Metodi di sicurezza quando si utilizza l'autenticazione tramite password. Per proteggere le password dall'hacking, è necessario configurare il criterio appropriato. A tale scopo, utilizzare il menu Start->Strumenti di amministrazione->Gestione criteri di gruppo per avviare la console di gestione politiche di gruppo GPMC, seleziona l'oggetto Criteri di gruppo richiesto in Configurazione computer->Criteri->Impostazioni di sicurezza->Criteri account->Criteri password Vedi Fig. 1 (Gestisci impostazioni password).
Riso. 1 Gestire le impostazioni della password.
È possibile impostare una lunghezza minima della password, che ci consentirà di evitare password brevi (Minimo parola d'ordine lunghezza). Affinché l'utente possa impostare password complesse dovrebbe essere incluso il requisito di complessità (Parola d'ordine dovere incontrare complessità requisiti).
Per garantire modifiche regolari della password, è necessario impostarla durata massima vita (Massimo parola d'ordine età).
Per impedire agli utenti di ripetere le vecchie password, è necessario configurare la memorizzazione della cronologia delle password (Imporre parola d'ordine storia) .
E infine, affinché l'utente non modifichi la sua password con quella precedente cambiando password più volte, impostare il periodo minimo durante il quale la password non può essere modificata (Minimo parola d'ordine età).
Per proteggerci da un attacco del dizionario, imposteremo un blocco dell'account se la password viene inserita ripetutamente in modo errato. A tale scopo, nella Console di gestione dei criteri di gruppo GPMC, selezionare la sezione GPO richiesta computer Configurazione-> Politiche-> Sicurezza Impostazioni-> account Politiche-> account blocco Politica . Vedi Fig. 2 (Gestione blocco account utente).
Riso. 2 Gestire il blocco dell'account utente.
Per configurare un account in modo che venga bloccato in modo permanente (prima che venga sbloccato da un amministratore), impostare valore zero parametro di durata del blocco (account blocco durata).
Nel contatore del numero di tentativi di accesso non riusciti (account blocco soglia) è necessario specificare il valore richiesto. Nella maggior parte dei casi, sono accettabili 3-5 tentativi di accesso.
Infine, dovresti impostare l'intervallo per azzerare il contatore dei tentativi falliti (Ripristina account blocco contatore dopo).
Per proteggerti dai cavalli di Troia, dovresti usare agenti antivirali e bloccare il software non autorizzato.
Per limitare la capacità degli utenti di introdurre virus nel sistema informativo, è giustificato: impostare il divieto di lavorare con dispositivi esterni(CD, DVD, Flash), modalità UAC rigorosa, utilizzo di chioschi Internet autonomi basati su computer che non fanno parte della rete di lavoro. E, infine, l'introduzione di una rigorosa disciplina del lavoro che definisce le regole per gli utenti per lavorare sulla rete aziendale (divieto di trasferire le proprie credenziali a chiunque, divieto di lasciare le proprie credenziali in luoghi accessibili, prescrizioni per il blocco obbligatorio della postazione di lavoro all'uscita dalla posto di lavoro, ecc. P.).
Di conseguenza, saremo in grado di ottenere una riduzione dei rischi associati a una violazione della sicurezza dell'azienda.
Supponiamo che sia tutto fatto. Tuttavia, è troppo presto per dire che siamo riusciti a fornire un'autenticazione sicura nel nostro sistema.
Il fattore umano è la più grande minaccia.
Ci sono ancora minacce che non siamo stati in grado di affrontare. Uno dei più significativi - fattore umano. Gli utenti dei nostri sistemi informativi non sono sempre sufficientemente consapevoli e, nonostante le spiegazioni degli amministratori della sicurezza, annotano le proprie credenziali (username e password) e non si preoccupano della segretezza di questo informazioni confidenziali. Ho più volte trovato adesivi sul monitor, vedi Fig. 3, o sotto la tastiera, vedi fig. 4 con nome utente e password.
Riso. 3. Un regalo meraviglioso per un intruso, vero?
Riso. 4. Un altro regalo per il ladro.
Come possiamo vedere, password lunghe e complesse sono incorporate nel sistema e la serie associativa non è chiaramente visibile. Tuttavia, gli utenti hanno trovato un modo "efficiente" per ricordare e archiviare le credenziali...
Pertanto, puoi vedere che in questo caso, la funzionalità che ho menzionato sopra ha funzionato: le password lunghe e complesse vengono registrate e potrebbero non essere archiviate correttamente.
insider
Un'altra significativa minaccia alla sicurezza risiede nella potenziale possibilità di accesso fisico di un utente malintenzionato alla workstation di un utente legale e nel trasferimento di informazioni riservate a terzi. Cioè, stiamo parlando di una situazione in cui c'è un dipendente all'interno dell'azienda che ruba informazioni ai suoi colleghi.
È abbastanza ovvio che è molto difficile garantire la sicurezza "fisica" della workstation dell'utente. È possibile collegare facilmente un keylogger hardware (keylogger) alla tastiera break, è possibile anche intercettare il segnale dalle tastiere wireless. Tali dispositivi esistono. Certo, nessuno entrerà nell'ufficio dell'azienda, ma tutti sanno che la più pericolosa è la spia interna. Ha già accesso fisico al tuo sistema e non sarà difficile posizionare un keylogger, soprattutto perché questi dispositivi sono disponibili per una vasta gamma di persone. Inoltre, non puoi scontare il programma: i keylogger. Dopotutto, nonostante tutti gli sforzi degli amministratori, la possibilità di installare tale software "spyware" non è esclusa. L'utente blocca sempre la propria workstation quando lascia la propria posto di lavoro? L'amministratore del sistema informativo riesce a far sì che all'utente non vengano attribuiti poteri eccessivi, soprattutto se è necessario utilizzare quelli vecchi? prodotti software? Un amministratore ha sempre, e specialmente in una piccola azienda, qualifiche sufficienti per attuare le raccomandazioni dei produttori di software e hardware per la costruzione di sistemi informatici sicuri?
Pertanto, possiamo concludere che l'autenticazione della password non è affidabile in linea di principio. Pertanto è necessaria l'autenticazione a più fattori e in modo tale che la password dell'utente non sia digitata sulla tastiera.
Cosa può aiutarci?
Ha senso considerare l'autenticazione a due fattori: il 1° fattore è il possesso di una password, il 2° è la conoscenza del codice pin. La password del dominio non viene più digitata sulla tastiera, il che significa che non viene intercettata keylogger. L'intercettazione di una password di dominio è irta di possibilità di inserimento, l'intercettazione di un codice pin non è così pericolosa, poiché è necessaria anche una smart card.
