- tutorial
Neki od vas sigurno su čuli za incident koji je nedavno objavljen u javnosti. Američki proizvođač poluvodiča Allegro MicroSystem LLC tužio je svog bivšeg IT stručnjaka za sabotažu. Nimesh Patel, koji je u tvrtki 14 godina, uništio je važne financijske podatke u prvom tjednu nove fiskalne godine.
Kako se to dogodilo?
Dva tjedna nakon što je dobio otkaz, Patel je ušao u sjedište tvrtke u Worcesteru, Massachusetts, SAD, kako bi uhvatio Wi-Fi mrežu tvrtke. Koristeći vjerodajnice bivšeg kolege i radni laptop, Patel se prijavio na korporativnu mrežu. Zatim je ubacio kod u Oracle modul i programirao ga da se pokrene 1. travnja 2016., prvog tjedna nove fiskalne godine. Kod je trebao kopirati određena zaglavlja ili pokazivače u zasebnu tablicu baze podataka i zatim ih ukloniti iz modula. Upravo 1. travnja podaci su izbrisani iz sustava. A budući da se napadač legalno ulogirao na mrežu Allegro, njegovi postupci nisu odmah uočeni.
Šira javnost ne zna detalje, ali najvjerojatnije je incident postao moguć uvelike zahvaljujući činjenici da je tvrtka koristila autentifikaciju lozinkom za pristup mreži. Zasigurno je bilo drugih sigurnosnih problema, ali lozinka je ta koja se može ukrasti nezapaženo od strane korisnika i činjenica krađe lozinke neće biti otkrivena, u najboljem slučaju, sve do trenutka kada se ukradene vjerodajnice iskoriste.
Korištenje jake dvofaktorske autentifikacije i zabrane korištenja lozinki, u kombinaciji s kompetentnom sigurnosnom politikom, moglo bi pomoći, ako ne izbjeći opisani razvoj događaja, onda uvelike zakomplicirati provedbu takvog plana.
Razgovarat ćemo o tome kako možete značajno povećati razinu sigurnosti svoje tvrtke i zaštititi se od takvih incidenata. Naučit ćete kako postaviti autentifikaciju i potpisivanje važnih podataka pomoću tokena i kriptografije (strane i domaće).
U prvom članku objasnit ćemo kako postaviti snažnu dvofaktorsku autentifikaciju pomoću PKI-ja prilikom prijave na domenski račun u sustavu Windows.
U sljedećim člancima ćemo vam reći kako postaviti Bitlocker, sigurnu e-poštu i najjednostavniji tijek rada. Također ćemo zajedno s vama postaviti siguran pristup korporativnim resursima i siguran udaljeni pristup putem VPN-a.
Dvofaktorska autentifikacija
Iskusni sistemski administratori i zaštitari dobro znaju da su korisnici krajnje nesavjesni po pitanju usklađenosti sa sigurnosnim politikama, mogu svoje vjerodajnice napisati na ceduljicu i zalijepiti je pored računala, prenijeti lozinke svojim kolegama i slično. To se posebno često događa kada je lozinka složena (sadrži više od 6 znakova i sastoji se od slova različitih malih i malih slova, brojeva i posebnih znakova) i teška za pamćenje. Ali takva pravila postavljaju administratori s razlogom. Ovo je neophodno kako bi zaštitili korisnički račun od jednostavnog pretraživanja lozinki rječnikom. Također, administratori preporučuju promjenu lozinki barem jednom svakih 6 mjeseci, jednostavno iz razloga što se tijekom tog vremena čak i složena lozinka teoretski može brutalno forsirati.
Prisjetimo se što je autentifikacija. U našem slučaju to je proces potvrđivanja identiteta subjekta ili objekta. Autentifikacija korisnika je proces provjere identiteta korisnika.
Dvofaktorska provjera autentičnosti je provjera autentičnosti u kojoj morate koristiti najmanje dvije različite metode za provjeru svog identiteta.
Najjednostavniji primjer dvostruke autentifikacije u stvarnom životu je sef s bravom i kombinacijom koda. Da biste otvorili takav sef, morate znati šifru i posjedovati ključ.
Token i pametna kartica
Vjerojatno najpouzdanija i najjednostavnija metoda provjere autentičnosti u dva faktora je korištenje kriptografskog tokena ili pametne kartice. Token je USB uređaj koji je istovremeno i čitač i pametna kartica. Prvi faktor u ovom slučaju je činjenica vlasništva uređaja, a drugi je poznavanje njegovog PIN koda.
