Metode de securitate atunci când utilizați autentificarea prin parolă. Pentru a proteja parolele de piratare, trebuie să configurați politica corespunzătoare. Pentru a face acest lucru, utilizați meniul Start-> Administrative Tools-> Group Policy Management pentru a lansa consola de management politici de grup GPMC, selectați obiectul de politică de grup necesar sub Configurare computer-> Politici-> Setări de securitate-> Politici de cont-> Politică de parolă Vezi fig. 1 (Gestionați setările parolei).
Orez. 1 Gestionați setările parolei.
Puteți seta lungimea minimă a parolei, ceea ce ne va permite să evităm parolele scurte (Minim parola lungime). Pentru ca utilizatorul să întrebe parole complexe trebuie inclusă cerința de complexitate (Parola trebuie sa întâlni complexitate cerințe).
Pentru a asigura modificări regulate ale parolei, trebuie să o setați termen maxim viaţă (Maxim parola vârstă).
Pentru ca utilizatorii să nu repete parolele vechi, trebuie să configurați stocarea istoricului parolelor (Impune parola istorie) .
Și în sfârșit, pentru ca utilizatorul să nu-și schimbe parola cu cea veche prin schimbarea repetată a parolelor, setați perioada minimă în care parola nu poate fi schimbată. (Minim parola vârstă).
Pentru a ne proteja împotriva atacurilor de dicționar, vom configura blocarea contului atunci când parola este introdusă greșit în mod repetat. Pentru a face acest lucru, în GPMC, selectați secțiunea GPO necesară Calculator Configurare-> Politici-> Securitate Setări-> Cont Politici-> Cont Blocare Politică ... Vezi fig. 2 (Gestionați blocarea contului de utilizator).
Orez. 2 Gestionați blocarea contului de utilizator.
Pentru a configura blocarea permanentă a unui cont (înainte de a-l debloca de către administrator), setați valoare zero parametrul durată de blocare (Cont blocarea durată).
În contorul numărului de încercări nereușite de conectare la rețea (Cont blocarea prag) trebuie să specificați valoarea necesară. În cele mai multe cazuri, sunt acceptabile 3-5 încercări de conectare.
În cele din urmă, trebuie setat intervalul pentru resetarea contorului încercărilor nereușite. (Resetați cont blocarea tejghea după).
Pentru a vă proteja împotriva cailor troieni, ar trebui să utilizați instrumente antivirusși blocarea software-ului neautorizat.
Pentru a limita capacitatea utilizatorilor de a introduce viruși în sistemul informațional, se justifică: stabilirea unei interdicții de a lucra cu dispozitive externe(CD, DVD, Flash), modul strict UAC, utilizarea chioșcurilor de internet autonome bazate pe computere care nu fac parte din rețeaua de lucru. Și, în sfârșit, introducerea unor reglementări stricte de muncă care definesc regulile de lucru ale utilizatorilor în rețeaua corporativă (interzicerea transferului acreditărilor acestora către oricine altcineva, interzicerea lăsarii acreditărilor în locuri accesibile, impunând blocarea obligatorie a stației de lucru la părăsirea locul de muncă etc.) .P.).
Ca urmare, vom putea realiza o reducere a riscurilor asociate cu o încălcare a securității companiei.
Să presupunem că toate acestea sunt făcute. Cu toate acestea, este prea devreme să spunem că am reușit să oferim autentificare sigură în sistemul nostru.
Factorul uman este cea mai mare amenințare.
Există și amenințări cărora nu le-am putut face față. Una dintre cele mai semnificative - factorul uman... Utilizatorii sistemelor noastre informatice nu sunt întotdeauna suficient de conștienți și, în ciuda explicațiilor administratorilor de securitate, își înregistrează acreditările (nume de utilizator și parola) și nu le pasă de secretul acestui lucru. informații confidențiale... Am văzut autocolante pe monitor de mai multe ori, vezi Fig. 3, sau sub tastatură vezi fig. 4 cu nume de utilizator și parolă.
Orez. 3. Un cadou minunat pentru un intrus, nu-i așa?
Orez. 4. Un alt cadou pentru hoț.
După cum putem vedea, parolele lungi și complexe sunt încorporate în sistem, iar matricea asociativă nu este clar vizibilă. Cu toate acestea, utilizatorii au găsit o modalitate „eficientă” de a-și aminti și stoca acreditările...
Astfel, puteți vedea că în acest caz funcția pe care am menționat-o mai sus a funcționat exact: parolele lungi și complexe sunt înregistrate și este posibil să nu fie stocate corect.
Insider
O altă amenințare semnificativă de securitate este potențialul ca un atacator să obțină acces fizic la stația de lucru a unui utilizator legitim și să transfere informații confidențiale către terți. Adică vorbim despre o situație în care în interiorul companiei există un angajat care fură informații de la colegii săi.
Este destul de evident că este foarte dificil să se asigure securitatea „fizică” a stației de lucru a utilizatorului. Puteți conecta cu ușurință un keylogger hardware la întreruperea tastaturii, interceptarea unui semnal de la tastaturile wireless este, de asemenea, posibilă. Astfel de dispozitive există. Desigur, cine pur și simplu nu intră în biroul companiei, dar toată lumea știe că cel mai periculos este un spion intern. El are deja acces fizic la sistemul dvs. și nu va fi dificil să plasați un keylogger, mai ales că aceste dispozitive sunt disponibile pentru o gamă largă de oameni. În plus, nu puteți reduce programele keylogger. La urma urmei, în ciuda tuturor eforturilor administratorilor, posibilitatea instalării unui astfel de software „spyware” nu este exclusă. Utilizatorul își blochează întotdeauna stația de lucru atunci când o părăsește la locul de muncă? Este administratorul sistemului informatic capabil să se asigure că utilizatorului nu i se atribuie puteri excesive, mai ales atunci când este necesar să se utilizeze vechi? produse software? Este întotdeauna un administrator, mai ales într-o companie mică, calificat să implementeze recomandările producătorilor de software și hardware pentru construirea de sisteme informaționale securizate?
Astfel, putem concluziona că autentificarea prin parolă este, în general, nesigură. Prin urmare, este necesară autentificarea multifactorială și, în acest caz, astfel încât parola utilizatorului să nu fie introdusă pe tastatură.
Ce ne poate ajuta?
Este logic să luăm în considerare autentificarea cu doi factori: primul factor este deținerea parolei, al doilea este cunoașterea codului PIN. Parola de domeniu nu mai este introdusă pe tastatură, ceea ce înseamnă că nu este interceptată keylogger... Interceptarea unei parole de domeniu este plină de posibilitatea de autentificare, interceptarea unui cod PIN nu este atât de periculoasă, deoarece este necesară un smart card suplimentar.
