- Tutorial
Unii dintre voi probabil ați auzit despre incidentul care a fost făcut public destul de recent. Producătorul american de semiconductori Allegro MicroSystem LLC a dat în judecată fostul său specialist IT pentru sabotaj. Nimesh Patel, care a lucrat pentru companie timp de 14 ani, a distrus date financiare importante în prima săptămână a noului an fiscal.
Cum a apărut?
La două săptămâni după demitere, Patel a intrat în sediul companiei din Worcester, Massachusetts, SUA, pentru a deturna o rețea Wi-Fi corporativă. Folosind acreditările unui fost coleg și un laptop de serviciu, Patel s-a conectat la rețeaua corporativă. Apoi a injectat codul în modulul Oracle și l-a programat să ruleze pentru 1 aprilie 2016, prima săptămână a noului an fiscal. Codul a fost menit să copieze anumite anteturi sau pointeri într-un tabel separat al bazei de date și apoi să le elimine din modul. Exact pe 1 aprilie, datele au fost șterse din sistem. Și din moment ce atacatorul s-a autentificat în rețeaua Allegro în mod legal, acțiunile sale nu au fost imediat observate.
Publicul larg nu cunoaște detaliile, dar cel mai probabil incidentul a devenit posibil în mare parte datorită faptului că compania a folosit autentificarea prin parolă pentru a accesa rețeaua. Cu siguranță au mai fost și alte probleme de securitate, dar este parola care poate fi furată neobservată de utilizator și faptul furtului parolei nu va fi detectat, în cel mai bun caz până în momentul în care sunt folosite acreditările furate.
Utilizarea autentificării puternice cu doi factori și interzicerea utilizării parolelor, combinate cu o politică de securitate solidă, ar putea ajuta, dacă nu să evite desfășurarea descrisă a evenimentelor, atunci să complice foarte mult implementarea unui astfel de plan.
Vă vom spune cum puteți îmbunătăți semnificativ nivelul de securitate al companiei dumneavoastră și vă puteți proteja de astfel de incidente. Veți învăța cum să configurați autentificarea și semnătura datelor sensibile folosind token-uri și criptografie (atât străine, cât și interne).
În primul articol, vom explica cum să configurați o autentificare puternică cu doi factori folosind PKI atunci când vă conectați la un cont de domeniu Windows.
În următoarele articole, vă vom spune cum să configurați Bitlocker, să protejați e-mailul și cel mai simplu flux de lucru. De asemenea, vom colabora cu dvs. pentru a configura accesul securizat la resursele corporative și accesul securizat la distanță prin VPN.
Autentificare cu doi factori
Administratorii de sistem și serviciile de securitate cu experiență știu că utilizatorii sunt extrem de inconștienți cu privire la respectarea politicilor de securitate; își pot scrie acreditările pe un autocolant și îl pot lipi lângă un computer, pot transmite parole colegilor și altele asemenea. Acest lucru se întâmplă mai ales când parola este complexă (conținând mai mult de 6 caractere și constând din litere cu majuscule, numere și caractere speciale diferite) și este dificil să o reținem. Dar astfel de politici sunt stabilite de administratori cu un motiv. Acest lucru este necesar pentru a proteja contul de utilizator de un simplu atac de forță brută din dicționar. De asemenea, administratorii recomandă schimbarea parolelor cel puțin o dată la 6 luni, pur și simplu pentru motivul că în acest timp, teoretic este posibilă forțarea brută chiar și o parolă complexă.
Să ne amintim ce este autentificarea. În cazul nostru, acesta este procesul de confirmare a autenticității unui subiect sau obiect. Autentificarea utilizatorului este procesul de verificare a identității unui utilizator.
Și autentificarea cu doi factori este o autentificare în care trebuie să utilizați cel puțin două metode diferite pentru a vă verifica identitatea.
Cel mai simplu exemplu de autentificare cu doi factori în viața reală este un seif cu lacăt și combinație. Pentru a deschide un astfel de seif, trebuie să cunoașteți codul și să dețineți cheia.
Token și smart card
Probabil cea mai fiabilă și mai ușoară modalitate de a implementa autentificarea cu doi factori este utilizarea unui token criptografic sau a unui card inteligent. Un token este un dispozitiv USB care este atât un cititor, cât și un smart card în același timp. Primul factor în acest caz este faptul că dețineți dispozitivul, iar al doilea este cunoașterea codului PIN al acestuia.
