1) All'inizio della configurazione del server, inserisci il comando:
multiotp.exe -debug -config default-request-prefix-pin=0 display-log=1 dopo di esso non è necessario inserire un codice PIN durante la configurazione di un utente e il registro di ogni operazione viene visualizzato nella console.
2) Usando questo comando puoi regolare il bantime per gli utenti che hanno commesso un errore con la password (default 30 secondi):
multiotp.exe -debug -config Failure-delayed-time=60
3) Cosa verrà scritto nella domanda Autenticatore di Google sopra le 6 cifre, chiamate emittente, possono essere modificate dal MultiOTP predefinito a qualcos'altro:
multiotp.exe -debug -config emittente=altro
4) Una volta completate le operazioni, il comando per creare un utente diventa un po' più semplice:
multiotp.exe -debug -create user TOTP 12312312312312312321 6 (Non imposto il tempo di aggiornamento delle cifre su 30 secondi, sembra essere 30 per impostazione predefinita).
5) Ogni utente può modificare la descrizione (testo sotto i numeri in Applicazione Google Aut.):
multiotp.exe -set descrizione nome utente=2
6) I codici QR possono essere creati direttamente nell'applicazione:
multiotp.exe -nome utente qrcode c:\multiotp\qrcode\user.png:\multiotp\qrcode\user.png
7) Puoi utilizzare non solo TOTP, ma anche HOTP (not ora attuale e il valore del contatore incrementale):
multiotp.exe -debug -crea nome utente HOTP 12312312312312312321 6
Oggi ti spiegheremo come impostare in modo semplice e veloce l'autenticazione a due fattori e crittografare i dati importanti, anche con la possibilità di utilizzare la biometria. La soluzione sarà rilevante per le piccole imprese o solo per personal computer o computer portatile. È importante che per questo non abbiamo bisogno di un'infrastruttura a chiave pubblica (PKI), di un server con il ruolo di autorità di certificazione (Certificate Services) e non abbiamo nemmeno bisogno di un dominio ( Directory attiva). Tutti i requisiti di sistema si riducono al sistema operativo Windows e alla presenza da parte dell'utente di una chiave elettronica e, nel caso dell'autenticazione biometrica, anche di un lettore di impronte digitali, che, ad esempio, potrebbe già essere integrato nel laptop.
Per l'autenticazione utilizzeremo il nostro software: JaCarta SecurLogon e la chiave elettronica JaCarta PKI come autenticatore. Lo strumento di crittografia sarà finestre normali EFS, l'accesso ai file crittografati verrà fornito anche tramite la chiave PKI JaCarta (la stessa utilizzata per l'autenticazione).
Ricordiamo che JaCarta SecurLogon è certificato FSTEC della Russia soluzione software e hardware della società Aladdin R.D., che consente un utilizzo semplice e Passaggio veloce dall'autenticazione a fattore singolo basata su una coppia login-password all'autenticazione a due fattori nel sistema operativo utilizzando token USB o smart card. L'essenza della soluzione è abbastanza semplice: JSL genera una password complessa (~63 caratteri) e la scrive nella memoria sicura della chiave elettronica. In questo caso la password potrebbe essere sconosciuta all'utente stesso; l'utente conosce solo il codice PIN. Inserendo il codice PIN durante l'autenticazione, il dispositivo viene sbloccato e la password viene trasmessa al sistema per l'autenticazione. Facoltativamente, è possibile sostituire l'immissione del codice PIN mediante la scansione dell'impronta digitale dell'utente ed è anche possibile utilizzare una combinazione PIN + impronta digitale.
EFS, come JSL, può funzionare in modalità autonoma, non richiedendo altro che il sistema operativo stesso. In tutto sistemi operativi Famiglia Microsoft NT, a partire da Windows 2000 e versioni successive (eccetto versioni domestiche), è presente la tecnologia di crittografia dei dati EFS (Encrypting File System) integrata. La crittografia EFS si basa sulle capacità del file Sistemi NTFS e l'architettura CryptoAPI ed è progettato per crittografare rapidamente i file sul disco rigido di un computer. La crittografia EFS utilizza le chiavi pubblica e privata dell'utente, che vengono generate la prima volta che un utente utilizza la funzione di crittografia. Queste chiavi rimangono invariate finché esiste il suo account. Durante la crittografia File EFS a caso genera un numero univoco, il cosiddetto File Chiave crittografica(FEK) Lungo 128 bit, con cui vengono crittografati i file. Le chiavi FEK sono crittografate con una chiave master, che è crittografata con la chiave degli utenti del sistema che hanno accesso al file. La chiave privata dell'utente è protetta da un hash della password dell'utente. I dati crittografati utilizzando EFS possono essere decrittografati solo utilizzando lo stesso account. Voci di Windows con la stessa password utilizzata per la crittografia. E se memorizzi il certificato di crittografia e la chiave privata su un token USB o una smart card, per accedere ai file crittografati avrai bisogno anche di questo token USB o smart card, che risolve il problema della compromissione della password, poiché sarà necessario avere e dispositivo aggiuntivo sotto forma di chiave elettronica.