Se poate argumenta că utilizatorul poate să-și lase cardul în cititor și să scrie pinul pe autocolant, ca înainte. Cu toate acestea, există sisteme de control care pot bloca un card abandonat, deoarece este implementat în bancomate. În plus, este posibilă plasarea unui permis pe cardul de intrare/ieșire de la birou, adică putem folosi un card cu etichetă RFID, combinând astfel sistemul de autentificare din serviciul de agendă cu un sistem de diferențiere a accesului fizic. În acest caz, pentru a deschide ușa, utilizatorul va avea nevoie de cardul său inteligent sau de token-ul USB, așa că va trebui să îl poarte cu el în orice moment.
În plus, solutii moderne pentru autentificarea cu doi factori, nu este vorba doar de posibilitatea de a vă autentifica cu AD sau AD DS. Folosirea cardurilor inteligente și a cheilor USB ajută și în multe alte cazuri, de exemplu, la accesarea e-mail-urilor publice, magazine online unde este necesară înregistrarea, aplicații care au propriul serviciu de director etc. etc.
Astfel, puteți obține practic remediu universal autentificare.
Implementarea autentificării cu doi factori pe baza criptografia asimetricăîn AD DS.
Serviciu Director activ Directory acceptă autentificarea cu carduri inteligente începând cu Windows 2000.
În esență, autentificarea prin card inteligent este încorporată în extensia PKINIT (inițializarea cheii publice) a protocolului Kerberos RFC 4556. Extensia PKINIT permite utilizarea certificatelor de cheie publică în faza de pre-autentificare Kerberos.
Datorită acestui fapt, devine posibilă utilizarea cardurilor inteligente. Adică, putem vorbi despre posibilitatea de autentificare cu doi factori în sisteme Microsoft bazat resurse de personalîncepând cu Windows 2000, deoarece schema Kerberos + PKINIT a fost deja implementată.
Notă. Pre-autentificareKerberos- un proces care asigură nivel suplimentar Securitate. Efectuat înainte de emitereTGT (Bilet Acordarea Bilet) de la serverul de distribuție a cheilor (KDC). Folosit în protocolKerberos v... 5 pentru a contracara atacurile offline de ghicire a parolelor. Aflați mai multe despre cum funcționează protocolulKerberospoate fi găsit în RFC 4120.Cm
Desigur, vorbim despre computere din domeniu. Dacă este nevoie să recurgeți la autentificarea cu doi factori atunci când lucrați în grup de lucru, sau când folosiți mai multe versiuni timpurii sisteme de operare, va trebui să apelăm la software terță parte, de exemplu SafeNet (Aladdin) eToken Network Logon 5.1. Cm.
Conectarea la sistem poate fi asigurată folosind fie serviciul de director de domeniu, fie serviciul de director local. În acest caz, parola utilizatorului nu este introdusă pe tastatură, ci este transmisă din stocarea securizată de pe smart card.
Autentificarea cu carduri inteligente este implementată prin extensia Kerberos PKINIT, care permite algoritmi criptografici asimetrici.
În ceea ce privește cerințele pentru implementarea utilizării cardurilor inteligente în legătură cu PKINIT, pentru operațional sisteme Windows 2000, Windows 2003 Server, acestea sunt după cum urmează:
Toate controlerele de domeniu și toate calculatoare clientîn pădurea în care soluția noastră este implementată, aceștia trebuie neapărat să aibă încredere în Autoritatea de Certificare rădăcină (Centrul de Certificare).
Autoritatea de certificare care emite certificate pentru utilizarea cardurilor inteligente trebuie să fie plasată în magazinul NT Authority
Certificatul trebuie să conțină identificatori de conectare cu cardul inteligent și de autentificare client
· Certificatul pentru cardurile inteligente trebuie să conțină UPN-ul utilizatorului.
· Certificatul și cheia privată trebuie să fie plasate în secțiunile corespunzătoare ale cardului inteligent, în timp ce cheia privată trebuie să fie într-o zonă securizată a cardului inteligent.
Certificatul trebuie să conțină calea către punctul de distribuție CRL
· Toate controlerele de domeniu trebuie să aibă instalat certificatul de autentificare controler de domeniu, sau autentificare Kerberos, deoarece este implementat procesul de autentificare reciprocă a clientului și serverului.
O serie de modificări ale cerințelor au avut loc în sisteme de operareîncepând cu Windows Server 2008:
Nu mai este necesară extensia CRL în certificatele de conectare cu smart card
· Capacitatea de a stabili o relație între cont utilizator și certificat
Scrierea certificatului este posibilă în orice secțiune accesibilă a cardului inteligent
· Extensia EKU nu este necesară pentru a include OID de conectare pe cardul inteligent, în timp ce, în mod echitabil, trebuie remarcat că, dacă intenționați să utilizați un singur șablon de certificat pentru clienții tuturor sistemelor de operare, atunci, desigur, OID-ul de conectare cu cardul inteligent trebuie să fie activat .
Câteva cuvinte despre procedura de conectare a clientului în sine. Dacă vorbim despre sisteme de operare de la Windows Vista și mai sus, atunci trebuie remarcat faptul că aici au avut loc și o serie de modificări:
În primul rând, procedura de conectare cu cardul inteligent nu mai este inițiată automat când introduceți cardul inteligent în cititorul de carduri sau când conectați cheia USB la port USB, adică trebuie să apăsați Ctrl + Alt + Delete.
În al doilea rând, posibilitatea emergentă de a utiliza orice slot de card inteligent pentru stocarea certificatelor oferă utilizatorului o varietate de obiecte de identificare stocate pe card, în timp ce acest moment certificatul este afișat ca disponibil pentru utilizare.
concluzii
Astfel, am analizat câteva aspecte principale referitoare la partea teoretică a autentificării cu doi factori în Active Directory. Servicii de domeniu, și putem rezuma.
Securizarea procesului de autentificare pe sistem este esențială. Tipurile de spargere a parolelor care există astăzi creează nevoia de autentificare multifactorială.
Pentru o companie mică, puteți se limitează la o politică strictă de protecție a acreditărilor, implementarea de software antivirus, privează utilizatorii de capacitatea de a lucra cu medii externe informații, blocarea lansării de software neautorizat, implementarea reglementărilor pentru munca utilizatorilor etc. etc.
Când vine vorba de o companie mare, sau de o companie în care există un interes clar din partea infractorilor cibernetici, aceste fonduri nu sunt suficiente. Greșelile și informațiile privilegiate pot submina eforturile de a construi un sistem de securitate, așa că trebuie luată o cale diferită. Deja are sens să vorbim despre implementarea autentificării securizate.
Folosind autentificarea cu doi factori - buna decizie din punct de vedere al securității.
Avem un al doilea factor de autentificare, pe lângă codul pin, utilizatorul trebuie să aibă și un smart card sau cheie USB.