Si può obiettare che l'utente può benissimo lasciare la sua tessera nel lettore, e scrivere la puntina sull'adesivo, come prima. Tuttavia, esistono sistemi di controllo che possono bloccare la carta sinistra poiché è implementato negli sportelli automatici. Inoltre sulla tessera è possibile apporre un pass per entrare/uscire dall'ufficio, ovvero possiamo utilizzare una tessera con tag RFID, unendo così il sistema di autenticazione nel servizio directory con il sistema di controllo accessi fisico. In questo caso, per aprire la porta, l'utente avrà bisogno della sua smart card o token USB, quindi dovrà sempre portarla con sé.
Oltretutto, soluzioni moderne l'autenticazione a due fattori implica molto di più della semplice possibilità di autenticarsi in AD o Servizi di dominio Active Directory. L'uso di smart card e chiavi USB aiuta anche in molti altri modi, come l'accesso alla posta elettronica pubblica, ai negozi online che richiedono la registrazione, alle applicazioni che dispongono di un proprio servizio di directory, ecc. eccetera.
Così, è possibile ottenere praticamente rimedio universale autenticazione.
Implementazione dell'autenticazione a due fattori basata su crittografia asimmetrica in AGGIUNTA.
Servizio Directory attiva Directory supporta l'autenticazione con smart card da Windows 2000.
In sostanza, la capacità di autenticarsi tramite smart card è incorporata nell'estensione PKINIT (inizializzazione della chiave pubblica) per il protocollo Kerberos RFC 4556. Vedere . L'estensione PKINIT consente l'utilizzo di certificati di chiave pubblica durante la fase di preautenticazione Kerberos.
Ciò consente di utilizzare le smart card. Cioè, possiamo parlare della possibilità di autenticazione a due fattori in Sistemi Microsoft basato fondi regolari, a partire da Windows 2000, poiché lo schema Kerberos + PKINIT è già stato implementato.
Nota. PreautenticazioneKerberos- un processo che livello aggiuntivo sicurezza. Completato prima dell'emissioneTGT (Biglietto Concedere Biglietto) dal server di distribuzione delle chiavi (KDC). utilizzato nel protocolloKerberos v. 5 per contrastare gli attacchi di indovinare le password offline. Ulteriori informazioni su come funziona il protocolloKerberospuò essere trovato in RFC 4120.Cm
Naturalmente, stiamo parlando di computer nel dominio. Se è necessario ricorrere all'autenticazione a due fattori quando si lavora in gruppo di lavoro o quando ne usi di più prime versioni sistemi operativi, dovremo rivolgerci a software di terze parti, come SafeNet (Aladdin) eToken Network Logon 5.1. Cm.
L'accesso può essere fornito utilizzando un servizio di directory di dominio o un servizio di directory locale. In questo caso, la password dell'utente non viene digitata sulla tastiera, ma viene trasferita dalla memoria protetta sulla smart card.
L'autenticazione tramite smart card è implementata tramite l'estensione Kerberos PKINIT, che offre la possibilità di utilizzare algoritmi crittografici asimmetrici.
Per quanto riguarda i requisiti per l'implementazione dell'uso di smart card in combinazione con PKINIT, per il funzionamento Sistemi Windows 2000, Windows 2003 Server, sono:
Tutti i controller di dominio e tutti computer client all'interno della foresta in cui viene implementata la nostra soluzione, devono fidarsi dell'autorità di certificazione radice (Autorità di certificazione).
· La CA che emette i certificati per l'utilizzo di smart card deve essere inserita nell'archivio NT Authority
Il certificato deve contenere gli identificatori di accesso tramite smart card e di autenticazione client
· Il certificato della smart card deve contenere l'UPN dell'utente.
· Il certificato e la chiave privata devono essere collocati nelle apposite sezioni della smart card, mentre la chiave privata deve trovarsi nell'area di memoria protetta della smart card.
Il certificato deve contenere il percorso del punto di distribuzione CRL
· Tutti i controller di dominio devono disporre del certificato Autenticazione controller di dominio, o Autenticazione Kerberos, installato, poiché viene implementato il processo di autenticazione reciproca di client e server.
Sono state apportate numerose modifiche ai requisiti sistemi operativi a partire da Windows Server 2008:
· L'estensione CRL non è più richiesta nei certificati di accesso con smart card
· È ora possibile stabilire una relazione tra account utente e certificato
La registrazione di un certificato è possibile in qualsiasi sezione disponibile di una smart card
· L'estensione EKU non è necessaria per includere l'OID di accesso tramite Smart Card e, per essere onesti, se si prevede di utilizzare un modello di certificato singolo per client di tutti i sistemi operativi, è necessario abilitare l'OID di accesso tramite Smart Card.
Qualche parola sulla procedura di login del client stessa. Se parliamo di sistemi operativi da Windows Vista e versioni successive, va notato che anche qui sono intervenute numerose modifiche:
· Innanzitutto, la procedura di accesso con smart card non viene più avviata automaticamente quando si inserisce una smart card in un lettore di card o si collega la chiave USB porta USB, cioè devi premere Ctrl+Alt+Canc.
In secondo luogo, la capacità emergente di utilizzare qualsiasi slot per smart card per archiviare i certificati offre all'utente la possibilità di scegliere tra una varietà di oggetti di identificazione memorizzati sulla carta, mentre questo momento il certificato viene visualizzato come utilizzabile.
conclusioni
Quindi, abbiamo analizzato diversi aspetti principali relativi alla parte teorica dell'autenticazione a due fattori in Active Directory Servizi di dominio, e possiamo riassumere.
Garantire la sicurezza del processo di autenticazione nel sistema è fondamentale. Gli attuali tipi di cracking delle password costituiscono la necessità dell'autenticazione a più fattori.
Per una piccola azienda limitato a una rigorosa politica di protezione delle credenziali, l'introduzione di software antivirus, privano gli utenti della capacità di lavorare con mezzi esterni bloccare il lancio di software non autorizzato, implementare le normative sul lavoro degli utenti, ecc. eccetera.
Quando si parla di una grande azienda, o di una società in cui c'è un chiaro interesse da parte di intrusi, questi fondi non bastano. Errori e informazioni privilegiate possono minare gli sforzi per costruire un sistema di difesa, quindi è necessario scegliere un percorso diverso. Qui ha già senso parlare dell'implementazione dell'autenticazione sicura.
Utilizzo dell'autenticazione a due fattori − buona decisione in termini di sicurezza.
Abbiamo un secondo fattore di autenticazione, oltre al codice pin, l'utente deve avere anche una smart card o una chiavetta USB.
