Windows dvofaktorska autentifikacija i enkripcija podataka bez CA i domene. Instalacija web usluge mobilne aplikacije

02.05.2019 Windows 7, XP

Stvarnosti u zemljama u kojima živi većina Khabrovića takve su da drže poslužitelje s njima važna informacija poslovanje izvan zemlje postalo je dobar oblik za uštedu vaših živaca i podataka.

Prvo pitanje koje se nameće pri prelasku u oblak nakon enkripcije podataka, a možda čak i prije nje, je jamstvo da pristup podacima s korisničkog računa obavlja korisnik, a ne netko drugi. A ako se o dobrom načinu šifriranja podataka smještenih u privatnom oblaku govori u članku mog kolege, onda je s autentifikacijom sve kompliciranije.

O korisnicima i načinima zaštite

Priroda tipičnog korisnika je takva da je stav o sigurnosti lozinki s računa prilično neozbiljan i nemoguće ga je popraviti. Naše iskustvo pokazuje da čak i ako tvrtka ima stroge politike, obuku korisnika itd., i dalje će postojati nešifrirani uređaj koji je napustio zidove ureda, a gledajući popis proizvoda poznate tvrtke, shvatite da izdvajanje lozinke s nekriptiranog uređaja samo je pitanje vremena.

Neke tvrtke za kontrolu pristupa podacima u oblaku uspostavljaju tunele između oblaka i ureda, zabranjuju daljinski pristup https://habrahabr.ru/company/pc-administrator/blog/320016/. Po našem mišljenju, ovo nije sasvim optimalno rješenje, prvo, neke od prednosti su izgubljene rješenja u oblaku i drugo, tu su problemi s izvedbom navedeni u članku.

Rješenje pomoću terminalskog poslužitelja i Pristupnik udaljene radne površine (RDG) fleksibilniji, može se prilagoditi visoka razina sigurnost, kako je opisao moj kolega https://habrahabr.ru/post/134860/ (članak iz 2011., ali sam princip je još uvijek relevantan). Ova metoda omogućuje sprječavanje prijenosa podataka iz oblaka, ali nameće ograničenja u radu korisnika i ne rješava u potpunosti problem autentifikacije, već je riječ o DLP rješenju.

Možda je najbolji način da osigurate da napadač ne radi pod korisničkim računom provjera autentičnosti s dva faktora... Članci mog kolege https://habrahabr.ru/post/271259/ https://habrahabr.ru/post/271113/ opisuju postavljanje MFA od Microsofta i Googlea za klijent VPN... Metoda je dobra, ali, prvo, zahtijeva CISCO ASA, što nije uvijek lako implementirati, posebno u proračunskim oblacima, a drugo, rad preko VPN-a je nezgodan. Rad s terminalskom sesijom putem RDG-a mnogo je udobniji, a protokol SSL enkripcije izgleda svestraniji i pouzdaniji od VPN-a iz CISCO-a.

Rješenja za provjeru autentičnosti s dva faktora su zapravo terminalski poslužitelj puno, evo primjera postavljanja besplatnog rješenja - http://servilon.ru/dvuhfaktornaya-autentifikaciya-otp/. Ovo rješenje, nažalost, ne funkcionira kroz RDG.

RDG poslužitelj traži potvrdu autorizacije od MFA poslužitelja. MFA, ovisno o odabranom načinu provjere autentičnosti, zove, šalje SMS ili šalje zahtjev mobilnoj aplikaciji. Korisnik odobrava ili odbija zahtjev za pristup. MFA vraća rezultat drugog faktora provjere autentičnosti RDG poslužitelju.

Instalirajte i konfigurirajte Azure poslužitelj višefaktorske provjere autentičnosti

Izradite davatelja provjere autentičnosti na portalu Microsoft Azure

Idite na Microsoft Azure (račun mora imati instaliranu pretplatu ili probnu verziju) i pronađite Multi-Factor Authentication (MFA).

Na ovaj trenutak Upravljanje MVP-om nije dodano u novu verziju Azure portala, pa će se otvoriti stara verzija portala.

Za izradu novog pružatelja višefaktorske provjere autentičnosti kliknite na "CREATE → Application Services → Active Directory → Multi-Factor Authentication Provider → Quick Create" u donjem lijevom kutu. Navedite naziv i model upotrebe.

Kako će se naplatiti plaćanje ovisi o modelu korištenja, bilo po broju korisnika ili po broju autentifikacija.

Nakon kreiranja, MFA će se pojaviti na popisu. Zatim idite na upravljanje klikom na odgovarajući gumb.

Idite na preuzimanja i preuzmite MFA poslužitelj

Postavljanje MFA poslužitelja

Morate instalirati MFA poslužitelj na virtualni stroj različit od RDG poslužitelja. Podržani su OS stariji od Windows Server 2008 ili Windows 7. Za rad je potreban Microsoft. NET Framework 4.0.

Adrese na portu 443 trebaju biti dostupne:

Instaliramo MFA poslužitelj, tijekom instalacije odbijamo čarobnjaka za postavke.

Prilikom prvog pokretanja potrebno je unijeti podatke s računa, koji se moraju generirati na stranici za preuzimanje poslužitelja.

Zatim dodajte korisnike. Da biste to učinili, idite na odjeljak Korisnici i kliknite na Uvezi iz Aktivni direktorij, odaberite korisnike za uvoz.

Ako je potrebno, možete prilagoditi automatsko dodavanje novi korisnici iz AD:

"Integracija imenika → Sinkronizacija → Dodaj", kao i dodajte direktorij koji će se automatski sinkronizirati u navedenom vremenskom intervalu.

Testirajmo izvedbu MFA poslužitelja. Idite na odjeljak Korisnici. Za svoj račun navedite telefonski broj (ako već nije postavljen) i odaberite metodu provjere autentičnosti "Telefonski poziv". Pritisnite gumb Test i unesite svoje korisničko ime i lozinku. Trebao bi doći poziv na telefon. Odgovaramo i pritisnemo #.

Konfiguriranje MFA poslužitelja za rad s Radius zahtjevima

Idite na odjeljak Radius Authentication i označite okvir Omogući RADIUS provjeru autentičnosti.

Dodajte novog klijenta, navodeći IP adresu NPS poslužitelja i zajedničku tajnu. Ako se provjera autentičnosti treba provesti za sve korisnike, stavite odgovarajući potvrdni okvir (u ovom slučaju sve korisnike treba dodati na MFA poslužitelj).

Također morate osigurati da portovi navedeni za vezu odgovaraju portovima navedenim na NPS poslužitelju i da nisu blokirani vatrozidom.

Ići Ciljna kartica i dodajte Radius poslužitelj.

Napomena: Ako nema središnjeg NPS poslužitelja na mreži, Radius IP adrese klijenta i poslužitelja bit će iste.

Konfiguriranje RDG i NPS poslužitelja za rad u suradnji s MFA

RD Gateway mora biti konfiguriran za slanje Radius zahtjeva MFA poslužitelju. Da biste to učinili, otvorite svojstva pristupnika i idite na karticu "RDG CAP Store", odaberite "NPS radi na središnjem poslužitelju" i navedite adresu MFA poslužitelja i zajedničku tajnu.