Folosește un token sau un smart card, este mai convenabil pentru cineva. Dar din punct de vedere istoric s-a întâmplat că în Rusia oamenii sunt mai obișnuiți să folosească jetoane, deoarece nu necesită utilizarea de cititoare de carduri inteligente încorporate sau externe. Jetoanele au și dezavantajele lor. De exemplu, nu puteți imprima o fotografie pe ea.
Fotografia arată un card inteligent și un cititor tipic.
Cu toate acestea, să revenim la securitatea corporativă.
Vom începe cu domeniul Windows, deoarece în majoritatea companiilor din Rusia, rețeaua corporativă este construită în jurul acestuia.
După cum știți, politicile de domeniu Windows, setările utilizatorului, setările de grup din Active Directory oferă și delimitează accesul la un număr mare de aplicații și servicii de rețea.
Prin securizarea unui cont într-un domeniu, putem proteja majoritatea și, în unele cazuri, toate resursele de informații interne în general.
De ce este mai sigură autentificarea cu doi factori într-un domeniu folosind un token cu PIN mai sigură decât schema obișnuită de parole?
PIN-ul este legat de un anumit dispozitiv, în cazul nostru de un token. Cunoașterea PIN-ului nu face nimic de la sine.
De exemplu, codul PIN de la token poate fi dictat prin telefon altor persoane și acest lucru nu va oferi nimic atacatorului dacă ești suficient de atent cu tokenul și nu-l lași nesupravegheat.
Cu parola, situația este complet diferită, dacă un atacator a preluat, a ghicit, a spionat sau a luat cumva parola de la un cont din domeniu, atunci va putea intra liber atât în domeniul în sine, cât și în alte servicii. al companiei care utilizează același cont.
Un jeton este un obiect fizic unic, care nu poate fi copiat. Este deținut de un utilizator legitim. Autentificarea cu doi factori prin token poate fi ocolită numai atunci când administratorul, intenționat sau din neglijență, a lăsat „lacune” în sistem pentru aceasta.
Beneficiile logării la un domeniu cu un token
Codul PIN din token este mai ușor de reținut, deoarece poate fi mult mai simplu decât o parolă. Probabil că oricine a văzut cel puțin o dată în viață cum un utilizator „experimentat” nu se poate autentifica în sistem după mai multe încercări, amintindu-și și introducând parola „securizată”.
PIN-ul nu trebuie schimbat în mod constant, deoarece jetoanele sunt mai rezistente la codurile PIN de forță brută. După un număr de încercări de introducere nereușite, jetonul este blocat.
Când folosește un token pentru un utilizator, autentificarea arată astfel: după ce a pornit computerul, acesta conectează pur și simplu token-ul la portul USB al computerului, introduce 4-6 cifre și apasă butonul Enter. Viteza de introducere a numerelor pentru oamenii obișnuiți este mai rapidă decât viteza de introducere a literelor. Prin urmare, codul PIN este introdus mai rapid.
Tokenurile ajută la rezolvarea problemei „locului de muncă abandonat” – atunci când utilizatorul își părăsește locul de muncă și uită să se deconecteze de la contul său.
Politica de domeniu poate fi configurată astfel încât computerul să fie blocat automat atunci când simbolul este preluat. De asemenea, jetonul poate fi echipat cu o etichetă RFID pentru trecerea între sediile companiei, prin urmare, fără a lua jetonul de la locul său de muncă, angajatul pur și simplu nu se va putea deplasa prin teritoriu.
Dezavantaje, unde putem merge fără ele
Jetoanele sau cardurile inteligente nu sunt gratuite (decide de buget).
Ele trebuie să fie luate în considerare, administrate și întreținute (rezolvate prin sisteme de management de token și smart card).
Este posibil ca unele sisteme informatice să nu accepte autentificarea prin jetoane (rezolvată de sisteme precum Single Sign-On - concepute pentru a organiza posibilitatea utilizării unui singur cont pentru a accesa orice resurse din zonă).
Configurarea autentificării cu doi factori pe un domeniu Windows
Partea teoretica:
Active Directory acceptă autentificarea smart card și token începând cu Windows 2000. Este încorporat în extensia PKINIT (inițializarea cheii publice) pentru protocolul Kerberos RFC 4556.
Kerberos a fost conceput special pentru a oferi o autentificare puternică a utilizatorilor. Poate folosi stocarea centralizată a datelor de autentificare și stă la baza construirii mecanismelor Single Sing-On. Protocolul se bazează pe entitatea cheie Ticket (bilet).
