- Tutorial
Disa prej jush me siguri kanë dëgjuar për incidentin e bërë publik së fundmi. Prodhuesi amerikan i gjysmëpërçuesve Allegro MicroSystem LLC ka paditur ish-specialistin e tij IT për sabotim. Nimesh Patel, i cili punoi për kompaninë për 14 vjet, shkatërroi të dhëna të rëndësishme financiare në javën e parë të vitit të ri fiskal.
Si lindi?
Dy javë pas shkarkimit të tij, Patel hyri në selinë e kompanisë në Worcester, Massachusetts, SHBA, për të rrëmbyer një rrjet Wi-Fi të korporatës. Duke përdorur kredencialet e një ish-kolegu dhe një laptopi pune, Patel hyri në rrjetin e korporatës. Më pas ai injektoi kodin në modulin Oracle dhe e programoi atë të funksiononte për 1 Prill 2016, javën e parë të vitit të ri fiskal. Kodi kishte për qëllim të kopjonte tituj ose tregues specifikë në një tabelë të veçantë të bazës së të dhënave dhe më pas t'i hiqte ato nga moduli. Pikërisht më 1 prill të dhënat janë fshirë nga sistemi. Dhe meqenëse sulmuesi hyri legalisht në rrjetin Allegro, veprimet e tij nuk u vunë re menjëherë.
Publiku i gjerë nuk i di detajet, por ka shumë të ngjarë që incidenti u bë i mundur kryesisht për faktin se kompania përdori vërtetimin e fjalëkalimit për të hyrë në rrjet. Sigurisht që ka pasur probleme të tjera sigurie, por është fjalëkalimi që mund të vidhet pa u vënë re nga përdoruesi dhe fakti i vjedhjes së fjalëkalimit nuk do të zbulohet, në rastin më të mirë deri në momentin e përdorimit të kredencialeve të vjedhura.
Përdorimi i vërtetimit të fortë me dy faktorë dhe ndalimi i përdorimit të fjalëkalimeve, i kombinuar me një politikë të shëndoshë sigurie, mund të ndihmojë, nëse jo të shmangë zhvillimin e përshkruar të ngjarjeve, atëherë ta komplikojë shumë zbatimin e një plani të tillë.
Ne do t'ju tregojmë se si mund të përmirësoni ndjeshëm nivelin e sigurisë së kompanisë suaj dhe të mbroheni nga incidente të tilla. Do të mësoni se si të vendosni vërtetimin dhe nënshkrimin e të dhënave të ndjeshme duke përdorur argumente dhe kriptografi (të huaja dhe vendase).
Në artikullin e parë, ne do të shpjegojmë se si të vendosni një vërtetim të fortë me dy faktorë duke përdorur PKI kur hyni në një llogari domeni Windows.
Në artikujt e mëposhtëm, ne do t'ju tregojmë se si të konfiguroni Bitlocker, të mbroni emailin dhe rrjedhën më të thjeshtë të punës. Ne gjithashtu do të punojmë me ju për të vendosur akses të sigurt në burimet e korporatës dhe akses të sigurt në distancë nëpërmjet VPN.
Autentifikimi me dy faktorë
Administratorët me përvojë të sistemit dhe shërbimet e sigurisë janë të vetëdijshëm se përdoruesit janë jashtëzakonisht të pavetëdijshëm për respektimin e politikave të sigurisë; ata mund të shkruajnë kredencialet e tyre në një afishe dhe ta ngjitin atë pranë një kompjuteri, t'u kalojnë fjalëkalimet kolegëve të tyre dhe të ngjashme. Kjo ndodh veçanërisht shpesh kur fjalëkalimi është kompleks (që përmban më shumë se 6 karaktere dhe përbëhet nga shkronja të rasteve, numrave dhe karaktereve të veçanta) dhe është e vështirë ta mbani mend atë. Por politika të tilla vendosen nga administratorët për një arsye. Kjo është e nevojshme për të mbrojtur llogarinë e përdoruesit nga një sulm i thjeshtë fjalori me forcë brutale. Gjithashtu, administratorët rekomandojnë ndryshimin e fjalëkalimeve të paktën një herë në 6 muaj, thjesht për arsyen se gjatë kësaj kohe, teorikisht është e mundur që të detyrohet edhe një fjalëkalim kompleks.
Le të kujtojmë se çfarë është vërtetimi. Në rastin tonë, ky është procesi i konfirmimit të autenticitetit të një subjekti ose objekti. Autentifikimi i përdoruesit është procesi i verifikimit të identitetit të një përdoruesi.
Dhe vërtetimi me dy faktorë është një vërtetim në të cilin duhet të përdorni të paktën dy metoda të ndryshme për të verifikuar identitetin tuaj.
Shembulli më i thjeshtë i vërtetimit me dy faktorë në jetën reale është një kasafortë me një bllokim dhe kombinim. Për të hapur një kasafortë të tillë, duhet të dini kodin dhe të zotëroni çelësin.
Token dhe kartë inteligjente
Ndoshta mënyra më e besueshme dhe më e lehtë për të zbatuar vërtetimin me dy faktorë është përdorimi i një token kriptografik ose kartë inteligjente. Një shenjë është një pajisje USB që është njëkohësisht lexues dhe kartë inteligjente. Faktori i parë në këtë rast është fakti që ju zotëroni pajisjen dhe i dyti është njohja e kodit PIN të saj.