Zatim konfiguriramo NPS poslužitelj. Proširite odjeljak "Radius klijenti i poslužitelji → Grupe udaljenih radius poslužitelja". Otvorite svojstva "TS gateway server group" (grupa se kreira prilikom postavljanja RDG-a) i dodajte naš MFA poslužitelj.

Prilikom dodavanja, na kartici "Load Balancing" povećavamo ograničenja vremena čekanja poslužitelja. Postavljamo "Broj sekundi bez odgovora, nakon kojeg se zahtjev smatra odbačenim" i "Broj sekundi između zahtjeva, nakon čega se poslužitelj smatra nedostupnim" u rasponu od 30-60 sekundi.

Na kartici "Authentication / Accounting" provjeravamo ispravnost navedenih portova i postavljamo zajednički tajni ključ.

Sada idemo na odjeljak "Radius klijenti i poslužitelji → Radius klijenti" i dodajmo MFA poslužitelj, navodeći "Friendly name", adresu i zajedničku tajnu.

Idite na odjeljak "Pravila → Pravila zahtjeva za povezivanje". Ovaj odjeljak bi trebao sadržavati politiku kreiranu prilikom konfiguriranja RDG-a. Ovo pravilo usmjerava Radius zahtjeve na MFA poslužitelj.

Duplicirajte politiku i idite na njena svojstva. Dodajte uvjet koji odgovara "Client Friendly Name" s "Friendly name" navedenim u prethodnom koraku.

Na kartici "Postavke" promijenite davatelja usluge provjere autentičnosti na lokalni poslužitelj.

Ovo pravilo će osigurati da kada se zahtjev radiusa primi od MFA poslužitelja, zahtjev će biti obrađen lokalno, čime se izbjegavaju zahtjevi u petlji.

Provjeravamo je li ova politika postavljena iznad izvorne.

U ovoj fazi, veza RDG i MFA je operativna. Sljedeći su koraci potrebni za one koji trebaju moći koristiti autentifikaciju mobilna aplikacija ili dajte korisnicima pristup nekim od postavki višefaktorske provjere autentičnosti putem korisničkog portala.

Instalacija SDK-a, web-usluga za mobilne aplikacije i korisničkog portala

Povezivanje s ovim komponentama vrši se putem HTTPS protokola. Stoga, na poslužiteljima na kojima će biti raspoređeni morate instalirati SSL certifikat.

Prilagođeni portal i web-servis mobilne aplikacije koriste SDK za komunikaciju s MFA poslužiteljem.

Instalacija SDK-a

SDK je instaliran na MFA poslužitelju i zahtijeva IIS, ASP.NET, osnovnu provjeru autentičnosti, koji se prvo mora instalirati pomoću upravitelja poslužitelja.

Da biste instalirali SDK, idite na odjeljak SDK web-usluga na poslužitelju višefaktorske provjere autentičnosti i kliknite gumb za instaliranje, slijedite čarobnjak za instalaciju.

Instalacija web usluge mobilne aplikacije

Ova je usluga potrebna za interakciju mobilne aplikacije s MFA poslužiteljem. Da bi usluga ispravno radila, računalo na koje će se instalirati mora imati internetsku vezu i port 443 mora biti otvoren za povezivanje s interneta.

Datoteka za instalaciju usluge nalazi se u mapi C: \ Programske datoteke \ Azure višefaktorska provjera autentičnosti na računalu s instaliranim MFA. Pokrenite instalacijski program i slijedite čarobnjak za instalaciju. Radi praktičnosti korisnika, naziv virtualnog imenika "MultiFactorAuthMobileAppWebService" možete zamijeniti kraćim.

Nakon instalacije idite na mapu C: \ inetpub \ wwwroot \ MultiFactorAuthMobileAppWebService i izmijenite datoteku web.config... V ovu datoteku morate postaviti ključeve odgovorne za račun uključen u sigurnosnu grupu PhoneFactor Admins. Ovaj račun će se koristiti za povezivanje sa SDK-om.

U istoj datoteci morate navesti Url kojim je dostupan SDK.

Napomena: Veza sa SDK-om se ostvaruje pomoću SSL protokola, tako da se na SDK trebate pozivati po imenu poslužitelja (navedenom u SSL certifikatu), a ne po IP adresi. Ako je zahtjev upućen lokalnim imenom, morate dodati odgovarajući unos u datoteku hosts kako biste koristili SSL certifikat.

Dodajte URL na kojem je web-usluga mobilne aplikacije dostupna aplikaciji poslužitelja višefaktorske provjere u odjeljku Mobilna aplikacija. To je potrebno za ispravnu generaciju QR koda na korisničkom portalu za povezivanje mobilnih aplikacija.

Također u ovom odjeljku možete označiti okvir "Omogući OATH tokene", koji vam omogućuje korištenje mobilne aplikacije kao softverskog tokena za generiranje jednokratnih lozinki na temelju vremena.

Instalacija prilagođenog portala

Instalacija zahtijeva IIS, ASP.NET i ulogu kompatibilnosti meta IIS 6 (za IIS 7 ili noviji).

Ako je portal instaliran na MFA poslužitelju, dovoljno je otići u odjeljak Korisnički portal u Multi-Factor Authentication Server, kliknuti gumb za instaliranje i slijediti čarobnjak za instalaciju. Ako je računalo spojeno na domenu, instalacija će stvoriti korisnika koji je član PhoneFactor Admins sigurnosne grupe. Ovaj korisnik je potreban za sigurnu vezu sa SDK-om.

Kada instalirate na zasebnom poslužitelju, morate kopirati instalacijsku datoteku s MFA poslužitelja (instalacijska datoteka se nalazi u mapi C: \ Programske datoteke \ Višefaktorski poslužitelj za provjeru autentičnosti). Instalirajte i uredite datoteku web.config na lokaciju C: \ inetpub \ wwwroot \ MultiFactorAuth... U ovoj datoteci morate promijeniti ključ USE_WEB_SERVICE_SDK od lažnog do istinitog. Navedite pojedinosti računa za PhoneFactor Admins grupu u ključevima WEB_SERVICE_SDK_AUTHENTICATION_USERNAME i WEB_SERVICE_SDK_AUTHENTICATION_PASSWORD... I navedite URL adresu SDK usluge, ne zaboravljajući, ako je potrebno, ispraviti hosts datoteku tako da SSL protokol radi.

Dodajte URL na kojem je korisnički portal dostupan aplikaciji poslužitelja višefaktorske provjere autentičnosti u odjeljku Korisnički portal.

Demonstracija kako Azure MFA radi za provjeru autentičnosti RDG veza

Razmotrit ćemo rad MVP-a sa strane korisnika. U našem slučaju, drugi čimbenik provjere autentičnosti bit će mobilna aplikacija, budući da staničnu mrežu ima niz ranjivosti koje omogućuju, uz odgovarajuću pripremu, presretanje poziva i SMS-a.