Autenticazione
Come già notato, non hai bisogno di AD o di un'autorità di certificazione per la configurazione, ne hai bisogno finestre moderne, Distribuzione e licenza JSL. La configurazione è ridicolmente semplice.È necessario installare un file di licenza.
Aggiungi un profilo utente.
E inizia a utilizzare l'autenticazione a due fattori.
Autenticazione biometrica
È possibile utilizzare l'autenticazione biometrica dell'impronta digitale. La soluzione funziona utilizzando la tecnologia Match On Card. L'hash dell'impronta digitale viene scritto sulla carta durante l'inizializzazione iniziale e viene successivamente confrontato con l'originale. Non lascia la carta da nessuna parte, non è archiviata in nessun database. Per sbloccare tale chiave, viene utilizzata un'impronta digitale o una combinazione di PIN + impronta digitale, PIN o impronta digitale.Per iniziare ad utilizzarlo è sufficiente inizializzare la scheda con i parametri necessari e registrare l’impronta digitale dell’utente.
In futuro, verrà visualizzata la stessa finestra prima di accedere al sistema operativo.
In questo esempio la carta viene inizializzata con la possibilità di autenticarsi tramite impronta digitale o codice PIN, come indicato dalla finestra di autenticazione.
Dopo aver presentato un'impronta digitale o un codice PIN, l'utente verrà portato nel sistema operativo.
Crittografia dei dati
Anche la configurazione di EFS non è molto complicata: si tratta di impostare un certificato, emetterlo su una chiave elettronica e impostare directory di crittografia. In genere non è necessario crittografare l'intero disco. Veramente file importanti, a cui non è auspicabile che terzi possano accedere, si trovano solitamente in directory separate e non sparse in alcun modo sul disco.Per emettere un certificato di crittografia e una chiave privata, apri il tuo account utente, seleziona - Gestisci certificati di crittografia file. Nella procedura guidata che si apre, crea un certificato autofirmato sulla smart card. Poiché continuiamo a utilizzare una smart card con un'applet BIO, è necessario fornire un'impronta digitale o un PIN per registrare il certificato di crittografia.
Nel passaggio successivo specificare le directory che verranno associate al nuovo certificato; se necessario è possibile specificare tutte le unità logiche.
La directory crittografata stessa e i file in essa contenuti verranno evidenziati in un colore diverso.
L'accesso ai file avviene solo se si dispone di una chiave elettronica, previa presentazione di un'impronta digitale o di un codice PIN, a seconda di quanto selezionato.
Questo completa la configurazione.
È possibile utilizzare entrambi gli scenari (autenticazione e crittografia) oppure sceglierne uno.
Le realtà dei paesi in cui vive la maggior parte dei residenti di Khabrovsk sono tali che mantenere i server con Informazioni importanti Fare affari fuori dal paese è diventata una buona pratica, permettendoti di risparmiare nervi e dati.
La prima domanda che si pone quando si passa al cloud dopo la crittografia dei dati, o forse anche prima, è garantire che l’accesso ai dati con un account utente venga effettuato dall’utente e non da qualcun altro. E se nell'articolo del mio collega viene discusso un buon modo per crittografare i dati che si trovano in un cloud privato, allora con l'autenticazione tutto è più complicato.
Informazioni su utenti e metodi di protezione
La natura di un utente tipico è tale che l'atteggiamento nei confronti della sicurezza delle password degli account è piuttosto frivolo ed è impossibile correggerlo. La nostra esperienza dimostra che anche se un'azienda ha politiche rigorose, formazione degli utenti, ecc., Ci sarà comunque un dispositivo non crittografato che esce dalle mura dell'ufficio e, guardando l'elenco dei prodotti di una nota azienda, capisci che è è solo questione di tempo prima di recuperare le password da un dispositivo non crittografato.
Alcune aziende, per controllare l'accesso ai dati nel cloud, installano tunnel tra il cloud e l'ufficio e vietano l'accesso remoto https://habrahabr.ru/company/pc-administrator/blog/320016/. A nostro avviso, questo non è del tutto soluzione ottimale, in primo luogo, alcuni vantaggi della soluzione cloud vengono persi e, in secondo luogo, nell'articolo vengono segnalati problemi di prestazioni.
Soluzione che utilizza un server terminal e Desktop remoto Portale (RDG) più flessibile, può essere personalizzato alto livello sicurezza, come descritta dal mio collega https://habrahabr.ru/post/134860/ (articolo del 2011, ma il principio stesso è ancora rilevante). Questo metodo permette di impedire il trasferimento dei dati dal cloud, ma impone restrizioni al lavoro dell'utente e non risolve completamente il problema dell'autenticazione; anzi è una soluzione DLP.