Përdorni një shenjë ose një kartë inteligjente, është më e përshtatshme për dikë. Por historikisht ndodhi që në Rusi njerëzit janë më të mësuar të përdorin argumente, pasi ata nuk kërkojnë përdorimin e lexuesve të integruar ose të jashtëm të kartave inteligjente. Shenjat gjithashtu kanë të metat e tyre. Për shembull, nuk mund të printoni një foto në të.
Foto tregon një kartë tipike smart dhe lexues.
Megjithatë, kthehemi te siguria e korporatës.
Do të fillojmë me domenin Windows, sepse në shumicën e kompanive në Rusi, rrjeti i korporatës është ndërtuar rreth tij.
Siç e dini, politikat e domenit të Windows, cilësimet e përdoruesit, cilësimet e grupit në Active Directory ofrojnë dhe kufizojnë aksesin në një numër të madh aplikacionesh dhe shërbimesh rrjeti.
Duke siguruar një llogari në një domen, ne mund të mbrojmë shumicën, dhe në disa raste, të gjitha burimet e brendshme të informacionit në përgjithësi.
Pse vërtetimi me dy faktorë në një domen duke përdorur një token me një PIN është më i sigurt se skema e zakonshme e fjalëkalimit?
Kodi PIN është i lidhur me një pajisje specifike, në rastin tonë me një shenjë. Njohja e kodit PIN nuk bën asgjë në vetvete.
Për shembull, kodi PIN nga token mund t'u diktohet përmes telefonit personave të tjerë dhe kjo nuk do t'i japë asgjë sulmuesit nëse tregoheni mjaft të kujdesshëm me tokenin dhe mos e lini atë pa mbikëqyrje.
Me fjalëkalimin, situata është krejtësisht e ndryshme, nëse një sulmues ka marrë, hamendësuar, spiunuar ose ka marrë disi fjalëkalimin nga një llogari në domen, atëherë ai do të jetë në gjendje të hyjë lirshëm si në vetë domenin ashtu edhe në shërbime të tjera të kompanisë që përdor të njëjtën llogari.
Një shenjë është një objekt fizik unik i pakopjueshëm. Ai zotërohet nga një përdorues legjitim. Autentifikimi me dy faktorë me shenjë mund të anashkalohet vetëm kur administratori, me dashje ose nga pakujdesia, ka lënë "boshllëqe" në sistem për këtë.
Përfitimet e hyrjes në një domen me një shenjë
Kodi PIN nga token është më i lehtë për t'u mbajtur mend, pasi mund të jetë shumë më i thjeshtë se një fjalëkalim. Gjithkush ndoshta ka parë të paktën një herë në jetën e tij se si një përdorues "me përvojë" me dhimbje nuk mund të vërtetojë në sistem pas disa përpjekjesh, duke kujtuar dhe futur fjalëkalimin e tij "të sigurt".
PIN-i nuk duhet të ndryshohet vazhdimisht, pasi shenjat janë më rezistente ndaj kodeve PIN me forcë brutale. Pas një numri përpjekjesh të pasuksesshme të hyrjes, token bllokohet.
Kur përdorni një shenjë për një përdorues, identifikimi duket si ky: pas nisjes së kompjuterit, ai thjesht lidh shenjën me portën USB të kompjuterit, fut 4-6 shifra dhe shtyp butonin Enter. Shpejtësia e futjes së numrave për njerëzit e zakonshëm është më e madhe se shpejtësia e futjes së shkronjave. Prandaj, kodi PIN futet më shpejt.
Shenjat ndihmojnë në zgjidhjen e problemit të "vendit të punës të braktisur" - kur përdoruesi largohet nga vendi i tij i punës dhe harron të dalë nga llogaria e tij.
Politika e domenit mund të konfigurohet në mënyrë që kompjuteri të kyçet automatikisht kur të merret token. Gjithashtu, shenja mund të pajiset me një etiketë RFID për kalimin midis ambienteve të kompanisë, prandaj, pa marrë shenjën nga vendi i tij i punës, punonjësi thjesht nuk do të jetë në gjendje të lëvizë nëpër territor.
Disavantazhet, ku mund të shkojmë pa to
Shenjat ose kartat inteligjente nuk janë falas (të vendosura sipas buxhetit).
Ato duhet të merren parasysh, të administrohen dhe të mirëmbahen (të zgjidhen nga sistemet e menaxhimit të tokenit dhe kartave inteligjente).
Disa sisteme informacioni mund "jashtë kutisë" të mos mbështesin vërtetimin me shenja (zgjidhen nga sisteme të tilla si Single Sign-On - projektuar për të organizuar mundësinë e përdorimit të një llogarie të vetme për të hyrë në çdo burim të zonës).
Konfigurimi i vërtetimit me dy faktorë në një domen të Windows
Pjesa teorike:
Active Directory mbështet vërtetimin e kartave inteligjente dhe tokenit që nga Windows 2000. Është ngulitur në shtesën PKINIT (inicializimi i çelësit publik) për protokollin Kerberos RFC 4556.
Kerberos u krijua posaçërisht për të siguruar vërtetim të fortë të përdoruesit. Mund të përdorë ruajtjen e centralizuar të të dhënave të vërtetimit dhe është baza për ndërtimin e mekanizmave Single Sing-On. Protokolli bazohet në entitetin kyç Ticket (ticket).
Një Biletë është një paketë e koduar e të dhënave që lëshohet nga një qendër e besuar e vërtetimit, në kuptim të protokollit Kerberos - Qendra e Shpërndarjes së Çelësave (KDC).