Prije svega, korisnik će morati otići na korisnički portal i navesti svoj telefonski broj (ako nije naveden u AD) i povezati mobilnu aplikaciju s računom. Idemo na portal pod vašim računom i unosimo odgovore na sigurnosna pitanja(trebat će nam u slučaju vraćanja pristupa računu).

Zatim odaberite metodu provjere autentičnosti, u našem slučaju mobilnu aplikaciju i kliknite gumb "Kreiraj aktivacijski kod". Generirat će se QR kod koji se mora skenirati u mobilnoj aplikaciji.

Budući da je prilikom uvoza korisnika na MFA poslužitelj autentifikacija postavljena pomoću PIN koda, od nas će se tražiti da ga kreiramo. Unesite željeni PIN kod i kliknite "Provjeri moju autentičnost". U mobilnoj aplikaciji morate potvrditi zahtjev koji se pojavi. Nakon ovih radnji, imamo aplikaciju povezanu s računom i puni pristup portalu za promjenu osobnih postavki.

Vodič

Neki od vas vjerojatno su čuli za incident koji je nedavno objavljen u javnosti. Američki proizvođač poluvodiča Allegro MicroSystem LLC tužio je svog bivšeg IT stručnjaka za sabotažu. Nimesh Patel, koji je za tvrtku radio 14 godina, uništio je važne financijske podatke u prvom tjednu nove fiskalne godine.

Kako je do toga došlo?

Dva tjedna nakon smjene, Patel je ušao u sjedište tvrtke u Worcesteru, Massachusetts, SAD, kako bi ulovio korporaciju Wi-Fi mreža... Koristeći se vjerodajnicama bivšeg kolege i radnim prijenosnim računalom, Patel se prijavio na korporativnu mrežu. Zatim je ubacio kod u Oracle modul i programirao ga da radi 1. travnja 2016., prvi tjedan nove fiskalne godine. Kod je trebao kopirati određena zaglavlja ili pokazivače u zasebnu tablicu baze podataka, i sljedeće brisanje ih iz modula. Točno 1. travnja podaci su izbrisani iz sustava. A budući da se napadač legalno prijavio na Allegro mrežu, njegovi postupci nisu odmah uočeni.

Šira javnost ne zna detalje, no najvjerojatnije je incident postao moguć uglavnom zbog činjenice da je tvrtka koristila autentifikaciju lozinkom za pristup mreži. Sigurno je bilo i drugih sigurnosnih problema, ali lozinka je ta koja se može ukrasti neprimijećeno od strane korisnika i činjenica da je lozinka ukradena neće biti otkrivena. najboljem slučaju do točke korištenja ukradenih vjerodajnica.

Korištenje jake dvofaktorske autentifikacije i zabrana korištenja lozinki, u kombinaciji s dobrom sigurnosnom politikom, mogli bi pomoći, ako ne izbjeći opisani razvoj događaja, onda uvelike zakomplicirati provedbu takvog plana.

Reći ćemo vam kako možete značajno poboljšati razinu sigurnosti svoje tvrtke i zaštititi se od ovakvih incidenata. Naučit ćete kako postaviti autentifikaciju i potpis osjetljivih podataka pomoću tokena i kriptografije (i stranih i domaćih).

U prvom članku objasnit ćemo kako postaviti snažnu dvofaktornu provjeru autentičnosti pomoću PKI-a prilikom prijave na račun Windows domene.

U sljedećim člancima reći ćemo vam kako postaviti Bitlocker, zaštititi e-poštu i najjednostavniji tijek rada. Također ćemo postaviti zajedno s vama siguran pristup Do korporativni resursi i siguran daljinski pristup putem VPN-a.

Dvofaktorska autentifikacija

Iskusan administratori sustava a sigurnosne službe su itekako svjesne da su korisnici krajnje nesvjesni poštivanja sigurnosnih politika, mogu ispisati svoje vjerodajnice na naljepnicu i zalijepiti je pored računala, proslijediti lozinke svojim kolegama i slično. To se posebno često događa kada je lozinka složena (sadrži više od 6 znakova i sastoji se od slova različitih velikih i malih slova, brojeva i posebnih znakova) i teško ju je zapamtiti. Ali takva pravila postavljaju administratori s razlogom. To je neophodno za zaštitu korisničkog računa od jednostavnog rječničkog napada grubom silom. Također, administratori preporučuju mijenjanje lozinki barem jednom svakih 6 mjeseci, jednostavno iz razloga što je tijekom tog vremena teoretski moguće grubo prisiliti čak i složena lozinka.

Prisjetimo se što je autentifikacija. U našem slučaju to je proces potvrđivanja autentičnosti subjekta ili objekta. Provjera autentičnosti korisnika je proces provjere identiteta korisnika.

A dvofaktorska autentifikacija je autentifikacija u kojoj morate koristiti najmanje dva različiti putevi da potvrdite svoj identitet.

Najjednostavniji primjer dvofaktorske autentifikacije u stvaran život je sef s bravom i kombinacijom. Da biste otvorili takav sef, morate znati šifru i posjedovati ključ.

Token i pametna kartica

Vjerojatno najpouzdaniji i najlakši način implementacije dvofaktorske provjere autentičnosti je korištenje kriptografskog tokena ili pametne kartice. Token je USB uređaj koji je istovremeno i čitač i pametna kartica. Prvi faktor u ovom slučaju je činjenica da ste vlasnik uređaja, a drugi je poznavanje njegovog PIN-koda.

Koristite token ili pametnu karticu, nekome je to praktičnije. Ali povijesno se dogodilo da su u Rusiji ljudi više navikli na korištenje tokena, jer ne zahtijevaju korištenje ugrađenih ili vanjskih čitača pametnih kartica. Tokeni također imaju svoje nedostatke. Na primjer, na njega ne možete ispisati fotografiju.

Fotografija prikazuje tipičnu pametnu karticu i čitač.

No, vratimo se korporativnoj sigurnosti.

Počet ćemo s domenom Windows, jer u većini tvrtki u Rusiji korporativna mreža izgrađena oko njega.

Kao što znate, pravila Windows domene, korisničke postavke, postavke grupe u Active Directoryju omogućuju i ograničavaju pristup ogroman broj aplikacije i mrežne usluge.

Osiguravanjem računa u domeni možemo zaštititi većinu, au nekim slučajevima i sve interne informacijske resurse općenito.

Zašto je dvofaktorska autentifikacija u domeni koja koristi token s PIN-om sigurnija od uobičajene sheme zaporki?

PIN je vezan za određeni uređaj, u našem slučaju na token. Poznavanje PIN-a ne čini ništa samo po sebi.

Primjerice, PIN kod s tokena se može izdiktirati putem telefona drugim osobama i to neće dati ništa napadaču ako budete dovoljno oprezni s tokenom i ne ostavljate ga bez nadzora.

Sa lozinkom je situacija potpuno drugačija, ako je napadač pokupio, pogodio, špijunirao ili se nekako dočepao lozinke s računa u domeni, tada će moći slobodno ulaziti i u samu domenu i druge usluge tvrtke koja koristi isti račun.