Forse il modo migliore per garantire che nessun utente malintenzionato stia lavorando con l'account utente autenticazione a due fattori. Gli articoli del mio collega https://habrahabr.ru/post/271259/ https://habrahabr.ru/post/271113/ descrivono la configurazione dell'MFA da Microsoft e Google per VPN client. Il metodo è buono, ma, in primo luogo, richiede CISCO ASA, che non è sempre facile da implementare, soprattutto nei cloud economici, e in secondo luogo è scomodo lavorare tramite una VPN. Lavorare con una sessione terminale tramite RDG è molto più comodo e il protocollo di crittografia SSL sembra più universale e affidabile della VPN di CISCO.
Esistono molte soluzioni con autenticazione a due fattori sul terminal server stesso, ecco un esempio di configurazione soluzione gratuita- http://servilon.ru/dvuhfaktornaya-autentifikaciya-otp/. Questa soluzione purtroppo non funziona tramite RDG.
Il server RDG richiede la conferma dell'autorizzazione dal server MFA. MFA, a seconda del metodo di autenticazione selezionato, chiama, invia SMS o invia una richiesta a un'applicazione mobile. L'utente conferma o rifiuta la richiesta di accesso. MFA restituisce il risultato del secondo fattore di autenticazione al server RDG.
Installa e configura il server Azure Multi-Factor Authentication
Creare un provider di autenticazione nel portale di Microsoft Azure
Andiamo su Microsoft Azure (l'account deve avere un abbonamento o una versione di prova installata) e troviamo Multi-Factor Authentication (MFA).SU questo momento La gestione dell'AMF non viene aggiunta nuova versione Portale di Azure, quindi verrà aperta la versione precedente del portale.
Per creare un nuovo provider di autenticazione a più fattori è necessario cliccare in basso a sinistra su “CREA → Servizi applicativi → Active directory → Provider di autenticazione a più fattori → Creazione rapida" Specificare il nome e il modello di utilizzo.
La modalità di calcolo del pagamento dipende dal modello di utilizzo, ovvero dal numero di utenti o dal numero di autenticazioni.
Una volta creato, l'MFA apparirà nell'elenco. Successivamente, procedi al controllo premendo il pulsante appropriato.
Vai su download e scarica server MFA
Distribuzione di un server MFA
Il server MFA deve essere installato su macchina virtuale diverso dal server RDG. Sono supportati i sistemi operativi precedenti a Windows Server 2008 o Windows 7. Per funzionare è necessaria Microsoft. NETTO quadro 4.0.Gli indirizzi sulla porta 443 dovrebbero essere disponibili:
Installiamo il server MFA, durante l'installazione rifiutiamo la procedura guidata di impostazione.
Al primo avvio è necessario inserire i dati dell'account, che dovranno essere generati nella pagina di caricamento del server.
Successivamente aggiungiamo gli utenti. Per fare ciò, vai nella sezione Utenti e clicca su Importa da Active Directory, seleziona gli utenti da importare.
Se necessario, è possibile configurare aggiunta automatica nuovi utenti da AD:
"Integrazione directory → Sincronizzazione → Aggiungi", ecc. aggiungi una directory che si sincronizzerà automaticamente all'intervallo di tempo specificato.
Testiamo la funzionalità del server MFA. Vai alla sezione Utenti. Per il tuo account, indica il numero di telefono (se non già specificato) e seleziona il metodo di autenticazione “Telefonata”. Fare clic sul pulsante Test e inserire login e password. Il telefono dovrebbe ricevere una chiamata. Rispondiamo e premiamo #.
Configurazione di un server MFA per funzionare con le richieste Radius
Vai alla sezione Autenticazione Radius e seleziona la casella di controllo "Abilita autenticazione RADIUS".Aggiungere un nuovo client specificando l'indirizzo IP del server NPS e la chiave segreta condivisa. Se è necessario effettuare l'autenticazione per tutti gli utenti, spuntare l'apposita casella (in in questo caso tutti gli utenti devono essere aggiunti al server MFA).
È inoltre necessario assicurarsi che le porte specificate per la connessione corrispondano alle porte specificate nel server NPS e non siano bloccate dal firewall.
Vai alla scheda Target e aggiungi un server Radius.
Nota: se nella rete non è presente un server NPS centrale, gli indirizzi IP del client e del server Radius saranno gli stessi.
Configurazione dei server RDG e NPS per collaborare con MFA
Il Gateway Desktop remoto deve essere configurato per inviare richieste Radius al server MFA. Per fare ciò, aprire le proprietà del gateway e andare alla scheda “RDG CAP Store”, selezionare “NPS viene eseguito su un server centrale” e indicare l'indirizzo del server MFA e la chiave segreta condivisa.
Successivamente, configuriamo il server NPS. Espandere la sezione "Client e server Radius → Gruppi di server Radius remoti". Apri le proprietà del gruppo "Gruppo di server gateway TS" (il gruppo viene creato durante la configurazione di RDG) e aggiungi il nostro server MFA.
Quando si aggiunge, nella scheda "Bilanciamento del carico" aumentiamo i limiti di timeout del server. Impostiamo il “Numero di secondi senza risposta, dopo i quali la richiesta viene considerata scartata” e “Il numero di secondi tra le richieste, dopo i quali il server è considerato non disponibile” nell'intervallo 30-60 secondi.