Kur një përdorues kryen vërtetimin parësor pas vërtetimit të suksesshëm, KDC lëshon identitetin kryesor të përdoruesit për aksesin në burimet e rrjetit - një Biletë Dhënieje Bilete (TGT).
Më pas, kur hyn në burime individuale të rrjetit, përdoruesi dorëzon një TGT dhe merr nga KDC një identitet për qasje në një burim specifik të rrjetit - Shërbimi i Dhënies së Biletave (TGS).
Një nga përfitimet e sigurisë së lartë të Kerberos është se asnjë fjalëkalim ose vlera hash nuk dërgohet në tekst të qartë për çdo komunikim.
Zgjatja PKINIT lejon vërtetimin me dy faktorë me argumente ose karta inteligjente gjatë fazës së para-autentifikimit Kerberos.
Hyrja në sistem mund të sigurohet duke përdorur ose shërbimin e drejtorisë së domenit ose shërbimin e drejtorisë lokale. TGT gjenerohet nga një nënshkrim elektronik që llogaritet në një kartë inteligjente ose token.
Të gjithë kontrolluesit e domenit duhet të kenë të instaluar certifikatën "Autentifikimi i Domain Controller" ose Kerberos Authentication, pasi është zbatuar procesi i vërtetimit të ndërsjellë të klientit dhe serverit.
Praktikoni:
Le të fillojmë të konfigurojmë.
Ne do të bëjmë të mundur futjen e domenit nën llogarinë tuaj vetëm me paraqitjen e tokenit dhe njohjen e kodit PIN.
Për demonstrim, ne do të përdorim Rutoken PKI EDS të prodhuar nga Aktiv.
Faza 1 - Vendosja e domenit Hapi i parë është instalimi i shërbimeve të certifikimit.
Mohim përgjegjësie.
Ky artikull nuk është një udhëzues për prezantimin e një PKI të ndërmarrjes. Dizajni, vendosja dhe përdorimi i duhur i PKI nuk mbulohen këtu për shkak të pafundësisë së kësaj teme.
Të gjithë kontrolluesit e domenit dhe të gjithë kompjuterët e klientëve brenda pyllit ku zbatohet një zgjidhje e tillë duhet t'i besojnë Autoritetit të Certifikimit rrënjë (Certificate Authority).
Detyra e një autoriteti certifikues është të verifikojë vërtetësinë e çelësave të enkriptimit duke përdorur certifikatat e nënshkrimit elektronik.
Teknikisht, një CA zbatohet si një komponent i shërbimit global të drejtorisë përgjegjës për menaxhimin e çelësave kriptografikë për përdoruesit. Çelësat publikë dhe informacione të tjera rreth përdoruesve ruhen nga autoritetet e certifikimit në formën e certifikatave dixhitale.
AK që lëshon certifikata për përdorimin e kartave inteligjente ose tokeneve duhet të vendoset në dyqanin e Autoritetit NT.
Shkoni te Menaxheri i Serverit dhe zgjidhni Shto role dhe veçori.
Kur shtoni role serveri, zgjidhni "Shërbimet e Certifikatës së Drejtorisë Aktive" (Microsoft rekomandon fuqimisht të mos e bëni këtë në një kontrollues domeni, në mënyrë që të mos përkeqësohen problemet e performancës). Në dritaren që hapet, zgjidhni "Shto komponentë" dhe zgjidhni "Autoriteti i certifikimit".
Në faqen për konfirmimin e instalimit të komponentëve, klikoni "Instalo".
Faza 2 - Konfigurimi i hyrjes në domen duke përdorur një shenjë
Për t'u identifikuar, na duhet një certifikatë që përmban identifikuesit e hyrjes në kartën inteligjente dhe të vërtetimit të klientit.
Certifikata për kartat inteligjente ose tokenat duhet të përmbajë gjithashtu UPN (prapashtesën UPN) të përdoruesit. Si parazgjedhje, prapashtesa UPN për një llogari është emri i domenit DNS që përmban llogarinë e përdoruesit.
Certifikata dhe çelësi privat duhet të vendosen në seksionet përkatëse të kartës inteligjente ose tokenit, ndërsa çelësi privat duhet të jetë në një zonë të mbrojtur të memories së pajisjes.
Certifikata duhet të specifikojë shtegun për në pikën e shpërndarjes CRL. Ky skedar përmban një listë certifikatash me numrin serial të certifikatës, datën e revokimit dhe arsyen e revokimit. Përdoret për të komunikuar informacione rreth certifikatave të revokuara me përdoruesit, kompjuterët dhe aplikacionet që përpiqen të vërtetojnë certifikatën.
Le të konfigurojmë shërbimet e instaluara të certifikimit. Në këndin e sipërm djathtas, klikoni trekëndëshin e verdhë të pikëçuditjes dhe klikoni "Konfiguro shërbimet e certifikatës ...".
Në dritaren Kredencialet, zgjidhni kredencialet e kërkuara të përdoruesit për të konfiguruar rolin. Zgjidhni "Autoriteti i Certifikimit".
Zgjidhni Enterprise CA.
AK-të e ndërmarrjeve janë të integruara me AD. Ata publikojnë certifikata dhe CRL në AD.
Specifikoni llojin "Root CA".
Në hapin tjetër, zgjidhni "Generate New Private Key".
Zgjidhni periudhën e vlefshmërisë së certifikatës.
Faza 3 - Shtimi i modeleve të certifikatave
Për të shtuar shabllone certifikatash, hapni Panelin e Kontrollit, zgjidhni Veglat Administrative dhe hapni Autoritetin e Certifikimit.