Un Ticket este un pachet criptat de date care este emis de un centru de autentificare de încredere, în ceea ce privește protocolul Kerberos - Centrul de distribuție a cheilor (KDC).
Când un utilizator efectuează autentificarea primară după o autentificare cu succes, KDC emite identitatea principală a utilizatorului pentru accesarea resurselor de rețea - un Ticket Granting Ticket (TGT).
Ulterior, la accesarea resurselor individuale ale rețelei, utilizatorul transmite un TGT și primește de la KDC o identitate pentru acces la o anumită resursă de rețea - Ticket Granting Service (TGS).
Unul dintre avantajele de înaltă securitate ale Kerberos este că nu sunt trimise parole sau valori hash în text clar pentru nicio comunicare.
Extensia PKINIT permite autentificarea cu doi factori cu jetoane sau carduri inteligente în timpul fazei de pre-autentificare Kerberos.
Conectarea la sistem poate fi asigurată folosind fie serviciul de director de domeniu, fie serviciul de director local. TGT este generat dintr-o semnătură electronică care este calculată pe un smart card sau un token.
Toți controlorii de domeniu trebuie să aibă instalat certificatul de autentificare controler de domeniu sau autentificare Kerberos, deoarece este implementat procesul de autentificare reciprocă a clientului și serverului.
Practică:
Să începem configurarea.
Vom face posibilă introducerea domeniului în contul dvs. numai după prezentarea jetonului și cunoașterea codului PIN.
Pentru demonstrație, vom folosi Rutoken PKI EDS fabricat de Aktiv.
Etapa 1 - Setarea domeniului Primul pas este instalarea serviciilor de certificare.
Disclaimer.
Acest articol nu este un tutorial despre introducerea unei PKI pentru întreprinderi. Proiectarea, implementarea și utilizarea corectă a PKI nu sunt acoperite aici din cauza imensității acestui subiect.
Toate controlerele de domeniu și toate computerele client din pădure în care este implementată o astfel de soluție trebuie să aibă încredere în Autoritatea de Certificare rădăcină (Autoritatea de Certificare).
Sarcina unei autorități de certificare este de a verifica autenticitatea cheilor de criptare folosind certificate de semnătură electronică.
Din punct de vedere tehnic, un CA este implementat ca o componentă a serviciului de director global responsabil cu gestionarea cheilor criptografice pentru utilizatori. Cheile publice și alte informații despre utilizatori sunt stocate de autoritățile de certificare sub formă de certificate digitale.
CA care emite certificate pentru utilizarea cardurilor inteligente sau a jetoanelor trebuie plasată în magazinul NT Authority.
Accesați Server Manager și selectați Adăugați roluri și caracteristici.
Când adăugați roluri de server, selectați „Active Directory Certificate Services” (Microsoft recomandă insistent să nu faceți acest lucru pe un controler de domeniu, pentru a nu agrava problemele de performanță). În fereastra care se deschide, selectați „Adăugați componente” și selectați „Autoritate de certificare”.
Pe pagina pentru confirmarea instalării componentelor, faceți clic pe „Instalare”.
Etapa 2 - Configurarea autentificarii la domeniu folosind un token
Pentru a vă autentifica, avem nevoie de un certificat care să conțină identificatorii de conectare cu cardul inteligent și de autentificare client.
Certificatul pentru carduri inteligente sau jetoane trebuie să conțină și UPN-ul utilizatorului (sufixul UPN). În mod implicit, sufixul UPN pentru un cont este numele domeniului DNS care conține contul de utilizator.
Certificatul și cheia privată trebuie plasate în secțiunile corespunzătoare ale cardului inteligent sau jetonului, în timp ce cheia privată trebuie să fie într-o zonă protejată a memoriei dispozitivului.
Certificatul trebuie să specifice calea către punctul de distribuție CRL. Acest fișier conține o listă de certificate cu numărul de serie al certificatului, data revocării și motivul revocării. Este folosit pentru a comunica informații despre certificatele revocate utilizatorilor, computerelor și aplicațiilor care încearcă să autentifice certificatul.
Să configuram serviciile de certificare instalate. În colțul din dreapta sus, faceți clic pe triunghiul galben cu semnul exclamației și faceți clic pe „Configurați serviciile de certificate...”.
În fereastra Acreditări, selectați acreditările de utilizator necesare pentru a configura rolul. Selectați „Autoritate de certificare”.
Selectați Enterprise CA.
CA Enterprise sunt integrate cu AD. Ei publică certificate și CRL-uri către AD.
Specificați tipul „Root CA”.
