1) Na samom početku postavljanja poslužitelja unesite naredbu:
multiotp.exe -debug -config default-request-prefix-pin=0 display-log=1 nakon njega nema potrebe za unosom pin koda prilikom postavljanja korisnika i zapisnik svake operacije se prikazuje u konzoli.
2) Pomoću ove naredbe možete podesiti bantime za korisnike koji su pogriješili s lozinkom (zadano 30 sekundi):
multiotp.exe -debug -config failure-delayed-time=60
3) Što će biti napisano u prijavi Google autentifikator iznad 6 znamenki, nazvan izdavatelj, može se promijeniti iz zadanog MultiOTP-a u nešto drugo:
multiotp.exe -debug -config issuer=other
4) Nakon što su operacije dovršene, naredba za kreiranje korisnika postaje malo jednostavnija:
multiotp.exe -debug -create user TOTP 12312312312312312321 6 (ne postavljam vrijeme ažuriranja znamenki od 30 sekundi, čini se da je 30 prema zadanim postavkama).
5) Svaki korisnik može promijeniti opis (tekst ispod brojeva u Google aplikacija Auth.):
multiotp.exe -postavite opis korisničkog imena=2
6) QR kodovi se mogu kreirati izravno u aplikaciji:
multiotp.exe -qrcode korisničko ime c:\multiotp\qrcode\user.png:\multiotp\qrcode\user.png
7) Možete koristiti ne samo TOTP, već i HOTP (ne Trenutno vrijeme, i vrijednost inkrementalnog brojača):
multiotp.exe -debug -stvori korisničko ime HOTP 12312312312312312321 6
Danas ćemo vam reći kako možete brzo i jednostavno postaviti dvofaktorsku autentifikaciju i šifrirati važne podatke, čak i uz mogućnost korištenja biometrije. Rješenje će biti relevantno za male tvrtke ili samo za osobno računalo ili laptop. Bitno je da nam za to nije potrebna infrastruktura javnih ključeva (PKI), poslužitelj s ulogom certifikacijskog tijela (Certificate Services), a ne treba nam niti domena ( Aktivni direktorij). Svi sistemski zahtjevi svodit će se na operativni sustav Windows i prisutnost elektroničkog ključa kod korisnika, au slučaju biometrijske autentifikacije i čitač otiska prsta koji je, primjerice, možda već ugrađen u vaše prijenosno računalo.
Za autentifikaciju ćemo koristiti naš softver - JaCarta SecurLogon i JaCarta PKI elektronički ključ kao autentifikator. Alat za šifriranje bit će obični Windows EFS, pristup šifriranim datotekama također će biti omogućen putem JaCarta PKI ključa (isti onaj koji se koristi za autentifikaciju).
Podsjetimo, JaCarta SecurLogon je certificirana FSTEC Rusije softversko i hardversko rješenje tvrtke Aladdin R.D., koje omogućuje jednostavno i Brzi prolaz od jednofaktorske autentifikacije temeljene na paru login-password do dvofaktorske autentifikacije u OS-u korištenjem USB tokena ili pametnih kartica. Suština rješenja je vrlo jednostavna - JSL generira složenu lozinku (~63 znaka) i zapisuje je u sigurnu memoriju elektroničkog ključa. U tom slučaju lozinka može biti nepoznata samom korisniku; korisnik zna samo PIN kod. Unosom PIN koda tijekom autentifikacije, uređaj se otključava i lozinka se šalje sustavu na autentifikaciju. Po želji unos PIN koda možete zamijeniti skeniranjem otiska prsta korisnika, a možete koristiti i kombinaciju PIN + otisak prsta.
EFS, kao i JSL, može raditi u samostalnom načinu rada, ne zahtijevajući ništa osim samog OS-a. U svemu operativni sustavi Obitelj Microsoft NT, počevši od Windows 2000 i novijih (osim kućne verzije), postoji ugrađena tehnologija šifriranja podataka EFS (Encrypting File System). EFS enkripcija temelji se na mogućnostima datoteke NTFS sustavi i CryptoAPI arhitekturu i dizajniran je za brzo šifriranje datoteka na tvrdom disku računala. EFS enkripcija koristi korisnikove privatne i javne ključeve koji se generiraju prvi put kada korisnik koristi funkciju enkripcije. Ovi ključevi ostaju nepromijenjeni sve dok njegov račun postoji. Prilikom šifriranja EFS datoteka nasumično generira jedinstveni broj, tzv. File Ključ šifriranja(FEK) 128 bita, s kojim su datoteke šifrirane. FEK ključevi su šifrirani glavnim ključem, koji je šifriran ključem korisnika sustava koji imaju pristup datoteci. Privatni ključ korisnika zaštićen je hashom korisničke lozinke. Podaci šifrirani pomoću EFS-a mogu se dešifrirati samo pomoću istog računa. Windows unosi s istom lozinkom koja se koristi za šifriranje. A ako pohranjujete enkripcijski certifikat i privatni ključ na USB token ili pametnu karticu, tada će vam za pristup šifriranim datotekama trebati i ovaj USB token ili pametna kartica, što rješava problem kompromisa lozinke, jer će biti potrebno imati i dodatni uređaj u obliku elektroničkog ključa.