Klikoni në emrin e dosjes "Modelet e Certifikatës", zgjidhni "Menaxho".
Klikoni në emrin e shabllonit "Përdorues me kartë inteligjente" dhe zgjidhni "Kopjo shabllonin". Pamjet e mëposhtme të ekranit ju tregojnë se cilat opsione duhet të ndryshoni në dritaren Karakteristikat e modelit të ri.
Nëse “Aktiv ruToken CSP v1.0” nuk është në listën e ofruesve, atëherë duhet të instalohet paketa “Rutoken Drivers for Windows”.
Duke filluar me Windows Server 2008 R2, në vend të një ofruesi të personalizuar nga prodhuesi mund të përdoret Microsoft Base Smart Card Crypto Provider.
Për pajisjet Rutoken, biblioteka "minidriver" që mbështet "Microsoft Base Smart Card Crypto Provider" shpërndahet përmes Windows Update.
Ju mund të kontrolloni nëse "minidriver" është i instaluar në serverin tuaj duke lidhur Rutoken me të dhe duke kërkuar në menaxherin e pajisjes.
Nëse nuk ka "minidriver" për ndonjë arsye, ai mund të instalohet me forcë duke instaluar kompletin "Rutoken Drivers for Windows" dhe më pas përdorni "Microsoft Base Smart Card Crypto Provider".
Seti "Rutoken Drivers for Windows" shpërndahet pa pagesë nga faqja e internetit Rutoken.
Shtoni dy shabllone të rinj "Agjenti i certifikimit" dhe "Përdoruesi me Rutoken".
Në dritaren "Snap-in e Menaxherit të Certifikatës", zgjidhni "Llogaria ime e Përdoruesit". Në dritaren Shto / Hiq Snap-in, konfirmoni shtimin e certifikatave.
Zgjidhni dosjen "Certifikatat".
Kërkoni një certifikatë të re. Do të hapet një faqe për regjistrimin e një certifikate. Në fazën e kërkimit të një certifikate, zgjidhni politikën e regjistrimit "Administrator" dhe klikoni "Aplikacioni".
Në të njëjtën mënyrë, kërkoni një certifikatë për Agjentin e Regjistrimit.
Për të kërkuar një certifikatë për një përdorues specifik, klikoni "Certifikatat", zgjidhni "Regjistrohu si ...".
Në dritaren për të kërkuar një certifikatë, zgjidhni kutinë "Përdorues me Rutoken".
Tani ju duhet të zgjidhni një përdorues.
Në fushën Futni emrat e objekteve të zgjedhura, vendosni një emër përdoruesi në domen dhe klikoni Kontrolloni emrin.
Në dritaren për zgjedhjen e një përdoruesi, klikoni "Aplikacioni".
Zgjidhni një emër token nga lista rënëse dhe futni një PIN.
Zgjidhni certifikatat për përdoruesit e tjerë në domen në të njëjtën mënyrë.
Faza 4 - Vendosja e llogarive të përdoruesve
Për të konfiguruar llogaritë, hapni listën e përdoruesve dhe kompjuterëve të AD.
Zgjidhni dosjen Users dhe zgjidhni Properties.
Shkoni te skeda Llogaritë, zgjidhni kartën Smart që kërkohet për t'u identifikuar në mënyrë interaktive.
Konfiguro politikat e sigurisë. Për ta bërë këtë, hapni panelin e kontrollit dhe zgjidhni artikullin "Mjetet Administrative". Hapni menunë për menaxhimin e politikës së grupit.
Në anën e majtë të dritares së Menaxhimit të Politikave të Grupit, klikoni Politikën e paracaktuar të domenit dhe zgjidhni Edit.
Në anën e majtë të dritares së Redaktuesit të Menaxhimit të Politikave të Grupit, zgjidhni Opsionet e Sigurisë.
Hapni hyrjen interaktive: Kërkoni politikën e kartës inteligjente.
Në skedën Cilësimet e politikës së sigurisë, zgjidhni kutitë e kontrollit Përcaktoni cilësimet e mëposhtme të politikës dhe Aktivizuar.
Hapni politikën e sjelljes së "Identifikimit interaktiv: Sjellja e heqjes së kartës inteligjente".
Në skedën Cilësimet e politikës së sigurisë, zgjidhni kutinë e kontrollit Përcaktoni cilësimet e mëposhtme të politikës, zgjidhni Blloko stacionin e punës nga lista rënëse.
Rinisni kompjuterin tuaj. Dhe herën tjetër që provoni të vërtetoni në domen, tashmë mund të përdorni tokenin dhe PIN-in e tij.
Është konfiguruar vërtetimi me dy faktorë për hyrjen në domen, që do të thotë se niveli i sigurisë për hyrjen në një domen të Windows është rritur ndjeshëm pa shpenzuar një shumë të çmendur parash për masa shtesë sigurie. Tani, pa një shenjë, hyrja në sistem është e pamundur dhe përdoruesit mund të marrin frymë lehtë dhe të mos vuajnë me fjalëkalime komplekse.
Hapi tjetër është posta e sigurt, lexoni për këtë dhe si të konfiguroni vërtetimin e sigurt në sisteme të tjera në artikujt tanë të ardhshëm.