În pasul următor, selectați „Generează o cheie privată nouă”.
Selectați perioada de valabilitate a certificatului.
Etapa 3 - Adăugarea șabloanelor de certificate
Pentru a adăuga șabloane de certificat, deschideți Panoul de control, selectați Instrumente administrative și deschideți Autoritatea de certificare.
Faceți clic pe numele folderului „Șabloane de certificat”, selectați „Gestionați”.
Faceți clic pe numele șablonului „Utilizator cu Smart Card” și selectați „Copiere șablon”. Următoarele capturi de ecran vă arată ce opțiuni trebuie să modificați în fereastra New Template Properties.
Dacă „Aktiv ruToken CSP v1.0” nu este în lista de furnizori, atunci trebuie instalat pachetul „Drifere Rutoken pentru Windows”.
Începând cu Windows Server 2008 R2, Microsoft Base Smart Card Crypto Provider poate fi utilizat în locul unui furnizor personalizat de la producător.
Pentru dispozitivele Rutoken, biblioteca „minidriver” care acceptă „Microsoft Base Smart Card Crypto Provider” este distribuită prin Windows Update.
Puteți verifica dacă „minidriverul” este instalat pe serverul dvs. conectând Rutoken la acesta și căutând în managerul de dispozitive.
Dacă nu există un „minidriver” dintr-un motiv oarecare, acesta poate fi instalat forțat instalând kitul „Driver Rutoken pentru Windows”, apoi utilizați „Furnizorul de criptografie pentru carduri inteligente de bază Microsoft”.
Setul „Drifere Rutoken pentru Windows” este distribuit gratuit de pe site-ul web Rutoken.
Adăugați două șabloane noi „Agent de certificare” și „Utilizator cu Rutoken”.
În fereastra „Snap-in Manager certificat”, selectați „Contul meu de utilizator”. În fereastra Adăugare/Eliminare Snap-in, confirmați adăugarea certificatelor.
Selectați folderul „Certificate”.
Solicitați un nou certificat. Se va deschide o pagină pentru înregistrarea unui certificat. În etapa de solicitare a unui certificat, selectați politica de înregistrare „Administrator” și faceți clic pe „Aplicație”.
În același mod, solicitați un certificat pentru Agentul de Înscriere.
Pentru a solicita un certificat pentru un anumit utilizator, faceți clic pe „Certificate”, selectați „Înregistrați-vă ca...”.
În fereastra de solicitare a unui certificat, bifați caseta de selectare „Utilizator cu Rutoken”.
Acum trebuie să selectați un utilizator.
În câmpul Introduceți numele obiectelor selectate, introduceți un nume de utilizator în domeniu și faceți clic pe Verificare nume.
În fereastra de selectare a unui utilizator, faceți clic pe „Aplicație”.
Selectați un nume de simbol din lista verticală și introduceți un cod PIN.
Selectați certificate pentru alți utilizatori din domeniu în același mod.
Etapa 4 - Configurarea conturilor de utilizator
Pentru a configura conturi, deschideți lista de utilizatori și computere AD.
Selectați folderul Utilizatori și selectați Proprietăți.
Accesați fila Conturi, selectați cardul inteligent necesar pentru a vă conecta interactiv.
Configurați politicile de securitate. Pentru a face acest lucru, deschideți Panoul de control și selectați elementul „Instrumente administrative”. Deschideți meniul pentru gestionarea politicii de grup.
În partea stângă a ferestrei Group Policy Management, faceți clic pe Default Domain Policy și selectați Editați.
În partea stângă a ferestrei Editor de gestionare a politicilor de grup, selectați Opțiuni de securitate.
Deschideți politica de conectare interactivă: solicitați cardul inteligent.
În fila Setări politici de securitate, bifați casetele de selectare Definiți următoarea setare de politică și Activat.
Deschideți politica Conectare interactivă: comportamentul de eliminare a cardurilor inteligente.
În fila Setări politici de securitate, bifați caseta de selectare Definiți următoarea setare de politică, selectați Blocare stație de lucru din lista derulantă.
Reporniți computerul. Și data viitoare când încercați să vă autentificați în domeniu, puteți utiliza deja tokenul și PIN-ul acestuia.
Autentificarea cu doi factori pentru autentificarea la domeniu este configurată, ceea ce înseamnă că nivelul de securitate pentru autentificarea la un domeniu Windows este semnificativ crescut fără a cheltui o sumă nebună de bani pe măsuri de securitate suplimentare. Acum, fără un token, autentificarea la sistem este imposibilă, iar utilizatorii pot respira ușor și nu suferă cu parole complexe.