Koristite token ili pametnu karticu, što vam više odgovara. Ali povijesno se dogodilo da su u Rusiji više naviknuti na korištenje tokena, jer ne zahtijevaju upotrebu ugrađenih ili vanjskih čitača pametnih kartica. Tokeni imaju i svoje loše strane. Na primjer, ne možete ispisati fotografiju na njemu.
Fotografija prikazuje tipičnu pametnu karticu i čitač.
Ali vratimo se korporativnoj sigurnosti.
Počet ćemo s domenom Windows, jer je u većini tvrtki u Rusiji korporativna mreža izgrađena oko nje.
Kao što znate, Windows pravila domene, korisničke postavke i grupne postavke u aktivnom imeniku pružaju i ograničavaju pristup velikom broju aplikacija i mrežnih usluga.
Zaštitom računa u domeni možemo zaštititi većinu, au nekim slučajevima i sve interne izvore informacija.
Zašto je dvofaktorska autentifikacija u domeni koja koristi token s PIN kodom sigurnija od obične sheme zaporke?
PIN je vezan uz određeni uređaj, u našem slučaju token. Poznavanje PIN koda samo po sebi ne daje ništa.
Na primjer, PIN kod s tokena može se diktirati telefonom drugim osobama, a to napadaču neće dati ništa ako s tokenom postupate dovoljno pažljivo i ne ostavljate ga bez nadzora.
Sa lozinkom je situacija potpuno drugačija, ako je napadač pokupio, pogodio, špijunirao ili se na neki način domogao lozinke s računa u domeni, tada će moći slobodno ulaziti i u samu domenu i u drugu tvrtku usluge koje koriste isti račun.
Token je jedinstveni fizički objekt koji se ne može kopirati. Vlasnik je legitimnog korisnika. Dvofaktorska autentifikacija pomoću tokena može se zaobići samo ako je administrator namjerno ili propustom ostavio "rupe" u sustavu za to.
Prednosti prijave na domenu pomoću tokena
Token PIN je lakše zapamtiti jer može biti mnogo jednostavniji od lozinke. Svatko je sigurno barem jednom u životu vidio kako se "iskusni" korisnik bolno ne može autentificirati u sustavu nakon nekoliko pokušaja, pamti i upisuje svoju "sigurnu" lozinku.
PIN ne treba stalno mijenjati jer su tokeni otporniji na grubu silu PIN-a. Nakon određenog broja neuspješnih pokušaja unosa, token se blokira.
Prilikom korištenja tokena za korisnika, prijava je sljedeća: nakon što se računalo podigne, on jednostavno utakne token u USB priključak računala, unese 4-6 znamenki i pritisne tipku Enter. Brzina unosa brojeva kod običnih ljudi veća je od brzine unosa slova. Zbog toga se PIN kod unosi brže.
Tokeni rješavaju problem "napuštenog radnog mjesta" - kada korisnik napusti radno mjesto i zaboravi se odjaviti sa svog računa.
Politika domene može se konfigurirati za automatsko zaključavanje računala kada se token dohvati. Također, token može biti opremljen RFID oznakom za prolaz između prostorija tvrtke, tako da bez uzimanja tokena sa svog radnog mjesta, zaposlenik se jednostavno neće moći kretati teritorijem.
Nedostaci, gdje bez njih
Tokeni ili pametne kartice nisu besplatni (odlučuje proračun).
Treba ih evidentirati, administrirati i održavati (o tome odlučuju sustavi upravljanja tokenima i pametne kartice).
Neki informacijski sustavi možda neće podržavati autentifikaciju pomoću tokena izvan kutije (riješeno je sustavima tipa Single Sign-On - dizajniranim za organiziranje mogućnosti korištenja jednog računa za pristup bilo kojim resursima u regiji).
Postavljanje dvofaktorske provjere autentičnosti u Windows domeni
Teorijski dio:
Imenička usluga Active Directory podržava autentifikaciju pametnom karticom i tokenom od Windows 2000. Ugrađena je u PKINIT (inicijalizacija javnog ključa) proširenje za Kerberos RFC 4556 protokol.
Protokol Kerberos posebno je dizajniran za pružanje snažne provjere autentičnosti korisnika. Može koristiti centraliziranu pohranu autentifikacijskih podataka i osnova je za izgradnju mehanizama za jednokratno prijavljivanje. Protokol se temelji na ključnom entitetu Ticket (ulaznica).
Ulaznica (ticket) je kriptirani podatkovni paket koji izdaje pouzdani autentifikacijski centar, u smislu Kerberos protokola – Key Distribution Center (KDC, key distribution center).