Etiketa:
- serveri i Windows
- PKI
- Rutoken
- vërtetimi
1) Në fillim të konfigurimit të serverit, futni komandën:
multiotp.exe -debug -config default-request-prefix-pin = 0 display-log = 1 pas tij nuk keni nevojë të futni një kod pin kur konfiguroni përdoruesin dhe shfaqja e regjistrit të çdo operacioni në tastierë është ndezur.
2) Duke përdorur këtë komandë, ju mund të rregulloni kohën e banimit, për përdoruesit që kanë bërë një gabim me fjalëkalimin (parazgjedhja 30 sekonda):
multiotp.exe -debug - dështimi i konfigurimit-koha e vonuar = 60
3) Ajo që do të shkruhet në aplikacionin google Authenticator mbi 6 shifra quhet lëshues, mund të ndryshoni nga MultiOTP e paracaktuar në diçka tjetër:
multiotp.exe -debug -config emetuesi = tjetër
4) Pas operacioneve të përfunduara, komanda për krijimin e një përdoruesi bëhet pak më e lehtë:
multiotp.exe -debug -krijo përdoruesin TOTP 12312312312312312321 6 (Unë nuk e vendos kohën e përditësimit të shifrave të barabartë me 30 sekonda, duket se është 30 si parazgjedhje).
5) Çdo përdorues mund të ndryshojë përshkrimin (tekstin nën numrat në aplikacionin Google Auth):
multiotp.exe -vendos përshkrimin e emrit të përdoruesit = 2
6) Kodet QR mund të gjenerohen direkt në aplikacion:
multiotp.exe -qrcode emri i përdoruesit c: \ multiotp \ qrcode \ user.png: \ multiotp \ qrcode \ user.png
7) Mund të përdorni jo vetëm TOTP, por edhe HOTP (hyrja e funksionit hash nuk është koha aktuale, por vlera e numëruesit rritës):
multiotp.exe -debug -krijoni emrin e përdoruesit HOTP 12312312312312312321 6
Fjalëkalimet mund të jenë një dhimbje koke e madhe sigurie dhe menaxhueshmëri për administratorët e TI-së të ndërmarrjeve dhe organizatave. Përdoruesit shpesh krijojnë fjalëkalime të thjeshta ose shkruajnë fjalëkalime që të mos i harrojnë. Për më tepër, vetëm disa nga procedurat e rivendosjes së fjalëkalimit janë efektive dhe të sigurta. Duke pasur parasysh këto kufizime, si mund t'i zbusni këto lloj shqetësimesh sigurie kur qasja në rrjet kryhet nga përdorues të largët? Si mund t'i bëni zgjidhjet e fjalëkalimeve të kompanisë suaj më të sigurta duke ditur që shumë përdorues i shkruajnë fjalëkalimet e tyre?
Ekziston një zgjidhje - kjo është futja në organizimin e një sistemi shtesë të mbrojtjes së aksesit bazuar në futjen e fjalëkalimeve një herë (OTP - Fjalëkalimi Një herë), të cilat krijohen në pajisjen celulare të punonjësit tuaj. Kalimi në vërtetimin e njëhershëm të bazuar në fjalëkalim zakonisht ndodh kur bëhet fjalë për të kuptuar se fjalëkalimet standarde afatgjata janë të pamjaftueshme nga pikëpamja e sigurisë, dhe në të njëjtën kohë, përdorimi i kartave inteligjente është i kufizuar, për shembull, në një situatë të përdorimit masiv të klientëve celularë.
Kompania jonë ka zhvilluar një zgjidhje teknologjike e cila do t'ju lejojë të merrni linjë shtesë mbrojtjeje për një server terminal ose server 1C bazuar në fjalëkalime një herë me të cilat punonjësit lidhen nga distanca.
Fusha e punës për vendosjen dhe konfigurimin e sistemit OTP
Në serverin tuaj, softuer i specializuar është instaluar dhe konfiguruar për të operuar një sistem vërtetimi të aksesit të bazuar në fjalëkalime një herë (OTP) Të gjithë punonjësit e organizatës që kanë nevojë për qasje në server futen në sistemin OTP. Për çdo punonjës, konfigurimi fillestar i një telefoni celular kryhet me instalimin e një programi për gjenerimin e një fjalëkalimi një herë.
Fillon kostoja e futjes në organizatë të një sistemi të vërtetimit të aksesit në një server terminal ose server 1C bazuar në fjalëkalime një herë (OTP) nga 6 400 rubla.
Në rastet kur sistemi OTP do të vendoset në lidhje me marrjen me qira të infrastrukturës në "cloud" tonë të sigurt, zbritja për zbatimin e sistemit të mbrojtjes me fjalëkalim një herë (OTP) mund të arrijë në 50%.
Fjalëkalimet një herë - një shtresë shtesë e sigurisë së të dhënave
Një fjalëkalim tradicional, statik zakonisht ndryshon vetëm kur është e nevojshme: ose kur skadon, ose kur përdoruesi e ka harruar atë dhe dëshiron ta rivendosë atë. Për shkak se fjalëkalimet ruhen në disqet e kompjuterit dhe ruhen në server, ato janë të prekshme ndaj hakerimit. Ky problem është veçanërisht i mprehtë për kompjuterët laptop, pasi ato mund të vidhen lehtësisht. Shumë kompani u japin punonjësve kompjuterë laptopë dhe hapin rrjetet e tyre për qasje në distancë. Ata gjithashtu punësojnë staf të përkohshëm dhe furnitorë. Në një mjedis të tillë, një zgjidhje e thjeshtë e fjalëkalimit statik bëhet një disavantazh.