Token je jedinstveni fizički objekt koji se ne može kopirati. Posjeduje ga legitimni korisnik. Dvofaktorska autentifikacija pomoću tokena može se zaobići samo kada je administrator, namjerno ili iz nemara, za to ostavio “rupe” u sustavu.

Prednosti prijave na domenu s tokenom

PIN kod s tokena je lakše zapamtiti, jer može biti mnogo lakše od lozinke... Svatko je vjerojatno barem jednom u životu vidio kako se "iskusan" korisnik nakon nekoliko pokušaja bolno ne može autentifikovati u sustavu, pamti i upisuje svoju "sigurnu" lozinku.

PIN se ne mora stalno mijenjati jer su tokeni otporniji na bruteforce PIN kodove. Nakon određenog broja neuspjeli pokušaji unos, token je blokiran.

Prilikom korištenja tokena za korisnika, prijava izgleda ovako: nakon pokretanja računala, on jednostavno povezuje token s USB portom računala, upisuje 4-6 znamenki i pritisne tipku Enter. Brzina unosa brojeva za obične ljude je veća od brzine unosa slova. Stoga se PIN kod upisuje brže.

Tokeni pomažu u rješavanju problema "napuštenog radnog mjesta" - kada korisnik napusti svoje radno mjesto i zaboravi se odjaviti sa svog računa.

Politika domene može se konfigurirati tako da se računalo automatski zaključava kada se token dohvati. Također, token može biti opremljen RFID oznakom za prolaz između prostorija tvrtke, stoga, bez uzimanja žetona sa svog radnog mjesta, zaposlenik se jednostavno neće moći kretati po teritoriju.

Nedostaci, kamo bismo bez njih

Tokeni ili pametne kartice nisu besplatni (odlučeno proračunom).

Treba ih uzeti u obzir, administrirati i održavati (rješeno sustavima upravljanja tokenima i pametnim karticama).

Neki Informacijski sustavi možda neće podržavati autentifikaciju pomoću tokena izvan kutije (rješeno sustavima jednokratne prijave - dizajnirani da organiziraju mogućnost korištenja jednog računa za pristup resursima bilo kojeg područja).

Konfiguriranje dvofaktorske provjere autentičnosti na Windows domeni

Teoretski dio:

Active Directory podržava provjeru autentičnosti pametnih kartica i tokena od Windowsa 2000. Ugrađen je u proširenje PKINIT (inicijalizacija javnog ključa) za Kerberos protokol RFC 4556.

Kerberos je posebno dizajniran za pružanje jake provjere autentičnosti korisnika. Može koristiti centraliziranu pohranu podataka za autentifikaciju i temelj je za izgradnju mehanizama Single Sing-On. Protokol se temelji na ključnom entitetu Ticket (ulaznica).

Ulaznica je šifrirani paket podataka koji izdaje pouzdani centar za autentifikaciju, u smislu Kerberos protokola – Key Distribution Center (KDC).

Kada korisnik izvrši primarnu provjeru autentičnosti nakon uspješne provjere autentičnosti, KDC izdaje korisnikov primarni identitet za pristup mrežnim resursima - Ticket Granting Ticket (TGT).

U budućnosti, prilikom pristupa pojedinačnim mrežnim resursima, korisnik predstavlja TGT i dobiva identitet od KDC-a za pristup određenom mrežni resurs- Usluga dodjele ulaznica (TGS).

Jedna od visokosigurnosnih prednosti Kerberosa je da se lozinke ili hash vrijednosti ne šalju u čistom tekstu za bilo kakvu komunikaciju.

Proširenje PKINIT omogućuje dvofaktornu autentifikaciju s tokenima ili pametnim karticama tijekom faze Kerberos pretautentifikacije.

Prijava u sustav može se osigurati bilo korištenjem usluge imenika domene ili lokalna usluga imenik. TGT se stvara na temelju Elektronički potpis koji se obračunava na pametnoj kartici ili tokenu.

Svi kontroleri domene moraju imati instaliran certifikat Domain Controller Authentication, odnosno Kerberos Authentication, budući da je implementiran proces međusobne autentifikacije klijenta i poslužitelja.

Praksa:

Počnimo s postavljanjem.

Omogućit ćemo ulazak u domenu pod vašim računom samo uz predočenje tokena i saznanja PIN koda.

Za demonstraciju ćemo koristiti Rutoken PKI EDS proizvođača Aktiv.

Faza 1 - Postavljanje domene Prvi korak je instaliranje usluga certificiranja.

Odricanje.

Ovaj članak nije vodič o uvođenju poslovnog PKI-ja. Dizajn, implementacija i pravilna upotreba PKI-a ovdje nisu obuhvaćeni zbog golemosti ove teme.

Svi kontroleri domene i sve klijentska računala unutar šume u kojoj se implementira takvo rješenje, imperativ je vjerovati korijenskom tijelu za certificiranje (Certifikacijski centar).

Zadatak tijela za certifikaciju je provjera autentičnosti ključeva za šifriranje pomoću certifikata elektroničkog potpisa.

Tehnički, CA je implementiran kao komponenta globalne usluge imenika koja je odgovorna za upravljanje kriptografskim ključevima za korisnike. Javne ključeve i druge podatke o korisnicima pohranjuju tijela za izdavanje certifikata u obliku digitalnih certifikata.

CA koji izdaje certifikate za korištenje pametnih kartica ili tokena mora biti smješten u NT Authority store.

Idite na Upravitelj poslužitelja i odaberite Dodaj uloge i značajke.

Prilikom dodavanja uloga poslužitelja, odaberite "Active Directory Certificate Services" (Microsoft snažno preporučuje da se to ne radi na kontroleru domene kako ne bi pogoršali probleme s performansama). U prozoru koji se otvori odaberite "Dodaj komponente" i odaberite "Certifikacijsko tijelo".

Na stranici za potvrdu instalacije komponenti kliknite "Instaliraj".

2. faza - Konfiguriranje prijave na domenu pomoću tokena

Za prijavu nam je potreban certifikat koji sadrži identifikatore za prijavu na pametnu karticu i provjeru autentičnosti klijenta.

Certifikat za pametne kartice ili tokene također mora sadržavati korisnički UPN (UPN sufiks). Prema zadanim postavkama, UPN sufiks za račun je naziv DNS domene koji sadrži korisnički račun.

Certifikat i privatni ključ moraju biti smješteni u odgovarajuće dijelove pametne kartice ili tokena, dok privatni ključ mora biti u zaštićenom području memorije uređaja.

Certifikat mora specificirati put do CRL distribucijske točke. Takva datoteka sadrži popis certifikata koji označavaju serijski broj potvrdu, datum opoziva i razlog za opoziv. Koristi se za priopćavanje informacija o opozvanim certifikatima korisnicima, računalima i aplikacijama koje pokušavaju provjeriti autentičnost certifikata.

Konfigurirajmo instalirane usluge certificiranja. U gornjem desnom kutu kliknite žuti trokut uskličnika i kliknite "Konfiguriraj usluge certifikata...".