Kada korisnik izvrši primarnu autentifikaciju nakon uspješne autentifikacije korisnika, KDC izdaje korisnikov primarni identitet za pristup mrežnim resursima, Ticket Granting Ticket (TGT).
Ubuduće, prilikom pristupa pojedinim mrežnim resursima, korisnik uz predočenje TGT-a dobiva od KDC-a identitet za pristup određenom mrežnom resursu - Ticket Granting Service (TGS).
Jedna od prednosti Kerberos protokola, koji pruža visoku razinu sigurnosti, je da se niti lozinke niti hash vrijednosti lozinki ne prenose u čistom tekstu tijekom bilo kakve interakcije.
Proširenje PKINIT omogućuje vam korištenje dvofaktorske provjere autentičnosti pomoću tokena ili pametnih kartica tijekom Kerberos faze predprovjere autentičnosti.
Prijava se može osigurati korištenjem imeničke usluge domene ili lokalne imeničke usluge. TGT se kreira na temelju elektroničkog potpisa koji se obračunava na pametnoj kartici ili tokenu.
Svi kontroleri domene moraju imati instaliran certifikat Authentication Controller Domain, odnosno Kerberos Authentication, jer je implementiran proces međusobne provjere autentičnosti klijenta i poslužitelja.
Praksa:
Počnimo s postavljanjem.
Pobrinut ćemo se da domenu pod svojim računom možete unijeti samo uz predočenje tokena i poznavanje PIN koda.
Za demonstraciju ćemo koristiti Rutoken EDS PKI proizvođača Aktiv.
Faza 1 - Postavljanje domene Prvi korak je instaliranje Certificate Services.
Odricanje.
Ovaj članak nije vodič o tome kako implementirati poslovni PKI. Pitanja projektiranja, postavljanja i kompetentnog korištenja PKI-ja ovdje se ne razmatraju zbog opsežnosti ove teme.
Svi kontroleri domene i sva klijentska računala unutar šume u kojoj se takvo rješenje implementira moraju nužno vjerovati root Certification Authority (Certifikacijsko tijelo).
Zadatak certifikacijskog tijela je provjera autentičnosti enkripcijskih ključeva korištenjem certifikata elektroničkog potpisa.
Tehnički, CA je implementiran kao komponenta globalne imeničke usluge odgovorne za upravljanje korisničkim kriptografskim ključevima. Javne ključeve i druge podatke o korisnicima pohranjuju certifikacijske ustanove u obliku digitalnih certifikata.
CA koji izdaje certifikate za korištenje pametnih kartica ili tokena mora biti smješten u NT Authority store.
Idite na Upravitelj poslužitelja i odaberite "Dodaj uloge i značajke".
Prilikom dodavanja uloga poslužitelja odaberite "Active Directory Certificate Services" (Microsoft snažno preporučuje da to ne činite na kontroleru domene kako ne biste pogoršali probleme s performansama). U prozoru koji se otvori odaberite "Add Features" i odaberite "Certificate Authority".
Na stranici za potvrdu instalacije komponenti kliknite "Instaliraj".
Faza 2 - Postavljanje prijave na domenu pomoću tokena
Za prijavu nam je potreban certifikat koji sadrži ID za prijavu putem pametne kartice i ID za provjeru autentičnosti klijenta.
Certifikat za pametne kartice ili tokene također mora sadržavati korisnikov UPN (sufiks korisničkog glavnog imena). Prema zadanim postavkama, UPN sufiks za račun je DNS naziv domene koja sadrži korisnički račun.
Certifikat i privatni ključ moraju biti smješteni u odgovarajuće dijelove pametne kartice ili tokena, dok privatni ključ mora biti u sigurnom području memorije uređaja.
Certifikat mora sadržavati put do CRL distribucijske točke. Takva datoteka sadrži popis certifikata, s naznakom serijskog broja certifikata, datumom opoziva i razlogom opoziva. Koristi se za priopćavanje informacija o opozvanim certifikatima korisnicima, računalima i aplikacijama koje pokušavaju provjeriti autentičnost certifikata.
Konfigurirajmo instalirane usluge certifikata. U gornjem desnom kutu kliknite na žuti trokut s uskličnikom i kliknite "Konfiguriraj usluge certifikata ...".
U prozoru vjerodajnica odaberite potrebne korisničke vjerodajnice za konfiguraciju uloge. Odaberite "Certificate Authority".
Odaberite Enterprise CA.
CA-ovi poduzeća integrirani su s AD-om. Oni objavljuju certifikate i CRL-ove u AD-u.
Navedite vrstu "Root CA".
