Le realtà dei paesi in cui vive la maggior parte dei residenti di Khabrovsk sono tali che mantenere i server con Informazioni importanti Fare affari fuori dal paese è diventata una buona pratica, permettendoti di risparmiare nervi e dati.
La prima domanda che si pone quando si passa al cloud dopo la crittografia dei dati, o forse anche prima, è garantire che l’accesso ai dati con un account utente venga effettuato dall’utente e non da qualcun altro. E se nell'articolo del mio collega viene discusso un buon modo per crittografare i dati che si trovano in un cloud privato, allora con l'autenticazione tutto è più complicato.
Informazioni su utenti e metodi di protezione
La natura di un utente tipico è tale che l'atteggiamento nei confronti della sicurezza delle password degli account è piuttosto frivolo ed è impossibile correggerlo. La nostra esperienza dimostra che anche se un'azienda ha politiche rigorose, formazione degli utenti, ecc., Ci sarà comunque un dispositivo non crittografato che esce dalle mura dell'ufficio e, guardando l'elenco dei prodotti di una nota azienda, capisci che è è solo questione di tempo prima di recuperare le password da un dispositivo non crittografato.
Alcune aziende, per controllare l'accesso ai dati nel cloud, installano tunnel tra il cloud e l'ufficio e vietano l'accesso remoto https://habrahabr.ru/company/pc-administrator/blog/320016/. A nostro avviso questa non è una soluzione del tutto ottimale, in primo luogo si perdono alcuni vantaggi; soluzione cloud e in secondo luogo ci sono problemi di prestazioni indicati nell'articolo.
Soluzione che utilizza un server terminal e Gateway desktop remoto (RDG) più flessibile, può essere personalizzato alto livello sicurezza, come descritta dal mio collega https://habrahabr.ru/post/134860/ (articolo del 2011, ma il principio stesso è ancora rilevante). Questo metodo permette di impedire il trasferimento dei dati dal cloud, ma impone limitazioni al lavoro dell’utente e non risolve completamente il problema dell’autenticazione anzi, è una soluzione DLP;
Forse il modo migliore per garantire che non vi sia alcun utente malintenzionato in esecuzione con l'account di un utente è autenticazione a due fattori. Gli articoli del mio collega https://habrahabr.ru/post/271259/ https://habrahabr.ru/post/271113/ descrivono la configurazione dell'MFA da Microsoft e Google per VPN client. Il metodo è buono, ma, in primo luogo, richiede CISCO ASA, che non è sempre facile da implementare, soprattutto nei cloud economici, e in secondo luogo è scomodo lavorare tramite una VPN. Lavorare con una sessione terminale tramite RDG è molto più comodo e il protocollo di crittografia SSL sembra più universale e affidabile della VPN di CISCO.
Soluzioni con autenticazione a due fattori server terminale molto, ecco un esempio di configurazione di una soluzione gratuita: http://servilon.ru/dvuhfaktornaya-autentifikaciya-otp/. Questa soluzione purtroppo non funziona tramite RDG.
Il server RDG richiede la conferma dell'autorizzazione dal server MFA. MFA, a seconda del metodo di autenticazione selezionato, chiama, invia SMS o invia una richiesta a un'applicazione mobile. L'utente conferma o rifiuta la richiesta di accesso. MFA restituisce il risultato del secondo fattore di autenticazione al server RDG.
Installa e configura il server Azure Multi-Factor Authentication
Creare un provider di autenticazione nel portale di Microsoft Azure
Andiamo su Microsoft Azure (l'account deve avere un abbonamento o una versione di prova installata) e troviamo Multi-Factor Authentication (MFA).SU questo momento La gestione MFA non viene aggiunta alla nuova versione del portale di Azure, quindi verrà aperta la versione precedente del portale.
Per creare un nuovo provider di autenticazione a più fattori, è necessario fare clic su “CREA → Servizi applicativi → Directory attiva → Provider di autenticazione a più fattori → Creazione rapida” in basso a sinistra. Specificare il nome e il modello di utilizzo.
La modalità di calcolo del pagamento dipende dal modello di utilizzo, ovvero dal numero di utenti o dal numero di autenticazioni.
Una volta creato, l'MFA apparirà nell'elenco. Successivamente, procedi al controllo premendo il pulsante appropriato.
Vai a download e scarica il server MFA
Distribuzione di un server MFA
Il server MFA deve essere installato su macchina virtuale diverso dal server RDG. Per funzionare sono supportati i sistemi operativi precedenti a Windows Server 2008 o Windows 7. NETTO quadro 4.0.Gli indirizzi sulla porta 443 dovrebbero essere disponibili:
Installiamo il server MFA, durante l'installazione rifiutiamo la procedura guidata di impostazione.
Al primo avvio è necessario inserire i dati dell'account, che dovranno essere generati nella pagina di caricamento del server.
Successivamente aggiungiamo gli utenti. Per fare ciò, vai alla sezione Utenti e clicca su Importa da Directory attiva, seleziona gli utenti da importare.
Se necessario, è possibile configurare aggiunta automatica nuovi utenti da AD:
"Integrazione directory → Sincronizzazione → Aggiungi", ecc. aggiungi una directory che si sincronizzerà automaticamente all'intervallo di tempo specificato.
Testiamo la funzionalità del server MFA. Vai alla sezione Utenti. Per il tuo account, indica il numero di telefono (se non già specificato) e seleziona il metodo di autenticazione “Telefonata”. Fare clic sul pulsante Test e inserire login e password. Il telefono dovrebbe ricevere una chiamata. Rispondiamo e premiamo #.
Configurazione di un server MFA per funzionare con le richieste Radius
Vai alla sezione Autenticazione Radius e seleziona la casella di controllo "Abilita autenticazione RADIUS".Aggiungere un nuovo client specificando l'indirizzo IP del server NPS e la chiave segreta condivisa. Se è necessario effettuare l'autenticazione per tutti gli utenti, selezionare l'apposita casella (in questo caso tutti gli utenti dovranno essere aggiunti al server MFA).
È inoltre necessario assicurarsi che le porte specificate per la connessione corrispondano alle porte specificate nel server NPS e non siano bloccate dal firewall.
Andiamo a Scheda Obiettivo e aggiungi un server Radius.
Nota: se nella rete non è presente un server NPS centrale, gli indirizzi IP del client e del server Radius saranno gli stessi.
Configurazione dei server RDG e NPS per collaborare con MFA
Il Gateway Desktop remoto deve essere configurato per inviare richieste Radius al server MFA. Per fare ciò, aprire le proprietà del gateway e andare alla scheda “RDG CAP Store”, selezionare “NPS viene eseguito su un server centrale” e indicare l'indirizzo del server MFA e la chiave segreta condivisa.
Successivamente, configuriamo il server NPS. Espandere la sezione "Client e server Radius → Gruppi di server Radius remoti". Apri le proprietà del gruppo "Gruppo di server gateway TS" (il gruppo viene creato durante la configurazione di RDG) e aggiungi il nostro server MFA.