Ovjera
Kao što je već navedeno, za konfiguraciju vam nije potreban AD ili certifikacijsko tijelo, potrebno vam je bilo koje moderni Windows, JSL distribucija i licenca. Postavljanje je smiješno jednostavno.Morate instalirati datoteku licence.
Dodajte korisnički profil.
I počnite koristiti dvofaktornu autentifikaciju.
Biometrijska autentifikacija
Moguće je koristiti biometrijsku autentifikaciju otiskom prsta. Rješenje radi pomoću tehnologije Match On Card. Raspršivač otiska prsta zapisuje se na karticu tijekom početne inicijalizacije i naknadno se uspoređuje s izvornikom. Ne ostavlja karticu nigdje, ne pohranjuje se ni u jednoj bazi podataka. Za otključavanje takvog ključa koristi se otisak prsta ili kombinacija PIN + otisak prsta, PIN ili otisak prsta.Da biste je počeli koristiti, samo trebate inicijalizirati karticu s potrebnim parametrima i snimiti otisak prsta korisnika.
Ubuduće će se isti prozor pojaviti prije ulaska u OS.
U ovom primjeru, kartica je inicijalizirana s mogućnošću provjere autentičnosti pomoću otiska prsta ili PIN koda, kao što pokazuje prozor za provjeru autentičnosti.
Nakon davanja otiska prsta ili PIN koda, korisnik će biti odveden u OS.
Šifriranje podataka
Postavljanje EFS-a također nije jako komplicirano, svodi se na postavljanje certifikata i njegovo izdavanje elektroničkom ključu te postavljanje direktorija za šifriranje. Obično ne morate šifrirati cijeli disk. Stvarno važne datoteke, kojima nije poželjno da treće strane dobiju pristup, obično se nalaze u zasebnim direktorijima, a ne razbacani po disku.Za izdavanje enkripcijskog certifikata i privatnog ključa, otvorite svoj korisnički račun, odaberite - Upravljanje enkripcijskim certifikatima datoteka. U čarobnjaku koji se otvori stvorite samopotpisani certifikat na pametnoj kartici. Budući da nastavljamo koristiti pametnu karticu s BIO appletom, morate dati otisak prsta ili PIN za snimanje certifikata za šifriranje.
U sljedećem koraku navedite direktorije koji će biti povezani s novim certifikatom; ako je potrebno, možete navesti sve logičke pogone.
Sam šifrirani direktorij i datoteke u njemu bit će označene drugom bojom.
Pristup datotekama ostvaruje se samo uz posjedovanje elektroničkog ključa, uz predočenje otiska prsta ili PIN koda, ovisno o odabranom.
Ovo dovršava postavljanje.
Možete koristiti oba scenarija (autentifikaciju i enkripciju) ili možete odabrati jedan.
Stvarnosti zemalja u kojima živi većina stanovnika Khabrovsk takve su da čuvanje poslužitelja važna informacija Poslovanje izvan zemlje postala je dobra praksa koja vam omogućuje uštedu živaca i podataka.
Prvo pitanje koje se postavlja pri prelasku na oblak nakon enkripcije podataka, a možda i prije nje, jest osigurati da pristup podacima s korisničkog računa obavlja sam korisnik, a ne netko drugi. A ako se u članku mog kolege govori o dobrom načinu šifriranja podataka koji se nalaze u privatnom oblaku, onda je s autentifikacijom sve kompliciranije.
O korisnicima i načinima zaštite
Priroda tipičnog korisnika je takva da je odnos prema sigurnosti korisničkih lozinki prilično neozbiljan i to je nemoguće ispraviti. Naše iskustvo pokazuje da čak i ako tvrtka ima stroge politike, obuku korisnika itd., i dalje će postojati nešifrirani uređaj koji će napustiti zidove ureda, a kada pogledate popis proizvoda jedne poznate tvrtke, shvatit ćete da samo je pitanje vremena prije preuzimanja lozinki s nešifriranog uređaja.
Neke tvrtke, kako bi kontrolirale pristup podacima u oblaku, instaliraju tunele između oblaka i ureda i zabranjuju daljinski pristup https://habrahabr.ru/company/pc-administrator/blog/320016/. Po našem mišljenju, to nije u potpunosti optimalno rješenje, kao prvo, izgubljene su neke od prednosti rješenja u oblaku, a kao drugo, postoje problemi s izvedbom navedeni u članku.
Rješenje pomoću terminalskog poslužitelja i Udaljena radna površina Pristupnik (RDG) fleksibilniji, može se prilagoditi visoka razina sigurnosti, kako je opisao moj kolega https://habrahabr.ru/post/134860/ (članak iz 2011., ali sam princip je još uvijek relevantan). Ova metoda omogućuje sprječavanje prijenosa podataka iz oblaka, ali nameće ograničenja u radu korisnika i ne rješava u potpunosti problem autentifikacije, već je to DLP rješenje.
Može biti najbolji način kako bi se osiguralo da nijedan napadač ne radi pod korisničkim računom dvofaktorska autentifikacija. Članci mog kolege https://habrahabr.ru/post/271259/ https://habrahabr.ru/post/271113/ opisuju postavljanje MFA od Microsofta i Googlea za VPN klijenta. Metoda je dobra, ali, prvo, zahtijeva CISCO ASA, što nije uvijek lako implementirati, posebno u proračunskim oblacima, a drugo, rad putem VPN-a je nezgodan. Rad s terminalskom sesijom putem RDG-a puno je ugodniji, a SSL enkripcijski protokol izgleda univerzalnije i pouzdanije od VPN-a tvrtke CISCO.