U sljedećem koraku odaberite "Izradi novi privatni ključ".
Odaberite rok valjanosti certifikata.
Korak 3 - Dodavanje predložaka certifikata
Za dodavanje predložaka certifikata, otvorite Control Panel, odaberite Administrative Tools i otvorite Certification Authority.
Kliknite na naziv mape "Certificate Templates", odaberite "Manage".
Kliknite na naziv predloška "Korisnik pametne kartice" i odaberite "Kopiraj predložak". Sljedeće snimke zaslona pokazuju koje opcije u prozoru Svojstva novog predloška treba promijeniti.
Ako na popisu pružatelja usluga nema “Aktiv ruToken CSP v1.0”, tada trebate instalirati komplet “Rutoken Drivers for Windows”.
Počevši od sustava Windows Server 2008 R2, možete koristiti "Microsoft Base Smart Card Crypto Provider" umjesto dobavljača specifičnog dobavljača.
Za uređaje Rutoken, biblioteka "minidriver" koja podržava "Microsoft Base Smart Card Crypto Provider" distribuira se putem Windows Update.
Možete provjeriti je li “minidriver” instaliran na vašem poslužitelju tako da na njega povežete Rutoken i pogledate u upravitelju uređaja.
Ako iz nekog razloga ne postoji "minidriver", možete ga prisilno instalirati komplet "Rutoken Drivers for Windows", a zatim koristiti "Microsoft Base Smart Card Crypto Provider".
Komplet Rutoken Drivers for Windows besplatno se distribuira s web stranice Rutoken.
Dodajte dva nova predloška "Certifikacijski agent" i "Korisnik s Rutokenom".
U prozoru "Certificate Manager Snap-in" odaberite "moj korisnički račun". U prozoru Add/Remove Snap-in potvrdite dodavanje certifikata.
Odaberite mapu "Certifikati".
Zatražite novi certifikat. Otvorit će se stranica za registraciju certifikata. U koraku zahtjeva za certifikat odaberite politiku upisa "Administrator" i kliknite "Primijeni".
Na isti način zatražite potvrdu za Agenta za registraciju.
Za zahtjev za certifikat za određenog korisnika kliknite na "Certifikati", odaberite "Registriraj se kao...".
U prozoru za traženje certifikata označite kućicu "Korisnik s Rutokenom".
Sada trebate odabrati korisnika.
U polje "Unesite nazive odabranih objekata" unesite ime korisnika u domeni i kliknite "Provjeri naziv".
U prozoru za odabir korisnika kliknite na "Aplikacija".
Odaberite naziv tokena s padajućeg popisa i unesite PIN kod.
Na isti način odaberite certifikate za ostale korisnike u domeni.
Faza 4 - Postavljanje korisničkih računa
Za postavljanje računa otvorite popis AD korisnika i računala.
Odaberite mapu Korisnici i odaberite Svojstva.
Idite na karticu "Računi", potvrdite okvir "Zahtijeva pametnu karticu za interaktivnu prijavu".
Postavite sigurnosne politike. Da biste to učinili, otvorite upravljačku ploču i odaberite Administrativni alati. Otvorite izbornik za upravljanje pravilima grupe.
Na lijevoj strani prozora upravljanja pravilima grupe kliknite Zadana pravila domene i odaberite Uredi.
Na lijevoj strani prozora uređivača upravljanja pravilima grupe odaberite Sigurnosne opcije.
Otvorite pravilo "Interaktivna prijava: Zahtijevaj pametnu karticu".
Na kartici "Postavke sigurnosnih pravila" odaberite potvrdne okvire "Definiraj sljedeću postavku pravila" i "Omogućeno".
Otvorite Interaktivnu prijavu: Pravila ponašanja pri uklanjanju pametne kartice.
Na kartici "Postavke sigurnosnih pravila", potvrdite okvir "Definiraj sljedeću postavku pravila", odaberite "Zaključaj radnu stanicu" s padajućeg popisa.
Ponovno pokrenite računalo. I sljedeći put kada se pokušate autentificirati u domeni, već možete koristiti token i njegov PIN.
Konfigurirana je dvofaktorska autentifikacija za prijavu u domenu, što znači da je značajno povećana razina sigurnosti za prijavu na Windows domenu bez suludog trošenja na dodatne sigurnosne alate. Sada je bez tokena prijava u sustav nemoguća, a korisnici mogu odahnuti i ne pate od složenih lozinki.
Sljedeći korak je sigurna pošta, pročitajte o tome i kako postaviti sigurnu autentifikaciju u drugim sustavima u našim sljedećim člancima.