Quando si aggiunge, nella scheda "Bilanciamento del carico" aumentiamo i limiti di timeout del server. Impostiamo il “Numero di secondi senza risposta, dopo i quali la richiesta viene considerata scartata” e “Il numero di secondi tra le richieste, dopo i quali il server è considerato non disponibile” nell'intervallo 30-60 secondi.
Nella scheda “Autenticazione/Contabilità”, controlliamo la correttezza delle porte specificate e impostiamo la chiave segreta condivisa.
Andiamo ora nella sezione “Client e server Radius → Client Radius” e aggiungiamo un server MFA, specificando “Nome descrittivo”, indirizzo e segreto condiviso.
Vai alla sezione “Politiche → Politiche di richiesta di connessione”. Questa sezione dovrebbe contenere la policy creata durante la configurazione di RDG. Questa policy instrada le richieste Radius al server MFA.
Duplica la policy e vai alle sue proprietà. Aggiungi una condizione che corrisponda al "Nome descrittivo del client" con il "Nome descrittivo" specificato nel passaggio precedente.
Nella scheda "Impostazioni", modifica il fornitore del servizio di autenticazione in un server locale.
Questa policy garantirà che quando viene ricevuta una richiesta Radius dal server MFA, la richiesta verrà elaborata localmente, eliminando il looping delle richieste.
Verifichiamo che questa polizza sia posta sopra quella originale.
In questa fase, la combinazione RDG e MFA è funzionante. I seguenti passaggi sono necessari per coloro che devono poter utilizzare l'autenticazione tramite applicazione mobile oppure fornire agli utenti l'accesso ad alcune impostazioni MFA tramite il portale utente.
Installazione dell'SDK, del servizio Web app mobile e del portale utenti
La connessione a questi componenti avviene tramite il protocollo HTTPS. Pertanto, è necessario installare un certificato SSL sul server in cui verranno distribuiti.Il portale utenti e il servizio Web dell'app mobile utilizzano l'SDK per comunicare con il server MFA.
Installazione dell'SDK
L'SDK è installato sul server MFA e richiede IIS, ASP.NET, l'autenticazione di base, che deve essere preinstallata utilizzando Server Manager.Per installare l'SDK, vai alla sezione Web Service SDK in Multi-Factor Authentication Server e fai clic sul pulsante Installa, segui la procedura guidata di installazione.
Installazione del servizio Web dell'app mobile
Questo servizio è necessario affinché l'applicazione mobile possa interagire con il server MFA. Affinché il servizio funzioni correttamente è necessario che il computer su cui verrà installato abbia accesso a Internet e che la porta 443 sia aperta per la connessione da Internet.Il file di installazione del servizio si trova nella cartella C:\Programmi\Autenticazione a più fattori di Azure su un computer con MFA installato. Avviare il programma di installazione e seguire la procedura guidata di installazione. Per comodità degli utenti, è possibile sostituire il nome della directory virtuale "MultiFactorAuthMobileAppWebService" con uno più breve.
Dopo l'installazione, vai alla cartella C:\inetpub\wwwroot\MultiFactorAuthMobileAppWebService e modificare il file web.config. IN questa vitaè necessario impostare le chiavi responsabili dell'account che fa parte del gruppo di sicurezza PhoneFactor Admins. Questo account verrà utilizzato per connettersi all'SDK.
Nello stesso file è necessario specificare Indirizzo URL per cui è disponibile l'SDK.
Nota: la connessione all'SDK viene effettuata tramite il protocollo SSL, quindi è necessario fare riferimento all'SDK tramite il nome del server (specificato nel certificato SSL) e non tramite l'indirizzo IP. Se la chiamata viene effettuata utilizzando un nome locale, è necessario aggiungere una voce corrispondente al file host per poter utilizzare il certificato SSL.
Aggiungiamo l'URL in cui il servizio Web dell'applicazione mobile è disponibile nell'applicazione Multi-Factor Authentication Server nella sezione App mobile. Ciò è necessario per la corretta generazione del codice QR nel portale utente per la connessione delle applicazioni mobili.
Sempre in questa sezione, puoi selezionare la casella di controllo "Abilita token OATH", che ti consente di utilizzare l'applicazione mobile come token software per generare password monouso in base al tempo.
Installazione di un portale utente
L'installazione richiede IIS, ASP.NET e il ruolo di compatibilità della metabase IIS 6 (per IIS 7 o versioni successive).Se il portale è installato su un server MFA, basta andare alla sezione Portale utente in Multi-Factor Authentication Server, fare clic sul pulsante Installa e seguire la procedura guidata di installazione. Se il computer fa parte di un dominio, durante l'installazione verrà creato un utente che è membro del gruppo di sicurezza PhoneFactor Admins. Questo utente è necessario per una connessione sicura all'SDK.
Quando si installa su un server separato, è necessario copiare il file di installazione dal server MFA (il file di installazione si trova nella cartella C:\Programmi\Server di autenticazione a più fattori). Installa e modifica il file web.config alla posizione C:\inetpub\wwwroot\MultiFactorAuth. È necessario modificare la chiave in questo file USE_WEB_SERVICE_SDK dal falso al vero. Specificare nelle chiavi i dettagli di un account appartenente al gruppo PhoneFactor Admins WEB_SERVICE_SDK_AUTHENTICATION_USERNAME e WEB_SERVICE_SDK_AUTHENTICATION_PASSWORD. E specifica l'indirizzo URL dell'SDK del servizio, senza dimenticare di modificare il file host, se necessario, affinché il protocollo SSL funzioni.
Aggiungiamo l'URL in cui il portale utente è disponibile nell'applicazione Multi-Factor Authentication Server nella sezione Portale utente.
Dimostrazione di come funziona Azure MFA per autenticare le connessioni RDG
Considereremo il lavoro dell’AMF dal lato dell’utente. Nel nostro caso, il secondo fattore di autenticazione sarà l'applicazione mobile, poiché rete cellulare presenta una serie di vulnerabilità che consentono, con un'adeguata preparazione, di intercettare chiamate e SMS.Prima di tutto, l'utente dovrà accedere al portale utente e indicare il proprio numero di telefono (se non elencato in AD) e collegare l'applicazione mobile al proprio account. Andiamo al portale sotto il nostro account e inseriamo le risposte a domande di sicurezza(Ne avremo bisogno se l'accesso all'account verrà ripristinato).
Successivamente, seleziona il metodo di autenticazione, nel nostro caso, un'applicazione mobile e fai clic sul pulsante "Crea codice di attivazione". Verrà generato un codice QR, che dovrà essere scansionato nell'applicazione mobile.