Următorul pas este poșta securizată, citiți despre aceasta și despre cum să configurați autentificarea securizată pe alte sisteme în următoarele articole.
Etichete:
- Windows server
- PKI
- Rutoken
- autentificare
1) La începutul configurației serverului, introduceți comanda:
multiotp.exe -debug -config default-request-prefix-pin = 0 display-log = 1 după acesta nu este nevoie să introduceți un cod PIN atunci când configurați un utilizator și afișarea jurnalului fiecărei operațiuni pe consolă este aprins.
2) Folosind această comandă, puteți regla intervalul de timp, pentru utilizatorii care au greșit cu parola (implicit 30 de secunde):
multiotp.exe -debug -config failure-delayed-time = 60
3) Ceea ce va fi scris în aplicația Google Authenticator peste 6 cifre se numește emitent, puteți schimba de la MultiOTP implicit la altceva:
multiotp.exe -debug -config emiter = altul
4) După operațiunile finalizate, comanda pentru crearea unui utilizator devine puțin mai ușoară:
multiotp.exe -debug -create user TOTP 12312312312312312321 6 (nu setez timpul de actualizare a cifrelor egal cu 30 de secunde, se pare ca implicit 30).
5) Fiecare utilizator poate schimba descrierea (text sub numerele din aplicația Google Auth):
multiotp.exe -set username description = 2
6) Codurile QR pot fi generate direct în aplicație:
multiotp.exe -qrcode nume de utilizator c: \ multiotp \ qrcode \ user.png: \ multiotp \ qrcode \ user.png
7) Puteți utiliza nu numai TOTP, ci și HOTP (intrarea funcției de hashing nu este ora curentă, ci valoarea contorului incremental):
multiotp.exe -debug -creează nume de utilizator HOTP 12312312312312312321 6
Parolele pot fi o mare durere de cap pentru securitateși manevrabilitate pentru administratorii IT ai întreprinderilor și organizațiilor. Utilizatorii creează adesea parole simple sau notează parole pentru a nu le uita. În plus, doar câteva dintre procedurile de resetare a parolei sunt eficiente și sigure. Având în vedere aceste limitări, cum puteți atenua aceste tipuri de preocupări de securitate atunci când accesul la rețea este efectuat de utilizatori la distanță? Cum puteți face soluțiile de parole ale companiei dvs. mai sigure, știind că mulți utilizatori își notează parolele?
Există o soluție - aceasta este introducerea în organizarea unui sistem suplimentar de protecție a accesului bazat pe introducerea parolelor unice (OTP - One Time Password), care sunt generate pe dispozitivul mobil al angajatului dumneavoastră. Trecerea la autentificarea unică bazată pe parolă are loc de obicei într-o situație în care se realizează că parolele standard pe termen lung sunt insuficiente din punct de vedere al securității și, în același timp, posibilitățile de utilizare a cardurilor inteligente sunt limitate, pt. de exemplu, într-o situație de utilizare masivă a clienților de telefonie mobilă.
Compania noastra a dezvoltat o solutie tehnologica care vă va permite să obțineți linie suplimentară de protecție pentru un server terminal sau un server 1C bazat pe parole unice la care angajații se conectează de la distanță.
Domeniul de activitate privind implementarea și configurarea sistemului OTP
Pe serverul dvs., software-ul specializat este instalat și configurat pentru a opera un sistem de autentificare a accesului bazat pe parole unice (OTP) Toți angajații organizației care au nevoie de acces la server sunt introduși în sistemul OTP. Pentru fiecare angajat, configurarea inițială a unui telefon mobil se realizează cu instalarea unui program pentru generarea unei parole unice.
Începe costul introducerii în organizație a unui sistem de autentificare a accesului la un server terminal sau un server 1C bazat pe parole unice (OTP) de la 6400 de ruble.
În cazurile în care sistemul OTP va fi implementat împreună cu închirierea infrastructurii în „clodul” nostru securizat, reducerea la implementarea sistemului de protecție cu parolă unică (OTP) poate ajunge la 50%.
Parole unice - un nivel suplimentar de securitate a datelor
O parolă tradițională, statică, de obicei, se schimbă numai atunci când este necesar: fie când expiră, fie când utilizatorul a uitat-o și dorește să o reseteze. Deoarece parolele sunt stocate în cache pe hard disk-urile computerelor și stocate pe server, acestea sunt vulnerabile la hacking. Această problemă este deosebit de acută pentru computerele laptop, deoarece acestea pot fi furate cu ușurință. Multe companii oferă angajaților computere laptop și își deschid rețelele pentru acces la distanță. De asemenea, angajează personal temporar și furnizori. Într-un astfel de mediu, o soluție simplă de parolă statică devine un dezavantaj.
