه شدن خودکار کاربران جدید را از AD پیکربندی کنید:

"ادغام دایرکتوری → همگام سازی → افزودن" و همچنین دایرکتوری را اضافه کنید که به طور خودکار در بازه زمانی مشخص شده همگام شود.

بیایید عملکرد سرور MFA را آزمایش کنیم. به بخش کاربران بروید. برای حساب خود، شماره تلفن را مشخص کنید (اگر قبلا تنظیم نشده است) و روش احراز هویت "تماس تلفنی" را انتخاب کنید. دکمه Test را فشار دهید و نام کاربری و رمز عبور خود را وارد کنید. باید با تلفن تماس بگیرد. ما به آن پاسخ می دهیم و # را فشار می دهیم.

پیکربندی سرور MFA برای کار با درخواست های Radius

به بخش Radius Authentication بروید و کادر Enable RADIUS Authentication را علامت بزنید.

یک کلاینت جدید اضافه کنید، آدرس IP سرور NPS و راز مشترک را مشخص کنید. اگر احراز هویت باید برای همه کاربران انجام شود، چک باکس مناسب را قرار دهید (در این حالت، همه کاربران باید به سرور MFA اضافه شوند).

همچنین باید مطمئن شوید که پورت های مشخص شده برای اتصال با پورت های مشخص شده در سرور NPS مطابقت دارند و توسط فایروال مسدود نشده اند.

به تب Target بروید و سرور Radius را اضافه کنید.

توجه: اگر سرور NPS مرکزی در شبکه وجود نداشته باشد، آدرس IP Radius مشتری و سرور یکسان خواهد بود.

پیکربندی سرور RDG و NPS برای کار در ارتباط با MFA

دروازه RD باید برای ارسال درخواست های Radius به سرور MFA پیکربندی شود. برای انجام این کار، ویژگی های دروازه را باز کنید و به تب "RDG CAP Store" بروید، "NPS is running on a central server" را انتخاب کنید و آدرس سرور MFA و راز مشترک را مشخص کنید.

سپس سرور NPS را پیکربندی می کنیم. بخش "Radius Clients and Servers → Remote Radius Server Groups" را گسترش دهید. ویژگی های "گروه سرور دروازه TS" را باز کنید (گروه هنگام تنظیم RDG ایجاد می شود) و سرور MFA ما را اضافه کنید.

هنگام اضافه کردن، در برگه "Load Balancing"، محدودیت های زمان پایان سرور را افزایش می دهیم. ما "تعداد ثانیه های بدون پاسخ، پس از آن درخواست حذف شده در نظر گرفته می شود" و "تعداد ثانیه های بین درخواست ها، که پس از آن سرور در دسترس نیست" را در محدوده 30-60 ثانیه تنظیم کردیم.

در تب "Authentication / Accounting"، صحت پورت های مشخص شده را بررسی می کنیم و کلید مخفی مشترک را تنظیم می کنیم.

حالا بیایید به بخش "Radius Clients and Servers → Radius Clients" برویم و با مشخص کردن "Friendly name"، آدرس و راز مشترک، یک سرور MFA اضافه کنیم.

به بخش "خط مشی ها → خط مشی های درخواست اتصال" بروید. این بخش باید حاوی خط مشی ایجاد شده در هنگام پیکربندی RDG باشد. این خط‌مشی درخواست‌های Radius را به سرور MFA هدایت می‌کند.

خط مشی را کپی کنید و به ویژگی های آن بروید. شرطی را اضافه کنید که «نام دوستانه مشتری» را با «نام دوستانه» مشخص شده در مرحله قبل مطابقت دهد.

در تب "تنظیمات"، ارائه دهنده خدمات احراز هویت را به سرور محلی تغییر دهید.

این خط مشی تضمین می کند که وقتی یک درخواست Radius از سرور MFA دریافت می شود، درخواست به صورت محلی پردازش می شود، بنابراین از درخواست های حلقه ای جلوگیری می شود.

ما بررسی می‌کنیم که این خط‌مشی بالاتر از خط‌مشی اصلی قرار گرفته باشد.

در این مرحله پیوند RDG و MFA عملیاتی است. مراحل زیر برای کسانی که باید بتوانند از احراز هویت اپلیکیشن موبایل استفاده کنند یا دسترسی کاربران را به برخی از تنظیمات احراز هویت چند عاملی از طریق پورتال کاربر فراهم کنند، لازم است.