Oznake:
- Windows poslužitelj
- PKI
- Rutoken
- ovjera
1) Na samom početku postavljanja poslužitelja unesite naredbu:
multiotp.exe -debug -config default-request-prefix-pin=0 display-log=1 nakon toga ne morate unositi pin kod prilikom postavljanja korisnika i prikazati dnevnik svake operacije u konzoli.
2) Pomoću ove naredbe možete podesiti bantime za korisnike koji su pogriješili s lozinkom (30 sekundi prema zadanim postavkama):
multiotp.exe -debug -config failure-delayed-time=60
3) Ono što će biti napisano u aplikaciji Google Authenticator iznad 6 znamenki zove se izdavatelj, možete promijeniti zadani MultiOTP u nešto drugo:
multiotp.exe -debug -config issuer=other
4) Nakon izvedenih operacija, naredba za kreiranje korisnika postaje malo lakša:
multiotp.exe -debug -create user TOTP 12312312312312312321 6 (ne postavljam vrijeme ažuriranja znamenki na 30 sekundi, čini se da je zadano 30).
5) Svaki korisnik može promijeniti opis (tekst ispod brojeva u aplikaciji Google Auth):
multiotp.exe -postavite opis korisničkog imena=2
6) QR kodovi se mogu kreirati izravno u aplikaciji:
multiotp.exe -qrcode korisničko ime c:\multiotp\qrcode\user.png:\multiotp\qrcode\user.png
7) Možete koristiti ne samo TOTP, već i HOTP (ulaz hash funkcije nije trenutno vrijeme, već vrijednost inkrementalnog brojača):
multiotp.exe -debug -stvori korisničko ime HOTP 12312312312312312321 6
Lozinke mogu stvoriti veliku sigurnosnu glavobolju i upravljivost za IT administratore poduzeća i organizacija. Korisnici često stvaraju jednostavne lozinke ili ih zapisuju kako ih ne bi zaboravili. Osim toga, nekoliko postupaka za ponovno postavljanje lozinke je učinkovito i sigurno. S obzirom na ova ograničenja, kako se ove vrste sigurnosnih problema mogu ublažiti kada mreži pristupaju udaljeni korisnici? Kako možete učiniti rješenje za zaporke vaše tvrtke sigurnijim znajući da mnogi korisnici zapisuju svoje zaporke?
Rješenje postoji - to je uvođenje u organizaciju dodatnog sustava zaštite pristupa baziranog na unosu jednokratnih lozinki (OTP - One Time Password), koje se generiraju na mobilnom uređaju Vašeg zaposlenika. Prijelaz na autentifikaciju temeljenu na jednokratnim lozinkama obično se događa kada postane jasno da standardne dugoročne lozinke nisu dostatne u sigurnosnom smislu, a istovremeno su mogućnosti korištenja pametnih kartica ograničene, npr. situacija masovne upotrebe mobilnih klijenata.
Naša tvrtka je razvila tehnološko rješenje, koji će vam omogućiti da dobijete dodatna linija obrane za terminalski poslužitelj ili 1C poslužitelj temeljen na jednokratnim lozinkama , na koji se zaposlenici spajaju na daljinu.
Opseg rada za implementaciju i konfiguraciju OTP sustava
Na vašem poslužitelju instaliran je i konfiguriran specijalizirani softver za rad sustava autentifikacije pristupa temeljenog na jednokratnim lozinkama (OTP) Svi zaposlenici organizacije koji trebaju pristup serveru ulaze u OTP sustav Za svakog zaposlenika vrši se početna konfiguracija mobilnog telefona uz instalaciju programa za generiranje jednokratne lozinke
Troškovi uvođenja sustava autentifikacije pristupa na terminalski poslužitelj ili 1C poslužitelj temeljen na jednokratnim lozinkama (OTP) u organizaciju počinju od 6400 rubalja.
U slučajevima kada će OTP sustav biti postavljen zajedno s najmom infrastrukture u našem sigurnom "oblaku", popust za implementaciju sustava zaštite pomoću jednokratnih lozinki (OTP) može doseći 50%.
Jednokratne lozinke - dodatni sloj sigurnosti podataka
Tradicionalna, statična lozinka obično se mijenja samo kada je to potrebno, ili kada istekne ili kada ju je korisnik zaboravio i želi je ponovno postaviti. Budući da su lozinke predmemorirane na tvrdim diskovima računala i pohranjene na poslužitelju, ranjive su na hakiranje. Ovaj problem je posebno akutan za prijenosna računala jer ih je lako ukrasti. Mnoge tvrtke zaposlenicima daju prijenosna računala i otvaraju svoje mreže za daljinski pristup. Također zapošljavaju privremene zaposlenike i dobavljače. U takvom okruženju jednostavno rješenje statičke lozinke postaje nedostatak.