Ndryshe nga një fjalëkalim statik, një fjalëkalim një herë ndryshon sa herë që një përdorues hyn në sistem dhe është i vlefshëm vetëm për një periudhë të shkurtër kohe (30 sekonda). Vetë fjalëkalimet krijohen dhe kodohen duke përdorur një algoritëm kompleks në varësi të shumë variablave: koha, numri i hyrjeve të suksesshme / të pasuksesshme, numrat e gjeneruar rastësisht, etj. Kjo qasje në dukje komplekse kërkon veprime të thjeshta nga përdoruesi - Instaloni një aplikacion të veçantë në telefonin tuaj, i cili sinkronizohet një herë me serverin dhe më pas gjeneron një fjalëkalim një herë. Me çdo hyrje të re të suksesshme, klienti dhe serveri risinkronizohen automatikisht në mënyrë të pavarur nga njëri-tjetri duke përdorur një algoritëm të veçantë. Numëruesi rritet sa herë që i kërkohet pajisjes të ketë një vlerë OTP dhe kur përdoruesi dëshiron të identifikohet, ai fut OTP-në që shfaqet aktualisht në pajisjen e tij celulare.
Fjalëkalimi nuk është një masë shumë e fortë sigurie. Shumë shpesh, përdoren fjalëkalime të thjeshta, të lehta për t'u gjetur, ose përdoruesit nuk monitorojnë veçanërisht sigurinë e fjalëkalimeve të tyre (ato ua japin kolegëve, shkruajnë në copa letre, etj.). Microsoft ka zbatuar prej kohësh një teknologji që ju lejon të përdorni SmartCard për të hyrë në sistem, d.m.th. vërtetoni në sistem duke përdorur një certifikatë. Por nuk është e nevojshme të përdoren direkt kartat smart, sepse ato kanë nevojë edhe për lexues, kështu që është më e lehtë t'i zëvendësoni me tokena usb. Ata do t'ju lejojnë të zbatoni vërtetimin me dy faktorë: faktori i parë është fjalëkalimi nga token, faktori i dytë është certifikata në token. Më tej, duke përdorur shembullin e tokenit USB JaCarta dhe domenit të Windows, unë do t'ju tregoj se si ta zbatoni këtë mekanizëm vërtetimi.
Para së gjithash, në AD, krijoni një grup "g_EtokenAdmin" dhe llogari. një hyrje "Agjenti i Regjistrimit" në këtë grup. Ky grup dhe përdorues do të drejtojnë autoritetin e certifikimit.
Për më tepër, ne do të instalojmë shërbimin në internet për të kërkuar certifikata.
Më pas, ne zgjedhim opsionin për ndërmarrjen. Zgjidhni Root CA (nëse kemi këtë CA të parë në domen)
Ne krijojmë një çelës të ri privat. Gjatësia e çelësit mund të lihet më e ngushtë, por algoritmi i hashimit është më mirë të zgjidhni SHA2 (SHA256).
Le të vendosim emrin CA dhe të zgjedhim periudhën e vlefshmërisë së certifikatës kryesore.
Lëreni pjesën tjetër të parametrave si parazgjedhje dhe filloni procesin e instalimit.
Pas instalimit, ne do të hyjmë në skedarin e autoritetit të certifikimit dhe do të konfigurojmë të drejtat për shabllonet. 
Ne do të jemi të interesuar për dy shabllone: Agjenti i regjistrimit dhe identifikimi i kartës Smart.
Le të shkojmë te vetitë e këtyre shablloneve dhe në skedën e sigurisë shtojmë grupin "g_EtokenAdmin" me të drejta leximi dhe aplikimi.
Dhe ato do të shfaqen në listën tonë të përgjithshme.
Hapi tjetër është të konfiguroni politikat e grupit:
Para së gjithash, ne do t'u tregojmë të gjithë kompjuterëve në domen për autoritetin e certifikimit rrënjë, për këtë ne do të ndryshojmë Politikën e Domainit të Parazgjedhur.
Konfigurimi i kompjuterit -> Politikat -> Konfigurimi i Windows -> Cilësimet e sigurisë -> Politikat e çelësit publik -> Autoritetet e certifikimit të rrënjëve të besuara -> Importi
Le të zgjedhim certifikatën tonë rrënjë të vendosur përgjatë rrugës: C: \ Windows \ System32 \ certsrv \ CertEnroll. Mbyllni politikën e parazgjedhur të domenit.
Në hapin tjetër, ne do të krijojmë një politikë për kontejnerin, i cili do të përmbajë kompjuterë me vërtetim me shenjë (Smart card).
Përgjatë shtegut Konfigurimi i kompjuterit -> Politikat -> Konfigurimi i Windows -> Cilësimet e sigurisë -> Politikat lokale -> Cilësimet e sigurisë. Do të konfigurojmë dy parametra "Hyrja interaktive: kërkohet kartë inteligjente" dhe "Hyrja ndërvepruese: sjellja kur heq një kartë inteligjente".
Kjo është e gjitha me cilësimet, tani mund të gjeneroni një certifikatë klienti dhe të kontrolloni vërtetimin me shenjë.
Hyni në kompjuter nën llogarinë "Agjenti i Regjistrimit" dhe hapni shfletuesin duke klikuar në lidhjen http: // Emri_server_MS_CA / certsrv
Zgjidhni artikullin Kërkesë për certifikatë -> Kërkesë e zgjatur për certifikatë -> Krijoni dhe lëshoni një kërkesë për këtë AK
Nëse merrni një gabim si "Për të përfunduar aplikacionin për një certifikatë, duhet të konfiguroni faqen e internetit që CA të përdor vërtetimin HTTPS", atëherë duhet të lidhni sitin me protokollin https në serverin IIS në të cilin ndodhet CA MS instaluar.