Postoje mnoga rješenja s dvofaktorskom autentifikacijom na samom terminalnom poslužitelju, evo primjera konfiguracije besplatno rješenje- http://servilon.ru/dvuhfaktornaya-autentifikaciya-otp/. Ovo rješenje nažalost ne radi preko RDG-a.
RDG poslužitelj traži potvrdu autorizacije od MFA poslužitelja. MFA, ovisno o odabranoj metodi autentifikacije, zove, šalje SMS ili šalje zahtjev mobilnoj aplikaciji. Korisnik potvrđuje ili odbija zahtjev za pristup. MFA vraća rezultat drugog faktora provjere autentičnosti RDG poslužitelju.
Instalirajte i konfigurirajte Azure Multi-Factor Authentication Server
Stvorite davatelja autentifikacije na portalu Microsoft Azure
Idemo na Microsoft Azure (na računu mora biti instalirana pretplata ili probna verzija) i nalazimo Multi-Factor Authentication (MFA).Na ovaj trenutak MFA upravljanje nije dodano nova verzija Azure portal, pa će se otvoriti stara verzija portala.
Da biste kreirali novog pružatelja višefaktorske provjere autentičnosti, trebate kliknuti donji lijevi “CREATE → Application Services → Active Directory → Multi-factor authentication provider → Brzo stvaranje" Navedite naziv i model korištenja.
Kako će se plaćanje obračunavati ovisi o modelu korištenja, bilo po broju korisnika ili po broju autentifikacija.
Nakon izrade, MFA će se pojaviti na popisu. Zatim prijeđite na kontrolu pritiskom odgovarajuće tipke.
Idite na preuzimanja i preuzmite MFA poslužitelj
Postavljanje MFA poslužitelja
MFA poslužitelj mora biti instaliran na virtualni stroj različit od RDG poslužitelja. Podržani su operativni sustavi stariji od Windows Server 2008 ili Windows 7. Za rad je potreban Microsoft. NET Framework 4.0.Adrese na portu 443 trebale bi biti dostupne:
Instaliramo MFA poslužitelj, tijekom instalacije odbijamo čarobnjaka za postavke.
Prilikom prvog pokretanja morate unijeti podatke o računu koji se moraju generirati na stranici za učitavanje poslužitelja.
Zatim dodajemo korisnike. Da biste to učinili, idite na odjeljak Korisnici i kliknite na Uvoz iz Active Directoryja, odaberite korisnike za uvoz.
Ako je potrebno, možete konfigurirati automatsko dodavanje novi korisnici iz AD-a:
“Integracija imenika → Sinkronizacija → Dodaj”, itd. dodajte direktorij koji će se automatski sinkronizirati u navedenom vremenskom intervalu.
Testirajmo funkcionalnost MFA poslužitelja. Idite na odjeljak Korisnici. Za svoj račun navedite telefonski broj (ako već nije naveden) i odaberite metodu provjere autentičnosti "Telefonski poziv". Pritisnite gumb Test i unesite svoju prijavu i lozinku. Telefon bi trebao primiti poziv. Odgovorimo i pritisnemo #.
Konfiguriranje MFA poslužitelja za rad s Radius zahtjevima
Idite na odjeljak Radius Authentication i označite potvrdni okvir "Enable RADIUS Authentication".Dodajte novog klijenta navođenjem IP adrese NPS poslužitelja i dijeljenog tajnog ključa. Ako se autentifikacija mora provesti za sve korisnike, označite odgovarajući okvir (u u ovom slučaju svi korisnici moraju biti dodani na MFA poslužitelj).
Također morate biti sigurni da portovi navedeni za vezu odgovaraju portovima navedenim na NPS poslužitelju i da ih vatrozid ne blokira.
Idite na karticu Target i dodajte Radius poslužitelj.
Napomena: Ako na mreži nema središnjeg NPS poslužitelja, IP adrese Radius klijenta i poslužitelja bit će iste.
Konfiguriranje RDG i NPS poslužitelja za rad s MFA
Remote Desktop Gateway mora biti konfiguriran za slanje Radius zahtjeva MFA poslužitelju. Da biste to učinili, otvorite svojstva pristupnika i idite na karticu "RDG CAP Store", odaberite "NPS radi na središnjem poslužitelju" i navedite adresu MFA poslužitelja i zajednički tajni ključ.
Zatim konfiguriramo NPS poslužitelj. Proširite odjeljak “Radius klijenti i poslužitelji → Grupe udaljenih radijus poslužitelja”. Otvorite svojstva grupe “TS gateway server group” (grupa se stvara prilikom postavljanja RDG-a) i dodajte naš MFA poslužitelj.
Prilikom dodavanja, na kartici "Balansiranje opterećenja" povećavamo ograničenja vremenskog ograničenja poslužitelja. Postavljamo “Broj sekundi bez odgovora, nakon čega se zahtjev smatra odbačenim” i “Broj sekundi između zahtjeva, nakon kojih se poslužitelj smatra nedostupnim” u rasponu od 30-60 sekundi.