نصب SDK، سرویس وب اپلیکیشن موبایل و پورتال کاربر

اتصال به این قطعات از طریق پروتکل HTTPS انجام می شود. بنابراین، در سرورهایی که در آن مستقر خواهند شد، باید گواهی SSL را نصب کنید.

پورتال سفارشی و وب سرویس برنامه تلفن همراه از SDK برای ارتباط با سرور MFA استفاده می کند.

نصب SDK

SDK روی سرور MFA نصب شده است و به IIS، ASP.NET، Basic Authentication نیاز دارد که ابتدا باید با استفاده از Server Manager نصب شود.

برای نصب SDK، به بخش Web Service SDK در سرور تأیید اعتبار چند عاملی بروید و روی دکمه نصب کلیک کنید، ویزارد نصب را دنبال کنید.

نصب وب سرویس اپلیکیشن موبایل

این سرویس برای تعامل برنامه تلفن همراه با سرور MFA مورد نیاز است. برای اینکه سرویس به درستی کار کند، رایانه ای که روی آن نصب می شود باید اتصال اینترنت داشته باشد و پورت 443 برای اتصال از اینترنت باز باشد.

فایل نصب سرویس در پوشه قرار دارد C: \ Program Files \ Azure Multi-Factor Authenticationدر رایانه ای که MFA نصب شده است. نصب کننده را راه اندازی کنید و ویزارد نصب را دنبال کنید. برای راحتی کاربران، می توانید نام دایرکتوری مجازی "MultiFactorAuthMobileAppWebService" را با نام کوتاه تر جایگزین کنید.

پس از نصب به پوشه بروید ج: \ inetpub \ wwwroot \ MultiFactorAuthMobileAppWebService و تغییر فایل web.config... در این فایل باید کلیدهای مسئول حساب موجود در گروه امنیتی PhoneFactor Admins را تنظیم کنید. این حساب برای اتصال به SDK استفاده خواهد شد.

در همان فایل باید آدرسی که SDK در آن موجود است را مشخص کنید.

توجه: اتصال به SDK با استفاده از پروتکل SSL انجام می شود، بنابراین باید با نام سرور (که در گواهی SSL مشخص شده است) به SDK مراجعه کنید و نه با آدرس IP. اگر درخواست با نام محلی انجام شده است، برای استفاده از گواهی SSL باید یک ورودی مناسب به فایل میزبان اضافه کنید.

آدرس اینترنتی که در آن سرویس وب برنامه تلفن همراه در دسترس است را به برنامه سرور احراز هویت چند عاملی در بخش برنامه موبایل اضافه کنید. این برای تولید صحیح کد QR در پورتال کاربر برای اتصال برنامه های تلفن همراه ضروری است.

همچنین در این بخش می‌توانید کادر «Enable OATH tokens» را علامت بزنید که به شما امکان می‌دهد از اپلیکیشن موبایل به‌عنوان توکن نرم‌افزار برای تولید رمزهای عبور یک‌بار مصرف بر اساس زمان استفاده کنید.

نصب پورتال سفارشی

نصب به IIS، ASP.NET و نقش متا سازگاری IIS 6 (برای IIS 7 یا جدیدتر) نیاز دارد.

اگر پورتال بر روی سرور MFA نصب شده است، کافی است به قسمت User Portal در سرور تأیید اعتبار چند مرحله ای بروید، دکمه نصب را کلیک کنید و ویزارد نصب را دنبال کنید. اگر رایانه به یک دامنه متصل شود، نصب کاربری ایجاد می‌کند که عضوی از گروه امنیتی PhoneFactor Admins است. این کاربر برای اتصال ایمن با SDK مورد نیاز است.

هنگام نصب بر روی سرور جداگانه، باید فایل نصب را از سرور MFA کپی کنید (فایل نصب در پوشه قرار دارد ج: \ فایلهای برنامه \ سرور تأیید اعتبار چند عاملی). فایل را نصب و ویرایش کنید web.configبه محل ج: \ inetpub \ wwwroot \ MultiFactorAuth... در این فایل باید کلید را تغییر دهید USE_WEB_SERVICE_SDKاز نادرست به درست جزئیات حساب گروه PhoneFactor Admins را در کلیدها مشخص کنید WEB_SERVICE_SDK_AUTHENTICATION_USERNAME و WEB_SERVICE_SDK_AUTHENTICATION_PASSWORD... و آدرس URL سرویس SDK را مشخص کنید، در صورت لزوم فراموش نکنید که فایل هاست را تصحیح کنید تا پروتکل SSL کار کند.