Utilizzo di smart card o Chiavi USB ci dà la possibilità di fornire l'autenticazione a due fattori in ambienti AD e AD DS.
In uno dei seguenti articoli, descriverò come viene eseguita in pratica l'implementazione dell'autenticazione a due fattori. Esamineremo la distribuzione e la configurazione di una Certificate Authority Infrastructure (PKI). Basato su Windows Server 2008 Enterprise R2.
Bibliografia.
http://www.rfc-archive.org/getrfc.php?rfc=4556
http://www.rfc-archive.org/getrfc.php?rfc=4120
http://www.aladdin.ru/catalog/etoken_products/logon
NCSC-TG-017 - "A Guide to Understanding Identification and Authentication in Trusted Systems", pubblicato da U.S. Centro nazionale per la sicurezza informatica.
RFC4120 - Il servizio di autenticazione di rete Kerberos (V5)
RFC4556 - Crittografia a chiave pubblica per l'autenticazione iniziale in Kerberos (PKINIT)
Brian Komar Windows Server 2008 PKI e sicurezza dei certificati
Leonid Shapiro,
Trainer certificato MCT, MCSE:S, MCSE:M, MCITP EA, TMS
Se una password è l'unico ostacolo all'accesso ai tuoi dati, sei a grande rischio. Il pass può essere impacchettato, intercettato, trascinato via con un Trojan, ripescato con l'aiuto del social engineering. Non utilizzare in questo scenario autorizzazione a due fattori- quasi un crimine.
Abbiamo già parlato più volte di chiavi monouso. Il significato è molto semplice. Se un utente malintenzionato riesce in qualche modo a ottenere la tua password di accesso, può accedere facilmente alla tua posta o connettersi Server remoto. Ma se sta arrivando fattore aggiuntivo, ad esempio, una chiave monouso (chiamata anche chiave OTP), quindi non ne verrà fuori nulla. Anche se una tale chiave arriva a un utente malintenzionato, non sarà più possibile utilizzarla, poiché è valida una sola volta. Un tale secondo fattore può essere una chiamata aggiuntiva, un codice ricevuto via SMS, una chiave generata sul telefono secondo determinati algoritmi basati sull'ora corrente (il tempo è un modo per sincronizzare l'algoritmo sul client e sul server). Lo stesso già Google raccomanda da tempo ai suoi utenti di abilitare l'autenticazione a due fattori (un paio di clic nelle impostazioni dell'account). Ora è il momento di aggiungere un tale livello di protezione per i tuoi servizi!
Cosa offre Duo Security?
Esempio banale. Il mio computer "esterno" ha una porta RDP aperta per la connessione desktop remoto. Se la password di accesso perde, l'attaccante riceverà immediatamente accesso completo alla macchina. Pertanto, non si trattava di rafforzare la protezione con password OTP: doveva solo essere fatto. È stato stupido reinventare la ruota e provare a implementare tutto da solo, quindi ho solo guardato le soluzioni che sono sul mercato. La maggior parte si è rivelata commerciale (più nella barra laterale), ma per un numero limitato di utenti possono essere utilizzati gratuitamente. Proprio quello che ti serve per la casa. Uno dei servizi di maggior successo che ti consente di organizzare l'autorizzazione a due fattori letteralmente per qualsiasi cosa (inclusi VPN, SSH e RDP) si è rivelato essere Duo Security (www.duosecurity.com). Ciò che ha aggiunto alla sua attrattiva è stato il fatto che lo sviluppatore e fondatore del progetto è John Oberheid, un noto specialista della sicurezza delle informazioni. Ad esempio, ha aperto il protocollo di comunicazione tra Google e Smartphone Android, con cui puoi installare o rimuovere applicazioni arbitrarie. Una tale base si fa sentire: per dimostrare l'importanza dell'autorizzazione a due fattori, i ragazzi hanno lanciato il servizio VPN Hunter (www.vpnhunter.com), che può trovare rapidamente i server VPN nascosti dell'azienda (e allo stesso tempo determinare il tipo di apparecchiatura su cui lavorano), servizi di accesso remoto (OpenVPN, RDP, SSH) e altri elementi dell'infrastruttura che consentono a un utente malintenzionato di entrare nella rete interna semplicemente conoscendo login e password. È divertente che sul Twitter ufficiale del servizio, i proprietari abbiano iniziato a pubblicare report giornalieri sulla scansione di note aziende, dopodiché l'account è stato bandito :). Il servizio Duo Security, ovviamente, punta principalmente a introdurre l'autenticazione a due fattori nelle aziende con un numero elevato di utenti. Fortunatamente per noi, è possibile creare un account personale gratuito che consente di impostare gratuitamente l'autenticazione a due fattori per un massimo di dieci utenti.
Quale potrebbe essere il secondo fattore?
Successivamente, vedremo come rafforzare la sicurezza di una connessione desktop remota, nonché SSH su un server, in soli dieci minuti. Ma prima, voglio parlare del passaggio aggiuntivo che Duo Security introduce come secondo fattore di autorizzazione. Sono disponibili diverse opzioni: telefonata, SMS con passcode, Duo Mobile passcode, Duo Push, chiave elettronica. Un po' di più su ciascuno.
Per quanto tempo puoi usarlo gratuitamente?
Come già accennato, Duo Security propone uno speciale piano tariffario"Personale". È assolutamente gratuito, ma il numero di utenti non deve essere superiore a dieci. Supporta l'aggiunta di un numero illimitato di integrazioni, tutti i metodi di autenticazione disponibili. Fornisce mille crediti gratuiti per i servizi di telefonia. I crediti sono, per così dire, una valuta interna che viene addebitata sul tuo conto ogni volta che si verifica un'autenticazione tramite una chiamata o un SMS. Nelle impostazioni dell'account, puoi impostarlo in modo che quando raggiungi il numero di crediti specificato, riceverai una notifica sulla soap e avrai il tempo di reintegrare il saldo. Mille crediti costano solo 30 dollari. Prezzo per chiamate e SMS per paesi diversiè diverso. Per la Russia, una chiamata costerà da 5 a 20 crediti, SMS - 5 crediti. Tuttavia, la chiamata che si verifica durante l'autenticazione al sito Duo Security non viene addebitata. Puoi dimenticare completamente i crediti se utilizzi l'applicazione Duo Mobile per l'autenticazione: non viene addebitato nulla.