U prozoru vjerodajnice odaberite potrebne korisničke vjerodajnice da biste konfigurirali ulogu. Odaberite "Certifikacijsko tijelo".

Odaberite Enterprise CA.

Enterprise CA-ovi su integrirani s AD. Oni objavljuju certifikate i CRL-ove za AD.

Navedite tip "Root CA".

U sljedećem koraku odaberite "Generiraj novi privatni ključ".

Odaberite razdoblje valjanosti certifikata.

Faza 3 - Dodavanje predložaka certifikata

Da biste dodali predloške certifikata, otvorite Upravljačku ploču, odaberite Administrativni alati i otvorite Tijelo za izdavanje certifikata.

Kliknite na naziv mape "Certificate Templates", odaberite "Manage".

Kliknite na naziv predloška "Korisnik sa pametnom karticom" i odaberite "Kopiraj predložak". Sljedeće slike zaslona pokazuju koje opcije trebate promijeniti u prozoru Svojstva novog predloška.

Ako “Aktiv ruToken CSP v1.0” nije na popisu pružatelja usluga, tada mora biti instaliran paket “Rutoken Drivers for Windows”.

Počevši od Windows Server 2008 R2, Microsoft Base Smart Card Crypto Provider može se koristiti umjesto prilagođenog pružatelja usluga od proizvođača.

Za Rutoken uređaje, biblioteka "minidriver" koja podržava "Microsoft Base Smart Card Crypto Provider" distribuira se putem Windows Update.

Možete provjeriti je li "minidriver" instaliran na vašem poslužitelju tako da na njega povežete Rutoken i pogledate u upravitelju uređaja.

Ako iz nekog razloga ne postoji “minidriver”, može se instalirati prisilno instaliranjem kompleta “Rutoken Drivers for Windows”, a zatim koristiti “Microsoft Base Smart Card Crypto Provider”.

Komplet "Rutoken Drivers for Windows" besplatno se distribuira s web stranice Rutoken.

Dodajte dva nova predloška "Agent za certifikaciju" i "Korisnik s Rutokenom".

U prozoru "Snap-in upravitelja certifikata" odaberite "Moj korisnički račun". U prozoru Add/Remove Snap-in potvrdite dodavanje certifikata.

Odaberite mapu "Certificates".

Zahtjev novi certifikat... Otvorit će se stranica za registraciju certifikata. U fazi traženja certifikata odaberite politiku registracije "Administrator" i kliknite "Prijava".

Na isti način zatražite potvrdu za Agenta za upis.

Da biste zatražili certifikat za određenog korisnika, kliknite "Certifikati", odaberite "Registriraj se kao ...".

U prozoru za traženje certifikata označite potvrdni okvir "Korisnik s Rutokenom".

Sada morate odabrati korisnika.

U polje Unesite nazive odabranih objekata unesite korisničko ime u domenu i kliknite Provjeri naziv.

U prozoru za odabir korisnika kliknite "Aplikacija".

Odaberite naziv tokena s padajućeg popisa i unesite PIN.

Na isti način odaberite certifikate za druge korisnike u domeni.

Faza 4 - Postavljanje korisničkih računa

Za postavljanje računa otvorite popis AD korisnika i računala.

Odaberite mapu Korisnici i odaberite Svojstva.

Idite na karticu Računi, odaberite pametnu karticu potrebnu za interaktivnu prijavu.

Konfigurirajte sigurnosne politike. Da biste to učinili, otvorite upravljačku ploču i odaberite stavku "Administrativni alati". Otvorite izbornik za upravljanje grupnim pravilima.

Na lijevoj strani prozora za upravljanje pravilima grupe kliknite Zadana pravila domene i odaberite Uredi.

Na lijevoj strani prozora uređivača upravljanja pravilima grupe odaberite Sigurnosne opcije.

Otvorite Interaktivnu prijavu: Zahtijevaj politiku pametne kartice.

Na kartici Postavke sigurnosne politike potvrdite okvire Definiraj sljedeću postavku pravila i Omogućeno.

Otvorite politiku interaktivne prijave: ponašanje pri uklanjanju pametne kartice.

Na kartici Postavke sigurnosne politike potvrdite okvir Definiraj sljedeću postavku pravila, a s padajućeg popisa odaberite Zaključaj radnu stanicu.

Ponovno pokrenite računalo. I na sljedeći pokušaj autentifikaciju domene, već će biti moguće koristiti token i njegov PIN.

Dvofaktorska autentifikacija je konfiguriran za prijavu na domenu, što znači da je razina sigurnosti za prijavu na Windows domenu značajno povećana bez trošenja sulude količine na dodatna sredstva zaštita. Sada je bez tokena prijava na sustav nemoguća, a korisnici mogu lagano disati i ne patiti sa složenim lozinkama.

Sljedeći korak je sigurna pošta, pročitajte o tome i kako konfigurirati sigurnu autentifikaciju na drugim sustavima u našim sljedećim člancima.

Oznake:

windows server
PKI
Rutoken
ovjera

Dodaj oznake

Ako je vaša lozinka jedina prepreka pristupu vašim podacima, izloženi ste velikom riziku. Trojanac može oboriti prolaz, presresti ga, odvući ga ili ga izvući uz pomoć društvenog inženjeringa. Nekorištenje dvofaktorske provjere autentičnosti u ovoj situaciji gotovo je zločin.

Već smo više puta govorili o jednokratnim ključevima. Značenje je vrlo jednostavno. Ako napadač nekako uspije doći do vašeg korisničkog imena-lozinke, tada može lako ući u vašu poštu ili se povezati s udaljeni poslužitelj... Ali ako postoji dodatni čimbenik na putu, na primjer, jednokratni ključ (koji se naziva i OTP ključ), onda od toga neće biti ništa. Čak i ako takav ključ dođe do napadača, više ga neće biti moguće koristiti jer vrijedi samo jednom. Kao takav drugi faktor može biti dodatni poziv, kod primljen SMS-om, ključ generiran na telefonu prema određenim algoritmima na temelju trenutnog vremena (vrijeme je način sinkronizacije algoritma na klijentu i poslužitelju). Isto Google već već dugo preporučuje svojim korisnicima da omoguće dvofaktornu autentifikaciju (par klikova u postavljanju računa). Sada je vrijeme da dodate takav sloj zaštite i za svoje usluge!

Što Duo Security nudi?