Poiché durante l'importazione degli utenti sul server MFA è stata impostata l'autenticazione tramite codice PIN, ci verrà richiesto di crearla. Inserisci il codice PIN desiderato e fai clic su "Verifica la mia autenticità". Nell'applicazione mobile, è necessario confermare la richiesta visualizzata. Dopo questi passaggi, disponiamo di un'applicazione collegata all'account e dell'accesso completo al portale per modificare le impostazioni personali.
- Esercitazione
Alcuni di voi probabilmente hanno sentito parlare dell'incidente reso pubblico di recente. Il produttore americano di semiconduttori Allegro MicroSystem LLC ha citato in giudizio il suo ex specialista IT per sabotaggio. Nimesh Patel, che ha lavorato per l'azienda per 14 anni, ha distrutto importanti dati finanziari nella prima settimana del nuovo anno fiscale.
Come è successo?
Due settimane dopo il suo licenziamento, Patel entrò nella sede centrale dell'azienda a Worcester, Massachusetts, USA, per catturare un'impresa Rete Wi-Fi. Utilizzando le credenziali di un ex collega e un laptop da lavoro, Patel si è collegato alla rete aziendale. Ha quindi implementato il codice nel modulo Oracle e lo ha programmato per l'esecuzione il 1 aprile 2016, la prima settimana del nuovo anno fiscale. Il codice aveva lo scopo di copiare determinate intestazioni o puntatori in una tabella di database separata e prossima eliminazione dal modulo. Esattamente il 1 aprile i dati sono stati cancellati dal sistema. E poiché l'aggressore si è collegato legalmente alla rete Allegro, le sue azioni non sono state immediatamente notate.
Il grande pubblico non conosce i dettagli, ma molto probabilmente l’incidente è stato reso possibile in gran parte dal fatto che l’azienda ha utilizzato l’autenticazione tramite password per accedere alla rete. Sicuramente ci sono stati altri problemi di sicurezza, ma la password può essere rubata senza che l'utente se ne accorga e il fatto del furto della password non verrà rilevato, in scenario migliore fino al punto di utilizzare le credenziali rubate.
L'uso di una rigorosa autenticazione a due fattori e un divieto di utilizzo di password, combinato con una politica di sicurezza competente, potrebbe aiutare, se non evitare lo sviluppo descritto degli eventi, a complicare notevolmente l'attuazione di un tale piano.
Parleremo di come puoi aumentare in modo significativo il livello di sicurezza della tua azienda e proteggerti da tali incidenti. Imparerai come impostare l'autenticazione e la firma dei dati sensibili utilizzando token e crittografia (sia esteri che nazionali).
Nel primo articolo spiegheremo come impostare l'autenticazione forte a due fattori utilizzando PKI quando si accede a un account di dominio su Windows.
Nei seguenti articoli ti spiegheremo come impostare Bitlocker, proteggere la posta elettronica e gestire in modo semplice i documenti. Organizzeremo anche insieme a voi accesso sicuro A risorse aziendali e proteggere l'accesso remoto tramite VPN.
Autenticazione a due fattori
Esperto amministratori di sistema e i team di sicurezza sono ben consapevoli che gli utenti sono estremamente negligenti nel seguire le politiche di sicurezza: potrebbero scrivere le loro credenziali su un foglietto adesivo e attaccarlo accanto al proprio computer, condividere le password con i colleghi e simili. Ciò accade soprattutto spesso quando la password è complessa (contenente più di 6 caratteri e composta da lettere maiuscole e minuscole, numeri e caratteri speciali) ed è difficile da ricordare. Ma tali politiche vengono stabilite dagli amministratori per un motivo. Ciò è necessario per proteggere l'account utente dal semplice tentativo di indovinare la password utilizzando un dizionario. Inoltre, gli amministratori consigliano di cambiare password almeno una volta ogni 6 mesi, semplicemente considerando che in questo periodo è teoricamente possibile usare la forza bruta anche password complessa.
Ricordiamo cos'è l'autenticazione. Nel nostro caso, questo è il processo di conferma dell'autenticità di un soggetto o oggetto. L'autenticazione dell'utente è il processo di conferma dell'identità di un utente.
E l'autenticazione a due fattori è un'autenticazione in cui è necessario utilizzarne almeno due in vari modi per confermare la tua identità.
L'esempio più semplice di autenticazione a due fattori in vita realeè una cassaforte con serratura e combinazione. Per aprire una cassaforte del genere è necessario conoscere il codice e avere la chiave.
Gettone e smart card
Probabilmente il metodo di autenticazione a due fattori più affidabile e più semplice da implementare è l'uso di un token crittografico o di una smart card. Un token è un dispositivo USB che è allo stesso tempo un lettore e una smart card. Il primo fattore in questo caso è il fatto di possedere il dispositivo, il secondo è la conoscenza del suo codice PIN.
Utilizza un token o una smart card, a seconda di quale è più conveniente per te. Ma storicamente, le persone in Russia sono più abituate a utilizzare i token, poiché non richiedono l’uso di lettori di smart card integrati o esterni. Anche i token hanno i loro svantaggi. Ad esempio, non è possibile stamparci sopra una fotografia.
La foto mostra una tipica smart card e un lettore.
Ma torniamo alla sicurezza aziendale.
E inizieremo con il dominio Windows, perché nella maggior parte delle aziende in Russia rete aziendale costruito proprio attorno ad esso.
Come sai, i criteri di dominio di Windows, le impostazioni utente e le impostazioni di gruppo in Active Directory forniscono e limitano l'accesso a un numero enorme applicazioni e servizi di rete.
Proteggendo un account di dominio, possiamo proteggere la maggior parte, e in alcuni casi tutte, le risorse informative interne.
Perché l'autenticazione a due fattori in un dominio utilizzando un token con un codice PIN è più sicura di un normale schema di password?
Il codice PIN è collegato a dispositivo specifico, nel nostro caso a un token. Conoscere il codice PIN di per sé non dà nulla.
Ad esempio, il codice PIN di un token può essere dettato ad altri al telefono e questo non darà nulla a un utente malintenzionato se tratti il token con cura e non lo lasci incustodito.
Con la password la situazione è completamente diversa; se un malintenzionato ha indovinato, spiato o in altro modo si è impossessato della password di un account in un dominio, allora potrà accedere liberamente sia al dominio stesso che ad altri servizi aziendali che utilizzano questo stesso account.
Un token è un oggetto fisico unico e non copiabile. È di proprietà di un utente legittimo. L’autenticazione a due fattori tramite token può essere aggirata solo se l’amministratore ha lasciato intenzionalmente o inavvertitamente delle “scappatoie” nel sistema per questo scopo.
Vantaggi di accedere a un dominio utilizzando un token
Il codice PIN del token è più facile da ricordare, poiché può essere molto più facile di una password. Tutti probabilmente hanno visto almeno una volta nella vita come un utente “esperto” fallisce dolorosamente dopo diversi tentativi di autenticarsi nel sistema, ricordando e inserendo la propria password “sicura”.