Folosind carduri inteligente sau chei USB ne oferă capacitatea de a oferi autentificare cu doi factori atât în mediile AD, cât și în mediile AD DS.
Într-unul dintre următoarele articole, vă voi arăta cum să implementați autentificarea cu doi factori în practică. Vom parcurge implementarea și configurarea unei infrastructuri de autorități de certificare (PKI). Bazat pe Windows Server 2008 Enterprise R2.
Bibliografie.
Http://www.rfc-archive.org/getrfc.php?rfc=4556
Http://www.rfc-archive.org/getrfc.php?rfc=4120
Http://www.aladdin.ru/catalog/etoken_products/logon
NCSC-TG-017 - „A Guide to Understanding Identification and Authentication in Trusted Systems”, publicat de S.U.A. Centrul Național de Securitate Informatică.
RFC4120 - Serviciul de autentificare a rețelei Kerberos (V5)
RFC4556 - Criptografie cu chei publice pentru autentificarea inițială în Kerberos (PKINIT)
Brian Komar Windows Server 2008 PKI și certificat de securitate
Leonid Shapiro,
MCT, MCSE: S, MCSE: M, MCITP EA, Trainer certificat TMS
Dacă parola dvs. este singura barieră în calea accesării datelor dvs., sunteți expus unui mare risc. Pasa poate fi eliminată, interceptată, târâtă de un troian sau extrasă cu ajutorul ingineriei sociale. Nu utilizați în această situație autentificare cu doi factori- aproape o crimă.
Despre cheile de unică folosință am vorbit deja de mai multe ori. Sensul este foarte simplu. Dacă un atacator reușește cumva să obțină numele de utilizator-parola, atunci el poate introduce cu ușurință e-mailul sau se poate conecta la server la distanta... Dar dacă pe drum va fi factor suplimentar, de exemplu o cheie unică (numită și cheie OTP), atunci nu va rezulta nimic. Chiar dacă o astfel de cheie ajunge la un atacator, nu va mai fi posibilă folosirea ei, deoarece este valabilă o singură dată. Ca atare un al doilea factor poate fi un apel suplimentar, un cod primit prin SMS, o cheie generată pe telefon după anumiți algoritmi bazați pe ora curentă (ora este o modalitate de sincronizare a algoritmului pe client și server). La fel Google deja a recomandat de mult utilizatorilor săi să activeze autentificarea cu doi factori (câteva clicuri în configurarea contului). Acum este timpul să adăugați un astfel de strat de protecție și pentru serviciile dvs.!
Ce oferă Duo Security?
Un exemplu banal. Computerul meu are un port RDP deschis „în exterior” pentru conexiunea la desktop la distanță. Dacă parola de conectare se scurge, atacatorul va primi imediat acces complet la mașină. Prin urmare, nu se punea problema îmbunătățirii protecției cu o parolă OTP - trebuia doar făcută. A fost o prostie să reinventăm roata și să încercăm să implementăm totul pe cont propriu, așa că m-am uitat doar la soluțiile care sunt pe piață. Majoritatea s-au dovedit a fi comerciale (vezi bara laterală pentru mai multe detalii), dar pentru un număr mic de utilizatori pot fi folosite gratuit. Pentru casă, exact ceea ce ai nevoie. Unul dintre cele mai de succes servicii care vă permite să organizați autentificarea cu doi factori pentru orice (inclusiv VPN, SSH și RDP) este Duo Security (www.duosecurity.com). Faptul că dezvoltatorul și fondatorul proiectului este John Oberhide, un cunoscut specialist în securitatea informațiilor, a adăugat la apelul său. El, de exemplu, a deschis protocolul de comunicare Google cu smartphone-uri cu Android, cu care puteți instala sau dezinstala aplicații arbitrare. O astfel de bază se face simțită: pentru a arăta importanța autentificării în doi factori, băieții au lansat serviciul VPN Hunter (www.vpnhunter.com), care în cel mai scurt timp poate găsi serverele VPN ascunse ale companiei (și, în același timp, poate determina tipul de echipamente pe care rulează), servicii pentru acces la distanță (OpenVPN, RDP, SSH) și alte elemente de infrastructură care permit unui atacator să intre în rețeaua internă, pur și simplu cunoscând numele de utilizator și parola. E amuzant că pe Twitter oficial al serviciului, proprietarii au început să publice rapoarte zilnice despre scanarea unor firme cunoscute, după care contul a fost interzis :). Serviciul Duo Security, desigur, vizează în primul rând introducerea autentificării cu doi factori în companiile cu un număr mare de utilizatori. Din fericire pentru noi, este posibil să creați un cont personal gratuit care vă permite să organizați gratuit autentificarea cu doi factori pentru zece utilizatori.
Care ar putea fi al doilea factor?
În continuare, ne vom uita la modul de întărire a unei conexiuni desktop la distanță, precum și a SSH, pe un server în literalmente zece minute. Dar mai întâi vreau să vorbesc despre pasul suplimentar pe care Duo Security îl introduce ca al doilea factor de autorizare. Există mai multe opțiuni: apel telefonic, SMS cu coduri de acces, coduri de acces Duo Mobile, Duo Push, cheie electronică. Mai multe despre fiecare.
Cât timp pot folosi gratuit?
După cum sa menționat, Duo Security oferă un serviciu dedicat plan tarifar"Personal". Este absolut gratuit, dar numărul de utilizatori nu trebuie să fie mai mare de zece. Acceptă adăugarea de integrări nelimitate, toate metodele de autentificare disponibile. Oferă o mie de credite gratuite pentru serviciile de telefonie. Creditele sunt ca o monedă internă care este debitată din contul dvs. de fiecare dată când vă autentificați folosind un apel sau un SMS. In setarile contului il poti seta astfel incat la atingerea numarului specificat de credite sa primesti o notificare pe sapun si sa ai timp sa iti incarci soldul. O mie de credite valorează doar 30 de dolari. Pret pentru apeluri si SMS pt tari diferite e diferit. Pentru Rusia, un apel va costa de la 5 la 20 de credite, SMS - 5 credite. Cu toate acestea, nu se taxează nimic pentru un apel care are loc la autentificare pe site-ul web Duo Security. Puteți uita complet de credite dacă utilizați aplicația Duo Mobile pentru autentificare - nu se taxează nimic pentru aceasta.