Za razliku od statične lozinke, jednokratna lozinka se mijenja svaki put kada se korisnik prijavi u sustav i vrijedi samo kratko vrijeme (30 sekundi). Same lozinke se kreiraju i šifriraju prema složenom algoritmu koji ovisi o mnogim varijablama: vremenu, broju uspješnih/neuspješnih prijava, nasumično generiranim brojevima itd. Ovaj naizgled složeni pristup zahtijeva jednostavne radnje od korisnika - Instalirajte posebnu aplikaciju na svoj telefon koja se jednom sinkronizira s poslužiteljem i potom generira jednokratnu lozinku. Sa svakom novom uspješnom prijavom, klijent i poslužitelj se automatski ponovno sinkroniziraju neovisno jedan o drugom prema posebnom algoritmu. Vrijednost brojača se povećava svaki put kada se od uređaja zatraži OTP vrijednost i kada se korisnik želi prijaviti, unosi OTP koji je trenutno prikazan na njegovom mobilnom uređaju.
Lozinka nije jako jaka sigurnosna mjera. Vrlo često se koriste jednostavne lozinke koje je lako pogoditi ili korisnici baš i ne paze na sigurnost svojih lozinki (dijele kolegama, pišu na papiriće i sl.). Microsoft je odavno implementirao tehnologiju koja vam omogućuje korištenje SmartCard kartice za prijavu, tj. autentifikaciju u sustavu pomoću certifikata. Ali pametne kartice nije potrebno izravno koristiti jer i one trebaju čitače pa ih je lakše zamijeniti usb tokenima. Oni će vam omogućiti implementaciju dvofaktorske autentifikacije: prvi faktor je lozinka iz tokena, drugi faktor je certifikat na tokenu. Nadalje, koristeći primjer JaCarta usb tokena i Windows domene, reći ću vam kako implementirati ovaj mehanizam provjere autentičnosti.
Prije svega, kreirajmo grupu "g_EtokenAdmin" u AD-u i računu. Unos agenta za upis koji pripada ovoj grupi. Ova grupa i korisnik upravljat će certifikacijskim tijelom.
Osim toga, instalirat ćemo web uslugu za traženje certifikata.
Zatim odaberite opciju za poduzeće. Odaberite Root CA (ako imamo ovo je prvi autoritet certifikata u domeni)
Izrađujemo novi privatni ključ. Duljina ključa može biti manja, ali algoritam raspršivanja je bolji za odabir SHA2 (SHA256).
Unesite naziv CA i odaberite razdoblje valjanosti glavnog certifikata.
Ostavite ostale parametre kao zadane i pokrenite postupak instalacije.
Nakon instalacije, idemo na snap-in certifikacijskog centra i konfiguriramo prava na predloške. 
Zanimat će nas dva predloška: Enrollment Agent i Smartcard prijava.
Idemo na svojstva ovih predložaka i na sigurnosnoj kartici dodajte grupu "g_EtokenAdmin" s pravima čitanja i zahtjeva.
I oni će se pojaviti na našem općem popisu.
Sljedeći korak je konfiguracija pravila grupe:
Prije svega, reći ćemo svim računalima u domeni o root certifikacijskom tijelu, za to ćemo promijeniti Zadanu politiku domene.
Konfiguracija računala -> Pravila -> Konfiguracija sustava Windows -> Sigurnosne postavke -> Pravila javnih ključeva -> Pouzdana tijela za izdavanje certifikata -> Uvoz
Odaberimo naš korijenski certifikat koji se nalazi duž staze: C:\Windows\System32\certsrv\CertEnroll. Zatvori zadana pravila domene.
U sljedećem koraku izradit ćemo pravilo za spremnik koji će sadržavati računala s autentifikacijom tokenom (Smart Card).
Putem Konfiguracija računala -> Pravila -> Konfiguracija sustava Windows -> Sigurnosne postavke -> Lokalna pravila -> Sigurnosne postavke. Konfigurirajmo dvije opcije "Interaktivna prijava: zahtijeva pametnu karticu" i "Interaktivna prijava: Ponašanje kada se ukloni pametna kartica".
To je sve s postavkama, sada možete generirati certifikat klijenta i provjeriti autentifikaciju tokenom.