Il codice PIN non deve essere cambiato costantemente, poiché i token sono più resistenti alla forza bruta del codice PIN. Dopo un certo numero tentativi infruttuosi input, il token viene bloccato.
Quando si utilizza un token, il login dell'utente si presenta così: dopo aver avviato il computer, collega semplicemente il token alla porta USB del computer, inserisce 4-6 cifre e preme il pulsante Invio. La velocità di inserimento dei numeri per le persone comuni è superiore alla velocità di inserimento delle lettere. Pertanto, il codice PIN viene inserito più velocemente.
I token aiutano a risolvere il problema dell'abbandono della scrivania, quando un utente lascia il posto di lavoro e dimentica di disconnettersi dal proprio account.
È possibile configurare una policy di dominio per bloccare automaticamente un computer quando viene recuperato un token. Inoltre, il token può essere dotato di un tag RFID per il passaggio tra i locali dell'azienda, quindi senza ritirare il token dal posto di lavoro, il dipendente semplicemente non potrà spostarsi sul territorio.
Svantaggi, dove saremmo senza di loro?
I token o le smart card non sono gratuiti (decisi in base al budget).
Devono essere presi in considerazione, amministrati e mantenuti (risolti tramite sistemi di gestione di token e smart card).
Alcuni Sistemi di informazione potrebbe non supportare l'autenticazione tramite token immediatamente (risolta da sistemi di tipo Single Sign-On, progettati per organizzare la possibilità di utilizzare un singolo account per accedere a qualsiasi risorsa dell'area).
Configurazione dell'autenticazione a due fattori in un dominio Windows
Parte teorica:
Active Directory supporta l'autenticazione tramite smart card e token a partire da Windows 2000 tramite l'estensione PKINIT (inizializzazione a chiave pubblica) per il protocollo Kerberos RFC 4556.
Il protocollo Kerberos è stato specificatamente progettato per fornire una forte autenticazione utente. Può utilizzare l'archiviazione centralizzata dei dati di autenticazione e costituisce la base per la creazione di meccanismi Single Sing-On. Il protocollo si basa sull'entità chiave Ticket.
Un Ticket è un pacchetto di dati crittografato emesso da un'autorità di autenticazione attendibile, in termini di protocollo Kerberos - Key Distribution Center (KDC).
Quando un utente esegue l'autenticazione primaria dopo aver verificato con successo la propria identità, il KDC emette le credenziali primarie dell'utente per accedere alle risorse di rete: un Ticket Granting Ticket (TGT).
In futuro, quando accede alle singole risorse di rete, l'utente presenta il TGT e riceve dal KDC un'identità per l'accesso ad uno specifico risorsa di rete- Servizio di Ticket Granting (TGS).
Uno dei vantaggi in termini di sicurezza del protocollo Kerberos è che durante le comunicazioni non vengono trasmessi password in chiaro o hash delle password.
L'estensione PKINIT consente di utilizzare l'autenticazione a due fattori utilizzando token o smart card durante la fase di pre-autenticazione Kerberos.
L'accesso può essere fornito utilizzando sia il servizio di directory del dominio che servizio locale Catalogare. TGT viene creato sulla base di firma elettronica, che viene calcolato sulla smart card o token.
Tutti i controller di dominio devono avere certificato installato Autenticazione del controller di dominio o autenticazione Kerberos, poiché viene implementato il processo di autenticazione reciproca del client e del server.
Pratica:
Iniziamo la configurazione.
Faremo in modo che tu possa accedere al dominio con il tuo account solo presentando un token e conoscendo il codice PIN.
Per la dimostrazione utilizzeremo Rutoken EDS PKI prodotto dalla società Aktiv.
Fase 1: configurazione del dominio Prima di tutto, installiamo i servizi certificati.
Disclaimer.
Questo articolo non è un tutorial sull'implementazione dell'infrastruttura PKI aziendale. Le questioni relative alla progettazione, all'implementazione e all'uso corretto della PKI non vengono discusse in questa sede a causa della vastità dell'argomento.
Tutti i controller di dominio e tutto il resto computer client all'interno della foresta in cui viene implementata tale soluzione, l'autorità di certificazione radice (Autorità di certificazione) deve essere considerata attendibile.
Il compito dell'autorità di certificazione è confermare l'autenticità delle chiavi di crittografia mediante certificati di firma elettronica.
Tecnicamente, la CA è implementata come componente del servizio di directory globale, responsabile della gestione delle chiavi crittografiche degli utenti. Le chiavi pubbliche e altre informazioni sugli utenti vengono archiviate dalle autorità di certificazione sotto forma di certificati digitali.
La CA che emette i certificati per l'utilizzo di smart card o token deve essere inserita nel repository dell'Autorità NT.
Vai a Server Manager e seleziona Aggiungi ruoli e funzionalità.
Quando aggiungi ruoli del server, seleziona "Servizi certificati Active Directory" (Microsoft consiglia vivamente di non eseguire questa operazione su un controller di dominio per evitare problemi di prestazioni). Nella finestra che si apre selezionare “Aggiungi componenti” e selezionare “Autorità di certificazione”.
Nella pagina per confermare l'installazione dei componenti, fare clic su "Installa".
Fase 2: configurazione dell'accesso al dominio utilizzando un token
Per accedere, abbiamo bisogno di un certificato che contenga gli identificatori di accesso alla smart card e di autenticazione del client.
Il certificato per smart card o token deve contenere anche l'UPN dell'utente (suffisso del nome dell'entità utente). Per impostazione predefinita, il suffisso UPN per un account è il nome DNS del dominio che contiene l'account utente.
Il certificato e la chiave privata devono essere inseriti nelle apposite sezioni della smart card o token, e la chiave privata deve trovarsi in un'area sicura della memoria del dispositivo.
Il certificato deve indicare il percorso del punto di distribuzione dell'elenco di revoche di certificati (punto di distribuzione CRL). Questo file contiene un elenco di certificati che indicano numero di serie certificato, data di revoca e motivo della revoca. Viene utilizzato per comunicare informazioni sui certificati revocati a utenti, computer e applicazioni che tentano di verificare l'autenticità del certificato.
Configuriamo i servizi di certificazione installati. Nell'angolo in alto a destra, fare clic sul triangolo giallo con un punto esclamativo e fare clic su "Configura Servizi certificati...".
Nella finestra Credenziali selezionare le credenziali utente richieste per configurare il ruolo. Selezionare "Autorità di certificazione".
Seleziona CA aziendale.
Le CA aziendali sono integrate con AD. Pubblicano certificati ed elenchi di revoche di certificati in AD.
Specificare il tipo come "CA radice".
Nel passaggio successivo, seleziona “Crea una nuova chiave privata”.
Seleziona il periodo di validità del certificato.
Fase 3: aggiunta di modelli di certificato
Per aggiungere modelli di certificato, aprire il Pannello di controllo, selezionare Strumenti di amministrazione e aprire Autorità di certificazione.