Na kartici “Authentication/Accounting” provjeravamo ispravnost navedenih portova i postavljamo zajednički tajni ključ.
Sada idemo na odjeljak "Radius klijenti i poslužitelji → Radius klijenti" i dodamo MFA poslužitelj, navodeći "Prijateljsko ime", adresu i zajedničku tajnu.
Idite na odjeljak “Pravila → Pravila zahtjeva za povezivanje”. Ovaj bi odjeljak trebao sadržavati politiku stvorenu prilikom konfiguriranja RDG-a. Ovo pravilo usmjerava Radius zahtjeve na MFA poslužitelj.
Duplicirajte pravilo i idite na njegova svojstva. Dodajte uvjet koji odgovara “Naziv prilagođen klijentu” s “Prijateljskim imenom” navedenim u prethodnom koraku.
Na kartici "Postavke" promijenite davatelja usluge autentifikacije na lokalni poslužitelj.
Ovo pravilo će osigurati da kada se radius zahtjev primi od MFA poslužitelja, zahtjev će biti obrađen lokalno, što će eliminirati ponavljanje zahtjeva.
Provjerimo to ovu politiku postavljen iznad izvornog.
U ovoj fazi kombinacija RDG i MFA radi. Sljedeći su koraci neophodni za one koji žele moći koristiti provjeru autentičnosti mobilne aplikacije ili žele korisnicima dati pristup nekim MFA postavkama putem korisničkog portala.
Instaliranje SDK-a, web-usluge mobilne aplikacije i korisničkog portala
Povezivanje s ovim komponentama ostvaruje se putem HTTPS protokola. Stoga morate instalirati SSL certifikat na poslužitelj na kojem će biti postavljeni.Korisnički portal i web-usluga mobilne aplikacije koriste SDK za komunikaciju s MFA poslužiteljem.
Instalacija SDK-a
SDK je instaliran na MFA poslužitelju i zahtijeva IIS, ASP.NET, osnovnu provjeru autentičnosti, koji moraju biti unaprijed instalirani pomoću Upravitelja poslužitelja.Za SDK instalacija idite na odjeljak Web Service SDK u Multi-Factor Authentication Serveru i kliknite gumb za instalaciju, slijedite čarobnjaka za instalaciju.
Instaliranje web usluge mobilne aplikacije
Ova je usluga potrebna za interakciju mobilne aplikacije s MFA poslužiteljem. Za ispravan rad uslugu, računalo na koje će se instalirati mora imati pristup internetu i port 443 mora biti otvoren za spajanje s interneta.Instalacijska datoteka usluge nalazi se u mapi C:\Program Files\Azure Multi-Factor Authentication na računalu s instaliranim MFA. Pokrenite instalacijski program i slijedite čarobnjaka za instalaciju. Za praktičnost korisnika, možete zamijeniti naziv virtualnog direktorija “MultiFactorAuthMobileAppWebService” s kraćim.
Nakon instalacije idite u mapu C:\inetpub\wwwroot\MultiFactorAuthMobileAppWebService i promijenite datoteku web.config. U ovu datoteku morate postaviti ključeve odgovorne za račun koji je dio sigurnosne grupe PhoneFactor Admins. Ovaj će se račun koristiti za povezivanje sa SDK-om.
U istoj datoteci morate navesti URL na kojem je SDK dostupan.
Napomena: Povezivanje sa SDK-om se vrši pomoću SSL protokol, tako da se trebate pozvati na SDK prema nazivu poslužitelja (navedenom u SSL certifikatu), a ne prema IP adresi. Ako je žalbu uputio mjesni naziv, trebate dodati odgovarajući unos u datoteku hosts kako biste koristili SSL certifikat.
Dodajemo URL gdje je dostupna web usluga mobilne aplikacije u aplikaciji Multi-Factor Authentication Server u odjeljku Mobile App. To je potrebno za ispravno generiranje QR koda u korisničkom portalu za povezivanje mobilnih aplikacija.
Također u ovom odjeljku možete označiti potvrdni okvir "Omogući OATH tokene", koji vam omogućuje korištenje mobilne aplikacije kao softverskog tokena za generiranje jednokratnih lozinki na temelju vremena.
Instalacija korisničkog portala
Instalacija zahtijeva IIS, ASP.NET i ulogu kompatibilnosti metabaze IIS 6 (za IIS 7 ili noviju verziju).Ako je portal instaliran na MFA poslužitelju, samo idite na odjeljak User Portal u Multi-Factor Authentication Serveru, kliknite gumb za instalaciju i slijedite čarobnjaka za instalaciju. Ako je računalo pridruženo domeni, tada će se tijekom instalacije kreirati korisnik koji je član sigurnosne grupe PhoneFactor Admins. Ovaj je korisnik potreban za sigurnu vezu sa SDK-om.
Prilikom instalacije na zasebnom poslužitelju morate kopirati instalacijsku datoteku s MFA poslužitelja (instalacijska datoteka se nalazi u mapi C:\Program Files\Multi-Factor Authentication Server). Instalirajte i uredite datoteku web.config do lokacije C:\inetpub\wwwroot\MultiFactorAuth. Morate promijeniti ključ u ovoj datoteci USE_WEB_SERVICE_SDK od lažnog do istinitog. Navedite pojedinosti o računu koji pripada grupi PhoneFactor Admins u ključevima WEB_SERVICE_SDK_AUTHENTICATION_USERNAME i WEB_SERVICE_SDK_AUTHENTICATION_PASSWORD. I navedite URL adresu servisnog SDK-a, ne zaboravite urediti host datoteku ako je potrebno tako da SSL protokol radi.