Registrazione facile
Per proteggere il tuo server con Duo Security, devi scaricare e installare un client speciale che interagirà con il server di autenticazione di Duo Security e fornirà un secondo livello di protezione. Di conseguenza, questo client sarà diverso in ogni situazione: a seconda di dove esattamente è necessario implementare l'autorizzazione a due fattori. Ne parleremo di seguito. La prima cosa da fare è registrarsi nel sistema e ottenere un account. Pertanto, apriamo pagina iniziale sito, fai clic su "Prova gratuita", nella pagina che si apre, fai clic sul pulsante "Iscriviti" sotto il tipo di account Personale. Successivamente, ci viene chiesto di inserire il nome, il cognome, l'indirizzo e-mail e il nome dell'azienda. Dovresti ricevere un'e-mail contenente un link per confermare la tua registrazione. In questo caso, il sistema selezionerà automaticamente il telefono indicato: per attivare il tuo account, devi rispondere alla chiamata e premere il tasto # sul tuo telefono. Dopodiché, l'account sarà attivo e potrai iniziare le prove di combattimento.
Protezione del PSR
Ho detto sopra che ho iniziato con una grande voglia di mettere in sicurezza connessioni remote al tuo desktop. Pertanto, come primo esempio, descriverò come rafforzare la sicurezza del PSR.
- Qualsiasi implementazione dell'autenticazione a due fattori inizia con semplice azione: crea una cosiddetta integrazione nel profilo Duo Security. Vai alla sezione "Integrazioni Nuova integrazione", specifica il nome dell'integrazione (ad esempio, "Home RDP"), seleziona il suo tipo "Microsoft RDP" e fai clic su "Aggiungi integrazione".
- La finestra che appare mostra i parametri di integrazione: Chiave di integrazione, Chiave segreta, Nome host API. Ne avremo bisogno più tardi quando avremo impostato dalla parte del cliente. È importante capire: nessuno dovrebbe conoscerli.
- Successivamente, è necessario installare un client speciale sulla macchina protetta, che installerà tutto ciò di cui hai bisogno nel sistema Windows. Può essere scaricato dal sito ufficiale o prelevato dal nostro disco. La sua intera configurazione si riduce al fatto che durante il processo di installazione sarà necessario inserire la chiave di integrazione, la chiave segreta, il nome host API sopra menzionato.
- Questo, in effetti, è tutto. Ora, la prossima volta che accedi al server tramite RDP, ci saranno tre campi sullo schermo: nome utente, password e la chiave monouso di Duo. Di conseguenza, con una sola password di accesso, non è più possibile accedere al sistema.
La prima volta che un nuovo utente tenta di accedere, dovrà eseguire una volta il processo di verifica di Duo Security. Il servizio gli darà un link speciale, cliccando sul quale è necessario inserire il proprio numero di telefono e attendere una chiamata di verifica. Ottenere chiavi aggiuntive(o riceverli per la prima volta), potete inserire la parola chiave "sms". Se vuoi autenticarti con una telefonata - inserisci "telefono", se con Duo Push - "push". La cronologia di tutti i tentativi di connessione (sia riusciti che non riusciti) al server può essere visualizzata nel tuo account sul sito Web di Duo Security selezionando prima l'integrazione desiderata e andando nel suo "Registro di autenticazione".
Colleghiamo Duo Security ovunque!
Utilizzando l'autenticazione a due fattori, puoi proteggere non solo RDP o SSH, ma anche VPN, server RADIUS e qualsiasi servizio web. Ad esempio, ci sono client pronti all'uso che aggiungono un ulteriore livello di autenticazione ai popolari motori Drupal e WordPress. Se non c'è un client già pronto, non dovresti essere arrabbiato: puoi sempre aggiungere tu stesso l'autenticazione a due fattori per la tua applicazione o sito Web quando Aiuto API fornito dal sistema. La logica dell'API è semplice: fai una richiesta a un URL certo metodo e analizzare la risposta restituita, che potrebbe arrivare formato json(o BSON, XML). La documentazione completa sull'API REST di Duo è disponibile sul sito Web ufficiale. Dirò solo che ci sono metodi ping, check, preauth, auth, status, dal cui nome è facile indovinare a cosa sono destinati.
Protezione SSH
Considera un altro tipo di integrazione: "Integrazione UNIX" per implementare l'autenticazione sicura. Aggiungiamo un'ulteriore integrazione nel nostro profilo Duo Security e procediamo con l'installazione del client nel sistema.
Potete scaricare i sorgenti di quest'ultimo su bit.ly/IcGgk0 oppure prelevarlo dal nostro disco. ero solito ultima versione- 1.8. A proposito, il client funziona sulla maggior parte delle piattaforme nix, quindi puoi installarlo facilmente su FreeBSD, NetBSD, OpenBSD, Mac OS X, Solaris/Illumos, HP-UX e AIX. Il processo di compilazione è standard: configura && make && sudo make install. L'unica cosa che consiglierei è di usare configure con l'opzione --prefix=/usr, altrimenti il client potrebbe non trovare le librerie necessarie all'avvio. Dopo una corretta installazione, andiamo a modificare il file di configurazione /etc/duo/login_duo.conf. Questo deve essere fatto da root. Tutte le modifiche che devono essere apportate lavoro di successo, è impostare la chiave di integrazione, la chiave segreta, i valori del nome host dell'API, che possono essere trovati nella pagina di integrazione.
; Chiave di integrazione Duo = INTEGRATION_KEY; Chiave segreta Duo = SECRET_KEY; Duo API hostnamehost = API_HOSTNAME
Per forzare tutti gli utenti che accedono al tuo server tramite SSH per utilizzare l'autenticazione a due fattori, basta aggiungere riga successiva nel file /etc/ssh/sshd_config:
> ForceCommand /usr/local/sbin/login_duo
È anche possibile organizzare l'autenticazione a due fattori solo per i singoli utenti combinandoli in un gruppo e specificando questo gruppo nel file login_duo.conf:
>gruppo=ruota
Affinché le modifiche abbiano effetto, non resta che riavviare il demone ssh. D'ora in poi, dopo aver inserito correttamente la password di accesso, all'utente verrà richiesto di farlo autenticazione aggiuntiva. Una sottigliezza della configurazione ssh dovrebbe essere annotata separatamente: si consiglia vivamente di disabilitare le opzioni PermitTunnel e AllowTcpForwarding nel file di configurazione, poiché il demone le applica prima di iniziare la seconda fase di autenticazione. Pertanto, se un utente malintenzionato inserisce la password correttamente, può accedervi rete interna prima del completamento della seconda fase di autenticazione dovuta al port forwarding. Per evitare questo effetto, aggiungi le seguenti opzioni a sshd_config:
PermitTunnel noAllowTcpForwarding no
Ora il tuo server è dietro un doppio muro ed è molto più difficile per un attaccante entrarci.