Le të vazhdojmë marrjen e certifikatës, për këtë, në faqen që hapet, zgjidhni shabllonin: "Agjent i regjistrimit" dhe shtypni butonin problem dhe instaloni certifikatën.
Përdoruesi i Agjentit të Regjistrimit tani mund të lëshojë certifikata për përdoruesit e tjerë. Për shembull, ne do të kërkojmë një certifikatë për përdoruesin e testimit. Për ta bërë këtë, hapni tastierën e menaxhimit të certifikatës certmgr.msc, pasi përmes ndërfaqes në internet, nuk do të funksionojë të shkruani një certifikatë në një token usb.
Në këtë konsolë, në dosjen personale, ne do të bëjmë një kërkesë në emër të një përdoruesi tjetër
Zgjedhim certifikatën e vetme “Agjent i regjistrimit” si nënshkrim dhe kalojmë në hapin tjetër, ku zgjedhim artikullin “Identifikohu me një kartë smart” dhe klikojmë mbi detajet për të zgjedhur ofruesin e enkriptimit.
Në rastin tim, unë përdor shenja JaCarta, kështu që ofruesi i enkriptimit "Athena ..." u instalua së bashku me drejtuesit:
Në hapin tjetër, zgjidhni një përdorues domeni për të cilin lëshojmë një certifikatë dhe klikoni në butonin "Aplikacion".
Fusim tokenin, futim kodin pin dhe fillon procesi i gjenerimit. Si rezultat, ne duhet të shohim një kuti dialogu të emërtuar "I suksesshëm".
Nëse procesi përfundoi pa sukses, ndoshta çështja është në shabllonin për marrjen e një certifikate, në rastin tim ajo duhej të rregullohej pak.
Le të fillojmë testimin, të kontrollojmë funksionimin e tokenit në një kompjuter të vendosur në një OU me një politikë grupi të hyrjes së kartave inteligjente.
Nëse përpiqemi të identifikohemi me një llogari me një fjalëkalim, duhet të marrim një refuzim. Kur përpiqemi të identifikohemi me një kartë inteligjente (token), do të marrim një ofertë për të futur një pin dhe duhet të regjistrohemi me sukses në sistem.
P.s.
1) Nëse kyçja automatike e kompjuterit ose dalja nuk funksionon, pasi të keni nxjerrë kodin, shikoni nëse shërbimi "Smart Card Removal Policy" është duke u ekzekutuar
2) Mund të shkruani (të gjeneroni një certifikatë) në një shenjë vetëm në nivel lokal, nuk do të funksionojë përmes RDP.
3) Nëse nuk mund të filloni procesin e gjenerimit të një certifikate duke përdorur shabllonin standard "Identifikohu me një kartë inteligjente", krijoni një kopje të saj me parametrat e mëposhtëm.
Kjo është e gjitha, nëse keni ndonjë pyetje, pyesni, unë do të përpiqem të ndihmoj.
Sot do t'ju tregojmë se si mund të konfiguroni shpejt dhe me lehtësi vërtetimin me dy faktorë dhe të kriptoni të dhëna të rëndësishme, madje edhe me aftësinë për të përdorur biometrikë. Zgjidhja do të jetë e rëndësishme për kompanitë e vogla ose thjesht për një kompjuter personal ose laptop. Është e rëndësishme që për këtë të mos kemi nevojë për një infrastrukturë të çelësit publik (PKI), një server me rolin e një autoriteti certifikues (Shërbimet e Certifikatës) dhe nuk kemi nevojë as për një domen (Active Directory). Të gjitha kërkesat e sistemit do të reduktohen në sistemin operativ Windows dhe praninë e një çelësi elektronik për përdoruesin, dhe në rastin e vërtetimit biometrik, gjithashtu një lexues të gjurmëve të gishtërinjve, i cili, për shembull, mund të jetë tashmë i integruar në laptopin tuaj.
Për vërtetim ne do të përdorim softuerin e zhvillimit tonë - JaCarta SecurLogon dhe një çelës elektronik JaCarta PKI si vërtetues. Mjeti i kriptimit do të jetë standardi EFS i Windows, qasja në skedarët e koduar do të kryhet gjithashtu përmes çelësit PKI JaCarta (i njëjti që përdoret për vërtetim).
Kujtojmë që JaCarta SecurLogon është një zgjidhje softuerike dhe harduerike nga Aladdin RD e certifikuar nga FSTEC e Rusisë, e cila lejon një kalim të thjeshtë dhe të shpejtë nga vërtetimi me një faktor bazuar në një çift hyrje-fjalëkalim në vërtetimin me dy faktorë në OS duke përdorur argumentet USB. ose kartat inteligjente. Thelbi i zgjidhjes është mjaft i thjeshtë - JSL gjeneron një fjalëkalim kompleks (~ 63 karaktere) dhe e shkruan atë në kujtesën e mbrojtur të çelësit elektronik. Në këtë rast, fjalëkalimi mund të mos jetë i njohur për vetë përdoruesin, përdoruesi e di vetëm kodin PIN. Duke futur kodin PIN gjatë vërtetimit, pajisja zhbllokohet dhe fjalëkalimi i dërgohet sistemit për vërtetim. Opsionale, mund të zëvendësoni hyrjen PIN duke skanuar gjurmën e gishtit të përdoruesit dhe gjithashtu mund të përdorni kombinimin PIN + gjurmë gishtash.