Dodajemo URL gdje je dostupan korisnički portal u aplikaciji Multi-Factor Authentication Server u odjeljku User Portal.
Demonstracija kako Azure MFA radi za provjeru autentičnosti RDG veza
Razmotrit ćemo rad MFA sa strane korisnika. U našem slučaju, drugi čimbenik provjere autentičnosti bit će mobilna aplikacija, jer mobilna mreža ima niz ranjivosti koje omogućuju, uz pravilnu pripremu, presretanje poziva i SMS-ova.Prije svega, korisnik će morati otići na korisnički portal i naznačiti svoj broj telefona (ako nije naveden u oglasu) te povezati mobilnu aplikaciju sa svojim računom. Idemo na portal pod našim računom i unosimo odgovore na tajna pitanja (trebat ćemo ih ako se pristup računu vrati).
Zatim odaberite metodu provjere autentičnosti, u našem slučaju mobilnu aplikaciju i kliknite gumb "Stvori aktivacijski kod". Generirat će se QR kod u koji se mora skenirati Mobilna aplikacija.
Budući da je prilikom uvoza korisnika na MFA poslužitelj postavljena provjera autentičnosti pomoću PIN koda, od nas će se tražiti da ga izradimo. Unesite željeni PIN kod i kliknite na “Provjeri moju autentičnost”. U mobilnoj aplikaciji morate potvrditi zahtjev koji se pojavi. Nakon ovih koraka imamo aplikaciju povezanu s računom i puni pristup portalu za promjenu osobnih postavki.
Lozinke mogu stvoriti veliku glavobolja u smislu sigurnosti i upravljivost za IT administratore poduzeća i organizacija. Korisnici često stvaraju jednostavne lozinke ili ih zapisuju kako ih ne bi zaboravili. Osim toga, nekoliko je postupaka za ponovno postavljanje lozinke učinkovito ili sigurno. S obzirom na ova ograničenja, kako se ove vrste sigurnosnih problema mogu ublažiti kada se pristupi mreži udaljeni korisnici? Kako možete učiniti rješenje za lozinku vaše tvrtke sigurnijim, znajući da mnogi korisnici zapisuju svoje zaporke?
Rješenje postoji – to je implementacija u organizaciju dodatni sustav zaštita pristupa temeljena na unosu jednokratnih lozinki (OTP - One Time Password), koje se generiraju na mobilni uređaj vaš zaposlenik. Prijelaz na autentifikaciju temeljenu na jednokratnim lozinkama obično se događa u situaciji kada se shvati da su standardne dugoročne lozinke nedostatne sa sigurnosnog gledišta, a istovremeno su mogućnosti korištenja pametnih kartica ograničene, tj. na primjer, u situaciji u kojoj se mobilni klijenti široko koriste.
Naša tvrtka se razvila tehnološko rješenje , koji će vam omogućiti da dobijete dodatna linija obrane za terminalski poslužitelj ili 1C poslužitelj temeljen na jednokratnim lozinkama , na koji se zaposlenici spajaju na daljinu.
Opseg rada za implementaciju i konfiguraciju OTP sustava
Specijalizirani softver instaliran je i konfiguriran na vašem poslužitelju za rad sustava autentifikacije pristupa temeljenog na jednokratnim lozinkama (OTP) Svi zaposlenici organizacije koji trebaju pristup serveru prijavljeni su u OTP sustav Za svakog zaposlenika provodi se početno podešavanje mobitel uz instalaciju programa za generiranje jednokratne lozinke
Počinju troškovi uvođenja u organizaciju sustava autentifikacije pristupa za terminalski poslužitelj ili 1C poslužitelj temeljen na jednokratnim lozinkama (OTP). od 6400 rub..
U slučajevima kada će OTP sustav biti postavljen zajedno s najmom infrastrukture u našem sigurnom "oblaku", popust na implementaciju sustava zaštite pomoću jednokratnih lozinki (OTP) može doseći 50%.
Jednokratne lozinke - dodatna razina sigurnosti podataka
Tradicionalna, statična lozinka obično se mijenja samo kada je to potrebno: bilo kada istekne, ili kada ju je korisnik zaboravio i želi je resetirati. Jer su lozinke u predmemoriji tvrdi diskovi računalu i pohranjeni na poslužitelju, ranjivi su na hakiranje. Ovaj problem je posebno akutan za prijenosna računala jer ih je lako ukrasti. Mnoge tvrtke zaposlenicima daju prijenosna računala i otvaraju svoje mreže za daljinski pristup. Također zapošljavaju privremene zaposlenike i dobavljače. U takvom okruženju jednostavno rješenje statičke lozinke postaje nedostatak.