Fare clic sul nome della cartella “Modelli di certificato”, selezionare “Gestisci”.
Fare clic sul nome del modello "Utente Smart Card" e selezionare "Copia modello". Le schermate seguenti mostrano quali impostazioni nella finestra Proprietà nuovo modello è necessario modificare.
Se “Aktiv ruToken CSP v1.0” non è presente nell'elenco dei fornitori, è necessario installare il kit “Rutoken Drivers for Windows”.
A partire da Windows Server 2008 R2 è possibile utilizzare il "Microsoft Base Smart Card Crypto Provider" invece di un provider speciale del produttore.
Per i dispositivi Rutoken, la libreria "minidriver" che supporta "Microsoft Base Smart Card Crypto Provider" viene distribuita tramite Windows Update.
Puoi verificare se il "minidriver" è installato sul tuo server collegando Rutoken ad esso e cercando in Gestione dispositivi.
Se per qualche motivo non è presente alcun "minidriver", è possibile installarlo forzatamente installando il kit "Rutoken Drivers for Windows", quindi utilizzare il "Microsoft Base Smart Card Crypto Provider".
Il set "Rutoken Drivers for Windows" è distribuito gratuitamente dal sito Web Rutoken.
Aggiungi due nuovi modelli "Agente di certificazione" e "Utente con Rutoken".
Nella finestra Snap-in Gestione certificati, seleziona Il mio account utente. Nella finestra Aggiungi o rimuovi snap-in, conferma l'aggiunta dei certificati.
Seleziona la cartella Certificati.
Richiesta nuovo certificato. Si aprirà una pagina per la registrazione di un certificato. Nella fase di richiesta del certificato, selezionare la politica di registrazione "Amministratore" e fare clic su "Richiedi".
Richiedi allo stesso modo un certificato per l'agente di registrazione.
Per richiedere un certificato per un utente specifico, fare clic su "Certificati", selezionare "Registrati per conto di...".
Nella finestra di richiesta del certificato, seleziona la casella di controllo "Utente con Rutoken".
Ora devi selezionare un utente.
Nel campo "Inserisci i nomi degli oggetti selezionati", inserisci il nome del dominio dell'utente e clicca su "Verifica nome".
Nella finestra per la selezione di un utente, fare clic su "Applicazione".
Dall'elenco a discesa, seleziona il nome del token e inserisci il PIN.
Seleziona i certificati per altri utenti nel dominio allo stesso modo.
Fase 4: configurazione degli account utente
Per configurare gli account, aprire l'elenco degli utenti e dei computer AD.
Seleziona la cartella Utenti e la voce “Proprietà”.
Vai alla scheda "Account", seleziona la casella di controllo "Smart card richiesta per l'accesso online".
Configurare le politiche di sicurezza. Per fare ciò, apri il Pannello di controllo e seleziona "Amministrazione". Apri il menu per gestire i Criteri di gruppo.
Sul lato sinistro della finestra Gestione criteri di gruppo, fare clic su Criterio dominio predefinito e selezionare Modifica.
Sul lato sinistro della finestra Editor Gestione Criteri di gruppo selezionare Opzioni di sicurezza.
Aprire il criterio Accesso interattivo: Richiedi smart card.
Nella scheda Impostazioni criteri di sicurezza selezionare le caselle di controllo Definisci le seguenti impostazioni dei criteri e Abilitato.
Aprire il criterio Accesso interattivo: comportamento di rimozione smart card.
Nella scheda "Impostazioni criteri di sicurezza", seleziona la casella di controllo "Definisci le seguenti impostazioni criteri" e seleziona "Blocco workstation" dall'elenco a discesa.
Riavvia il tuo computer. E quando prossimo tentativo sarà già possibile autenticarsi nel dominio utilizzando un token ed il relativo codice PIN.
Autenticazione a due fattori per accedere al dominio è configurato, il che significa che il livello di sicurezza per l'accesso a un dominio Windows è stato notevolmente aumentato senza spendere una cifra folle fondi aggiuntivi protezione. Ora, senza un token, accedere al sistema è impossibile e gli utenti possono respirare tranquillamente e non devono preoccuparsi di password complesse.
Il prossimo passo è la posta sicura; leggi di questo e di come impostare l'autenticazione sicura in altri sistemi nei nostri prossimi articoli.
tag:
- server Windows
- PKI
- Rutoken
- autenticazione
Se l’unico ostacolo all’accesso ai tuoi dati è una password, corri un grande rischio. Il pass può essere violato, intercettato, rubato da un trojan o recuperato utilizzando l'ingegneria sociale. Non utilizzare l’autenticazione a due fattori in questa situazione è quasi un crimine.
Abbiamo già parlato più di una volta delle chiavi monouso. Il significato è molto semplice. Se un utente malintenzionato riesce in qualche modo a ottenere la tua password di accesso, potrà facilmente accedere alla tua posta elettronica o connettersi a Server remoto. Ma se è presente un fattore aggiuntivo, ad esempio una chiave monouso (chiamata anche chiave OTP), allora nulla funzionerà. Anche se tale chiave dovesse finire nelle mani di un utente malintenzionato, non sarà più possibile utilizzarla, poiché è valida una sola volta. Un secondo fattore potrebbe esserlo chiamata aggiuntiva, un codice ricevuto via SMS, una chiave generata sul telefono utilizzando determinati algoritmi basati sull'ora corrente (l'ora è un modo per sincronizzare l'algoritmo sul client e sul server). Lo stesso Già Google consiglia da tempo ai propri utenti di abilitare l'autenticazione a due fattori (un paio di clic nelle impostazioni dell'account). Ora è il momento di aggiungere questo livello di protezione per i tuoi servizi!
Cosa offre Duo Security?