Înregistrare simplă
Pentru a vă proteja serverul cu Duo Security, trebuie să descărcați și să instalați un client special care va interacționa cu serverul de autentificare Duo Security și va oferi un al doilea nivel de protecție. În consecință, acest client va fi diferit în fiecare situație: în funcție de unde exact este necesar să se implementeze autorizarea cu doi factori. Despre asta vom vorbi mai jos. Primul lucru de făcut este să vă înregistrați în sistem și să obțineți un cont. Prin urmare, deschidem pagina principala pe site, faceți clic pe „Probă gratuită”, pe pagina care se deschide, faceți clic pe butonul „Înregistrați” sub tipul de cont personal. Apoi ni se cere să introducem numele, prenumele, adresa de e-mail și numele companiei. Ar trebui trimisă o scrisoare la e-mail care să conțină un link pentru a confirma înregistrarea. În acest caz, sistemul va forma automat numărul de telefon specificat: pentru a activa contul, trebuie să răspundeți la apel și să apăsați butonul # de pe telefon. După aceea, contul va fi activ și puteți începe teste de luptă.
Securizarea RDP
Mai sus, am spus că am început cu o mare dorință de a proteja conexiuni la distanță pe desktop. Prin urmare, ca prim exemplu, voi descrie cum se poate consolida securitatea RDP.
- Orice implementare a autentificării cu doi factori începe cu acțiune simplă: Creați o așa-numită integrare în profilul Duo Security. Accesați secțiunea „Integrații Nouă integrare”, specificați numele integrării (de exemplu, „Home RDP”), selectați tipul acesteia „Microsoft RDP” și faceți clic pe „Add Integration”.
- În fereastra care apare, sunt afișați parametrii de integrare: Cheie de integrare, Cheie secretă, Nume gazdă API. Vom avea nevoie de ele mai târziu când vom configura partea clientului... Este important să înțelegeți: nimeni nu ar trebui să le cunoască.
- Apoi, trebuie să instalați un client special pe mașina protejată, care va instala tot ce aveți nevoie în sistemul Windows. Poate fi descărcat de pe site-ul oficial sau preluat de pe discul nostru. Toată configurația sa se rezumă la faptul că în timpul procesului de instalare va trebui să introduceți cheia de integrare menționată mai sus, cheia secretă, numele de gazdă API.
- Asta, de fapt, este tot. Acum, data viitoare când vă conectați la server prin RDP, ecranul va afișa trei câmpuri: nume de utilizator, parolă și cheie Duo unică. În consecință, nu mai este posibil să vă autentificați în sistem cu un singur nume de utilizator-parolă.
La prima încercare de a se autentifica în sistem, un nou utilizator va trebui să treacă o dată prin procedura de verificare Duo Security. Serviciul îi va oferi un link special, făcând clic pe care trebuie să introduceți numărul de telefon și să așteptați un apel de verificare. A obtine chei suplimentare(sau obțineți-le pentru prima dată), puteți introduce cuvântul cheie „sms”. Dacă doriți să vă autentificați cu un apel telefonic - introduceți „telefon”, dacă cu Duo Push – „push”. Istoricul tuturor încercărilor de conectare (atât reușite, cât și nereușite) la server poate fi vizualizat în contul dumneavoastră de pe site-ul web Duo Security, după ce ați selectat integrarea dorită și accesați „Jurnalul de autentificare”.
Conectăm Duo Security oriunde!
Folosind autentificarea cu doi factori, puteți proteja nu numai RDP sau SSH, ci și VPN, serverele RADIUS și orice serviciu web. De exemplu, există clienți ieșiți din cutie care adaugă un strat suplimentar de autentificare la motoarele populare Drupal și WordPress. Dacă nu există un client gata făcut, nu ar trebui să fiți supărat: puteți adăuga oricând autentificarea cu doi factori pentru aplicația sau site-ul dvs. atunci când Ajutor API furnizate de sistem. Logica de lucru cu API-ul este simplă - faceți o solicitare pentru o adresă URL o metodă specificăși analizați răspunsul returnat, care poate veni format JSON(sau BSON, XML). Documentația completă pentru API-ul Duo REST este disponibilă pe site-ul oficial. Voi spune doar că există metode ping, check, preauth, auth, status, după denumirea cărora este ușor de ghicit pentru ce sunt destinate.
Securizarea SSH
Să luăm în considerare un alt tip de integrare - „Integrarea UNIX” pentru a implementa autentificarea securizată. Adăugăm încă o integrare la profilul nostru Duo Security și trecem la instalarea clientului pe sistem.
Puteți descărca sursele acestuia din urmă de la bit.ly/IcGgk0 sau le puteți lua de pe discul nostru. obisnuiam ultima versiune- 1,8. Apropo, clientul funcționează pe majoritatea platformelor nix, așa că îl puteți instala cu ușurință pe FreeBSD, NetBSD, OpenBSD, Mac OS X, Solaris / Illumos, HP-UX și AIX. Procesul de construire este standard - configurați && make && sudo make install. Singurul lucru pe care l-aș recomanda este să utilizați configure cu opțiunea --prefix = / usr, altfel clientul ar putea să nu găsească bibliotecile necesare la pornire. După instalarea cu succes, trecem la editarea fișierului de configurare /etc/duo/login_duo.conf. Acest lucru trebuie făcut de sub rădăcină. Orice modificări care trebuie făcute munca de succes, este să setați cheia de integrare, cheia secretă, valorile numelui de gazdă API, care pot fi găsite pe pagina de integrare.
; Keyikey de integrare Duo = INTEGRATION_KEY; Cheie secretă Duo = SECRET_KEY; Duo API hostnamehost = API_HOSTNAME
Pentru a forța toți utilizatorii care se conectează la serverul dvs. prin SSH să folosească autentificarea cu doi factori, trebuie doar să adăugați rândul următor la fișierul / etc / ssh / sshd_config:
> ForceCommand / usr / local / sbin / login_duo
De asemenea, este posibil să se organizeze autentificarea cu doi factori numai pentru utilizatorii individuali, combinându-i într-un grup și specificând acest grup în fișierul login_duo.conf:
> grup = roată
Tot ce rămâne este să reporniți demonul ssh pentru ca modificările să intre în vigoare. Din acest moment, după introducerea cu succes a parolei de autentificare, utilizatorului i se va cere să parcurgă autentificare suplimentară... O subtilitate a configurației ssh trebuie remarcată separat - este recomandat să dezactivați opțiunile PermitTunnel și AllowTcpForwarding din fișierul de configurare, deoarece demonul le aplică înainte de a începe a doua etapă de autentificare. Astfel, dacă un atacator introduce corect parola, atunci poate avea acces la rețeaua internăînainte de a finaliza cea de-a doua etapă de autentificare datorită redirecționării portului. Pentru a evita acest efect, adăugați următoarele opțiuni la sshd_config:
PermitTunnel noAllowTcpForwarding nr
Acum serverul tău se află în spatele unui perete dublu și este mult mai dificil pentru un atacator să intre pe el.