Nella scheda “Autenticazione/Contabilità”, controlliamo la correttezza delle porte specificate e impostiamo la chiave segreta condivisa.
Andiamo ora nella sezione “Client e server Radius → Client Radius” e aggiungiamo un server MFA, specificando “Nome descrittivo”, indirizzo e segreto condiviso.
Vai alla sezione “Politiche → Politiche di richiesta di connessione”. Questa sezione dovrebbe contenere la policy creata durante la configurazione di RDG. Questa policy instrada le richieste Radius al server MFA.
Duplica la policy e vai alle sue proprietà. Aggiungi una condizione che corrisponda al "Nome descrittivo del client" con il "Nome descrittivo" specificato nel passaggio precedente.
Nella scheda "Impostazioni", modifica il fornitore del servizio di autenticazione in un server locale.
Questa policy garantirà che quando viene ricevuta una richiesta Radius dal server MFA, la richiesta verrà elaborata localmente, eliminando il looping delle richieste.
Controlliamolo questa politica posto sopra quello originale.
In questa fase, la combinazione RDG e MFA è funzionante. I passaggi seguenti sono necessari per coloro che vogliono poter utilizzare l'autenticazione dell'app mobile o vogliono concedere agli utenti l'accesso ad alcune impostazioni MFA tramite il portale utente.
Installazione dell'SDK, del servizio Web app mobile e del portale utenti
La connessione a questi componenti avviene tramite il protocollo HTTPS. Pertanto, è necessario installare un certificato SSL sul server in cui verranno distribuiti.Il portale utenti e il servizio Web dell'app mobile utilizzano l'SDK per comunicare con il server MFA.
Installazione dell'SDK
L'SDK è installato sul server MFA e richiede IIS, ASP.NET, l'autenticazione di base, che deve essere preinstallata utilizzando Server Manager.Per Installazione dell'SDK andare alla sezione Web Service SDK in Multi-Factor Authentication Server e fare clic sul pulsante Installa, seguire la procedura guidata di installazione.
Installazione del servizio Web dell'app mobile
Questo servizio è necessario affinché l'applicazione mobile possa interagire con il server MFA. Per corretto funzionamento servizio, il computer su cui verrà installato deve avere accesso a Internet e la porta 443 deve essere aperta per la connessione da Internet.Il file di installazione del servizio si trova nella cartella C:\Programmi\Autenticazione a più fattori di Azure su un computer con MFA installato. Avviare il programma di installazione e seguire la procedura guidata di installazione. Per comodità degli utenti, è possibile sostituire il nome della directory virtuale "MultiFactorAuthMobileAppWebService" con uno più breve.
Dopo l'installazione, vai alla cartella C:\inetpub\wwwroot\MultiFactorAuthMobileAppWebService e modificare il file web.config. IN questa vitaè necessario impostare le chiavi responsabili dell'account che fa parte del gruppo di sicurezza PhoneFactor Admins. Questo account verrà utilizzato per connettersi all'SDK.
Nello stesso file è necessario specificare l'URL dove è disponibile l'SDK.
Nota: la connessione all'SDK viene effettuata utilizzando Protocollo SSL, quindi è necessario fare riferimento all'SDK tramite il nome del server (specificato nel certificato SSL) e non tramite l'indirizzo IP. Se il ricorso è presentato da nome locale, è necessario aggiungere la voce appropriata al file host per utilizzare il certificato SSL.
Aggiungiamo l'URL in cui il servizio Web dell'applicazione mobile è disponibile nell'applicazione Multi-Factor Authentication Server nella sezione App mobile. Ciò è necessario per la corretta generazione del codice QR nel portale utente per la connessione delle applicazioni mobili.
Sempre in questa sezione, puoi selezionare la casella di controllo "Abilita token OATH", che ti consente di utilizzare l'applicazione mobile come token software per generare password monouso basate sul tempo.
Installazione di un portale utente
L'installazione richiede IIS, ASP.NET e il ruolo di compatibilità della metabase IIS 6 (per IIS 7 o versioni successive).Se il portale è installato su un server MFA, basta andare alla sezione Portale utente in Multi-Factor Authentication Server, fare clic sul pulsante Installa e seguire la procedura guidata di installazione. Se il computer fa parte di un dominio, durante l'installazione verrà creato un utente che è membro del gruppo di sicurezza PhoneFactor Admins. Questo utente è necessario per una connessione sicura all'SDK.
Quando si installa su un server separato, è necessario copiare il file di installazione dal server MFA (il file di installazione si trova nella cartella C:\Programmi\Server di autenticazione a più fattori). Installa e modifica il file web.config alla posizione C:\inetpub\wwwroot\MultiFactorAuth. È necessario modificare la chiave in questo file USE_WEB_SERVICE_SDK dal falso al vero. Specificare nelle chiavi i dettagli di un account appartenente al gruppo PhoneFactor Admins WEB_SERVICE_SDK_AUTHENTICATION_USERNAME e WEB_SERVICE_SDK_AUTHENTICATION_PASSWORD. E specifica l'indirizzo URL dell'SDK del servizio, senza dimenticare di modificare il file host, se necessario, affinché il protocollo SSL funzioni.