Prijavite se na računalo pod računom “Enrollment Agent” i otvorite preglednik klikom na poveznicu http://Server_name_MS_CA/certsrv
Odaberite Zahtjev za certifikat -> Napredni zahtjev za certifikat -> Stvori i izdaj zahtjev ovom CA-u
Ako dobijete pogrešku kao što je "Da biste dovršili upis certifikata, morate konfigurirati web stranicu za CA da koristi HTTPS provjeru autentičnosti", tada trebate vezati stranicu na https protokol na IIS poslužitelju na kojem je instaliran MS CA.
Nastavimo s dobivanjem certifikata, za to na stranici koja se otvori odaberite predložak: "Agent za registraciju" i kliknite gumb za izdavanje i instaliranje certifikata.
Korisnik Agenta za upis sada može izdavati certifikate za druge korisnike. Na primjer, zatražit ćemo certifikat za testnog korisnika. Da biste to učinili, otvorite konzolu za upravljanje certifikatima certmgr.msc, jer putem web sučelja neće biti moguće upisati certifikat na usb token.
U ovoj konzoli, u osobnoj mapi, napravit ćemo zahtjev u ime drugog korisnika
Kao potpis odaberite jedini certifikat "Enrollment Agent" i prijeđite na sljedeći korak, gdje odabiremo stavku "Prijava s pametnom karticom" i kliknite detalje za odabir kriptoprovajdera.
U mom slučaju koristim JaCarta tokene, tako da je Athena crypto provider instaliran zajedno s upravljačkim programima:
U sljedećem koraku odaberite korisnika domene za kojeg izdajemo certifikat i kliknite na gumb "Prijava".
Umetnemo token, unesemo pin kod i proces generiranja počinje. Kao rezultat, trebali bismo vidjeti dijaloški okvir s natpisom "Uspješno".
Ako je proces završio neuspješno, problem može biti u predlošku za dobivanje certifikata, u mom slučaju ga je trebalo malo dotjerati.
Započnimo s testiranjem, provjerimo rad tokena na računalu koje se nalazi u OU s grupnim pravilima za prijavu putem pametne kartice.
Kada se pokušavamo prijaviti s računom s lozinkom, trebali bismo biti odbijeni. Prilikom pokušaja prijave pametnom karticom (tokenom), od nas će se tražiti da unesemo pin i moramo se uspješno prijaviti u sustav.
P.s.
1) Ako automatsko blokiranje računala ili odjava ne radi, nakon izvlačenja tokena provjerite radi li usluga "Smart Card Removal Policy"
2) Možete pisati (generirati certifikat) na token samo lokalno, neće raditi preko RDP-a.
3) Ako nije moguće pokrenuti proces generiranja certifikata pomoću standardnog predloška "Prijava putem pametne kartice", izradite njegovu kopiju sa sljedećim parametrima.
To je sve, ako imate pitanja, pitajte, pokušat ću pomoći.
Danas ćemo vam reći kako možete brzo i jednostavno postaviti dvofaktorsku autentifikaciju i šifrirati važne podatke, čak i uz mogućnost korištenja biometrije. Rješenje će biti relevantno za male tvrtke ili samo za osobno računalo ili prijenosno računalo. Bitno je da nam za to nije potrebna infrastruktura javnih ključeva (PKI), poslužitelj s ulogom certifikacijskog tijela (Certificate Services), a ne treba nam ni domena (Active Directory). Svi sistemski zahtjevi svodit će se na operativni sustav Windows i posjedovanje elektroničkog ključa korisnika, au slučaju biometrijske autentifikacije i čitača otiska prsta koji, primjerice, već može biti ugrađen u vaše prijenosno računalo.
Za autentifikaciju ćemo koristiti naš razvijeni softver - JaCarta SecurLogon i JaCarta PKI elektronički ključ kao autentifikator. Alat za šifriranje bit će standardni Windows EFS, pristup šifriranim datotekama također će biti putem JaCarta PKI ključa (isti onaj koji se koristi za autentifikaciju).
Podsjetimo da je JaCarta SecurLogon softversko i hardversko rješenje certificirano od strane FSTEC of Russia by Aladdin R.D., koje omogućuje jednostavan i brz prijelaz s jednofaktorske autentifikacije temeljene na paru login-password na dvofaktorsku autentifikaciju u OS-u pomoću USB-a. tokena ili pametnih kartica. Suština rješenja je vrlo jednostavna - JSL generira složenu lozinku (~63 znaka) i zapisuje je u sigurnu memoriju elektroničkog ključa. U tom slučaju lozinka možda nije poznata samom korisniku, korisnik zna samo PIN kod. Unosom PIN koda tijekom autentifikacije, uređaj se otključava i lozinka se šalje sustavu na autentifikaciju. Po želji unos PIN-a možete zamijeniti skeniranjem otiska prsta korisnika, a možete koristiti i kombinaciju PIN + otisak prsta.