Setari aditionale
Dacă accesați contul Duo Security și accesați secțiunea „Setări”, puteți modifica unele setări pentru dvs. Prima secțiune importantă este „Apeluri telefonice”. Aici specificați parametrii care vor intra în vigoare atunci când un apel telefonic este utilizat pentru a confirma autentificarea. Elementul „Taste pentru apel invers vocal” vă permite să setați ce tastă a telefonului va trebui apăsată pentru a confirma autentificarea. În mod implicit, există valoarea „Apăsați orice tastă pentru autentificare” - adică puteți apăsa orice. Dacă setați valoarea „Apăsați taste diferite pentru autentificare sau raportare fraudă”, atunci va trebui să setați două chei: făcând clic pe prima confirmă autentificarea (Cheie pentru autentificare), apăsând pe a doua (Cheie pentru a raporta frauda) înseamnă că procesul de autentificare nu a fost inițiat de noi, adică cineva a primit parola noastră și încearcă să se autentifice pe server folosind-o. Elementul „Coduri SMS” vă permite să setați numărul de coduri pe care le va conține un SMS și durata lor de viață (validitatea). Parametrul „Blocare și fraudă” vă permite să setați adresa de e-mail la care va fi trimisă notificarea în cazul unei anumite date încercări nereușite conectați-vă la server.
Foloseste-l!
În mod surprinzător, mulți oameni încă ignoră autentificarea cu doi factori. Nu inteleg de ce. Se adaugă foarte serios la securitate. Poate fi implementat pentru aproape orice, iar soluțiile decente sunt disponibile gratuit. Deci de ce? Din lene sau din nepăsare.
Servicii similare
- Semnifica(www.signify.net) Serviciul oferă trei opțiuni pentru organizarea autentificării cu doi factori. Primul este de a folosi chei electronice... A doua modalitate este de a folosi cheile de acces, care sunt trimise utilizatorului pe telefon prin SMS sau vin la e-mail... A treia opțiune este aplicatie mobila pentru telefoane Android, iPhone, BlackBerry, care generează parole unice (de fapt, un analog al Duo Mobile). Serviciul se adresează companiilor mari, prin urmare este complet plătit.
- SecurEnvoy(www.securenvoy.com) De asemenea, permite utilizarea unui telefon mobil ca al doilea strat de protecție. Cheile de acces sunt trimise utilizatorului prin SMS sau e-mail. Fiecare mesaj conține trei parole, adică utilizatorul se poate autentifica de trei ori înainte de a solicita o nouă porțiune. Serviciul este și cu plată, dar oferă o perioadă gratuită de 30 de zile. Un plus semnificativ este numărul mare de integrări native și terțe.
- PhoneFactor(www.phonefactor.com) Acest serviciu vă permite să organizați gratuit autentificarea cu doi factori pentru până la 25 de utilizatori, oferind 500 de autentificări gratuite pe lună. Pentru a organiza protecția, va trebui să descărcați și să instalați un client special. Dacă trebuie să adăugați autentificare cu doi factori pe site-ul dvs., puteți utiliza SDK-ul oficial, care oferă documentație detaliată și exemple pentru următoarele limbaje de programare: ASP.NET C #, ASP.NET VB, Java, Perl, Ruby, PHP .
- Tutorial
Unii dintre voi probabil ați auzit despre incidentul care a fost făcut public destul de recent. Producătorul american de semiconductori Allegro MicroSystem LLC a dat în judecată fostul său specialist IT pentru sabotaj. Nimesh Patel, care a lucrat pentru companie timp de 14 ani, a distrus date financiare importante în prima săptămână a noului an fiscal.
Cum a apărut?
La două săptămâni după ce a fost concediat, Patel a intrat în sediul companiei din Worcester, Massachusetts, SUA, pentru a deturna o rețea Wi-Fi corporativă. Folosind acreditările unui fost coleg și un laptop de serviciu, Patel s-a conectat la rețeaua corporativă. Apoi a injectat codul în modulul Oracle și l-a programat să ruleze pentru 1 aprilie 2016, prima săptămână a noului an fiscal. Codul a fost menit să copieze anumite anteturi sau pointeri într-un tabel separat al bazei de date și apoi să le elimine din modul. Exact pe 1 aprilie, datele au fost șterse din sistem. Și din moment ce atacatorul s-a autentificat în rețeaua Allegro în mod legal, acțiunile sale nu au fost imediat observate.
Publicul larg nu cunoaște detaliile, dar cel mai probabil incidentul a devenit posibil în mare parte datorită faptului că compania a folosit autentificarea prin parolă pentru a accesa rețeaua. Cu siguranță au existat și alte probleme de securitate, dar este parola care poate fi furată neobservată de utilizator și faptul că parola a fost furată nu va fi detectat. cel mai bun caz până la punctul de a folosi acreditările furate.
Utilizarea autentificării puternice cu doi factori și interzicerea utilizării parolelor, combinate cu o politică de securitate solidă, ar putea ajuta, dacă nu să evite desfășurarea descrisă a evenimentelor, atunci să complice foarte mult implementarea unui astfel de plan.
Vă vom spune cum puteți îmbunătăți semnificativ nivelul de securitate al companiei dumneavoastră și vă puteți proteja de astfel de incidente. Veți învăța cum să configurați autentificarea și semnătura datelor sensibile folosind token-uri și criptografie (atât străine, cât și interne).
În primul articol, vom explica cum să configurați o autentificare puternică cu doi factori folosind PKI atunci când vă conectați la un cont de domeniu Windows.
În următoarele articole, vă vom spune cum să configurați Bitlocker, să protejați e-mailul și cel mai simplu flux de lucru. De asemenea, vom colabora cu dvs. pentru a configura accesul securizat la resursele corporative și securizat acces de la distanță prin VPN.
Autentificare cu doi factori
Cu experienta administratorii de sistem iar serviciile de securitate sunt conștiente de faptul că utilizatorii sunt extrem de inconștienți cu privire la respectarea politicilor de securitate, își pot scrie acreditările pe un autocolant și îl pot lipi lângă un computer, pot transmite parole colegilor și altele asemenea. Acest lucru se întâmplă mai ales când parola este complexă (conținând mai mult de 6 caractere și constă din litere cu majuscule, numere și caractere speciale) și este greu de reținut. Dar astfel de politici sunt stabilite de administratori cu un motiv. Acest lucru este necesar pentru a proteja contul de utilizator de un simplu atac de forță brută din dicționar. De asemenea, administratorii recomandă schimbarea parolelor cel puțin o dată la 6 luni, pur și simplu pentru motivul că în acest timp, teoretic este posibilă forțarea brută chiar și o parolă complexă.
Să ne amintim ce este autentificarea. În cazul nostru, acesta este procesul de confirmare a autenticității unui subiect sau obiect. Autentificarea utilizatorului este procesul de verificare a identității unui utilizator.
Iar autentificarea cu doi factori este o autentificare în care trebuie să folosiți cel puțin doi căi diferite pentru a vă confirma identitatea.