Aggiungiamo l'URL in cui il portale utente è disponibile nell'applicazione Multi-Factor Authentication Server nella sezione Portale utente.
Dimostrazione di come funziona Azure MFA per autenticare le connessioni RDG
Considereremo il lavoro dell’AMF dal lato dell’utente. Nel nostro caso, il secondo fattore di autenticazione sarà l'applicazione mobile, poiché rete cellulare presenta una serie di vulnerabilità che consentono, con un'adeguata preparazione, di intercettare chiamate e SMS.Prima di tutto, l'utente dovrà accedere al portale utente e indicare il proprio numero di telefono (se non elencato in AD) e collegare l'applicazione mobile al proprio account. Andiamo al portale sotto il nostro account e inseriamo le risposte alle domande segrete (ne avremo bisogno se viene ripristinato l'accesso all'account).
Successivamente, seleziona il metodo di autenticazione, nel nostro caso, un'applicazione mobile e fai clic sul pulsante "Crea codice di attivazione". Verrà generato un codice QR che dovrà essere scansionato applicazione mobile.
Poiché durante l'importazione degli utenti sul server MFA è stata impostata l'autenticazione tramite codice PIN, ci verrà richiesto di crearla. Inserisci il codice PIN desiderato e fai clic su "Verifica la mia autenticità". Nell'applicazione mobile, è necessario confermare la richiesta visualizzata. Dopo questi passaggi, disponiamo di un'applicazione collegata all'account e dell'accesso completo al portale per modificare le impostazioni personali.
Le password possono creare un grande mal di testa in termini di sicurezza e gestibilità per gli amministratori IT di imprese e organizzazioni. Gli utenti spesso creano password semplici o le annotano per non dimenticarle. Inoltre, poche procedure di reimpostazione della password sono efficaci o sicure. Date queste limitazioni, come è possibile mitigare questi tipi di problemi di sicurezza quando viene effettuato l'accesso alla rete? utenti remoti? Come puoi rendere più sicura la soluzione password della tua azienda, sapendo che molti utenti annotano le loro password?
Esiste una soluzione: l'implementazione nell'organizzazione sistema aggiuntivo protezione dell'accesso basata sull'immissione di password monouso (OTP - One Time Password), che vengono generate su dispositivo mobile il tuo dipendente. Il passaggio all'autenticazione basata su password monouso avviene solitamente in una situazione in cui è chiaro che le password standard a lungo termine non sono sufficienti dal punto di vista della sicurezza e, allo stesso tempo, le possibilità di utilizzo delle smart card sono limitate, ad esempio ad esempio, in una situazione in cui i client mobili sono ampiamente utilizzati.
La nostra azienda si è sviluppata soluzione tecnologica , che ti permetterà di ottenere linea di difesa aggiuntiva per un server terminal o un server 1C basata su password monouso , a cui i dipendenti si connettono da remoto.
Ambito di lavoro per l'implementazione e la configurazione di un sistema OTP
Sul tuo server viene installato e configurato un software specializzato per gestire un sistema di autenticazione dell'accesso basato su password monouso (OTP) Tutti i dipendenti dell'organizzazione che necessitano di accesso al server vengono registrati nel sistema OTP Per ciascun dipendente viene eseguita la configurazione iniziale cellulare con installazione di un programma per generare una password monouso
Inizia il costo per l'introduzione in un'organizzazione di un sistema di autenticazione dell'accesso per un server terminal o un server 1C basato su password monouso (OTP) da 6.400 rubli..
Nei casi in cui il sistema OTP verrà implementato insieme al noleggio dell'infrastruttura nel nostro "cloud" sicuro, lo sconto sull'implementazione di un sistema di protezione utilizzando password monouso (OTP) può raggiungere il 50%.
Password monouso: un ulteriore livello di sicurezza dei dati
Una password tradizionale e statica viene solitamente modificata solo quando necessario: o quando scade, oppure quando l'utente l'ha dimenticata e vuole reimpostarla. Perché le password vengono memorizzate nella cache dischi fissi computer e archiviati su un server, sono vulnerabili agli attacchi hacker. Questo problema è particolarmente grave per i computer portatili perché sono facili da rubare. Molte aziende forniscono ai dipendenti computer portatili e aprono le loro reti all'accesso remoto. Assumono anche dipendenti e fornitori temporanei. In un ambiente di questo tipo, una semplice soluzione con password statica diventa uno svantaggio.
A differenza di una password statica, password una tantum cambia ogni volta che l'utente accede al sistema ed è valido solo per un breve periodo di tempo (30 secondi). Le password stesse vengono create e crittografate utilizzando un algoritmo complesso che dipende da molte variabili: ora, numero di accessi riusciti/non riusciti, numeri generati casualmente, ecc. Questo approccio apparentemente complesso richiede azioni semplici da parte dell'utente: installazione sul telefono applicazione speciale, che si sincronizza una volta con il server e successivamente genera una password monouso. Ad ogni nuovo accesso riuscito, il client e il server vengono automaticamente risincronizzati indipendentemente l'uno dall'altro utilizzando uno speciale algoritmo. Il valore del contatore aumenta ogni volta che viene richiesto un valore OTP dal dispositivo e quando l'utente desidera effettuare il login, inserisce le OTP attualmente visualizzate sul suo dispositivo mobile.