Za razliku od statičke lozinke, jednokratna lozinka mijenja se svaki put kada se korisnik prijavi u sustav i vrijedi samo kratko vrijeme (30 sekundi). Same lozinke se kreiraju i šifriraju pomoću složenog algoritma koji ovisi o mnogim varijablama: vremenu, broju uspješnih/neuspješnih prijava, nasumično generiranim brojevima itd. Ovaj naizgled složen pristup zahtijeva jednostavne radnje od korisnika - Instalirajte na svoj telefon posebna primjena, koji se jednom sinkronizira s poslužiteljem i potom generira jednokratnu lozinku. Sa svakom novom uspješnom prijavom, klijent i poslužitelj se automatski ponovno sinkroniziraju neovisno jedan o drugom pomoću posebnog algoritma. Vrijednost brojača se povećava svaki put kada se od uređaja traži OTP vrijednost i kada se korisnik želi prijaviti, on unosi OTP-ove koji su trenutno prikazani na njegovom mobilnom uređaju.
Metode zaštite pri korištenju provjere autentičnosti lozinkom. Kako biste zaštitili svoje lozinke od hakiranja, trebali biste postaviti odgovarajuću politiku. Da biste to učinili, upotrijebite izbornik Start->Administrative Tools->Group Policy Management kako biste pokrenuli GPMC Group Policy Management Console i odaberite željeni objekt pravila grupe odjeljak Konfiguracija računala->Pravila->Sigurnosne postavke->Pravila računa->Pravila zaporke Pogledajte sl. 1 (Upravljanje postavkama zaporke).
Riža. 1 Upravljanje postavkama zaporke.
Možemo postaviti minimalnu duljinu lozinke, što će nam omogućiti da izbjegnemo kratke lozinke (Minimum lozinka duljina). Kako bi korisnik odredio složene lozinke treba uključiti zahtjev složenosti (Lozinka mora sastati se složenost zahtjevi).
Kako biste osigurali da se vaša lozinka redovito mijenja, morate je postaviti maksimalni rokživot (Maksimum lozinka dob).
Kako biste spriječili korisnike da ponavljaju stare lozinke, morate konfigurirati pohranu povijesti lozinki (Provoditi lozinka povijesti) .
I na kraju, kako biste osigurali da korisnik višestrukim mijenjanjem lozinki ne promijeni svoju lozinku u staru, postavite minimalno razdoblje tijekom kojeg se lozinka ne može promijeniti (Minimum lozinka dob).
Kako bismo se zaštitili od napada rječnikom, postavit ćemo zaključavanje računa ako se lozinka više puta unese netočno. Da biste to učinili, trebate odabrati željeni GPO odjeljak u GPMC konzoli za upravljanje pravilima grupe Računalo Konfiguracija-> Politike-> Sigurnost postavke-> Račun Politike-> Račun Zaključavanje Politika . Pogledajte sl. 2 (Upravljanje blokadom korisničkog računa).
Riža. 2 Upravljanje zaključavanjem korisničkog računa.
Da biste konfigurirali račun da bude trajno zaključan (prije nego što ga administrator otključa), trebate postaviti parametar trajanja zaključavanja na nulu (Račun zaključavanje trajanje).
U brojaču broja neuspješnih pokušaja prijave (Račun zaključavanje prag) morate navesti traženu vrijednost. U većini slučajeva prihvatljivo je 3-5 pokušaja prijave.
Na kraju, trebali biste postaviti interval za resetiranje brojača neuspjelih pokušaja (Resetiraj račun zaključavanje brojač nakon).
Za zaštitu od " trojanski konji" trebalo bi se koristiti antivirusna sredstva i blokiranje neovlašteno softver.
Za ograničavanje mogućnosti korisnika da unesu viruse u informacijski sustav opravdano je: postavljanje zabrane rada s vanjski uređaji(CD, DVD, Flash), strogi UAC način rada, koristiti zasebno stojeći Internet kiosci temeljeni na računalima koja nisu uključena u radnu mrežu. I konačno, uvođenje strogih pravila rada koja definiraju pravila rada korisnika na korporativnoj mreži (zabrana dijeljenja vjerodajnica s bilo kim, zabrana ostavljanja vjerodajnica na dostupnim mjestima, zahtjevi za obaveznim blokiranjem radne stanice pri napuštanju radnog mjesta) , itd. . P.).
Kao rezultat toga, moći ćemo smanjiti rizike povezane s kršenjem sigurnosti tvrtke.
Pretpostavimo da je sve ovo učinjeno. Međutim, prerano je reći da smo uspjeli osigurati sigurnu autentifikaciju u našem sustavu.
Ljudski faktor je najveća prijetnja.
I dalje postoje prijetnje s kojima se nismo uspjeli nositi. Jedan od najznačajnijih - ljudski faktor. Korisnici naših informacijskih sustava nisu uvijek dovoljno savjesni te, unatoč objašnjenjima sigurnosnih administratora, zapisuju svoje vjerodajnice (korisničko ime i lozinku) i ne mare za tajnost istih. povjerljive informacije. Više puta sam pronašao naljepnice na monitoru, vidi sl. 3, ili ispod tipkovnice pogledajte sl. 4 s korisničkim imenom i lozinkom.
Riža. 3. Prekrasan poklon za napadača, zar ne?
Riža. 4. Još jedan dar za provalnika.
Kao što vidimo, duge i složene lozinke uvedene su u sustav i asocijativni niz se jasno ne vidi. Međutim, korisnici su pronašli "učinkovit" način za pamćenje i pohranjivanje vjerodajnica...