Cel mai simplu exemplu de autentificare cu doi factori în viata reala este un seif cu lacăt și o combinație de combinație. Pentru a deschide un astfel de seif, trebuie să cunoașteți codul și să dețineți cheia.
Token și smart card
Probabil cea mai fiabilă și mai ușoară modalitate de a implementa autentificarea cu doi factori este utilizarea unui token criptografic sau a unui card inteligent. Un token este un dispozitiv USB care este atât un cititor, cât și un smart card în același timp. Primul factor în acest caz este faptul că dețineți dispozitivul, iar al doilea este cunoașterea codului PIN al acestuia.
Folosește un token sau un smart card, este mai convenabil pentru cineva. Dar din punct de vedere istoric s-a întâmplat că în Rusia oamenii sunt mai obișnuiți să folosească jetoane, deoarece nu necesită utilizarea de cititoare de carduri inteligente încorporate sau externe. Jetoanele au și dezavantajele lor. De exemplu, nu puteți imprima o fotografie pe ea.
Fotografia arată un card inteligent și un cititor tipic.
Cu toate acestea, să revenim la securitatea corporativă.
Vom începe cu domeniul Windows, deoarece în majoritatea companiilor din Rusia, rețeaua corporativă este construită în jurul acestuia.
După cum știți, politicile de domeniu Windows, setările utilizatorului, setările de grup din Active Directory oferă și restricționează accesul la un număr imens aplicații și servicii de rețea.
Prin securizarea unui cont într-un domeniu, putem proteja majoritatea și, în unele cazuri, toate resursele de informații interne în general.
De ce este autentificarea cu doi factori într-un domeniu folosind un token cu un PIN mai sigură decât schema obișnuită de parole?
PIN-ul este legat de dispozitiv specific, în cazul nostru la jeton. Cunoașterea PIN-ului nu face nimic de la sine.
De exemplu, codul PIN de la token poate fi dictat prin telefon altor persoane și acest lucru nu va oferi nimic atacatorului dacă ești suficient de atent cu tokenul și nu-l lași nesupravegheat.
Cu parola, situația este complet diferită, dacă un atacator a preluat, a ghicit, a spionat sau a luat cumva parola de la un cont din domeniu, atunci va putea intra liber atât în domeniul în sine, cât și în alte servicii. al companiei care utilizează același cont.
Un jeton este un obiect fizic unic, care nu poate fi copiat. Este deținut de un utilizator legitim. Autentificarea cu doi factori prin token poate fi ocolită numai atunci când administratorul, intenționat sau din neglijență, a lăsat „lacune” în sistem pentru aceasta.
Beneficiile logării la un domeniu cu un token
Codul PIN din simbol este mai ușor de reținut, deoarece poate fi mult mai ușor decât o parolă... Probabil că oricine a văzut cel puțin o dată în viață cum un utilizator „experimentat” nu se poate autentifica în sistem după mai multe încercări, amintindu-și și introducând parola „securizată”.
PIN-ul nu trebuie schimbat în mod constant, deoarece jetoanele sunt mai rezistente la codurile PIN de forță brută. După un număr de încercări de introducere nereușite, jetonul este blocat.
Când folosește un token pentru un utilizator, autentificarea arată astfel: după ce a pornit computerul, acesta conectează pur și simplu tokenul la portul USB al computerului, introduce 4-6 cifre și apasă butonul Enter. Viteza de introducere a cifrelor oameni normali mai mare decât viteza de introducere a literelor. Prin urmare, codul PIN este introdus mai rapid.
Tokenurile ajută la rezolvarea problemei „locului de muncă abandonat” - atunci când utilizatorul își părăsește locul de muncă și uită să se deconecteze de la contul său.
Politica de domeniu poate fi configurată astfel încât computerul să fie blocat automat atunci când simbolul este preluat. De asemenea, jetonul poate fi echipat cu o etichetă RFID pentru trecerea între sediile companiei, prin urmare, fără a lua jetonul de la locul său de muncă, angajatul pur și simplu nu se va putea deplasa prin teritoriu.
Dezavantaje, unde putem merge fără ele
Jetoanele sau cardurile inteligente nu sunt gratuite (decide de buget).
Ele trebuie să fie luate în considerare, administrate și întreținute (rezolvate prin sisteme de management de token și smart card).
niste Sisteme de informare este posibil să nu accepte autentificarea prin token-uri din cutie (rezolvată de sistemele Single Sign-On - concepute pentru a organiza posibilitatea utilizării unui singur cont pentru a accesa orice resurse din zonă).
Configurarea autentificării cu doi factori pe un domeniu Windows
Partea teoretica:
Active Directory acceptă autentificarea smart card și token începând cu Windows 2000. Este încorporat în extensia PKINIT (inițializarea cheii publice) pentru protocolul Kerberos RFC 4556.
Kerberos a fost conceput special pentru a oferi o autentificare puternică a utilizatorilor. Poate folosi stocarea centralizată a datelor de autentificare și stă la baza construirii mecanismelor Single Sing-On. Protocolul se bazează pe entitatea cheie Ticket (bilet).
Un Ticket este un pachet criptat de date care este emis de un centru de autentificare de încredere, în ceea ce privește protocolul Kerberos - Centrul de distribuție a cheilor (KDC).
Când un utilizator efectuează autentificarea primară după o autentificare cu succes, KDC emite identitatea principală a utilizatorului pentru accesarea resurselor de rețea - un Ticket Granting Ticket (TGT).
Ulterior, la accesarea resurselor individuale ale rețelei, utilizatorul transmite un TGT și primește de la KDC o identitate pentru acces la o anumită resursă de rețea - Ticket Granting Service (TGS).
Unul dintre beneficiile Kerberos este că oferă nivel inalt securitatea este că în timpul oricărei interacțiuni, nici parolele, nici valorile hash ale parolei nu sunt transmise în text clar.
Extensia PKINIT permite autentificarea cu doi factori cu jetoane sau carduri inteligente în timpul fazei de pre-autentificare Kerberos.
Conectarea la sistem poate fi asigurată folosind fie serviciul de director de domeniu, fie serviciul de director local. TGT este creat pe baza semnatura electronica care se calculează pe un smart card sau un token.
Toți controlorii de domeniu trebuie să aibă instalat certificatul de autentificare controler de domeniu sau autentificare Kerberos, deoarece este implementat procesul de autentificare reciprocă a clientului și serverului.
Practică:
Să începem configurarea.
Vom face posibilă introducerea domeniului în contul dvs. numai după prezentarea jetonului și cunoașterea codului PIN.
Pentru demonstrație, vom folosi Rutoken PKI EDS fabricat de Aktiv.
Etapa 1 - Setarea domeniului Primul pas este instalarea serviciilor de certificare.
Disclaimer.