در قسمت User Portal آدرسی که در آن پورتال کاربر در دسترس است را به برنامه سرور تأیید اعتبار چند عاملی اضافه کنید.

نمایش نحوه عملکرد Azure MFA برای احراز هویت اتصالات RDG

ما کار وزارت امور خارجه را از سمت کاربر در نظر خواهیم گرفت. در مورد ما، دومین عامل احراز هویت برنامه تلفن همراه خواهد بود، زیرا شبکه سلولی دارای تعدادی آسیب پذیری است که با آماده سازی مناسب، امکان رهگیری تماس ها و پیامک ها را فراهم می کند.

اول از همه، کاربر باید به پورتال کاربر رفته و شماره تلفن خود را مشخص کند (اگر در AD مشخص نشده باشد) و اپلیکیشن موبایل را به حساب کاربری پیوند دهد. ما به پورتال زیر حساب خود می رویم و پاسخ سوالات محرمانه را وارد می کنیم (در صورت بازگرداندن دسترسی به حساب به آنها نیاز خواهیم داشت).

بعد، روش احراز هویت، در مورد ما برنامه تلفن همراه را انتخاب کنید و روی دکمه "ایجاد کد فعال سازی" کلیک کنید. یک کد QR ایجاد خواهد شد که باید در برنامه تلفن همراه اسکن شود.

از آنجایی که هنگام وارد کردن کاربران به سرور MFA، احراز هویت با استفاده از یک کد پین تنظیم شده است، از ما خواسته می شود که یک کد را ایجاد کنیم. پین کد مورد نظر را وارد کرده و روی "Check my authenticity" کلیک کنید. در اپلیکیشن موبایل باید درخواستی که ظاهر می شود را تایید کنید. پس از این اقدامات، ما یک برنامه متصل به حساب کاربری و دسترسی کامل به پورتال برای تغییر تنظیمات شخصی داریم.

رمزهای عبور می توانند یک دردسر امنیتی بزرگ باشندو قابلیت مدیریت برای مدیران فناوری اطلاعات شرکت ها و سازمان ها. کاربران اغلب رمزهای عبور ساده ایجاد می کنند یا رمزهای عبور را یادداشت می کنند تا آنها را فراموش نکنند. علاوه بر این، تنها تعداد کمی از روش های بازنشانی رمز عبور موثر و ایمن هستند. با توجه به این محدودیت ها، چگونه می توانید این نوع نگرانی های امنیتی را زمانی که دسترسی به شبکه توسط کاربران از راه دور انجام می شود، کاهش دهید؟ چگونه می توانید راه حل های رمز عبور شرکت خود را با دانستن اینکه بسیاری از کاربران رمز عبور خود را یادداشت می کنند، ایمن تر کنید؟

یک راه حل وجود دارد - این مقدمه ای در سازماندهی یک سیستم حفاظت از دسترسی اضافی بر اساس ورودی رمزهای عبور یک بار مصرف (OTP - One Time Password) است که در دستگاه تلفن همراه کارمند شما ایجاد می شود. انتقال به احراز هویت مبتنی بر رمز عبور یک‌باره معمولاً زمانی اتفاق می‌افتد که درک شود که رمزهای عبور استاندارد بلندمدت از نظر امنیتی کافی نیستند و در عین حال، استفاده از کارت‌های هوشمند محدود است، به عنوان مثال، در شرایط استفاده گسترده از مشتریان تلفن همراه.

شرکت ما یک راه حل تکنولوژیکی ایجاد کرده استکه به شما امکان می دهد به دست آورید خط حفاظت اضافی برای سرور ترمینال یا سرور 1C بر اساس رمزهای عبور یک بار مصرف که کارمندان از راه دور به آن متصل می شوند.