Spre deosebire de o parolă statică, o parolă unică se schimbă de fiecare dată când un utilizator se autentifică în sistem și este valabilă doar pentru o perioadă scurtă de timp (30 de secunde). Parolele în sine sunt create și criptate folosind un algoritm complex în funcție de multe variabile: timp, numărul de intrări reușite/nereușite, numere generate aleatoriu etc. Această abordare aparent complexă necesită acțiuni simple din partea utilizatorului - Instalați o aplicație specială pe telefon, care este sincronizată o dată cu serverul și apoi generează o parolă unică. Cu fiecare conectare reușită nouă, clientul și serverul sunt resincronizate automat, independent unul de celălalt, folosind un algoritm special. Contorul crește de fiecare dată când dispozitivului i se cere să aibă o valoare OTP și când utilizatorul dorește să se autentifice, acesta introduce OTP-ul afișat în prezent pe dispozitivul său mobil.
Parola nu este o măsură de securitate foarte puternică. Foarte des se folosesc parole simple, ușor de ghicit, sau utilizatorii nu monitorizează în mod deosebit siguranța parolelor lor (le dau colegilor, scriu pe bucăți de hârtie etc.). Microsoft a implementat de mult o tehnologie care vă permite să utilizați SmartCard pentru a vă conecta la sistem, de exemplu. autentificarea în sistem folosind un certificat. Dar nu este necesar să folosiți carduri inteligente în mod direct, deoarece au nevoie și de cititoare, așa că este mai ușor să le înlocuiți cu token-uri usb. Acestea vă vor permite să implementați autentificarea cu doi factori: primul factor este parola de la token, al doilea factor este certificatul de pe token. În plus, folosind exemplul token-ului usb JaCarta și domeniul Windows, vă voi spune cum să implementați acest mecanism de autentificare.
În primul rând, în AD, creați un grup „g_EtokenAdmin” și un cont. o intrare „Agent de înscriere” în acest grup. Acest grup și utilizator vor rula autoritatea de certificare.
În plus, vom instala serviciul Web pentru solicitarea certificatelor.
Apoi, selectăm opțiunea pentru întreprindere. Selectați CA rădăcină (dacă avem aceasta prima CA din domeniu)
Creăm o nouă cheie privată. Lungimea cheii poate fi lăsată mai strânsă, dar algoritmul de hashing este mai bine să alegeți SHA2 (SHA256).
Să introducem numele CA și să selectăm perioada de valabilitate a certificatului principal.
Lăsați restul parametrilor în mod implicit și începeți procesul de instalare.
După instalare, vom intra în snap-in-ul autorității de certificare și vom configura drepturile pentru șabloane. 
Vom fi interesați de două șabloane: Agent de înscriere și conectare cu Smartcard.
Să mergem la proprietățile acestor șabloane și pe fila de securitate adăugăm grupul „g_EtokenAdmin” cu drepturi de citire și de aplicare.
Și vor apărea în lista noastră generală.
Următorul pas este configurarea politicilor de grup:
În primul rând, vom spune tuturor computerelor din domeniu despre autoritatea de certificare rădăcină, pentru aceasta vom schimba Politica de domeniu implicită.
Configurare computer -> Politici -> Configurare Windows -> Setări de securitate -> Politici cheie publică -> Autorități de certificare rădăcină de încredere -> Import
Să selectăm certificatul nostru rădăcină situat de-a lungul căii: C: \ Windows \ System32 \ certsrv \ CertEnroll. Închideți politica de domeniu implicită.
În pasul următor, vom crea o politică pentru container, care va conține computere cu autentificare prin token (Smart card).
Pe calea Configurare computer -> Politici -> Configurare Windows -> Setări de securitate -> Politici locale -> Setări de securitate. Vom configura doi parametri „Autentificare interactivă: necesită card inteligent” și „Autentificare interactivă: comportament la scoaterea unui card inteligent”.
Asta e tot cu setările, acum poți genera un certificat de client și poți verifica autentificarea prin simbol.