Metodi di protezione quando si utilizza l'autenticazione tramite password. Per proteggere le tue password dagli hacker, dovresti impostare una policy appropriata. A tale scopo, utilizzare il menu Start->Strumenti di amministrazione->Gestione criteri di gruppo per avviare la Console Gestione criteri di gruppo GPMC e selezionare l'oggetto richiesto politica di gruppo sezione Configurazione computer->Criteri->Impostazioni di sicurezza->Criteri account->Criteri password Vedi Fig. 1 (Gestione delle impostazioni della password).
Riso. 1 Gestire le impostazioni della password.
Possiamo impostare una lunghezza minima della password, che ci consentirà di evitare password brevi (Minimo parola d'ordine lunghezza). Per consentire all'utente di specificare password complesse dovrebbe essere incluso il requisito della complessità (Parola d'ordine dovere Incontrare complessità requisiti).
Per assicurarti che la tua password venga cambiata regolarmente, devi impostarla termine massimo vita (Massimo parola d'ordine età).
Per impedire agli utenti di ripetere le vecchie password, è necessario configurare l'archiviazione della cronologia delle password (Imporre parola d'ordine storia) .
Infine, per garantire che l'utente non cambi la propria password con quella vecchia cambiando le password più volte, impostare un periodo minimo durante il quale la password non può essere modificata (Minimo parola d'ordine età).
Per proteggerci da un attacco del dizionario, imposteremo un blocco dell'account se la password viene inserita ripetutamente in modo errato. Per fare ciò, è necessario selezionare la sezione GPO richiesta nella Console Gestione Criteri di gruppo GPMC Computer Configurazione-> Politiche-> Sicurezza Impostazioni-> Account Politiche-> Account Blocco Politica . Vedere la fig. 2 (Gestione blocco account utente).
Riso. 2 Gestire il blocco dell'account utente.
Per configurare l'account in modo che venga bloccato in modo permanente (prima che l'amministratore lo sblocchi), è necessario impostare il parametro della durata del blocco su zero (Account blocco durata).
Nel contatore del numero di tentativi di accesso non riusciti (Account blocco soglia) è necessario specificare il valore richiesto. Nella maggior parte dei casi sono accettabili 3-5 tentativi di accesso.
Infine, dovresti impostare l'intervallo per azzerare il contatore dei tentativi falliti (Ripristina account blocco contatore Dopo).
Per proteggersi da" cavalli di Troia" dovrebbe essere usato agenti antivirus e blocco non autorizzato Software.
Per limitare la capacità degli utenti di introdurre virus nel sistema informativo, è giustificato: imporre il divieto di lavorare con dispositivi esterni(CD, DVD, Flash), modalità UAC rigorosa, da utilizzare separatamente Internet in piedi chioschi basati su computer non inclusi in rete di lavoro. E infine, l’introduzione di rigide norme lavorative che definiscano le regole per il modo in cui gli utenti lavorano sulla rete aziendale (divieto di condividere le proprie credenziali con chiunque, divieto di lasciare le proprie credenziali in luoghi accessibili, obblighi di blocco obbligatorio della postazione di lavoro quando si lascia il posto di lavoro , ecc. P.).
Di conseguenza, saremo in grado di ridurre i rischi associati a una violazione della sicurezza aziendale.
Supponiamo che tutto ciò sia stato fatto. Tuttavia è troppo presto per affermare che siamo riusciti a garantire un’autenticazione sicura nel nostro sistema.
Il fattore umano è la minaccia più grande.
Ci sono ancora minacce che non siamo stati in grado di affrontare. Uno dei più significativi - fattore umano. Gli utenti dei nostri sistemi informativi non sempre sono sufficientemente coscienziosi e, nonostante le spiegazioni degli amministratori della sicurezza, annotano le proprie credenziali (nome utente e password) e non si preoccupano della segretezza di queste informazioni confidenziali. Più di una volta ho trovato adesivi sul monitor, vedi Fig. 3, oppure sotto la tastiera vedi fig. 4 con nome utente e password.
Riso. 3. Un regalo meraviglioso per un attaccante, non è vero?
Riso. 4. Un altro regalo per il ladro.
Come possiamo vedere, nel sistema vengono introdotte password lunghe e complesse e la serie associativa non è chiaramente visibile. Tuttavia, gli utenti hanno trovato un modo "efficace" per ricordare e archiviare le credenziali...
Quindi, come vedi, in questo caso è entrata in gioco la funzionalità che ho menzionato sopra: le password lunghe e complesse vengono registrate e potrebbero non essere archiviate correttamente.
Interno
Un'altra significativa minaccia alla sicurezza è la possibilità che un utente malintenzionato possa accedere fisicamente alla workstation di un utente legittimo e trasferire informazioni riservate a terzi. Questo è stiamo parlando su una situazione in cui all'interno dell'azienda c'è un dipendente che ruba informazioni ai suoi colleghi.