محدوده کار بر روی استقرار و پیکربندی سیستم OTP

بر روی سرور شما، نرم افزار تخصصی نصب و پیکربندی شده است تا سیستم احراز هویت دسترسی بر اساس رمزهای عبور یکبار مصرف (OTP) را اجرا کند. کلیه کارکنان سازمان که نیاز به دسترسی به سرور دارند وارد سیستم OTP می شوند. برای هر کارمند، راه اندازی اولیه تلفن همراه با نصب برنامه ای برای تولید رمز یک بار مصرف انجام می شود.

هزینه معرفی به سازمان یک سیستم احراز هویت دسترسی به سرور ترمینال یا سرور 1C بر اساس رمزهای عبور یکبار مصرف (OTP) آغاز می شود. از 6 400 روبل.

در مواردی که سیستم OTP همراه با اجاره زیرساخت در "ابر" امن ما مستقر می شود، تخفیف در اجرای سیستم حفاظتی رمز یکبار مصرف (OTP) می تواند به 50٪ برسد..

رمزهای عبور یکبار مصرف - یک لایه اضافی از امنیت داده ها

یک رمز عبور سنتی و ثابت معمولاً فقط در صورت لزوم تغییر می کند: یا زمانی که منقضی می شود یا زمانی که کاربر آن را فراموش کرده و می خواهد آن را بازنشانی کند. از آنجایی که رمزهای عبور بر روی هارد دیسک های کامپیوتر ذخیره می شوند و در سرور ذخیره می شوند، در برابر هک آسیب پذیر هستند. این مشکل به ویژه برای رایانه های لپ تاپ حاد است، زیرا می توان آنها را به راحتی به سرقت برد. بسیاری از شرکت ها به کارمندان رایانه های لپ تاپ می دهند و شبکه های آنها را برای دسترسی از راه دور باز می کنند. آنها همچنین کارکنان و تامین کنندگان موقت را استخدام می کنند. در چنین محیطی، یک راه حل ساده رمز عبور ثابت به یک نقطه ضعف تبدیل می شود.
بر خلاف رمز عبور ثابت، رمز عبور یک بار مصرف هر بار که کاربر وارد سیستم می شود تغییر می کند و فقط برای مدت زمان کوتاهی (30 ثانیه) معتبر است. رمزهای عبور خود با استفاده از یک الگوریتم پیچیده بسته به متغیرهای زیادی ایجاد و رمزگذاری می شوند: زمان، تعداد ورودی های موفق / ناموفق، اعداد تولید شده به طور تصادفی و غیره. این رویکرد به ظاهر پیچیده به اقدامات ساده ای از کاربر نیاز دارد - برنامه خاصی را روی تلفن خود نصب کنید که یک بار با سرور همگام شده و سپس یک رمز عبور یک بار مصرف ایجاد می کند. با هر ورود موفق جدید، مشتری و سرور به طور خودکار مستقل از یکدیگر با استفاده از یک الگوریتم خاص دوباره همگام می شوند. شمارنده هر بار که لازم است دستگاه دارای مقدار OTP باشد افزایش می یابد و هنگامی که کاربر می خواهد وارد سیستم شود، OTP نمایش داده شده در دستگاه تلفن همراه خود را وارد می کند.

روش های امنیتی هنگام استفاده از احراز هویت رمز عبور. برای محافظت از رمزهای عبور در برابر هک، باید سیاست مناسب را پیکربندی کنید. برای انجام این کار، از منوی Start-> Administrative Tools-> Group Policy Management برای راه اندازی GPMC استفاده کنید، GPO مورد نیاز را در قسمت Computer Configuration-> Policies-> Security Settings-> Account Policies-> Password Policy را انتخاب کنید. 1 (تنظیمات رمز عبور را مدیریت کنید).

برنج. 1 تنظیمات رمز عبور را مدیریت کنید.

شما می توانید حداقل طول رمز عبور را تعیین کنید، که به ما امکان می دهد از رمزهای عبور کوتاه اجتناب کنیم (کمترین کلمه عبور طول). برای اینکه کاربر رمزهای عبور پیچیده را تنظیم کند، شرط پیچیدگی باید فعال باشد (کلمه عبور باید ملاقات پیچیدگی الزامات).

برای اطمینان از تغییرات منظم رمز عبور، باید حداکثر طول عمر آن را تنظیم کنید (بیشترین کلمه عبور سن).