Conectați-vă la computer sub contul „Enrollment Agent” și deschideți browserul făcând clic pe linkul http: // Server_name_MS_CA / certsrv
Selectați elementul Cerere certificat -> Solicitare certificat extins -> Creați și emiteți o solicitare către această CA
Dacă primiți o eroare de genul „Pentru a finaliza cererea pentru un certificat, trebuie să configurați site-ul web pentru ca CA să utilizeze autentificarea HTTPS”, atunci trebuie să legați site-ul la protocolul https de pe serverul IIS pe care este CA MS. instalat.
Să continuăm obținerea certificatului, pentru aceasta, pe pagina care se deschide, selectați șablonul: „Agent de înregistrare” și apăsați butonul emite și instalați certificatul.
Utilizatorul agentului de înscriere poate acum emite certificate pentru alți utilizatori. De exemplu, vom solicita un certificat pentru utilizatorul de testare. Pentru a face acest lucru, deschideți consola de gestionare a certificatelor certmgr.msc, deoarece prin interfața web, nu va funcționa să scrieți un certificat pe un token USB.
În această consolă, în folderul personal, vom face o cerere în numele altui utilizator
Selectăm singurul certificat „Agent de înscriere” ca semnătură și trecem la pasul următor, unde selectăm elementul „Log in with a smart card” și facem clic pe detalii pentru a selecta furnizorul de criptare.
În cazul meu, folosesc jetoane JaCarta, așa că furnizorul de criptare „Athena...” a fost instalat împreună cu driverele:
La pasul următor, selectați un utilizator de domeniu pentru care emitem un certificat și faceți clic pe butonul „Aplicație”.
Introducem jetonul, introducem codul PIN și începe procesul de generare. Ca rezultat, ar trebui să vedem o casetă de dialog etichetată „Success”.
Dacă procesul s-a încheiat fără succes, poate că problema se află în șablonul pentru obținerea unui certificat, în cazul meu trebuia să fie ușor ajustat.
Să începem testarea, să verificăm funcționarea jetonului pe un computer situat într-o unitate organizatorică cu o politică de grup de conectare cu smart card.
Dacă încercăm să ne autentificăm cu un cont cu o parolă, ar trebui să primim o respingere. Când încercăm să ne logăm cu un smart card (token), vom primi o ofertă de a introduce un pin și trebuie să ne logăm cu succes la sistem.
P.s.
1) Dacă blocarea automată a computerului sau deconectarea nu funcționează, după ce ați scos jetonul, vedeți dacă serviciul „Politica de eliminare a cardurilor inteligente” rulează
2) Puteți scrie (genera un certificat) pe un token doar local, nu va funcționa prin RDP.
3) Dacă nu puteți începe procesul de generare a unui certificat folosind șablonul standard „Log in with a smart card”, creați o copie a acestuia cu următorii parametri.
Asta e tot, dacă aveți întrebări, întrebați, voi încerca să vă ajut.
Astăzi vă vom spune cum puteți configura rapid și ușor autentificarea cu doi factori și cripta datele importante, chiar și cu posibilitatea de a utiliza datele biometrice. Soluția va fi relevantă pentru companiile mici sau doar pentru un computer personal sau laptop. Este important ca pentru aceasta să nu avem nevoie de o infrastructură cu cheie publică (PKI), de un server cu rol de autoritate de certificare (Certificate Services) și nici măcar de un domeniu (Active Directory). Toate cerințele de sistem vor fi reduse la sistemul de operare Windows și prezența unei chei electronice pentru utilizator, iar în cazul autentificării biometrice, de asemenea, un cititor de amprente, care, de exemplu, poate fi deja încorporat în laptopul dumneavoastră.
Pentru autentificare vom folosi software-ul dezvoltat de noi - JaCarta SecurLogon și o cheie electronică JaCarta PKI ca autentificator. Instrumentul de criptare va fi EFS standard Windows, accesul la fișierele criptate se va realiza și prin cheia JaCarta PKI (aceeași folosită pentru autentificare).
Reamintim că JaCarta SecurLogon este o soluție software și hardware de la Aladdin RD certificată de FSTEC din Rusia, care permite o tranziție simplă și rapidă de la autentificarea cu un singur factor bazată pe o pereche de autentificare-parolă la autentificarea cu doi factori în sistemul de operare folosind token-uri USB sau carduri inteligente. Esența soluției este destul de simplă - JSL generează o parolă complexă (~ 63 de caractere) și o scrie în memoria protejată a cheii electronice. În acest caz, parola poate să nu fie cunoscută de utilizator însuși, utilizatorul știe doar codul PIN. Prin introducerea PIN-ului în timpul autentificării, dispozitivul este deblocat, iar parola este trimisă la sistem pentru autentificare. Opțional, puteți înlocui introducerea PIN prin scanarea amprentei utilizatorului și puteți utiliza, de asemenea, combinația PIN + amprentă.