EFS, si JSL, mund të funksionojë në modalitetin e pavarur, duke mos kërkuar asgjë tjetër përveç vetë OS. Të gjitha sistemet operative të Microsoft të familjes NT, duke filluar me Windows 2000 dhe më të reja (përveç versioneve shtëpiake), kanë një teknologji të integruar të enkriptimit të të dhënave, EFS (Sistemi i skedarëve të enkriptimit). Kriptimi EFS bazohet në aftësitë e sistemit të skedarëve NTFS dhe arkitekturës CryptoAPI dhe është krijuar për të enkriptuar shpejt skedarët në hard diskun e një kompjuteri. Kriptimi EFS përdor çelësat privatë dhe publikë të përdoruesit, të cilët krijohen kur përdoruesi përdor për herë të parë funksionin e kriptimit. Këta çelësa mbeten të pandryshuar për sa kohë që ekziston llogaria e tij. Gjatë enkriptimit të një skedari, EFS gjeneron në mënyrë të rastësishme një numër unik, të ashtuquajturin çelësi i enkriptimit të skedarit (FEK) me një gjatësi prej 128 bitësh, me të cilin kodohen skedarët. FEK-të kodohen me një çelës kryesor, i cili kodohet me çelësin e përdoruesve të sistemit që kanë akses në skedar. Çelësi privat i përdoruesit mbrohet nga hash-i i fjalëkalimit të përdoruesit. Të dhënat e koduara me EFS mund të deshifrohen vetëm duke përdorur të njëjtën llogari të Windows me të njëjtin fjalëkalim nga i cili është kryer kriptimi. Dhe nëse e ruani certifikatën e kriptimit dhe çelësin privat në një kod USB ose kartë inteligjente, atëherë do t'ju duhet gjithashtu ky kod USB ose kartë inteligjente për të hyrë në skedarët e enkriptuar, gjë që zgjidh problemin e kompromentimit të fjalëkalimit, pasi do të kërkohet një pajisje shtesë. në formën e një çelësi elektronik.
Autentifikimi
Siç u përmend tashmë, nuk keni nevojë për një AD ose një autoritet certifikimi për konfigurim, keni nevojë për ndonjë Windows modern, një shpërndarje JSL dhe një licencë. Vendosja është jashtëzakonisht e thjeshtë.Duhet të instaloni skedarin e licencës.
Shto profilin e përdoruesit.
Dhe filloni të përdorni vërtetimin me dy faktorë.
Autentifikimi biometrik
Është e mundur të përdoret vërtetimi biometrik i gjurmëve të gishtërinjve. Zgjidhja funksionon në teknologjinë Match On Card. Hash-i i gjurmës së gishtit shkruhet në kartë gjatë inicializimit fillestar dhe më pas verifikohet kundrejt origjinalit. Nuk e lë askund hartën, nuk ruhet në disa baza të dhënash. Për të zhbllokuar një çelës të tillë, përdoret një gjurmë gishti ose një kombinim i PIN + gjurmë gishti, PIN ose gjurmë gishti.Për të filluar përdorimin e tij, thjesht duhet të inicializoni kartën me parametrat e nevojshëm, të regjistroni gjurmën e gishtit të përdoruesit.
Në të ardhmen, e njëjta dritare do të shfaqet përpara se të hyni në OS.
Në shembullin aktual, karta është inicializuar me mundësinë e vërtetimit me anë të gjurmës së gishtit ose kodit PIN, siç tregohet nga dritarja e vërtetimit.
Pas paraqitjes së një gjurmë gishti ose kodi PIN, përdoruesi do të hyjë në sistemin operativ.
Kriptimi i të dhënave
Vendosja e EFS nuk është gjithashtu shumë e vështirë, bëhet fjalë për vendosjen e një certifikate dhe lëshimin e saj në një çelës elektronik dhe vendosjen e drejtorive të kriptimit. Në mënyrë tipike, nuk keni nevojë të kriptoni të gjithë diskun. Skedarët vërtet të rëndësishëm, të cilët nuk janë të dëshirueshëm për akses nga palët e treta, zakonisht ndodhen në drejtori të veçanta dhe jo të shpërndara në të gjithë diskun.Për të lëshuar një certifikatë enkriptimi dhe një çelës privat, hapni një llogari përdoruesi, zgjidhni - Menaxho certifikatat e enkriptimit të skedarëve. Në magjistarin që hapet, krijoni një certifikatë të vetë-nënshkruar në kartën inteligjente. Meqenëse ne vazhdojmë të përdorim kartën inteligjente me apletin BIO, duhet të paraqesim gjurmën e gishtit ose PIN-in tonë për të shkruar certifikatën e enkriptimit.
Në hapin tjetër, specifikoni drejtoritë që do të lidhen me certifikatën e re, nëse është e nevojshme, mund të specifikoni të gjitha disqet logjike.
Vetë drejtoria e koduar dhe skedarët në të do të theksohen me një ngjyrë të ndryshme.
Qasja në skedarë kryhet vetëm në prani të një çelësi elektronik, me paraqitjen e një gjurmë gishti ose kodi PIN, në varësi të asaj që është zgjedhur.
Kjo përfundon të gjithë konfigurimin.
Ju mund të përdorni të dy skenarët (autentifikimin dhe enkriptimin), mund të ndaleni në një gjë.