برای اینکه کاربران رمزهای عبور قدیمی را تکرار نکنند، باید ذخیره سازی تاریخچه رمز عبور را پیکربندی کنید (اجرا شود کلمه عبور تاریخ) .

و در نهایت برای اینکه کاربر با تغییر چندباره رمز عبور خود را به رمز قبلی تغییر ندهد، حداقل مدتی را تعیین کنید که طی آن رمز عبور قابل تغییر نباشد. (کمترین کلمه عبور سن).

به منظور محافظت در برابر حملات فرهنگ لغت، هنگامی که رمز عبور به طور مکرر اشتباه وارد می شود، مسدود شدن حساب را پیکربندی می کنیم. برای این کار در GPMC قسمت GPO مورد نیاز را انتخاب کنید کامپیوتر پیکربندی-> سیاست های-> امنیت تنظیمات-> حساب سیاست های-> حساب قفل کردن خط مشی ... شکل 2 (مدیریت قفل حساب کاربری).

برنج. 2 قفل حساب کاربری را مدیریت کنید.

برای پیکربندی انسداد نهایی یک حساب (تا زمانی که توسط سرپرست رفع انسداد شود)، مقدار صفر را برای پارامتر مدت زمان مسدود کردن تنظیم کنید. (حساب قفل کردن مدت زمان).

در شمارنده تعداد تلاش های ناموفق برای ورود به شبکه (حساب قفل کردن آستانه) باید مقدار مورد نیاز را مشخص کنید. در بیشتر موارد، 3-5 تلاش برای ورود قابل قبول است.

در نهایت، فاصله تنظیم مجدد شمارنده تلاش های ناموفق باید تنظیم شود. (بازنشانی کنید حساب قفل کردن پیشخوان بعد از).

برای محافظت در برابر اسب های تروجان، باید از ابزارهای آنتی ویروس استفاده کنید و نرم افزارهای غیرمجاز را مسدود کنید.

برای محدود کردن توانایی کاربران برای وارد کردن ویروس ها به سیستم اطلاعات، توجیه می شود: تعیین ممنوعیت کار با دستگاه های خارجی (CD، DVD، Flash)، حالت سختگیرانه UAC، استفاده از کیوسک های اینترنتی مستقل مبتنی بر رایانه هایی که بخشی نیستند. از شبکه کار و در نهایت، معرفی مقررات کاری سختگیرانه ای که قوانین کار کاربران در شبکه شرکتی را تعریف می کند (ممنوع از انتقال اعتبار آنها به دیگران، ممنوعیت گذاشتن اعتبار آنها در مکان های قابل دسترس، الزام مسدود کردن اجباری ایستگاه کاری هنگام خروج از محل کار و غیره) . P.).

در نتیجه، ما قادر خواهیم بود به کاهش خطرات مرتبط با نقض امنیت شرکت دست یابیم.

بیایید فرض کنیم همه اینها انجام شده است. با این وجود، هنوز خیلی زود است که بگوییم ما موفق به ارائه احراز هویت امن در سیستم خود شده ایم.

عامل انسانی بزرگترین تهدید است.

تهدیدهایی هم وجود دارد که نتوانسته ایم با آنها مقابله کنیم. یکی از مهمترین آنها عامل انسانی است. کاربران سیستم های اطلاعاتی ما همیشه به اندازه کافی هوشیار نیستند و علیرغم توضیحات مدیران امنیتی، اعتبار خود (نام کاربری و رمز عبور) را ثبت می کنند و به محرمانه بودن این اطلاعات محرمانه اهمیتی نمی دهند. من بیش از یک بار استیکرها را روی مانیتور دیده‌ام، به شکل. 3، یا زیر صفحه کلید به شکل. 4 با نام کاربری و رمز عبور.

برنج. 3. یک هدیه فوق العاده برای یک مزاحم، اینطور نیست؟

برنج. 4. هدیه دیگری برای سارق.

همانطور که می بینیم، رمزهای عبور طولانی و پیچیده در سیستم تعبیه شده است و آرایه انجمنی به وضوح قابل مشاهده نیست. با این حال، کاربران راهی "کارآمد" برای به خاطر سپردن و ذخیره اعتبار یافته اند ...