Un esempio banale. Il mio computer ha una porta RDP aperta “all'esterno” per la connessione remota al desktop. Se la password di accesso viene divulgata, l'aggressore otterrà immediatamente pieno accesso alla macchina. Pertanto, non c'erano dubbi sul rafforzamento della protezione tramite password OTP: doveva semplicemente essere fatto. È stato stupido reinventare la ruota e provare a implementare tutto da solo, quindi ho semplicemente guardato le soluzioni disponibili sul mercato. La maggior parte di essi si è rivelata commerciale (maggiori dettagli nella barra laterale), ma per un numero limitato di utenti possono essere utilizzati gratuitamente. Proprio quello che ti serve per la tua casa. Uno dei servizi di maggior successo che ti consente di organizzare l'autenticazione a due fattori letteralmente per qualsiasi cosa (inclusi VPN, SSH e RDP) si è rivelato essere Duo Security (www.duosecurity.com). Ciò che ha aggiunto alla sua attrattiva è stato il fatto che lo sviluppatore e fondatore del progetto è John Oberheid, un noto specialista in informazioni di sicurezza. Ad esempio, ha separato il protocollo di comunicazione di Google con Smartphone Android, con il quale è possibile installare o rimuovere applicazioni arbitrarie. Questa base si fa sentire: per dimostrare l'importanza dell'autenticazione a due fattori, i ragazzi hanno lanciato Servizio VPN Hunter (www.vpnhunter.com), che può trovare rapidamente i server VPN non nascosti di un'azienda (e allo stesso tempo determinare il tipo di apparecchiatura su cui sono in esecuzione), servizi per accesso remoto(OpenVPN, RDP, SSH) e altri elementi dell'infrastruttura che consentono a un utente malintenzionato di accedere alla rete interna semplicemente conoscendo login e password. È divertente che sul Twitter ufficiale del servizio i proprietari abbiano iniziato a pubblicare rapporti giornalieri sulla scansione di aziende note, dopo di che l'account è stato bannato :). Il servizio Duo Security, ovviamente, mira principalmente a introdurre l'autenticazione a due fattori nelle aziende con un largo numero utenti. Per nostra fortuna è possibile creare un account Personale gratuito, che permette di organizzare gratuitamente l'autenticazione a due fattori per dieci utenti.
Quale potrebbe essere il secondo fattore?
Successivamente, vedremo come rafforzare la sicurezza della connessione desktop remoto e SSH sul tuo server in soli dieci minuti. Ma prima voglio parlare del passaggio aggiuntivo che Duo Security introduce come secondo fattore di autorizzazione. Sono disponibili diverse opzioni: telefonata, SMS con passcode, passcode Duo Mobile, Duo Push, chiave elettronica. Qualcosa in più su ciascuno.
Per quanto tempo posso usarlo gratuitamente?
Come già accennato, Duo Security offre uno speciale piano tariffario"Personale". È assolutamente gratuito, ma il numero di utenti non deve essere superiore a dieci. Supporta l'aggiunta di un numero illimitato di integrazioni, tutte metodi disponibili autenticazione. Fornisce migliaia di crediti gratuiti per i servizi di telefonia. I crediti sono come una valuta interna che viene addebitata sul tuo conto ogni volta che avviene l'autenticazione tramite una chiamata o un SMS. Nelle impostazioni del tuo account, puoi impostarlo in modo che quando raggiungi un numero specificato di crediti, riceverai una notifica e avrai tempo per ricaricare il tuo saldo. Mille crediti costano solo 30 dollari. Il prezzo delle chiamate e degli SMS varia a seconda del paese. Per la Russia, una chiamata costerà da 5 a 20 crediti, un SMS - 5 crediti. Tuttavia, non viene addebitato alcun costo per una chiamata effettuata durante l'autenticazione sul sito Duo Security. Puoi dimenticarti completamente dei crediti se utilizzi l'applicazione Duo Mobile per l'autenticazione: non ti viene addebitato nulla.
Registrazione facile
Per proteggere il tuo server utilizzando Duo Security, devi scaricare e installare un client speciale che interagirà con il server di autenticazione Duo Security e fornirà un secondo livello di protezione. Di conseguenza, questo client sarà diverso in ogni situazione: a seconda di dove esattamente è necessario implementare l'autenticazione a due fattori. Ne parleremo di seguito. La prima cosa che devi fare è registrarti nel sistema e ottenere un account. Pertanto apriamo pagina iniziale sito web, fare clic su "Prova gratuita", nella pagina che si apre, fare clic sul pulsante "Registrati" sotto il tipo di account Personale. Successivamente ci viene chiesto di inserire il nostro nome, cognome, indirizzo email e ragione sociale. Dovresti ricevere un'e-mail contenente un collegamento per confermare la registrazione. In questo caso il sistema effettuerà sicuramente una chiamata automatica a il numero di telefono specificato: Per attivare il tuo account, devi rispondere alla chiamata e premere il tasto # sul tuo telefono. Successivamente, l'account sarà attivo e potrai iniziare i test di combattimento.
Proteggere il PSR
Ho detto sopra che ho iniziato con una grande voglia di proteggere connessioni remote sul tuo desktop. Pertanto, come primo esempio, descriverò come rafforzare la sicurezza del PSR.
- Qualsiasi implementazione dell'autenticazione a due fattori inizia con azione semplice: creazione di una cosiddetta integrazione nel profilo Duo Security. Vai alla sezione “Integrazioni Nuova integrazione”, specifica il nome dell'integrazione (ad esempio, “Home RDP”), seleziona il suo tipo “Microsoft RDP” e fai clic su “Aggiungi integrazione”.
- La finestra che appare mostra i parametri di integrazione: Chiave di integrazione, Chiave segreta, Nome host API. Ne avremo bisogno più tardi, quando ci prepareremo parte cliente. È importante capire: nessuno dovrebbe conoscerli.
- Successivamente, è necessario installare un client speciale sulla macchina protetta, che installerà tutto il necessario nel sistema Windows. Può essere scaricato dal sito ufficiale o prelevato dal nostro disco. La sua intera configurazione si riduce al fatto che durante il processo di installazione sarà necessario inserire la chiave di integrazione, la chiave segreta e il nome host API sopra menzionati.
- Questo è tutto, in realtà. Ora, la prossima volta che accedi al server tramite RDP, lo schermo avrà tre campi: nome utente, password e chiave monouso Duo. Di conseguenza non è più possibile accedere al sistema solo con login e password.
La prima volta che un nuovo utente tenta di accedere, gli verrà richiesto di eseguire una volta il processo di verifica di Duo Security. Il servizio gli fornirà un link speciale, a seguito del quale dovrà inserire il suo numero di telefono e attendere una chiamata di verifica. Per ottenere chiavi aggiuntive (o per riceverle per la prima volta), puoi inserire la parola chiave “sms”. Se desideri autenticarti tramite una telefonata, inserisci "telefono", se utilizzi Duo Push, inserisci "push". La cronologia di tutti i tentativi di connessione (sia riusciti che non riusciti) al server può essere visualizzata nel tuo account sul sito web di Duo Security selezionando prima l'integrazione desiderata e andando al suo "Registro di autenticazione".
Connetti Duo Security ovunque!
Utilizzando l'autenticazione a due fattori, puoi proteggere non solo RDP o SSH, ma anche VPN, server RADIUS e qualsiasi servizio web. Ad esempio, esistono client già pronti che aggiungono un ulteriore livello di autenticazione ai popolari motori Drupal e WordPress. Se non esiste un client già pronto, non preoccuparti: puoi sempre aggiungere tu stesso l'autenticazione a due fattori per la tua applicazione o sito web quando Aiuto API forniti dal sistema. La logica di lavorare con l'API è semplice: fai una richiesta all'URL di un metodo specifico e analizzi la risposta restituita, che può arrivare in formato JSON (o BSON, XML). La documentazione completa per Duo REST API è disponibile sul sito ufficiale. Dirò solo che esistono metodi ping, check, preauth, auth, status, dal nome dei quali è facile intuire a cosa sono destinati.