Altre impostazioni
Se accedi al tuo account Duo Security e vai alla sezione "Impostazioni", puoi modificare alcune impostazioni per te stesso. La prima sezione importante è "Le telefonate". Specifica le impostazioni che saranno attive quando viene utilizzata una telefonata per confermare l'autenticazione. La voce “Tasti di richiamata vocale” consente di impostare quale tasto del telefono è necessario premere per confermare l'autenticazione. Per impostazione predefinita, è presente il valore "Premi un tasto qualsiasi per autenticare", ovvero puoi premere qualsiasi tasto. Se si imposta il valore su “Premere tasti diversi per autenticare o segnalare una frode”, sarà necessario impostare due tasti: premendo il primo si conferma l'autenticazione (Chiave per autenticare), premendo il secondo (Chiave per segnalare una frode) significa che il processo di autenticazione non è stato avviato da noi, ovvero qualcuno ha ricevuto la nostra password e sta cercando di usarla per entrare nel server. La voce “Codici SMS” permette di impostare il numero di codici che un SMS conterrà e la loro durata (validità). Il parametro "Blocco e frode" consente di impostare l'indirizzo email che riceverà un avviso in caso di un certo numero di tentativi falliti accedere al server.
Utilizzo!
Sorprendentemente, molti ignorano ancora l'autenticazione a due fattori. Non capisco perché. Questo aggiunge davvero molta sicurezza. Puoi implementarlo per quasi tutto e le soluzioni degne sono disponibili gratuitamente. Allora perché? Per pigrizia o incuria.
Servizi simili
- significare(www.signify.net) Il servizio fornisce tre opzioni per organizzare l'autenticazione a due fattori. Il primo è l'uso chiavi elettroniche. Il secondo modo consiste nell'utilizzare le chiavi di accesso, che vengono inviate al telefono dell'utente tramite SMS o arrivate a e-mail. Terza opzione - app mobile per telefoni Android, iPhone, BlackBerry, che genera password monouso (in effetti, un analogo di Duo Mobile). Il servizio è rivolto alle grandi aziende, quindi è completamente a pagamento.
- Secure Envoy(www.securenvoy.com) Consente inoltre di utilizzare il telefono cellulare come secondo livello di sicurezza. Le chiavi di accesso vengono inviate all'utente tramite SMS o e-mail. Ogni messaggio contiene tre passkey, il che significa che l'utente può accedere tre volte prima di richiedere una nuova porzione. Il servizio è anche a pagamento, ma prevede un periodo gratuito di 30 giorni. Un vantaggio significativo è un gran numero di integrazioni sia native che di terze parti.
- PhoneFactor(www.phonefactor.com) Questo servizio ti consente di organizzare l'autenticazione a due fattori gratuita per un massimo di 25 utenti, fornendo 500 autenticazioni gratuite al mese. Per organizzare la protezione, dovrai scaricare e installare un client speciale. Se devi aggiungere l'autenticazione a due fattori al tuo sito, puoi utilizzare l'SDK ufficiale, che fornisce documentazione dettagliata ed esempi per i seguenti linguaggi di programmazione: ASP.NET C#, ASP.NET VB, Java, Perl, Ruby, PHP.
- tutorial
Alcuni di voi devono aver sentito parlare dell'incidente, che è stato reso pubblico di recente. Il produttore americano di semiconduttori Allegro MicroSystem LLC ha citato in giudizio il suo ex specialista IT per sabotaggio. Nimesh Patel, che lavora con l'azienda da 14 anni, ha distrutto importanti dati finanziari nella prima settimana del nuovo anno fiscale.
Come è successo?
Due settimane dopo essere stato licenziato, Patel è entrato nella sede dell'azienda a Worcester, Massachusetts, USA, per catturare la rete Wi-Fi dell'azienda. Utilizzando le credenziali di un ex collega e un laptop di lavoro, Patel si è connesso alla rete aziendale. Ha quindi iniettato il codice nel modulo Oracle e lo ha programmato per essere eseguito il 1 aprile 2016, la prima settimana del nuovo anno fiscale. Il codice aveva lo scopo di copiare determinate intestazioni o puntatori in una tabella di database separata e quindi rimuoverli dal modulo. Esattamente il 1 aprile, i dati sono stati cancellati dal sistema. E poiché l'attaccante si è registrato legalmente alla rete Allegro, le sue azioni non sono state immediatamente notate.
Il grande pubblico non conosce i dettagli, ma molto probabilmente l'incidente è diventato possibile in gran parte grazie al fatto che l'azienda ha utilizzato l'autenticazione tramite password per accedere alla rete. Sicuramente c'erano altri problemi di sicurezza, ma è la password che può essere rubata senza che l'utente se ne accorga e il fatto del furto della password non verrà rilevato, in caso migliore fino al punto di utilizzare le credenziali rubate.
L'uso di una forte autenticazione a due fattori e il divieto dell'uso di password, combinati con una politica di sicurezza competente, potrebbero aiutare, se non evitare lo sviluppo descritto di eventi, quindi complicare notevolmente l'attuazione di tale piano.
Parleremo di come puoi aumentare significativamente il livello di sicurezza della tua azienda e proteggerti da tali incidenti. Imparerai come impostare l'autenticazione e la firma di dati importanti utilizzando token e crittografia (sia estera che nazionale).
Nel primo articolo, spiegheremo come configurare l'autenticazione a due fattori avanzata utilizzando PKI quando si accede a un account di dominio su Windows.
Nei seguenti articoli, ti diremo come configurare Bitlocker, proteggere la posta elettronica e il flusso di lavoro più semplice. Insieme a te, imposteremo un accesso sicuro e protetto alle risorse aziendali accesso remoto tramite VPN.
Autenticazione a due fattori
Esperto amministratori di sistema e i servizi di sicurezza sono ben consapevoli che gli utenti sono estremamente inconsapevoli nella questione del rispetto delle politiche di sicurezza, possono scrivere le proprie credenziali su un foglietto adesivo e attaccarlo accanto al computer, trasferire password ai colleghi e simili. Ciò accade soprattutto quando la password è complessa (contenente più di 6 caratteri e composta da lettere maiuscole, numeri e personaggi speciali) ed è difficile da ricordare. Ma tali politiche sono impostate dagli amministratori per un motivo. Ciò è necessario per proteggere l'account utente da una semplice ricerca nel dizionario delle password. Inoltre, gli amministratori consigliano di cambiare le password almeno una volta ogni 6 mesi, semplicemente per la considerazione che durante questo periodo anche una password complessa può essere teoricamente forzata.
Ricordiamo cos'è l'autenticazione. Nel nostro caso, questo è il processo di conferma dell'identità di un soggetto o di un oggetto. L'autenticazione dell'utente è il processo di verifica dell'identità di un utente.