بنابراین، می بینید که در این مورد ویژگی که در بالا ذکر کردم دقیقاً کار می کند: رمزهای عبور طولانی و پیچیده ثبت می شوند و ممکن است به درستی ذخیره نشوند.

خودی

تهدید امنیتی مهم دیگر این است که مهاجم به طور فیزیکی به ایستگاه کاری کاربر قانونی دسترسی پیدا کند و اطلاعات محرمانه را به اشخاص ثالث منتقل کند. یعنی ما در مورد شرایطی صحبت می کنیم که یک کارمند در داخل شرکت وجود دارد که اطلاعات همکاران خود را می دزدد.

کاملاً بدیهی است که اطمینان از امنیت "فیزیکی" ایستگاه کاری کاربر بسیار دشوار است. شما به راحتی می توانید یک کی لاگر سخت افزاری را به شکستگی صفحه کلید متصل کنید، رهگیری سیگنال از صفحه کلیدهای بی سیم نیز امکان پذیر است. چنین دستگاه هایی وجود دارد. البته، هر کسی که وارد دفتر شرکت نمی شود، اما همه می دانند که خطرناک ترین آنها یک جاسوس داخلی است. او از قبل به سیستم شما دسترسی فیزیکی دارد و قرار دادن کی لاگر کار سختی نخواهد بود، به خصوص که این دستگاه ها در دسترس طیف وسیعی از افراد هستند. علاوه بر این، نمی توانید برنامه های کی لاگر را تخفیف دهید. از این گذشته، با وجود تمام تلاش های مدیران، امکان نصب چنین نرم افزارهای "جاسوس افزاری" منتفی نیست. آیا کاربر همیشه هنگام خروج از ایستگاه کاری خود ایستگاه کاری خود را قفل می کند؟ آیا مدیر سیستم اطلاعاتی موفق می شود از عدم تخصیص قدرت بیش از حد به کاربر اطمینان حاصل کند، به خصوص در مواقعی که نیاز به استفاده از محصولات نرم افزاری قدیمی است؟ آیا یک مدیر همیشه، به ویژه در یک شرکت کوچک، واجد شرایط اجرای توصیه های تولیدکنندگان نرم افزار و سخت افزار برای ساخت سیستم های اطلاعاتی ایمن است؟

بنابراین، می توانیم نتیجه بگیریم که احراز هویت رمز عبور به طور کلی غیر قابل اعتماد است. بنابراین احراز هویت چند عاملی لازم است و در این حالت به گونه ای که رمز عبور کاربر روی صفحه کلید تایپ نشود.

چه چیزی می تواند به ما کمک کند؟

منطقی است که احراز هویت دو مرحله ای را در نظر بگیرید: عامل اول داشتن رمز عبور است، دومین عامل آگاهی از کد پین است. رمز عبور دامنه دیگر روی صفحه کلید تایپ نمی شود، به این معنی که توسط کی لاگر رهگیری نمی شود. رهگیری رمز عبور دامنه مملو از امکان ورود است، رهگیری یک کد پین چندان خطرناک نیست، زیرا یک کارت هوشمند اضافی مورد نیاز است.

می توان ادعا کرد که کاربر ممکن است کارت خود را در خواننده رها کند و مانند قبل پین را روی استیکر بنویسد. با این حال، سیستم های کنترلی وجود دارند که می توانند کارت رها شده را همانطور که در دستگاه های خودپرداز پیاده سازی می شود، مسدود کنند. علاوه بر این، امکان قرار دادن پاس برای ورود / خروج از دفتر بر روی کارت وجود دارد، یعنی می توانیم از کارتی با برچسب RFID استفاده کنیم، در نتیجه سیستم احراز هویت را در سرویس دایرکتوری با سیستمی برای متمایز کردن دسترسی فیزیکی ترکیب کنیم. در این صورت کاربر برای بازکردن درب به کارت هوشمند یا توکن USB خود نیاز خواهد داشت، بنابراین باید آن را همیشه همراه خود داشته باشد.

علاوه بر این، راه‌حل‌های مدرن احراز هویت دو عاملی فراتر از توانایی احراز هویت به AD یا AD DS است. استفاده از کارت‌های هوشمند و کلیدهای USB در بسیاری از موارد دیگر نیز کمک می‌کند، به عنوان مثال، هنگام دسترسی به ایمیل عمومی، فروشگاه‌های آنلاین که در آن‌ها ثبت نام لازم است، برنامه‌هایی که خدمات فهرست راهنمای خود را دارند و غیره. و غیره.