Acest articol nu este un tutorial despre introducerea unei PKI pentru întreprinderi. Proiectarea, implementarea și utilizarea corectă a PKI nu sunt acoperite aici din cauza imensității acestui subiect.
Toate controlerele de domeniu și toate computerele client din pădure în care este implementată o astfel de soluție trebuie să aibă încredere în Autoritatea de Certificare rădăcină (Autoritatea de Certificare).
Sarcina unei autorități de certificare este de a verifica autenticitatea cheilor de criptare folosind certificate de semnătură electronică.
Din punct de vedere tehnic, un CA este implementat ca o componentă a serviciului de director global responsabil cu gestionarea cheilor criptografice pentru utilizatori. Cheile publice și alte informații despre utilizatori sunt stocate de autoritățile de certificare sub formă de certificate digitale.
CA care emite certificate pentru utilizarea cardurilor inteligente sau a jetoanelor trebuie plasată în magazinul NT Authority.
Accesați Server Manager și selectați Adăugați roluri și caracteristici.
Când adăugați roluri de server, selectați „Active Directory Certificate Services” (Microsoft recomandă insistent să nu faceți acest lucru pe un controler de domeniu, pentru a nu agrava problemele de performanță). În fereastra care se deschide, selectați „Adăugați componente” și selectați „Autoritate de certificare”.
Pe pagina pentru confirmarea instalării componentelor, faceți clic pe „Instalare”.
Etapa 2 - Configurarea autentificarii la domeniu folosind un token
Pentru a vă autentifica, avem nevoie de un certificat care să conțină identificatorii de conectare cu cardul inteligent și de autentificare client.
Certificatul pentru carduri inteligente sau jetoane trebuie să conțină și UPN-ul utilizatorului (sufixul UPN). În mod implicit, sufixul UPN pentru un cont este numele domeniului DNS care conține contul de utilizator.
Certificatul și cheia privată trebuie plasate în secțiunile corespunzătoare ale cardului inteligent sau jetonului, în timp ce cheia privată trebuie să fie într-o zonă protejată a memoriei dispozitivului.
Certificatul trebuie să specifice calea către punctul de distribuție CRL. Acest fișier conține o listă de certificate cu numărul de serie al certificatului, data revocării și motivul revocării. Este folosit pentru a comunica informații despre certificatele revocate utilizatorilor, computerelor și aplicațiilor care încearcă să autentifice certificatul.
Să configuram serviciile de certificare instalate. În colțul din dreapta sus, faceți clic pe triunghiul galben cu Semnul exclamariiși faceți clic pe „Configurați servicii de certificate...”.
În fereastra Acreditări, selectați acreditările de utilizator necesare pentru a configura rolul. Selectați „Autoritate de certificare”.
Selectați Enterprise CA.
CA Enterprise sunt integrate cu AD. Ei publică certificate și CRL-uri către AD.
Specificați tipul „Root CA”.
În pasul următor, selectați „Generează o cheie privată nouă”.
Selectați perioada de valabilitate a certificatului.
Etapa 3 - Adăugarea șabloanelor de certificate
Pentru a adăuga șabloane de certificat, deschideți Panoul de control, selectați Instrumente administrative și deschideți Autoritatea de certificare.
Faceți clic pe numele folderului „Șabloane de certificat”, selectați „Gestionați”.
Faceți clic pe numele șablonului „Utilizator cu Smart Card” și selectați „Copiere șablon”. Următoarele capturi de ecran vă arată ce opțiuni trebuie să modificați în fereastra New Template Properties.
Dacă „Aktiv ruToken CSP v1.0” nu este în lista de furnizori, atunci trebuie instalat pachetul „Drifere Rutoken pentru Windows”.
Începând cu Windows Server 2008 R2, Microsoft Base Smart Card Crypto Provider poate fi utilizat în locul unui furnizor personalizat de la producător.
Pentru dispozitivele Rutoken, biblioteca „minidriver” care acceptă „Microsoft Base Smart Card Crypto Provider” este distribuită prin Windows Update.
Puteți verifica dacă „minidriverul” este instalat pe serverul dvs. conectând Rutoken la acesta și căutând în managerul de dispozitive.
Dacă nu există „minidriver” dintr-un motiv oarecare, acesta poate fi instalat forțat instalând kitul „Driver Rutoken pentru Windows”, apoi utilizați „Furnizorul de criptografie pentru carduri inteligente de bază Microsoft”.
Setul „Drifere Rutoken pentru Windows” este distribuit gratuit de pe site-ul web Rutoken.
Adăugați două șabloane noi „Agent de certificare” și „Utilizator cu Rutoken”.
În fereastra „Snap-in Manager certificat”, selectați „Contul meu de utilizator”. În fereastra Adăugare/Eliminare Snap-in, confirmați adăugarea certificatelor.
Selectați folderul „Certificate”.
Solicitați un nou certificat. Se va deschide o pagină pentru înregistrarea unui certificat. În etapa de solicitare a unui certificat, selectați politica de înregistrare „Administrator” și faceți clic pe „Aplicație”.
În același mod, solicitați un certificat pentru Agentul de Înscriere.
Pentru a solicita un certificat pentru un anumit utilizator, faceți clic pe „Certificate”, selectați „Înregistrați-vă ca...”.
În fereastra de solicitare a unui certificat, bifați caseta de selectare „Utilizator cu Rutoken”.
Acum trebuie să selectați un utilizator.
În câmpul Introduceți numele obiectelor selectate, introduceți un nume de utilizator în domeniu și faceți clic pe Verificare nume.
În fereastra de selectare a unui utilizator, faceți clic pe „Aplicație”.
Selectați un nume de simbol din lista verticală și introduceți un cod PIN.
Selectați certificate pentru alți utilizatori din domeniu în același mod.
Etapa 4 - Configurarea conturilor de utilizator
Pentru a configura conturi, deschideți lista de utilizatori și computere AD.
Selectați folderul Utilizatori și selectați Proprietăți.
Accesați fila Conturi, selectați cardul inteligent necesar pentru a vă conecta interactiv.
Configurați politicile de securitate. Pentru a face acest lucru, deschideți Panoul de control și selectați elementul „Instrumente administrative”. Deschide meniul pentru a controla Politica de grup.
În partea stângă a ferestrei Group Policy Management, faceți clic pe Default Domain Policy și selectați Editați.
În partea stângă a ferestrei Editor de gestionare a politicilor de grup, selectați Opțiuni de securitate.
Deschideți politica de conectare interactivă: solicitați cardul inteligent.
În fila Setări politici de securitate, bifați casetele de selectare Definiți următoarea setare de politică și Activat.
Deschideți politica Conectare interactivă: comportamentul de eliminare a cardurilor inteligente.
În fila Setări politici de securitate, bifați caseta de selectare Definiți următoarea setare de politică, selectați Blocare stație de lucru din lista derulantă.