Protezione SSH
Consideriamo un altro tipo di integrazione: "Integrazione UNIX" per implementare l'autenticazione sicura. Aggiungiamo un'altra integrazione al nostro profilo Duo Security e procediamo con l'installazione del client sul sistema.
Potete scaricare il codice sorgente di quest'ultimo all'indirizzo bit.ly/IcGgk0 oppure prelevarlo dal nostro disco. Ho usato l'ultima versione - 1.8. A proposito, il client funziona sulla maggior parte delle piattaforme nix, quindi può essere facilmente installato su FreeBSD, NetBSD, OpenBSD, Mac OS X, Solaris/Illumos, HP-UX e AIX. Il processo di compilazione è standard: configura && make && sudo make install. L'unica cosa che consiglierei è di utilizzare configure con l'opzione --prefix=/usr, altrimenti il client potrebbe non trovare librerie richieste. Al termine dell'installazione, vai a modificare il file di configurazione /etc/duo/login_duo.conf. Questo deve essere fatto da root. Tutte le modifiche che devono essere apportate per un funzionamento corretto consistono nell'impostare i valori di Chiave di integrazione, Chiave segreta e Nome host API, che possono essere trovati nella pagina di integrazione.
; Chiave di integrazione Duo = INTEGRATION_KEY; Chiave segreta Duo = SECRET_KEY; Nome host API Duohost = API_HOSTNAME
Per forzare tutti gli utenti che accedono al tuo server tramite SSH a utilizzare l'autenticazione a due fattori, aggiungi semplicemente la seguente riga al file /etc/ssh/sshd_config:
> ForceCommand /usr/local/sbin/login_duo
È anche possibile organizzare l'autenticazione a due fattori solo per singoli utenti unendoli in un gruppo e specificando questo gruppo nel file login_duo.conf:
> gruppo = ruota
Affinché le modifiche abbiano effetto, non resta che riavviare il demone ssh. D'ora in poi, dopo aver inserito con successo la password di accesso, all'utente verrà richiesto di sottoporsi a un'ulteriore autenticazione. Una sottigliezza dovrebbe essere notata separatamente impostazioni ssh- si consiglia vivamente di disabilitare file di configurazione Opzioni PermitTunnel e EnableTcpForwarding, poiché il demone le applica prima di iniziare la seconda fase di autenticazione. Pertanto, se un utente malintenzionato inserisce correttamente la password, può accedere a rete interna fino al completamento della seconda fase di autenticazione grazie al port forwarding. Per evitare questo effetto, aggiungi le seguenti opzioni a sshd_config:
PermitTunnel noAllowTcpInoltro no
Ora il tuo server è dietro un doppio muro ed è molto più difficile per un utente malintenzionato penetrarvi.
Altre impostazioni
Se accedi al tuo account Duo Security e vai alla sezione "Impostazioni", puoi modificare alcune impostazioni in base alle tue esigenze. La prima sezione importante è “Telefonate”. Specifica i parametri che saranno effettivi quando viene utilizzata una chiamata telefonica per confermare l'autenticazione. La voce “Tasti di richiamata vocale” permette di specificare quale tasto del telefono dovrà essere premuto per confermare l'autenticazione. Per impostazione predefinita, il valore è "Premere un tasto qualsiasi per autenticarsi", ovvero è possibile premerne uno qualsiasi. Se imposti il valore “Premi diversi tasti per autenticarti o segnalare frode”, allora dovrai impostare due chiavi: cliccando sulla prima si conferma l'autenticazione (Chiave per autenticarti), cliccando sulla seconda (Chiave per segnalare frode) significa che noi non ha avviato il processo di autenticazione, ovvero qualcuno ha ricevuto la nostra password e sta tentando di accedere al server utilizzandola. La voce “Codici SMS” permette di impostare il numero di codici che un SMS conterrà e la loro durata (validità). Il parametro “Blocco e frode” permette di impostare l'indirizzo email al quale verrà inviata una notifica in caso di un certo numero di tentativi di accesso al server non andati a buon fine.
Usalo!
Sorprendentemente, molte persone ignorano ancora l’autenticazione a due fattori. Non capisco perché. Ciò migliora davvero notevolmente la sicurezza. Può essere implementato per quasi tutto e sono disponibili soluzioni decenti gratuitamente. Allora perché? Per pigrizia o disattenzione.
Ho ricevuto commenti e chiarimenti incredibilmente positivi da un amico che ha voluto rimanere anonimo:Servizi analogici
- Significare(www.signify.net) Il servizio fornisce tre opzioni per organizzare l'autenticazione a due fattori. Il primo è l’uso delle chiavi elettroniche. Il secondo metodo consiste nell’utilizzare le passkey, che vengono inviate al telefono dell’utente tramite SMS o inviate via e-mail. La terza opzione è un'applicazione mobile per Telefoni Android, iPhone, BlackBerry, che genera password monouso (essenzialmente un analogo di Duo Mobile). Il servizio è rivolto alle grandi aziende, quindi è completamente a pagamento.
- SecurEnvoy(www.securenvoy.com) Consente inoltre di utilizzare cellulare come secondo strato protettivo. Le passkey vengono inviate all'utente tramite SMS o e-mail. Ogni messaggio contiene tre passkey, ovvero l'utente può accedere tre volte prima di richiederne una nuova porzione. Anche il servizio è a pagamento, ma prevede un periodo di 30 giorni gratuiti. Un vantaggio significativo è gran numero integrazioni sia native che di terze parti.
- PhoneFactor(www.phonefactor.com) Questo servizio consente di organizzare l'autenticazione a due fattori gratuita per un massimo di 25 utenti, fornendo 500 autenticazioni gratuite al mese. Per organizzare la protezione, dovrai scaricare e installare un client speciale. Se devi aggiungere l'autenticazione a due fattori al tuo sito, puoi utilizzare l'SDK ufficiale, che fornisce documentazione dettagliata ed esempi per i seguenti linguaggi di programmazione: ASP.NET C#, ASP.NET VB, Java, Perl, Ruby, PHP.
1) All'inizio della configurazione del server, inserisci il comando:
multiotp.exe -debug -config default-request-prefix-pin=0 display-log=1 dopo di esso non è necessario inserire un codice PIN durante la configurazione di un utente e il registro di ogni operazione viene visualizzato nella console.
2) Usando questo comando puoi regolare il bantime per gli utenti che hanno commesso un errore con la password (default 30 secondi):
multiotp.exe -debug -config Failure-delayed-time=60
3) Cosa verrà scritto nella domanda Autenticatore di Google sopra le 6 cifre, chiamate emittente, possono essere modificate dal MultiOTP predefinito a qualcos'altro:
multiotp.exe -debug -config emittente=altro
4) Una volta completate le operazioni, il comando per creare un utente diventa un po' più semplice:
multiotp.exe -debug -create user TOTP 12312312312312312321 6 (Non imposto il tempo di aggiornamento delle cifre su 30 secondi, sembra essere 30 per impostazione predefinita).