Trivijalan primjer. Moje računalo ima RDP port otvoren "vani" za povezivanje s udaljenom radnom površinom. Ako procuri lozinka za prijavu, napadač će odmah imati potpuni pristup stroju. Stoga nije bilo govora o poboljšanju zaštite s OTP lozinkom - to se jednostavno moralo učiniti. Bilo je glupo ponovno izumiti kotač i pokušati sve implementirati sami, pa sam samo pogledao rješenja koja postoje na tržištu. Većina njih se pokazala kao komercijalna (pogledajte bočnu traku za više detalja), ali za mali broj korisnika mogu se koristiti besplatno. Za dom, baš ono što vam treba. Jedna od najuspješnijih usluga koja vam omogućuje organiziranje dvofaktorske autentifikacije za doslovno sve (uključujući VPN, SSH i RDP) je Duo Security (www.duosecurity.com). Činjenica da je programer i osnivač projekta John Oberhide, poznati stručnjak za sigurnost informacija... On je, primjerice, provalio Googleov komunikacijski protokol s Android pametni telefoni, s kojim možete instalirati ili deinstalirati proizvoljne aplikacije. Takva se baza osjeća: kako bi pokazali važnost dvofaktorske autentifikacije, dečki su pokrenuli VPN usluga Hunter (www.vpnhunter.com), koji u tren oka može pronaći skrivene VPN poslužitelje tvrtke (i ujedno odrediti vrstu opreme na kojoj rade), usluge za daljinski pristup(OpenVPN, RDP, SSH) i drugi elementi infrastrukture koji omogućavaju napadaču da uđe u internu mrežu, samo znajući korisničko ime i lozinku. Smiješno je da su na službenom Twitteru servisa vlasnici počeli svakodnevno objavljivati izvješća o skeniranju poznatih tvrtki, nakon čega je račun zabranjen :). Usluga Duo Security, naravno, usmjerena je prvenstveno na uvođenje dvofaktorske autentifikacije u tvrtke s veliki broj korisnika. Na našu sreću, moguće je kreirati besplatni osobni račun koji vam omogućuje da besplatno organizirate dvofaktorsku autentifikaciju za deset korisnika.

Što bi mogao biti drugi faktor?

Zatim ćemo pogledati kako učvrstiti vezu s udaljenom radnom površinom, kao i SSH, na poslužitelju u doslovno deset minuta. No, prvo želim govoriti o dodatnom koraku koji Duo Security uvodi kao drugi čimbenik autorizacije. Postoji nekoliko opcija: telefonski poziv, SMS s šiframa, Duo Mobile šifre, Duo Push, elektronički ključ. Malo više o svakom.

Koliko dugo mogu koristiti besplatno?

Kao što je navedeno, Duo Security nudi namjenski tarifni plan"Osobni". To je apsolutno besplatno, ali broj korisnika ne bi trebao biti veći od deset. Podržava dodavanje neograničenih integracija, sve dostupne metode ovjera. Pruža tisuću besplatnih kredita za telefonske usluge. Krediti su poput interne valute koja se tereti s vašeg računa svaki put kada se autentificirate putem poziva ili SMS-a. U postavkama računa možete postaviti tako da kada se dosegne navedeni broj kredita, dobijete obavijest na sapunu i imate vremena za nadoplatu salda. Tisuću kredita vrijedi samo 30 dolara. Cijene poziva i SMS-a su različite za različite zemlje. Za Rusiju, poziv će koštati od 5 do 20 kredita, SMS - 5 kredita. Međutim, ništa se ne naplaćuje za poziv koji se dogodi prilikom provjere autentičnosti na web stranici Duo Security. Možete potpuno zaboraviti na kredite ako za autentifikaciju koristite aplikaciju Duo Mobile - ništa se ne naplaćuje.

Jednostavna registracija

Da biste zaštitili svoj poslužitelj Duo Security-om, trebate preuzeti i instalirati poseban klijent koji će komunicirati s Duo Security poslužiteljem za provjeru autentičnosti i pružiti drugi sloj zaštite. Sukladno tome, ovaj će klijent u svakoj situaciji biti drugačiji: ovisno o tome gdje je točno potrebno provesti dvofaktorsku autorizaciju. O tome ćemo govoriti u nastavku. Prvo što trebate učiniti je registrirati se u sustavu i dobiti račun. Stoga, otvaramo početnu stranicu web-mjestu, kliknite "Besplatna probna verzija", na stranici koja se otvori kliknite gumb "Sing up" ispod vrste osobnog računa. Zatim se od nas traži da unesemo ime, prezime, email adresu i naziv tvrtke. Na mail treba poslati pismo koje sadrži poveznicu za potvrdu registracije. U tom slučaju sustav će sigurno izvršiti automatsko biranje do navedeni broj telefona: da biste aktivirali svoj račun, morate odgovoriti na poziv i pritisnuti tipku # na svom telefonu. Nakon toga, račun će biti aktivan i možete započeti borbene testove.

Osiguravanje RDP-a

Gore sam rekao da sam počeo s velikom željom da zaštitim daljinske veze na radnu površinu. Stoga ću kao prvi primjer opisati kako ojačati sigurnost RDP-a.

Svaka implementacija dvofaktorske provjere autentičnosti počinje s jednostavna radnja: Napravite takozvanu integraciju u profilu Duo Security. Idite na odjeljak "Integracije  Nova integracija", navedite naziv integracije (na primjer, "Home RDP"), odaberite njen tip "Microsoft RDP" i kliknite "Dodaj integraciju".
U prozoru koji se pojavi prikazuju se parametri integracije: Integracijski ključ, Tajni ključ, API ime hosta. Trebat će nam kasnije kada konfiguriramo strana klijenta... Važno je razumjeti: nitko ih ne bi trebao znati.
Zatim morate na zaštićeni stroj instalirati poseban klijent koji će instalirati sve što vam je potrebno u sustavu Windows. Može se preuzeti sa službene stranice ili preuzeti s našeg diska. Sva njegova konfiguracija svodi se na činjenicu da ćete tijekom procesa instalacije morati unijeti gore spomenuti Integracijski ključ, Tajni ključ, API ime hosta.
To je, zapravo, sve. Sada, kada se sljedeći put prijavite na poslužitelj putem RDP-a, na ekranu će se prikazati tri polja: korisničko ime, lozinka i jednokratni Duo ključ. Sukladno tome, više se nije moguće prijaviti u sustav samo s jednim korisničkim imenom-lozinkom.

Prilikom prvog pokušaja prijave u sustav, novi korisnik morat će jednom proći postupak provjere Duo Security. Usluga će mu dati posebnu poveznicu, klikom na koju trebate unijeti svoj telefonski broj i pričekati poziv za potvrdu. Da biste dobili dodatne ključeve (ili ih dobili prvi put), možete unijeti ključnu riječ "sms". Ako se želite autentifikovati telefonskim pozivom - unesite "phone", ako Duo Push - "push". Povijest svih pokušaja povezivanja (i uspješnih i neuspješnih) s poslužiteljem može se vidjeti na vašem računu na web stranici Duo Security, nakon što odaberete željenu integraciju i odete na njezin "Dnevnik provjere autentičnosti".

Duo Security povezujemo bilo gdje!

Koristeći dvofaktornu autentifikaciju, možete zaštititi ne samo RDP ili SSH, već i VPN, RADIUS poslužitelje i sve web usluge. Na primjer, postoje gotovi klijenti koji dodaju dodatni sloj provjere autentičnosti popularnim Drupal i WordPress motorima. Ako nema gotovog klijenta, ne biste se trebali uzrujavati: uvijek možete sami dodati dvofaktorsku autentifikaciju za svoju aplikaciju ili web stranicu kada Pomoć za API koje osigurava sustav. Logika rada s API-jem je jednostavna - postavljate zahtjev za URL-om određene metode i analizirate vraćeni odgovor, koji može doći u JSON (ili BSON, XML) formatu. Cijela dokumentacija za Duo REST API dostupna je na službenoj web stranici. Reći ću samo da postoje metode ping, check, preauth, auth, status iz čijeg je naziva lako pogoditi čemu su namijenjene.