Reporniți computerul. Și la următoarea încercare autentificarea domeniului, va fi deja posibil să utilizați jetonul și PIN-ul acestuia.
Autentificarea cu doi factori pentru autentificarea la domeniu este configurată, ceea ce înseamnă că nivelul de securitate pentru autentificarea la un domeniu Windows este crescut semnificativ fără a cheltui o sumă nebunească de bani pe fonduri suplimentare protecţie. Acum, fără un token, autentificarea la sistem este imposibilă, iar utilizatorii pot respira ușor și nu suferă cu parole complexe.
Următorul pas este poșta securizată, citiți despre aceasta și despre cum să configurați autentificarea securizată pe alte sisteme în următoarele articole.
Etichete:
- Windows server
- PKI
- Rutoken
- autentificare
Parola nu este o măsură de securitate foarte puternică. Foarte des se folosesc parole simple, ușor de ghicit, sau utilizatorii nu monitorizează în mod deosebit siguranța parolelor lor (le dau colegilor, scriu pe bucăți de hârtie etc.). Microsoft a implementat de mult o tehnologie care vă permite să utilizați SmartCard pentru a vă conecta la sistem, de exemplu. autentificarea în sistem folosind un certificat. Dar nu este necesar să folosiți carduri inteligente în mod direct, deoarece au nevoie și de cititoare, așa că este mai ușor să le înlocuiți cu token-uri usb. Acestea vă vor permite să implementați autentificarea cu doi factori: primul factor este parola de la token, al doilea factor este certificatul de pe token. În plus, folosind exemplul token-ului usb JaCarta și domeniul Windows, vă voi spune cum să implementați acest mecanism de autentificare.
În primul rând, în AD, creați un grup „g_EtokenAdmin” și un cont. o intrare „Agent de înscriere” în acest grup. Acest grup și utilizator vor rula autoritatea de certificare.
În plus, instalați serviciu web pentru a solicita certificate.
Apoi, selectăm opțiunea pentru întreprindere. Selectați CA rădăcină (dacă avem aceasta prima CA din domeniu)
Creăm o nouă cheie privată. Lungimea cheii poate fi lăsată mai strânsă, dar algoritmul de hashing este mai bine să alegeți SHA2 (SHA256).
Să introducem numele CA și să selectăm perioada de valabilitate a certificatului principal.
Lăsați restul parametrilor în mod implicit și începeți procesul de instalare.
După instalare, vom intra în snap-in-ul autorității de certificare și vom configura drepturile pentru șabloane. 
Vom fi interesați de două șabloane: Agent de înscriere și conectare cu Smartcard.
Să mergem la proprietățile acestor șabloane și pe fila de securitate adăugăm grupul „g_EtokenAdmin” cu drepturi de citire și de aplicare.
Și vor apărea în lista noastră generală.
Următorul pas este configurarea politicilor de grup:
În primul rând, vom spune tuturor computerelor din domeniu despre autoritatea de certificare rădăcină, pentru aceasta vom schimba Politica de domeniu implicită.
Configurare computer -> Politici -> Configurare Windows-> Opțiuni de securitate -> Politici cheie publice -> Autorități de certificare rădăcină de încredere -> Import
Să selectăm certificatul nostru rădăcină situat de-a lungul căii: C: \ Windows \ System32 \ certsrv \ CertEnroll. Închideți politica de domeniu implicită.
Pe urmatorul pas Să creăm o politică pentru container care va conține computere cu autentificare cu simbol (card inteligentă).
Pe calea Configurare computer -> Politici -> Configurare Windows -> Setări de securitate -> Politici locale-> Opțiuni de securitate. Vom configura doi parametri „Autentificare interactivă: necesită card inteligent” și „Autentificare interactivă: comportament la scoaterea unui card inteligent”.
Asta e tot cu setările, acum poți genera un certificat de client și poți verifica autentificarea prin simbol.
Conectați-vă la computer sub contul „Enrollment Agent” și deschideți browserul făcând clic pe linkul http: // Server_name_MS_CA / certsrv
Selectați elementul Cerere certificat -> Solicitare certificat extins -> Creați și emiteți o solicitare către această CA
Dacă primiți o eroare de genul „Pentru a finaliza cererea pentru un certificat, trebuie să configurați site-ul web pentru ca CA să utilizeze autentificarea HTTPS”, atunci trebuie să legați site-ul la protocolul https de pe serverul IIS pe care este CA MS. instalat.
Să continuăm obținerea certificatului, pentru aceasta, pe pagina care se deschide, selectați șablonul: „Agent de înregistrare” și apăsați butonul emite și instalați certificatul.
Utilizatorul agentului de înscriere poate acum emite certificate pentru alți utilizatori. De exemplu, vom solicita un certificat pentru utilizatorul de testare. Pentru a face acest lucru, deschideți consola de gestionare a certificatelor certmgr.msc, deoarece prin interfața web, nu va funcționa să scrieți un certificat pe un token USB.
În această consolă, în folderul personal, vom face o cerere în numele altui utilizator
Selectăm singurul certificat „Agent de înscriere” ca semnătură și trecem la pasul următor, unde selectăm elementul „Log in with a smart card” și facem clic pe detalii pentru a selecta furnizorul de criptare.
În cazul meu, folosesc jetoane JaCarta, așa că furnizorul de criptare „Athena...” a fost instalat împreună cu driverele:
La pasul următor, selectați un utilizator de domeniu pentru care emitem un certificat și faceți clic pe butonul „Aplicație”.
Introducem jetonul, introducem codul PIN și începe procesul de generare. Ca rezultat, ar trebui să vedem o casetă de dialog etichetată „Success”.
Dacă procesul s-a încheiat fără succes, poate că problema se află în șablonul pentru obținerea unui certificat, în cazul meu trebuia să fie ușor ajustat.
Să începem testarea, să verificăm funcționarea jetonului pe un computer situat într-o OU cu o politică de grup de conectare cu smart card.
Dacă încercăm să ne autentificăm cu un cont cu o parolă, ar trebui să primim o respingere. Când încercăm să ne logăm cu un smart card (token), vom primi o ofertă de a introduce un pin și trebuie să ne logăm cu succes la sistem.
P.s.
1) Dacă blocarea automată a computerului sau deconectarea nu funcționează, după ce ați scos jetonul, vedeți dacă serviciul „Politica de eliminare a cardurilor inteligente” rulează
2) Puteți scrie (genera un certificat) pe un token doar local, nu va funcționa prin RDP.
3) Dacă nu puteți începe procesul de generare a unui certificat folosind șablonul standard „Log in with a smart card”, creați o copie a acestuia cu următorii parametri.
Asta e tot, dacă aveți întrebări, întrebați, voi încerca să vă ajut.