5) Ogni utente può modificare la descrizione (testo sotto i numeri in Applicazione Google Aut.):
multiotp.exe -set descrizione nome utente=2
6) I codici QR possono essere creati direttamente nell'applicazione:
multiotp.exe -nome utente qrcode c:\multiotp\qrcode\user.png:\multiotp\qrcode\user.png
7) È possibile utilizzare non solo TOTP, ma anche HOTP (l'input della funzione di hashing non è l'ora corrente, ma il valore del contatore incrementale):
multiotp.exe -debug -crea nome utente HOTP 12312312312312312321 6
Oggi ti spiegheremo come impostare in modo rapido e semplice l'autenticazione a due fattori e crittografare i dati importanti, anche con la possibilità di utilizzare la biometria. La soluzione sarà rilevante per le piccole imprese o solo per personal computer o computer portatile. È importante che per questo non abbiamo bisogno di un'infrastruttura a chiave pubblica (PKI), di un server con il ruolo di autorità di certificazione (Certificate Services) e non abbiamo nemmeno bisogno di un dominio (Active Directory). Tutto requisiti di sistema scenderà al sistema operativo Windows e se l'utente ha chiave elettronica e, nel caso dell'autenticazione biometrica, anche un lettore di impronte digitali, che, ad esempio, potrebbe già essere integrato nel vostro laptop.
Per l'autenticazione utilizzeremo il nostro software: JaCarta SecurLogon e la chiave elettronica JaCarta PKI come autenticatore. Lo strumento di crittografia sarà finestre normali EFS, l'accesso ai file crittografati verrà fornito anche tramite la chiave PKI JaCarta (la stessa utilizzata per l'autenticazione).
Ricordiamo che JaCarta SecurLogon è certificato FSTEC della Russia soluzione software e hardware di Aladdin R.D., che consente una transizione semplice e rapida dall'autenticazione a fattore singolo basata su una coppia login-password all'autenticazione a due fattori nel sistema operativo utilizzando token USB o smart card. L'essenza della soluzione è abbastanza semplice: JSL genera una password complessa (~63 caratteri) e la scrive nella memoria sicura della chiave elettronica. In questo caso la password potrebbe essere sconosciuta all'utente stesso; l'utente conosce solo il codice PIN; Inserendo il codice PIN durante l'autenticazione, il dispositivo viene sbloccato e la password viene trasmessa al sistema per l'autenticazione. Facoltativamente, è possibile sostituire l'immissione del codice PIN mediante la scansione dell'impronta digitale dell'utente ed è anche possibile utilizzare una combinazione PIN + impronta digitale.
EFS, come JSL, può funzionare in modalità autonoma, non richiedendo altro che il sistema operativo stesso. In tutto sistemi operativi Famiglia Microsoft NT, a partire da Windows 2000 e versioni successive (eccetto versioni domestiche), è presente la tecnologia di crittografia dei dati EFS (Encrypting File System) integrata. La crittografia EFS si basa sulle capacità del file Sistemi NTFS e l'architettura CryptoAPI ed è progettato per crittografare rapidamente i file sul disco rigido di un computer. La crittografia EFS utilizza le chiavi pubblica e privata dell'utente, che vengono generate la prima volta che un utente utilizza la funzione di crittografia. Queste chiavi rimangono invariate finché esiste il suo account. Quando si crittografa un file EFS a caso genera un numero univoco, la cosiddetta File Encryption Key (FEK) lunga 128 bit, con cui i file vengono crittografati. Le chiavi FEK sono crittografate con una chiave master, a sua volta crittografata con la chiave degli utenti del sistema che hanno accesso al file. La chiave privata dell'utente è protetta da un hash della password dell'utente. I dati crittografati con EFS possono essere decrittografati solo utilizzando lo stesso account Windows con la stessa password utilizzata per crittografarli. E se memorizzi il certificato di crittografia e la chiave privata su un token USB o una smart card, per accedere ai file crittografati avrai bisogno anche di questo token USB o smart card, che risolve il problema della compromissione della password, poiché sarà necessario disporre di un dispositivo aggiuntivo sotto forma di chiave elettronica.
Autenticazione
Come già notato, non è necessario AD o un'autorità di certificazione per configurarlo; è necessario un Windows moderno, una distribuzione JSL e una licenza. La configurazione è ridicolmente semplice.È necessario installare un file di licenza.
Aggiungi un profilo utente.
E inizia a utilizzare l'autenticazione a due fattori.
Autenticazione biometrica
È possibile utilizzare l'autenticazione biometrica dell'impronta digitale. La soluzione funziona utilizzando la tecnologia Match On Card. L'hash dell'impronta digitale viene scritto sulla carta durante l'inizializzazione iniziale e viene successivamente confrontato con l'originale. Non lascia la carta da nessuna parte, non è archiviata in nessun database. Per sbloccare tale chiave, viene utilizzata un'impronta digitale o una combinazione di PIN + impronta digitale, PIN o impronta digitale.Per iniziare ad utilizzarlo è sufficiente inizializzare la scheda con i parametri necessari e registrare l’impronta digitale dell’utente.
In futuro, verrà visualizzata la stessa finestra prima di accedere al sistema operativo.
In questo esempio la carta viene inizializzata con la possibilità di autenticarsi tramite impronta digitale o codice PIN, come indicato dalla finestra di autenticazione.
Dopo aver presentato un'impronta digitale o un codice PIN, l'utente verrà portato nel sistema operativo.
Crittografia dei dati
Anche la configurazione di EFS non è molto complicata; si tratta di impostare un certificato, emetterlo su una chiave elettronica e impostare directory di crittografia. In genere non è necessario crittografare l'intero disco. I file veramente importanti a cui non vuoi che terzi abbiano accesso si trovano solitamente in directory separate e non sparsi in modo casuale sul disco.Per emettere un certificato di crittografia e una chiave privata, apri il tuo account utente, seleziona - Gestisci certificati di crittografia file. Nella procedura guidata che si apre, crea un certificato autofirmato sulla smart card. Poiché continuiamo a utilizzare una smart card con un'applet BIO, è necessario fornire un'impronta digitale o un PIN per registrare il certificato di crittografia.
SU passo successivo specificare le directory che verranno associate al nuovo certificato; se necessario è possibile specificare tutte le unità logiche.
La directory crittografata stessa e i file in essa contenuti verranno evidenziati in un colore diverso.
L'accesso ai file avviene solo se si dispone di una chiave elettronica, previa presentazione di un'impronta digitale o di un codice PIN, a seconda di quanto selezionato.
Questo completa la configurazione.
È possibile utilizzare entrambi gli scenari (autenticazione e crittografia) oppure sceglierne uno.