È del tutto evidente che è molto difficile garantire la sicurezza “fisica” della postazione di lavoro dell’utente. Puoi collegare facilmente un keylogger hardware allo spazio della tastiera, intercettando il segnale da tastiere senza filiè anche possibile. Tali dispositivi esistono. Naturalmente chiunque non entrerà negli uffici dell’azienda, ma tutti sanno che la più pericolosa è una spia interna. Ha già accesso fisico al tuo sistema e posizionare un keylogger non sarà difficile, soprattutto perché questi dispositivi sono disponibili per una vasta gamma di persone. Inoltre, i programmi keylogger non possono essere scontati. Infatti, nonostante tutti gli sforzi degli amministratori, non è esclusa la possibilità di installare tale software “spyware”. L'utente blocca sempre il suo file postazione di lavoro lasciare il posto di lavoro? L'amministratore è in grado di farlo sistema informativo assicurarsi che all'utente non vengano assegnati permessi eccessivi, soprattutto se è necessario utilizzare quelli vecchi prodotti software? L'amministratore, soprattutto in una piccola azienda, ha sempre qualifiche sufficienti per implementare le raccomandazioni del software e hardware sulla creazione di sistemi informativi sicuri?
Pertanto, possiamo concludere che l'autenticazione della password è in linea di principio inaffidabile. È quindi necessaria un’autenticazione a più fattori, e tale da non far sì che la password dell’utente venga digitata sulla tastiera.
Cosa può aiutarci?
È opportuno considerare l'autenticazione a due fattori: il primo fattore è avere la password, il secondo è conoscere il codice PIN. La password del dominio non viene più digitata sulla tastiera, quindi non viene intercettata da un keylogger. L'intercettazione della password di un dominio comporta la possibilità di accedere, l'intercettazione del codice PIN non è così pericolosa, poiché è inoltre necessaria una smart card.
A questo si può obiettare che l'utente può lasciare la sua carta nel lettore e scrivere il PIN su un adesivo, come prima. Esistono tuttavia sistemi di controllo in grado di bloccare una carta abbandonata, come avviene negli sportelli bancomat. Inoltre è possibile inserire un pass sulla tessera per entrare/uscire dall'ufficio, ovvero possiamo utilizzare una tessera con tag RFID, abbinando così il sistema di autenticazione presente nel servizio directory con un sistema di controllo degli accessi fisici. In questo caso, per aprire la porta, l'utente avrà bisogno della sua smart card o token USB, quindi sarà costretto a portarla sempre con sé.
Oltretutto, soluzioni moderne per l'autenticazione a due fattori, richiedono non solo la capacità di autenticarsi in AD o AD DS. L'utilizzo di smart card e chiavi USB aiuta anche in molti altri casi, ad esempio negli accessi pubblici e-mail, ai negozi online in cui è richiesta la registrazione, alle applicazioni che dispongono di un proprio servizio di catalogo, ecc. eccetera.
Quindi, puoi ottenere praticamente rimedio universale autenticazione.
Implementazione dell'autenticazione a due fattori basata su crittografia asimmetrica in AGGIUNGI.
Active Directory supporta l'autenticazione tramite smart card a partire da Windows 2000.
Fondamentalmente, la capacità di autenticarsi utilizzando le smart card è contenuta nell'estensione PKINIT (inizializzazione della chiave pubblica) per il protocollo Kerberos RFC 4556. Vedi. L'estensione PKINIT consente l'utilizzo di certificati a chiave pubblica durante la fase di preautenticazione Kerberos.
Ciò rende possibile l'utilizzo delle smart card. Cioè, possiamo parlare della possibilità di autenticazione a due fattori Sistemi Microsoft basato su strumenti standard, a partire da Windows 2000, poiché lo schema Kerberos + PKINIT è già stato implementato.
Nota. PreautenticazioneKerberos– un processo che garantisce livello aggiuntivo sicurezza. Eseguito prima dell'emissioneTGT (Biglietto Concessione Biglietto) dal server di distribuzione delle chiavi (K.D.C.). Utilizzato nel protocolloKerberos v. 5 per contrastare gli attacchi che indovinano la password offline. Scopri di più su come funziona il protocolloKerberospuò essere trovato nella RFC 4120.CM
Naturalmente stiamo parlando di computer che fanno parte di un dominio. Se è necessario ricorrere all'autenticazione a due fattori quando si lavora in gruppo di lavoro o quando ne usi di più versioni precedenti sistemi operativi, allora dovremo rivolgerci a software di terze parti, ad esempio SafeNet (Aladdin) eToken Network Logon 5.1. Cm.
L'accesso può essere fornito utilizzando un servizio di directory di dominio o un servizio di directory locale. In questo caso la password dell'utente non viene digitata sulla tastiera, ma viene trasferita da un archivio sicuro alla smart card.
L'autenticazione tramite smart card viene implementata tramite l'estensione Kerberos PKINIT, questa estensione offre la possibilità di utilizzare algoritmi crittografici asimmetrici.