EFS, la fel ca JSL, poate funcționa în modul de sine stătător, fără a necesita altceva decât sistemul de operare în sine. Toate sistemele de operare Microsoft din familia NT, începând cu Windows 2000 și mai nou (cu excepția versiunilor home), au încorporată o tehnologie de criptare a datelor, EFS (Encrypting File System). Criptarea EFS se bazează pe capacitățile sistemului de fișiere NTFS și arhitectura CryptoAPI și este concepută pentru a cripta rapid fișierele de pe hard diskul unui computer. Criptarea EFS utilizează cheile private și publice ale utilizatorului, care sunt generate atunci când utilizatorul folosește prima dată funcția de criptare. Aceste chei rămân neschimbate atâta timp cât există contul său. La criptarea unui fișier, EFS generează aleatoriu un număr unic, așa-numita Cheie de criptare a fișierelor (FEK) cu o lungime de 128 de biți, cu care fișierele sunt criptate. FEK-urile sunt criptate cu o cheie principală, care este criptată cu cheia utilizatorilor sistemului care au acces la fișier. Cheia privată a utilizatorului este protejată de hash-ul parolei utilizatorului. Datele criptate cu EFS pot fi decriptate numai folosind același cont Windows cu aceeași parolă de la care a fost efectuată criptarea. Și dacă stocați certificatul de criptare și cheia privată pe un token USB sau card inteligent, atunci veți avea nevoie și de acest token USB sau card inteligent pentru a accesa fișierele criptate, ceea ce rezolvă problema compromiterii parolei, deoarece va fi necesar un dispozitiv suplimentar. sub forma unei chei electronice.
Autentificare
După cum sa menționat deja, nu aveți nevoie de un AD sau de o autoritate de certificare pentru configurare, aveți nevoie de orice Windows modern, o distribuție JSL și o licență. Configurarea este revoltător de simplă.Trebuie să instalați fișierul de licență.
Adăugați un profil de utilizator.
Și începeți să utilizați autentificarea cu doi factori.
Autentificare biometrică
Este posibil să utilizați autentificarea biometrică cu amprentă digitală. Soluția funcționează pe tehnologia Match On Card. Hash-ul amprentei este scris pe card în timpul inițializării și este ulterior verificat față de original. Nu lasă harta nicăieri, nu este stocată în unele baze de date. Pentru a debloca o astfel de cheie, se folosește o amprentă sau o combinație de PIN + amprentă, PIN sau amprentă.Pentru a începe să-l utilizați, trebuie doar să inițializați cardul cu parametrii necesari, să înregistrați amprenta utilizatorului.
În viitor, aceeași fereastră va apărea înainte de a intra în sistemul de operare.
În exemplul de față, cardul este inițializat cu posibilitatea de autentificare prin amprentă sau cod PIN, așa cum este indicat de fereastra de autentificare.
După prezentarea unei amprente sau a unui cod PIN, utilizatorul va intra în sistemul de operare.
Criptarea datelor
Configurarea EFS nu este, de asemenea, foarte dificilă, se rezumă la configurarea unui certificat și emiterea acestuia către o cheie electronică și configurarea directoarelor de criptare. De obicei, nu trebuie să criptați întreaga unitate. Fișierele cu adevărat importante, care nu sunt de dorit pentru terți să le acceseze, sunt de obicei localizate în directoare separate și nu împrăștiate pe tot discul.Pentru a emite un certificat de criptare și o cheie privată, deschideți un cont de utilizator, selectați - Gestionați certificatele de criptare a fișierelor. În expertul care se deschide, creați un certificat autosemnat pe cardul inteligent. Deoarece continuăm să folosim cardul inteligent cu aplicația BIO, trebuie să ne prezentăm amprenta digitală sau PIN-ul pentru a scrie certificatul de criptare.
La pasul următor, specificați directoarele care vor fi asociate cu noul certificat, dacă este necesar, puteți specifica toate unitățile logice.
Directorul criptat în sine și fișierele din acesta vor fi evidențiate într-o culoare diferită.
Accesul la fișiere se realizează numai în prezența unei chei electronice, la prezentarea unei amprente sau a unui cod PIN, în funcție de ceea ce este selectat.
Aceasta completează întreaga configurație.
Puteți folosi ambele scenarii (autentificare și criptare), vă puteți opri la un singur lucru.