L'autenticazione a due fattori è un'autenticazione che ne richiede almeno due vari modi per verificare la tua identità.
L'esempio più semplice di autenticazione a due fattori in vita realeè una cassaforte con serratura e combinazione di codice. Per aprire una tale cassaforte, devi conoscere il codice e possedere la chiave.
Token e smart card
Probabilmente il metodo di autenticazione a due fattori più affidabile e più semplice da implementare consiste nell'utilizzare un token crittografico o una smart card. Un token è un dispositivo USB che funge contemporaneamente da lettore e smart card. Il primo fattore in questo caso è il fatto di proprietà del dispositivo e il secondo è la conoscenza del suo codice PIN.
Usa un token o una smart card, a seconda di quale ti è più comodo. Ma storicamente è successo che in Russia sono più abituati all'uso dei token, poiché non richiedono l'uso di lettori di smart card integrati o esterni. Anche i token hanno i loro svantaggi. Ad esempio, non è possibile stampare una foto su di esso.
La foto mostra una tipica smart card e lettore.
Ma torniamo alla sicurezza aziendale.
E inizieremo con il dominio Windows, perché nella maggior parte delle aziende in Russia la rete aziendale è costruita attorno ad esso.
Come sapete, i criteri di dominio di Windows, le impostazioni utente e le impostazioni di gruppo in Active Directory forniscono e limitano l'accesso un numero enorme applicazioni e servizi di rete.
Proteggendo un account in un dominio, possiamo proteggere la maggior parte, e in alcuni casi tutte, le risorse informative interne.
Perché l'autenticazione a due fattori in un dominio che utilizza un token con un codice PIN è più sicura di un normale schema di password?
Codice PIN collegato a dispositivo specifico, nel nostro caso al token. Conoscere il codice PIN di per sé non dà nulla.
Ad esempio, un codice PIN di un token può essere dettato telefonicamente ad altre persone e questo non darà nulla a un utente malintenzionato se tratti il token con sufficiente attenzione e non lo lasci incustodito.
Con una password la situazione è completamente diversa, se un utente malintenzionato ha raccolto, indovinato, spiato o in qualche modo si è impossessato della password da un account nel dominio, potrà accedere liberamente sia al dominio stesso che ad altri servizi dell'azienda che utilizzano questo stesso account.
Un token è un oggetto fisico univoco non copiabile. È di proprietà di un utente legittimo. L'autenticazione a due fattori tramite token può essere aggirata solo quando l'amministratore ha lasciato intenzionalmente o attraverso una svista "scappatoie" nel sistema per questo.
Vantaggi dell'accesso a un dominio con un token
Il codice PIN del token è più facile da ricordare, poiché può essere molto più facile di una password. Tutti devono aver visto almeno una volta nella vita come un utente “esperto” non possa dolorosamente autenticarsi nel sistema dopo diversi tentativi, ricordandosi e inserendo la sua password “sicura”.
Il PIN non ha bisogno di essere cambiato costantemente, poiché i token sono più resistenti alla forza bruta del PIN. Dopo un certo numero di tentativi di input non andati a buon fine, il token viene bloccato.
Quando si utilizza un token per un utente, l'accesso è il seguente: dopo l'avvio del computer, è sufficiente inserire il token nella porta USB del computer, inserire 4-6 cifre e premere il pulsante Invio. Digitare la velocità di ingresso persone normali superiore alla velocità di immissione delle lettere. Pertanto, il codice PIN viene inserito più velocemente.
I token risolvono il problema del "posto di lavoro abbandonato": quando un utente lascia il proprio posto di lavoro e si dimentica di disconnettersi dal proprio account.
Il criterio di dominio può essere configurato per bloccare automaticamente il computer quando viene recuperato il token. Inoltre, il token può essere dotato di un tag RFID per il passaggio tra i locali dell'azienda, quindi senza prendere il token dal proprio posto di lavoro, il dipendente semplicemente non sarà in grado di muoversi sul territorio.
Svantaggi, dove senza di loro
I token o le smart card non sono gratuiti (decisi dal budget).
Devono essere contabilizzati, amministrati e mantenuti (decisi da sistemi di gestione dei token e smart card).
Alcuni Sistemi di informazione potrebbe non supportare l'autenticazione tramite token out of the box (è risolto dai sistemi Single Sign-On - progettati per organizzare la possibilità di utilizzare un unico account per accedere a qualsiasi risorsa della regione).
Configurazione dell'autenticazione a due fattori in un dominio Windows
Parte teorica:
Il servizio directory di Active Directory supporta l'autenticazione tramite smart card e token da Windows 2000. È integrato nell'estensione PKINIT (inizializzazione della chiave pubblica) per il protocollo Kerberos RFC 4556.
Il protocollo Kerberos è stato specificamente progettato per fornire un'autenticazione utente avanzata. Può utilizzare l'archiviazione centralizzata dei dati di autenticazione ed è la base per la creazione di meccanismi Single Sing-On. Il protocollo si basa sull'entità chiave Ticket (ticket).
Ticket (ticket) è un pacchetto di dati crittografato che viene emesso da un centro di autenticazione affidabile, in termini di protocollo Kerberos - Key Distribution Center (KDC, centro di distribuzione delle chiavi).
Quando un utente esegue l'autenticazione primaria dopo aver autenticato correttamente l'utente, il KDC emette l'identità primaria dell'utente per l'accesso alle risorse di rete, il Ticket Granting Ticket (TGT).
In futuro, quando accede a singole risorse di rete, l'utente, presentando il TGT, riceve dal KDC un'identità per l'accesso a una specifica risorsa di rete: Ticket Granting Service (TGS).
Uno dei vantaggi del protocollo Kerberos, che fornisce alto livello sicurezza, è che durante le interazioni né le password né i valori hash delle password vengono trasmessi in chiaro.
L'estensione PKINIT consente di utilizzare l'autenticazione a due fattori tramite token o smart card durante la fase di preautenticazione Kerberos.
L'accesso può essere fornito utilizzando un servizio di directory di dominio o un servizio di directory locale. TGT è creato sulla base di firma elettronica, che viene calcolato su una smart card o un token.
Tutti i controller di dominio devono disporre del certificato Autenticazione controller di dominio, o Autenticazione Kerberos, installato, poiché viene implementato il processo di autenticazione reciproca di client e server.
Pratica:
Iniziamo a configurare.
Faremo in modo che tu possa inserire il dominio con il tuo account solo dopo aver presentato il token e conoscendo il codice PIN.
Per la dimostrazione, utilizzeremo Rutoken EDS PKI prodotto da Aktiv.