Dakle, vidite da je u ovom slučaju u igru došla značajka koju sam gore spomenuo: duge i složene lozinke se bilježe i možda neće biti pravilno pohranjene.
Upućeni
Druga značajna sigurnosna prijetnja je mogućnost da napadač fizički dobije pristup radnoj stanici legitimnog korisnika i prenese povjerljive informacije trećim stranama. To je govorimo o o situaciji u kojoj postoji zaposlenik unutar tvrtke koji krade informacije od svojih kolega.
Sasvim je očito da je vrlo teško osigurati “fizičku” sigurnost radne stanice korisnika. Možete jednostavno spojiti hardverski keylogger na otvor tipkovnice, presrećući signal iz bežične tipkovnice također je moguće. Takvi uređaji postoje. Naravno, u ured tvrtke neće ući baš bilo tko, ali svi znaju da je najopasniji interni špijun. On već ima fizički pristup vašem sustavu, a postavljanje keyloggera neće biti teško, pogotovo jer su ti uređaji dostupni širokom krugu ljudi. Osim toga, keylogger programi se ne mogu zanemariti. Dapače, unatoč svim naporima administratora, mogućnost instaliranja takvog "špijunskog" softvera nije isključena. Da li korisnik uvijek blokira svoje radna stanica napuštanje radnog mjesta? Može li administrator informacijski sistem pobrinite se da se korisniku ne dodijele pretjerane dozvole, osobito ako je potrebno koristiti stare softverski proizvodi? Ima li administrator, posebno u maloj tvrtki, uvijek dovoljno kvalifikacija za provedbu preporuka softvera i hardver o izgradnji sigurnih informacijskih sustava?
Dakle, možemo zaključiti da je provjera autentičnosti lozinke u načelu nepouzdana. Stoga je potrebna višestruka autentifikacija i to takva da se korisnička lozinka ne upisuje na tipkovnici.
Što nam može pomoći?
Ima smisla razmotriti autentifikaciju u dva faktora: prvi faktor je posjedovanje lozinke, drugi je poznavanje PIN koda. Lozinka domene više se ne upisuje na tipkovnici, što znači da je ne presreće keylogger. Presretanje lozinke domene prepuno je mogućnosti prijave, presretanje PIN koda nije toliko opasno, jer je dodatno potrebna pametna kartica.
Ovome se može reći da korisnik može ostaviti svoju karticu u čitaču i napisati PIN na naljepnicu, kao i prije. Međutim, postoje kontrolni sustavi koji mogu blokirati napuštenu karticu, kao što je implementirano u bankomatima. Dodatno, na karticu je moguće staviti propusnicu za ulazak/izlaz iz ureda, odnosno možemo koristiti karticu s RFID oznakom, čime se sustav autentifikacije u imeničkoj službi kombinira sa sustavom kontrole fizičkog pristupa. U tom slučaju, da bi otvorio vrata, korisnik će trebati svoju pametnu karticu ili USB token, pa će biti prisiljen uvijek ga nositi sa sobom.
Osim, moderna rješenja za autentifikaciju u dva faktora, ne zahtijevaju samo mogućnost autentifikacije u AD-u ili AD DS-u. Korištenje pametnih kartica i USB ključeva također pomaže u mnogim drugim slučajevima, primjerice kod pristupa javnosti e-pošta, internet trgovinama gdje je potrebna registracija, aplikacijama koje imaju vlastitu katalošku uslugu itd. itd.
Dakle, možete dobiti praktično univerzalni lijek ovjera.
Implementacija dvofaktorske autentifikacije temeljene na asimetrična kriptografija u ADDS-u.
Active Directory podržava autentifikaciju pametne kartice od Windows 2000.
U svojoj jezgri, mogućnost provjere autentičnosti pomoću pametnih kartica sadržana je u ekstenziji PKINIT (inicijalizacija javnog ključa) za protokol Kerberos RFC 4556. Vidi. Ekstenzija PKINIT omogućuje korištenje certifikata javnih ključeva tijekom Kerberos faze pred-provjere autentičnosti.
To omogućuje korištenje pametnih kartica. Odnosno, možemo govoriti o mogućnosti dvofaktorske autentifikacije Microsoft sustavi na temelju standardnih alata, počevši od Windows 2000, budući da je Kerberos + PKINIT shema već implementirana.
Bilješka. Predprovjera autentičnostiKerberos– proces koji osigurava dodatna razina sigurnosti. Izvršeno prije izdavanjaTGT (Ulaznica Davanje Ulaznica) s poslužitelja za distribuciju ključeva (K.D.C.). Koristi se u protokoluKerberos v. 5 za suzbijanje izvanmrežnih napada pogađanjem zaporke. Saznajte više o tome kako protokol funkcioniraKerberosmože se naći u RFC 4120.Cm
Naravno, govorimo o računalima koja su dio domene. Ako postoji potreba za pribjegavanjem dvofaktorskoj autentifikaciji prilikom rada u radna skupina, ili kada koristite više ranije verzije operativnih sustava, tada ćemo se morati obratiti softveru treće strane, na primjer SafeNet (Aladdin) eToken Network Logon 5.1. Cm.
Prijava se može osigurati korištenjem imeničke usluge domene ili lokalne imeničke usluge. U tom se slučaju korisnička lozinka ne upisuje na tipkovnici, već se iz sigurne pohrane prenosi na pametnu karticu.