Per quanto riguarda i requisiti per introdurre l'uso delle smart card insieme a PKINIT, per il funzionamento Sistemi Windows 2000, Windows 2003 Server, sono i seguenti:
· Tutti i controller di dominio e tutti computer client all'interno della foresta in cui viene implementata la nostra soluzione, l'autorità di certificazione radice (Autorità di certificazione) deve essere considerata attendibile.
· La CA che emette i certificati per l'utilizzo delle smart card deve essere inserita nel repository dell'Autorità NT
· Il certificato deve contenere gli identificatori di accesso tramite smart card e di autenticazione client
· Il certificato per le smart card deve contenere l'UPN dell'utente.
· Il certificato e la chiave privata devono essere inseriti nelle apposite sezioni della smart card, e la chiave privata deve essere collocata in un'area sicura della memoria della smart card.
· Il certificato deve indicare il percorso del punto di distribuzione CRL dell'elenco di revoche di certificati
· Tutti i controller di dominio devono avere certificato installato Autenticazione del controller di dominio o autenticazione Kerberos, poiché viene implementato il processo di autenticazione reciproca del client e del server.
Si sono verificati numerosi cambiamenti nei requisiti nei sistemi operativi a partire da Windows Server 2008:
· L'estensione CRL non è più richiesta nei certificati di accesso tramite smart card
· Ora supporta la possibilità di stabilire una relazione tra un account utente e un certificato
· Il certificato può essere scritto in qualsiasi sezione accessibile della smart card
· Non è necessario che l'estensione EKU includa l'OID di accesso con smart card, ma per essere onesti, se si prevede di utilizzare un unico modello di certificato per i client su tutti i sistemi operativi, ovviamente l'OID di accesso con smart card deve essere abilitato.
Qualche parola sulla procedura di accesso del client stessa. Se parliamo di sistemi operativi da Windows Vista e soprattutto, va notato che qui si sono verificati numerosi cambiamenti:
· Innanzitutto, la procedura di login della smart card non viene più avviata automaticamente quando si inserisce una smart card in un lettore di carte o si collega la chiave USB a porta USB, ovvero dovrai premere Ctrl+Alt+Canc.
· In secondo luogo, la nuova possibilità di utilizzare qualsiasi slot per smart card per memorizzare i certificati offre all'utente la possibilità di scegliere tra una varietà di oggetti di identificazione memorizzati sulla carta, mentre il certificato attualmente richiesto viene visualizzato come disponibile per l'uso.
conclusioni
Pertanto, abbiamo esaminato diversi aspetti principali riguardanti la parte teorica dell'autenticazione a due fattori nei servizi di dominio Active Directory e possiamo riassumerli.
Garantire la sicurezza del processo di autenticazione del sistema è fondamentale. I tipi di cracking delle password esistenti oggi creano la necessità di un’autenticazione a più fattori.
Per una piccola azienda puoi si limitano a una rigorosa politica di protezione delle credenziali, implementano software antivirus e privano gli utenti della possibilità di lavorare con mezzi esterni informazioni per bloccare l'avvio di software non autorizzato, implementare le normative sugli utenti, ecc. eccetera.
Quando viene grande azienda o di un'azienda nella quale esiste un chiaro interesse da parte degli aggressori: questi fondi non sono sufficienti. Errori e informazioni privilegiate possono rovinare i tuoi sforzi per costruire un sistema di sicurezza, quindi devi scegliere un percorso diverso. Qui ha già senso parlare dell'introduzione dell'autenticazione sicura.
L’utilizzo dell’autenticazione a due fattori è una buona soluzione dal punto di vista della sicurezza.
Ora abbiamo un secondo fattore di autenticazione: oltre al codice PIN, l'utente deve possedere anche una smart card o una chiavetta USB.
Utilizzando smart card o Chiavi USB ci dà la possibilità di fornire l'autenticazione a due fattori sia negli ambienti AD che in quelli AD DS.
In uno dei seguenti articoli ti racconterò come viene implementata nella pratica l'autenticazione a due fattori. Esamineremo l'implementazione e la configurazione di un'infrastruttura di autorità di certificazione (PKI). Basato su Windows Server2008impresa R2.
Bibliografia.
Http://www.rfc-archive.org/getrfc.php?rfc=4556
Http://www.rfc-archive.org/getrfc.php?rfc=4120
Http://www.aladdin.ru/catalog/etoken_products/logon
NCSC-TG-017 - "Una guida per comprendere l'identificazione e l'autenticazione nei sistemi affidabili", pubblicata dagli Stati Uniti Centro nazionale per la sicurezza informatica.
RFC4120 – Il servizio di autenticazione di rete Kerberos (V5)
RFC4556 – Crittografia a chiave pubblica per l'autenticazione iniziale in Kerberos (PKINIT)
Brian Komar Windows Server 2008 PKI e sicurezza dei certificati
Leonid Shapiro,
Formatore certificato MCT, MCSE:S, MCSE:M, MCITP EA, TMS