بنابراین، یک وسیله عملاً جهانی برای احراز هویت می‌توان به دست آورد.

اجرای احراز هویت دو عاملی بر اساس رمزنگاری نامتقارن در AD DS.

Active Directory از Windows 2000 از احراز هویت کارت هوشمند پشتیبانی می کند.

در هسته خود، احراز هویت کارت هوشمند در پسوند PKINIT (راه اندازی اولیه کلید عمومی) برای پروتکل Kerberos RFC 4556 تعبیه شده است. پسوند PKINIT اجازه می دهد تا از گواهینامه های کلید عمومی در مرحله پیش احراز هویت Kerberos استفاده شود.

به لطف این، استفاده از کارت های هوشمند امکان پذیر می شود. یعنی می توانیم در مورد امکان احراز هویت دو مرحله ای در سیستم های مایکروسافت بر اساس ابزارهای استاندارد، با شروع ویندوز 2000 صحبت کنیم، زیرا طرح Kerberos + PKINIT قبلاً اجرا شده است.

توجه داشته باشید. پیش احراز هویتکربروس- فرآیندی که سطح بیشتری از امنیت را فراهم می کند. قبل از صدور انجام شده استTGT (بلیط اعطا بلیط) از سرور توزیع کلید (KDC). در پروتکل استفاده شده استکربروس v... 5 برای مقابله با حملات حدس زدن رمز عبور آفلاین. درباره نحوه عملکرد پروتکل بیشتر بدانیدکربروسرا می توان در RFC 4120 یافت.سیمتر

البته ما در مورد کامپیوترهای حوزه صحبت می کنیم. اگر هنگام کار در یک گروه کاری یا هنگام استفاده از نسخه های قبلی سیستم عامل ها نیاز به استفاده از احراز هویت دو مرحله ای وجود داشته باشد، باید به نرم افزارهای شخص ثالث مانند SafeNet (Aladdin) eToken Network Logon 5.1 مراجعه کنیم. سانتی متر.

ورود به سیستم می تواند با استفاده از سرویس دایرکتوری دامنه یا سرویس فهرست محلی ارائه شود. در این حالت رمز عبور کاربر روی صفحه کلید تایپ نمی شود، بلکه از محل ذخیره امن روی کارت هوشمند منتقل می شود.

احراز هویت کارت هوشمند از طریق افزونه Kerberos PKINIT اجرا می‌شود که الگوریتم‌های رمزنگاری نامتقارن را فعال می‌کند.

در مورد الزامات اجرای استفاده از کارت های هوشمند در ارتباط با PKINIT، برای سیستم عامل های Windows 2000، Windows 2003 Server به شرح زیر است:

· همه کنترل‌کننده‌های دامنه و همه رایانه‌های مشتری در جنگلی که راه‌حل ما در آن مستقر است، باید به مرجع صدور گواهینامه ریشه (مرجع صدور گواهی) اعتماد کنند.

مرجع صدور گواهینامه صادر کننده گواهی استفاده از کارت های هوشمند باید در فروشگاه NT Authority قرار گیرد.

گواهی باید حاوی شناسه های ورود به سیستم کارت هوشمند و تأیید هویت مشتری باشد

· گواهی کارت های هوشمند باید حاوی UPN کاربر باشد.

· گواهی و کلید خصوصی باید در قسمت های مربوطه کارت هوشمند قرار گیرد، در حالی که کلید خصوصی باید در قسمت امن کارت هوشمند باشد.

گواهی باید حاوی مسیر نقطه توزیع CRL باشد

· همه کنترل کننده های دامنه باید گواهینامه Domain Controller Authentication یا Kerberos Authentication را نصب کرده باشند، زیرا فرآیند احراز هویت متقابل مشتری و سرور اجرا می شود.