Osiguravanje SSH-a

Razmotrimo drugu vrstu integracije - "UNIX integraciju" za implementaciju sigurne provjere autentičnosti. Dodamo još jednu integraciju našem Duo Security profilu i nastavljamo s instalacijom klijenta na sustav.

Izvore potonjeg možete preuzeti na bit.ly/IcGgk0 ili preuzeti s našeg diska. Koristio sam najnoviju verziju - 1.8. Usput, klijent radi na većini nix-platforma, tako da ga možete jednostavno instalirati na FreeBSD, NetBSD, OpenBSD, Mac OS X, Solaris / Illumos, HP-UX i AIX. Proces izrade je standardni - konfiguriraj && napravi && sudo napravi instalaciju. Jedina stvar koju bih preporučio je korištenje configure s opcijom --prefix = / usr, inače je klijent možda neće pronaći pri pokretanju. potrebne knjižnice... Nakon uspješne instalacije, idemo na uređivanje konfiguracijske datoteke /etc/duo/login_duo.conf. To se mora učiniti ispod korijena. Sve promjene koje je potrebno napraviti za uspješan rad su postavljanje integracijskog ključa, tajnog ključa, API hostname vrijednosti, koji se mogu naći na stranici integracije.

; Duo integracijski ključ ključ = INTEGRATION_KEY; Duo tajni ključ = SECRET_KEY; Duo API hostnamehost = API_HOSTNAME

Da biste natjerali sve korisnike koji se prijavljuju na vaš poslužitelj putem SSH-a da koriste dvofaktorsku autentifikaciju, samo dodajte sljedeći redak u / etc / ssh / sshd_config datoteku:

> ForceCommand / usr / local / sbin / login_duo

Također je moguće organizirati dvofaktorsku autentifikaciju samo za pojedinačne korisnike tako da ih se kombiniraju u grupu i navedu ovu grupu u datoteci login_duo.conf:

> grupa = kotač

Sve što ostaje je ponovno pokrenuti ssh daemon kako bi promjene stupile na snagu. Od ovog trenutka, nakon uspješnog unosa lozinke za prijavu, korisnik će biti zatražen da prođe dodatnu autentifikaciju. Jednu suptilnost treba posebno istaknuti. ssh postavke- preporučljivo je onemogućiti in konfiguracijsku datoteku opcije PermitTunnel i AllowTcpForwarding, jer ih demon provodi prije početka druge faze provjere autentičnosti. Dakle, ako napadač ispravno unese lozinku, tada može dobiti pristup interna mreža prije dovršetka druge faze autentifikacije zahvaljujući prosljeđivanju porta. Da biste izbjegli ovaj učinak, dodajte sljedeće opcije u sshd_config:

PermitTunnel noAllowTcpForwarding br

Sada se vaš poslužitelj nalazi iza dvostrukog zida i napadaču je puno teže doći do njega.

Dodatne postavke

Ako odete na svoj Duo Security račun i odete na odjeljak "Postavke", možete sami podesiti neke postavke. Prvi važan odjeljak je "Telefonski pozivi". Ovdje određujete parametre koji će stupiti na snagu kada se telefonski poziv koristi za potvrdu autentifikacije. Stavka "Glasovne tipke za povratni poziv" omogućuje vam da odredite koju tipku telefona treba pritisnuti da potvrdite autentifikaciju. Prema zadanim postavkama postoji vrijednost "Pritisnite bilo koju tipku za provjeru autentičnosti" - to jest, možete pritisnuti bilo koju. Ako postavite vrijednost "Pritisnite različite tipke za provjeru autentičnosti ili prijavu prijevare", tada ćete morati postaviti dvije tipke: klikom na prvi potvrđujete autentifikaciju (Key to authenticate), klikom na drugi (Key to report prijevaru) znači da proces provjere autentičnosti nismo mi pokrenuli, odnosno netko je primio našu lozinku i pokušava se prijaviti na poslužitelj koristeći je. Stavka "SMS šifre" omogućuje vam da odredite broj lozinki koje će jedan SMS sadržavati, te njihov vijek trajanja (važenje). Parametar "Lockout and fraud" omogućuje postavljanje e-mail adrese na koju će biti poslano upozorenje u slučaju određenog broja neuspješnih pokušaja prijave na poslužitelj.

Iskoristi!

Iznenađujuće, mnogi ljudi još uvijek ignoriraju dvofaktorsku autentifikaciju. Ne razumijem zašto. To stvarno doprinosi sigurnosti vrlo ozbiljno. Može se implementirati za gotovo sve, a pristojna rješenja dostupna su besplatno. Pa zašto? Od lijenosti ili od nepažnje.

Analogne usluge

Označiti(www.signify.net) Usluga nudi tri opcije za organiziranje dvofaktorske provjere autentičnosti. Prvi je korištenje elektroničkih ključeva. Drugi način je korištenje pristupnih ključeva koji se šalju korisniku na telefon putem SMS-a ili šalju na e-mail. Treća opcija je mobilna aplikacija za Android telefoni, iPhone, BlackBerry, koji generira jednokratne lozinke (zapravo, analog Duo Mobilea). Usluga je namijenjena velikim tvrtkama, stoga je potpuno plaćena.

SecurEnvoy(www.securenvoy.com) Također vam omogućuje korištenje mobitel kao drugi zaštitni sloj. Zaporke se šalju korisniku putem SMS-a ili e-pošte. Svaka poruka sadrži tri lozinke, odnosno korisnik se može prijaviti tri puta prije nego što zatraži novi dio. Usluga se također plaća, ali pruža besplatno razdoblje od 30 dana. Značajan plus je veliki broj domaće integracije i integracije treće strane.

PhoneFactor(www.phonefactor.com) Ova usluga vam omogućuje da besplatno organizirate dvofaktornu provjeru autentičnosti za do 25 korisnika, pružajući 500 besplatnih autentikacija mjesečno. Da biste organizirali zaštitu, morat ćete preuzeti i instalirati poseban klijent. Ako trebate dodati dvofaktorsku autentifikaciju na stranicu, možete koristiti službeni SDK koji pruža detaljnu dokumentaciju i primjere za sljedeće programske jezike: ASP.NET C #, ASP.NET VB, Java, Perl, Ruby, PHP .

Dobio sam nevjerojatno dobre komentare i pojašnjenja od prijatelja koji je želio ostati anoniman:
1) Na samom početku konfiguracije poslužitelja unesite naredbu:
multiotp.exe -debug -config default-request-prefix-pin = 0 display-log = 1 nakon njega ne morate unositi pin kod prilikom postavljanja korisnika i prikaz dnevnika svake operacije na konzoli je Upaljeno.