Autentikacija pomoću pametnih kartica implementirana je kroz proširenje Kerberos PKINIT, ovo proširenje pruža mogućnost korištenja asimetričnih kriptografskih algoritama.
Što se tiče zahtjeva za uvođenje korištenja pametnih kartica u kombinaciji s PKINIT-om, za rad Windows sustavi 2000, Windows 2003 Server, oni su sljedeći:
· Svi kontroleri domene i sve klijentska računala unutar šume u kojoj se naše rješenje implementira, mora se vjerovati korijenskom tijelu za izdavanje potvrda (Certification Authority).
· CA koji izdaje certifikate za korištenje pametnih kartica mora biti smješten u repozitorij NT Authority
· Certifikat mora sadržavati identifikatore prijave putem pametne kartice i provjere autentičnosti klijenta
· Certifikat za pametne kartice mora sadržavati UPN korisnika.
· Certifikat i privatni ključ moraju biti smješteni u odgovarajuće odjeljke pametne kartice, a privatni ključ mora biti smješten u sigurnom području memorije pametne kartice.
· Certifikat mora naznačiti put do CRL distribucijske točke popisa opoziva certifikata
· Svi kontroleri domene moraju imati instaliran certifikat Domain Controller Authentication, odnosno Kerberos Authentication, budući da je implementiran proces međusobne autentifikacije klijenta i poslužitelja.
Došlo je do brojnih promjena u zahtjevima u operativnim sustavima počevši od Windows Servera 2008:
· CRL proširenje više nije potrebno u certifikatima za prijavu putem pametne kartice
· Sada podržava mogućnost uspostavljanja odnosa između korisničkog računa i certifikata
· Certifikat se može upisati u bilo koji dostupni dio pametne kartice
· Ekstenzija EKU ne mora uključivati OID prijave putem pametne kartice, ali da budemo pošteni, ako planirate koristiti jedan predložak certifikata za klijente na svim operativnim sustavima, onda, naravno, OID prijave putem pametne kartice mora biti omogućen.
Nekoliko riječi o samoj proceduri prijave klijenta. Ako govorimo o operativnim sustavima iz Windows Vista i gore, treba napomenuti da su se ovdje dogodile brojne promjene:
· Prvo, postupak prijave pametne kartice više se ne pokreće automatski kada umetnete pametnu karticu u čitač kartica ili spojite svoj USB ključ na USB priključak, tj. morat ćete pritisnuti Ctrl+Alt+Delete.
· Drugo, nova mogućnost korištenja bilo kojeg utora za pametnu karticu za pohranu certifikata daje korisniku izbor između različitih identifikacijskih objekata pohranjenih na kartici, dok se trenutno potreban certifikat prikazuje kao dostupan za korištenje.
zaključke
Dakle, ispitali smo nekoliko glavnih aspekata u vezi s teoretskim dijelom dvofaktorske autentifikacije u uslugama domene Active Directory i možemo sažeti.
Osiguravanje sigurnosti procesa provjere autentičnosti sustava je ključno. Vrste probijanja lozinki koje danas postoje stvaraju potrebu za autentifikacijom s više faktora.
Za malu tvrtku možete ograničavaju se na strogu politiku zaštite vjerodajnica, implementiraju antivirusni softver i uskraćuju korisnicima mogućnost rada s vanjski mediji informacije za blokiranje pokretanja neovlaštenog softvera, provedbu korisničkih propisa itd. itd.
Kada dođe velika tvrtka, ili o tvrtki za koju postoji jasan interes napadača – ta sredstva nisu dovoljna. Pogreške i insajderske informacije mogu uništiti vaše napore da izgradite sigurnosni sustav, stoga morate odabrati drugačiji put. Ovdje već ima smisla govoriti o uvođenju sigurne autentifikacije.
Korištenje dvofaktorske autentifikacije dobro je rješenje sa sigurnosne točke gledišta.
Sada imamo i drugi faktor autentifikacije, uz PIN kod korisnik mora imati i pametnu karticu ili USB ključ.
Korištenje pametnih kartica ili USB ključevi daje nam mogućnost pružanja dvofaktorske provjere autentičnosti u AD i AD DS okruženjima.
U jednom od sljedećih članaka reći ću vam kako se dvofaktorska autentifikacija provodi u praksi. Pogledat ćemo implementaciju i konfiguraciju infrastrukture autoriteta za izdavanje certifikata (PKI). Temeljen na sustavu Windows Server 2008 Enterprise R2.
Bibliografija.
Http://www.rfc-archive.org/getrfc.php?rfc=4556
Http://www.rfc-archive.org/getrfc.php?rfc=4120
Http://www.aladdin.ru/catalog/etoken_products/logon
NCSC-TG-017 - "Vodič za razumijevanje identifikacije i autentifikacije u pouzdanim sustavima", objavio U.S. Nacionalni centar za računalnu sigurnost.
RFC4120 – Usluga provjere autentičnosti mreže Kerberos (V5)
RFC4556 – Kriptografija s javnim ključem za početnu autentifikaciju u Kerberosu (PKINIT)
Brian Komar Windows Server 2008 PKI i sigurnost certifikata
Leonid Shapiro,
MCT, MCSE:S, MCSE:M, MCITP EA, TMS certificirani trener