EFS, kao i JSL, može raditi u samostalnom načinu rada, ne zahtijevajući ništa osim samog OS-a. Svi Microsoftovi operativni sustavi iz obitelji NT, počevši od Windows 2000 i novijih (osim kućnih verzija), imaju ugrađenu EFS (Encrypting File System) tehnologiju enkripcije podataka. EFS enkripcija temelji se na mogućnostima NTFS datotečnog sustava i CryptoAPI arhitekture i dizajnirana je za brzo šifriranje datoteka na tvrdom disku računala. Enkripcija u EFS-u koristi korisnikove privatne i javne ključeve koji se generiraju prvi put kada korisnik koristi značajku enkripcije. Ovi ključevi ostaju nepromijenjeni sve dok njegov račun postoji. Prilikom šifriranja datoteke EFS nasumično generira jedinstveni broj, tzv. File Encryption Key (FEK), duljine 128 bita, kojim se datoteke šifriraju. FEK-ovi su šifrirani glavnim ključem, koji je šifriran ključem korisnika sustava koji imaju pristup datoteci. Privatni ključ korisnika zaštićen je hashom korisničke lozinke. Podaci šifrirani s EFS-om mogu se dešifrirati samo pomoću istog Windows računa s istom lozinkom pod kojom je izvršena enkripcija. A ako pohranjujete enkripcijski certifikat i privatni ključ na USB token ili pametnu karticu, tada ćete također trebati ovaj USB token ili pametnu karticu za pristup šifriranim datotekama, što rješava problem kompromisa lozinke, jer će biti potreban i dodatni uređaj u obliku elektroničkog ključa.
Ovjera
Kao što je već navedeno, ne trebate AD ili certifikacijsko tijelo za konfiguraciju, trebate bilo koji moderni Windows, JSL distribuciju i licencu. Postavka je jednostavna za sramotu.Morate instalirati datoteku licence.
Dodajte korisnički profil.
I počnite koristiti dvofaktornu autentifikaciju.
Biometrijska autentifikacija
Moguće je koristiti biometrijsku autentifikaciju otiskom prsta. Rješenje radi na tehnologiji Match On Card. Raspršena vrijednost otiska prsta upisuje se na karticu tijekom početne inicijalizacije, a zatim se uspoređuje s izvornikom. Nigdje ne odlazi s karte, ne pohranjuje se u neke baze podataka. Za otključavanje takvog ključa koristi se otisak prsta ili kombinacija PIN + otisak prsta, PIN ili otisak prsta.Za početak korištenja samo trebate inicijalizirati karticu s potrebnim parametrima, zapisati otisak prsta korisnika.
Ubuduće će se isti prozor pojaviti prije ulaska u OS.
U ovom primjeru kartica je inicijalizirana s mogućnošću autentifikacije otiskom prsta ili PIN kodom, što je naznačeno prozorom za autentifikaciju.
Nakon davanja otiska prsta ili PIN koda, korisnik će ući u OS.
Šifriranje podataka
Postavljanje EFS-a također nije jako komplicirano, svodi se na postavljanje certifikata i izdavanje istog na elektronički ključ te postavljanje direktorija za šifriranje. Obično ne morate šifrirati cijeli pogon. Stvarno važne datoteke, kojima treće strane ne žele pristupiti, obično se nalaze u zasebnim direktorijima, a ne razbacane po cijelom disku.Za izdavanje enkripcijskog certifikata i privatnog ključa, otvorite korisnički račun, odaberite - Upravljanje File Encryption Certificates. U čarobnjaku koji se otvori stvorite samopotpisani certifikat na pametnoj kartici. Budući da nastavljamo koristiti pametnu karticu s BIO appletom, potrebno je predočiti otisak prsta ili PIN za pisanje certifikata za šifriranje.
U sljedećem koraku navedite direktorije koji će biti povezani s novim certifikatom; ako je potrebno, možete navesti sve logičke pogone.
Sam šifrirani direktorij i datoteke u njemu bit će označene drugom bojom.
Pristup datotekama ostvaruje se isključivo elektroničkim ključem, uz predočenje otiska prsta ili PIN koda, ovisno o odabranom.
Time je kompletno postavljanje završeno.
Možete koristiti oba scenarija (autentifikaciju i enkripciju), možete se zaustaviti na jednoj stvari.