2) Koristeći ovu naredbu, možete podesiti vrijeme zabrane, za korisnike koji su pogriješili sa lozinkom (zadano 30 sekundi):
multiotp.exe -debug -config fail-deyed-time = 60
3) Što će biti napisano u prijavi google autentifikator preko 6 znamenki, nazvanih izdavatelj, može se promijeniti iz zadanog MultiOTP-a u nešto drugo:
multiotp.exe -debug -config izdavač = ostalo
4) Nakon dovršenih operacija, naredba za kreiranje korisnika postaje malo lakša:
multiotp.exe -debug -create korisnika TOTP 12312312312312312321 6 (ne postavljam vrijeme ažuriranja znamenki na 30 sekundi, čini se da je prema zadanim postavkama 30).

5) Svaki korisnik može promijeniti opis (tekst ispod brojeva u google aplikacija Auth):
multiotp.exe -set korisničko ime opis = 2
6) QR kodovi se mogu generirati izravno u aplikaciji:
multiotp.exe -qrcode korisničko ime c: \ multiotp \ qrcode \ user.png: \ multiotp \ qrcode \ user.png
7) Možete koristiti ne samo TOTP, već i HOTP (unos funkcije raspršivanja nije trenutno vrijeme, već vrijednost inkrementalnog brojača):
multiotp.exe -debug -kreiraj korisničko ime HOTP 12312312312312312321 6

Danas ćemo vam reći kako možete brzo i jednostavno postaviti dvofaktorsku autentifikaciju i šifrirati važne podatke, čak i uz mogućnost korištenja biometrije. Rješenje će biti relevantno za male tvrtke ili samo za osobno računalo ili laptop. Važno je da za to ne trebamo infrastrukturu javnog ključa (PKI), poslužitelj s ulogom certifikacijskog tijela (Certificate Services), a ne trebamo niti domenu (Active Directory). Sve Zahtjevi sustava bit će svedena na operacijski sustav Windows i korisnika elektronički ključ, a u slučaju biometrijske autentifikacije i čitač otiska prsta koji je, primjerice, možda već ugrađen u vaše prijenosno računalo.

Za autentifikaciju ćemo koristiti softver našeg razvoja - JaCarta SecurLogon i JaCarta PKI elektronički ključ kao autentifikator. Alat za šifriranje bi bio standardni Windowsi EFS, šifriranim datotekama također će se pristupiti putem JaCarta PKI ključa (isti onaj koji se koristi za autentifikaciju).

Podsjećamo, JaCarta SecurLogon je certificiran FSTEC Rusije softversko i hardversko rješenje tvrtke Aladdin R.D., koje omogućuje jednostavan i brz prijelaz s jednofaktorske provjere autentičnosti temeljene na paru prijava-lozinka na dvofaktorsku autentifikaciju u OS-u pomoću USB tokena ili pametnih kartica. Bit rješenja je prilično jednostavna - JSL generira složenu lozinku (~ 63 znaka) i zapisuje je u zaštićenu memoriju elektroničkog ključa. U tom slučaju lozinka možda neće biti poznata samom korisniku, korisnik zna samo PIN kod. Unosom PIN-a tijekom autentifikacije uređaj se otključava, a lozinka se šalje sustavu na autentifikaciju. Po želji možete zamijeniti unos PIN-a skeniranjem otiska prsta korisnika, a možete koristiti i kombinaciju PIN + otisak prsta.

EFS, poput JSL-a, može raditi u samostalnom načinu rada, ne zahtijevajući ništa osim samog OS-a. U svemu operativni sustavi Microsoft NT obitelj, počevši od Windowsa 2000 i novijih (osim kućne verzije), ugrađena je tehnologija šifriranja podataka EFS (Encrypting File System). EFS enkripcija temelji se na mogućnostima datoteke NTFS sustavi i CryptoAPI arhitekturu i dizajniran je za brzo šifriranje datoteka na tvrdom disku računala. EFS enkripcija koristi privatne i javne ključeve korisnika, koji se generiraju kada korisnik prvi put koristi funkciju šifriranja. Ovi ključevi ostaju nepromijenjeni sve dok postoji njegov račun. Prilikom šifriranja EFS datoteke nasumično generira jedinstveni broj, takozvani ključ za šifriranje datoteka (FEK) duljine 128 bita, kojim se datoteke šifriraju. FEK-ovi su šifrirani glavnim ključem, koji je šifriran ključem korisnika sustava koji imaju pristup datoteci. Privatni ključ korisnika zaštićen je hashom korisničke lozinke. Podaci šifrirani EFS-om mogu se dešifrirati samo pomoću istog Windows računa s istom lozinkom iz koje je šifriranje izvršeno. A ako pohranite certifikat enkripcije i privatni ključ na USB token ili pametnu karticu, tada će vam također trebati ovaj USB token ili pametna kartica za pristup šifriranim datotekama, što rješava problem kompromitiranja lozinke, jer će biti potreban dodatni uređaj u obliku elektroničkog ključa.

Ovjera

Kao što je već napomenuto, za konfiguraciju vam nije potreban AD ili certifikacijsko tijelo, potreban vam je bilo koji moderni Windows, JSL distribucija i licenca. Postavljanje je nečuveno jednostavno.

Morate instalirati datoteku licence.

Dodajte korisnički profil.

I počnite koristiti dvofaktorsku autentifikaciju.

Biometrijska autentifikacija

Moguće je koristiti biometrijsku provjeru autentičnosti otiskom prsta. Rješenje radi na tehnologiji Match On Card. Hash otiska prsta upisuje se na karticu tijekom početne inicijalizacije i naknadno se provjerava u odnosu na izvornik. Ne ostavlja kartu nigdje, nije pohranjena u nekim bazama podataka. Za otključavanje takvog ključa koristi se otisak prsta ili kombinacija PIN + otisak prsta, PIN ili otisak prsta.

Da biste ga počeli koristiti, samo trebate inicijalizirati karticu s potrebnim parametrima, snimiti otisak prsta korisnika.

U budućnosti će se isti prozor pojaviti prije ulaska u OS.

U ovom primjeru, kartica je inicijalizirana s mogućnošću provjere autentičnosti otiskom prsta ili PIN-kodom, što je naznačeno u prozoru za autentifikaciju.

Nakon davanja otiska prsta ili PIN-koda, korisnik će ući u OS.

Šifriranje podataka

Postavljanje EFS-a također nije jako teško, svodi se na postavljanje certifikata i njegovo izdavanje na elektronički ključ te postavljanje imenika za šifriranje. Obično ne morate šifrirati cijeli pogon. Stvarno važne datoteke, koje nisu poželjne za pristup trećim stranama, obično se nalaze u zasebnim direktorijima, a ne razbacane po cijelom disku.

Za izdavanje certifikata šifriranja i privatnog ključa, otvorite korisnički račun, odaberite - Upravljaj certifikatima šifriranja datoteka. U čarobnjaku koji se otvori stvorite samopotpisani certifikat na pametnoj kartici. Budući da i dalje koristimo pametnu karticu s BIO apletom, moramo predočiti otisak prsta ili PIN za pisanje certifikata za šifriranje.