Fase 1: creazione di un dominio Il primo passaggio consiste nell'installare Servizi certificati.
Disclaimer.
Questo articolo non è un'esercitazione su come implementare un'infrastruttura PKI aziendale. I problemi di progettazione, distribuzione e utilizzo competente di PKI non vengono qui considerati a causa dell'immensità di questo argomento.
Tutti i controller di dominio e tutti i computer client all'interno della foresta in cui viene implementata tale soluzione devono necessariamente considerare attendibile l'autorità di certificazione principale (Autorità di certificazione).
Il compito dell'autorità di certificazione è autenticare le chiavi di crittografia utilizzando certificati di firma elettronica.
Tecnicamente, la CA è implementata come componente del servizio di directory globale responsabile della gestione delle chiavi crittografiche degli utenti. Le chiavi pubbliche e altre informazioni sugli utenti sono archiviate dalle autorità di certificazione sotto forma di certificati digitali.
La CA che emette i certificati per l'utilizzo di smart card o token deve essere inserita nell'archivio NT Authority.
Vai a Server Manager e seleziona "Aggiungi ruoli e funzionalità".
Quando si aggiungono ruoli del server, selezionare "Servizi certificati Active Directory" (Microsoft consiglia vivamente di non eseguire questa operazione su un controller di dominio, per non aggravare i problemi di prestazioni). Nella finestra che si apre, seleziona "Aggiungi funzionalità" e seleziona "Autorità di certificazione".
Nella pagina per confermare l'installazione dei componenti, fare clic su "Installa".
Fase 2: configurazione dell'accesso al dominio utilizzando un token
Per accedere, è necessario un certificato che contenga gli ID di accesso tramite Smart Card e di autenticazione del client.
Il certificato per smart card o token deve contenere anche l'UPN (suffisso User Principal Name) dell'utente. Per impostazione predefinita, il suffisso UPN per un account è il nome DNS del dominio che contiene l'account utente.
Il certificato e la chiave privata devono essere collocati nelle apposite sezioni della smart card o del token, mentre la chiave privata deve trovarsi in un'area sicura della memoria del dispositivo.
Il certificato deve contenere il percorso del punto di distribuzione CRL. Tale file contiene un elenco di certificati, indicando il numero di serie del certificato, la data di revoca e il motivo della revoca. Viene utilizzato per comunicare informazioni sui certificati revocati a utenti, computer e applicazioni che tentano di verificare l'autenticità di un certificato.
Configuriamo i servizi di certificato installati. Nell'angolo in alto a destra, fai clic sul triangolo giallo con punto esclamativo e fai clic su "Configura servizi certificati...".
Nella finestra Credenziali, seleziona le credenziali utente richieste per configurare il ruolo. Seleziona "Autorità di certificazione".
Seleziona CA aziendale.
Le CA Enterprise sono integrate con AD. Pubblicano certificati e CRL in AD.
Specificare il tipo "Root CA".
Nel passaggio successivo, seleziona "Crea una nuova chiave privata".
Seleziona il periodo di validità del certificato.
Passaggio 3: aggiunta di modelli di certificato
Per aggiungere modelli di certificato, apri il Pannello di controllo, seleziona Strumenti di amministrazione e apri l'Autorità di certificazione.
Fare clic sul nome della cartella "Modelli di certificato", selezionare "Gestisci".
Fare clic sul nome del modello "Utente Smart Card" e selezionare "Copia modello". Le schermate seguenti mostrano quali opzioni nella finestra Proprietà del nuovo modello devono essere modificate.
Se non è presente "Aktiv ruToken CSP v1.0" nell'elenco dei provider, è necessario installare il kit "Rutoken Drivers for Windows".
A partire da Windows Server 2008 R2, è possibile utilizzare "Microsoft Base Smart Card Crypto Provider" invece del provider specifico del fornitore.
Per i dispositivi Rutoken, la libreria "minidriver" che supporta il "Microsoft Base Smart Card Crypto Provider" viene distribuita tramite Windows Update.
Puoi verificare se il "minidriver" è installato sul tuo server collegandoci Rutoken e guardando in Gestione dispositivi.
Se per qualche motivo non c'è un "minidriver", puoi forzarlo installando il kit "Rutoken Drivers for Windows", quindi utilizzare il "Microsoft Base Smart Card Crypto Provider".
Il kit Rutoken Drivers for Windows è distribuito gratuitamente dal sito web di Rutoken.
Aggiunti due nuovi modelli "Agente di certificazione" e "Utente con Rutoken".
Nella finestra "Snap-in Gestore certificati", seleziona "il mio account utente". Nella finestra Aggiungi/Rimuovi snap-in, conferma l'aggiunta di certificati.
Seleziona la cartella "Certificati".
Richiedi un nuovo certificato. Si aprirà la pagina per la registrazione del certificato. Nella fase di richiesta del certificato, seleziona il criterio di registrazione "Amministratore" e fai clic su "Applica".
Allo stesso modo, richiedere un certificato per l'agente di registrazione.
Per richiedere un certificato per un utente specifico, fai clic su "Certificati", seleziona "Registrati come...".
Nella finestra per la richiesta di un certificato, spuntare la casella "Utente con Rutoken".
Ora devi selezionare un utente.
Nel campo "Inserisci i nomi degli oggetti selezionati", inserisci il nome dell'utente nel dominio e fai clic su "Verifica nome".
Nella finestra per la selezione di un utente, fare clic su "Applicazione".
Seleziona il nome del token dall'elenco a discesa e inserisci il codice PIN.
Seleziona i certificati per altri utenti nel dominio allo stesso modo.
Fase 4 - Configurazione degli account utente
Per configurare gli account, apri l'elenco degli utenti e dei computer di AD.
Seleziona la cartella Utenti e seleziona Proprietà.
Vai alla scheda "Account", seleziona la casella "Richiede una smart card per accedere in modo interattivo".
Imposta criteri di sicurezza. Per fare ciò, apri il Pannello di controllo e seleziona Strumenti di amministrazione. Apri il menu da gestire politica di gruppo.
Sul lato sinistro della finestra Gestione criteri di gruppo, fai clic su Criterio dominio predefinito e seleziona Modifica.
Sul lato sinistro della finestra Editor gestione criteri di gruppo, seleziona Opzioni di sicurezza.
Apri il criterio "Accesso interattivo: richiedi smart card".
Nella scheda "Impostazioni dei criteri di sicurezza", seleziona le caselle di controllo "Definisci la seguente impostazione dei criteri" e "Abilitata".
Aprire il criterio Accesso interattivo: comportamento rimozione smart card.