تعدادی از تغییرات در الزامات در سیستم عامل ها از ویندوز سرور 2008 رخ داده است:

دیگر نیازی به پسوند CRL در گواهی ورود به کارت هوشمند نیست

اکنون امکان برقراری ارتباط بین حساب کاربری و گواهینامه پشتیبانی می شود

نوشتن گواهی در هر بخش قابل دسترسی کارت هوشمند امکان پذیر است

· برنامه افزودنی EKU شامل Smart Card Logon OID نیست، در حالی که انصافاً باید توجه داشت که اگر قصد دارید از یک الگوی گواهی واحد برای مشتریان همه سیستم عامل ها استفاده کنید، البته، Smart Card Logon OID باید فعال باشد. .

چند کلمه در مورد خود روش ورود مشتری. اگر در مورد سیستم عامل های ویندوز ویستا و بالاتر صحبت کنیم، باید توجه داشت که تعدادی از تغییرات نیز در اینجا رخ داده است:

· ابتدا، زمانی که کارت هوشمند را در کارت خوان قرار می دهید یا کلید USB خود را به پورت USB وصل می کنید، فرآیند ورود به کارت هوشمند دیگر به طور خودکار شروع نمی شود، یعنی باید Ctrl + Alt + Delete را فشار دهید.

· ثانیا، توانایی جدید برای استفاده از هر شیار کارت هوشمند برای ذخیره گواهی ها، امکان انتخاب از میان انواع اشیاء شناسایی ذخیره شده در کارت را در اختیار کاربر قرار می دهد، در حالی که گواهی مورد نیاز فعلی به عنوان در دسترس برای استفاده نمایش داده می شود.

نتیجه گیری

بنابراین، ما چندین جنبه اصلی مربوط به بخش نظری احراز هویت دو مرحله‌ای را در خدمات دامنه Active Directory تجزیه و تحلیل کرده‌ایم و می‌توانیم خلاصه کنیم.

ایمن سازی فرآیند احراز هویت در سیستم بسیار مهم است. انواع شکستن رمز عبور که امروزه وجود دارد نیاز به احراز هویت چند عاملی را ایجاد می کند.

برای یک شرکت کوچک، شما می توانید خود را به یک سیاست سختگیرانه برای محافظت از اعتبار، معرفی نرم افزار ضد ویروس، محروم کردن کاربران از توانایی کار با رسانه های ذخیره سازی خارجی، جلوگیری از راه اندازی نرم افزارهای غیرمجاز، معرفی مقررات کاری کاربر و غیره محدود کنیم. و غیره.

وقتی صحبت از یک شرکت بزرگ یا شرکتی می شود که در آن منفعت آشکار از جانب مجرمان سایبری وجود دارد، این سرمایه ها کافی نیستند. اشتباهات و اطلاعات داخلی می تواند تلاش ها برای ایجاد یک سیستم امنیتی را تضعیف کند، بنابراین باید مسیر متفاوتی را طی کرد. از قبل منطقی است که در مورد اجرای احراز هویت امن صحبت کنیم.

استفاده از احراز هویت دو مرحله ای یک راه حل امنیتی خوب است.

ما یک فاکتور احراز هویت دوم داریم، علاوه بر کد پین، کاربر باید کارت هوشمند یا کلید USB نیز داشته باشد.

استفاده از کارت های هوشمند یا کلیدهای USB به ما این امکان را می دهد که احراز هویت دو مرحله ای را در هر دو محیط AD و AD DS ارائه دهیم.

در یکی از مقالات زیر، نحوه اجرای احراز هویت دو مرحله ای را در عمل به شما نشان خواهم داد. استقرار و پیکربندی یک زیرساخت مرجع صدور گواهی (PKI) بر اساس Windows Server 2008 Enterprise R2 را بررسی خواهیم کرد.

کتابشناسی - فهرست کتب.

Http://www.rfc-archive.org/getrfc.php?rfc=4556

Http://www.rfc-archive.org/getrfc.php?rfc=4120

http://www.aladdin.ru/catalog/etoken_products/logon

NCSC-TG-017 - "راهنمای درک شناسایی و احراز هویت در سیستم های مورد اعتماد" منتشر شده توسط U.S. مرکز ملی امنیت رایانه

RFC4120 - سرویس احراز هویت شبکه Kerberos (V5)

RFC4556 - رمزنگاری کلید عمومی برای احراز هویت اولیه در Kerberos (PKINIT)

برایان کومار ویندوز سرور 2008 PKI و امنیت گواهی

لئونید شاپیرو،
MCT، MCSE: S، MCSE: M، MCITP EA، TMS Certified Trainer