Nella scheda "Impostazioni dei criteri di sicurezza", seleziona la casella di controllo "Definisci la seguente impostazione dei criteri", seleziona "Blocca workstation" dall'elenco a discesa.
Riavvia il tuo computer. E a prossimo tentativo autenticazione nel dominio, sarà già possibile utilizzare il token e il relativo codice PIN.
È configurata l'autenticazione a due fattori per l'accesso al dominio, il che significa che il livello di sicurezza per l'accesso al dominio Windows è stato notevolmente aumentato senza spendere una cifra folle per fondi aggiuntivi protezione. Ora, senza un token, l'accesso al sistema è impossibile e gli utenti possono respirare facilmente e non soffrire di password complesse.
Il passaggio successivo è la posta sicura, leggi questo e come impostare l'autenticazione sicura in altri sistemi nei nostri prossimi articoli.
tag:
- server di Windows
- PKI
- Rutoken
- autenticazione
La password non è una misura di sicurezza molto forte. Molto spesso vengono utilizzate password semplici e facili da indovinare, oppure gli utenti non controllano realmente la sicurezza delle proprie password (distribuire ai colleghi, scrivere su pezzi di carta, ecc.). Microsoft ha implementato da tempo una tecnologia che permette di utilizzare una SmartCard per effettuare il login, ad es. autenticarsi nel sistema utilizzando un certificato. Ma non è necessario utilizzare direttamente le smart card, perché hanno bisogno anche di lettori, quindi è più facile sostituirle con token usb. Ti permetteranno di implementare l'autenticazione a due fattori: il primo fattore è la password del token, il secondo fattore è il certificato sul token. Inoltre, usando l'esempio del token usb JaCarta e del dominio Windows, ti dirò come implementare questo meccanismo di autenticazione.
Prima di tutto, creiamo un gruppo "g_EtokenAdmin" in AD e account. Voce dell'agente di registrazione che appartiene a questo gruppo. Questo gruppo e utente guideranno l'autorità di certificazione.
Inoltre, installa servizio web per richiedere certificati.
Quindi, seleziona l'opzione per l'azienda. Seleziona la Root CA (se abbiamo questa è la prima autorità di certificazione nel dominio)
Creiamo una nuova chiave privata. La lunghezza della chiave può essere lasciata più stretta, ma l'algoritmo di hashing è meglio scegliere SHA2 (SHA256).
Immettere il nome della CA e selezionare il periodo di validità del certificato principale.
Lascia il resto dei parametri come predefiniti e avvia il processo di installazione.
Dopo l'installazione, andiamo allo snap-in del centro di certificazione e configuriamo i diritti sui modelli. 
Saremo interessati a due modelli: Enrollment Agent e Smartcard logon.
Andiamo nelle proprietà di questi modelli e nella scheda sicurezza aggiungiamo il gruppo "g_EtokenAdmin" con diritti di lettura e richiesta.
E appariranno nel nostro elenco generale.
Il passaggio successivo consiste nel configurare i criteri di gruppo:
Prima di tutto, comunicheremo a tutti i computer nel dominio l'autorità di certificazione principale, per questo cambieremo la politica di dominio predefinita.
Configurazione computer -> Politiche -> Configurazione di Windows-> Opzioni di sicurezza -> Politiche della chiave pubblica -> Autorità di certificazione radice attendibili -> Importa
Selezioniamo il nostro certificato radice che si trova lungo il percorso: C:\Windows\System32\certsrv\CertEnroll. Chiudi la politica di dominio predefinita.
Sul passo successivo Creiamo una policy per un container che conterrà computer con autenticazione tramite token (Smart Card).
Lungo la strada Configurazione del computer -> Politiche -> Configurazione di Windows -> Opzioni di sicurezza -> Politiche locali-> Opzioni di sicurezza. Configuriamo due opzioni "Accesso interattivo: richiedi smart card" e "Accesso interattivo: comportamento durante la rimozione della smart card".
Questo è tutto con le impostazioni, ora puoi generare un certificato client e controllare l'autenticazione tramite token.
Accedi al computer sotto l'account "Enrollment Agent" e apri il browser facendo clic sul link http://nome_server_MS_CA/certsrv
Selezionare Richiesta di certificato -> Richiesta di certificato avanzata -> Crea ed invia una richiesta a questa CA
Se viene visualizzato un messaggio di errore del tipo "Per completare la registrazione del certificato, è necessario configurare il sito Web affinché la CA utilizzi l'autenticazione HTTPS", è necessario associare il sito al protocollo https sul server IIS su cui è installato MS CA.
Continuiamo a ottenere un certificato, per questo, nella pagina che si apre, seleziona il modello: "Registration Agent" e fai clic sul pulsante per emettere e installare un certificato.
L'utente dell'agente di registrazione ora può emettere certificati per altri utenti. Ad esempio, richiederemo un certificato per l'utente di prova. Per fare ciò, apri la console di gestione dei certificati certmgr.msc, perché tramite l'interfaccia web non sarà possibile scrivere un certificato su un token usb.
In questa console, nella cartella personale, faremo una richiesta per conto di un altro utente
Come firma, selezioniamo l'unico certificato "Enrollment Agent" e procediamo al passaggio successivo, dove selezioniamo la voce "Accedi con una smart card" e clicchiamo sui dettagli per selezionare un provider di crittografia.
Nel mio caso, utilizzo i token JaCarta, quindi il provider di crittografia Athena è stato installato insieme ai driver:
Al passaggio successivo, seleziona l'utente di dominio per il quale emettiamo un certificato e fai clic sul pulsante "Applicazione".
Inseriamo il token, inseriamo il codice pin e inizia il processo di generazione. Di conseguenza, dovremmo vedere una finestra di dialogo che dice "Riuscito".
Se il processo si è concluso senza successo, il problema potrebbe essere nel modello per ottenere un certificato, nel mio caso è stato necessario modificarlo leggermente.
Iniziamo a testare, controlliamo il funzionamento del token su un computer che si trova in una UO con una policy di gruppo di accesso tramite smart card.
Quando si tenta di accedere con un account con una password, dovrebbe essere negato. Quando si tenta di accedere con una smart card (token), ci verrà chiesto di inserire un pin e dovremo accedere correttamente al sistema.
p.s.
1) Se il blocco automatico del computer o il logout non funzionano, dopo aver estratto il token, verificare se il servizio "Politica di rimozione Smart Card" è in esecuzione
2) Puoi scrivere (generare un certificato) su un token solo localmente, non funzionerà tramite RDP.
3) Se non è possibile avviare il processo di generazione del certificato utilizzando il modello standard "Accesso con smart card", crearne una copia con i seguenti parametri.
Questo è tutto, se hai domande, chiedi, cercherò di aiutarti.
