Metodat e sigurisë kur përdorni vërtetimin e fjalëkalimit. Për të mbrojtur fjalëkalimet nga hakerimi, duhet të konfiguroni politikën e duhur. Për ta bërë këtë, përdorni menunë Start->Administrative Tools-> Group Policy Management për të hapur konsolën e menaxhimit politikat e grupit GPMC, zgjidhni GPO-në e kërkuar nën Konfigurimi i kompjuterit->Politikat->Cilësimet e sigurisë->Politikat e llogarisë->Politika e fjalëkalimit Shih Fig. 1 (Menaxho cilësimet e fjalëkalimit).
Oriz. 1 Menaxho cilësimet e fjalëkalimit.
Ju mund të vendosni një gjatësi minimale të fjalëkalimit, e cila do të na lejojë të shmangim fjalëkalimet e shkurtra (Minimumi fjalëkalimin gjatësia). Në mënyrë që përdoruesi të vendosë fjalëkalime komplekse duhet të përfshihet kërkesa e kompleksitetit (Fjalëkalimi duhet takohen kompleksiteti Kërkesat).
Për të siguruar ndryshime të rregullta të fjalëkalimit, duhet ta vendosni atë afat maksimal jeta (maksimale fjalëkalimin mosha).
Për të parandaluar që përdoruesit të përsërisin fjalëkalimet e vjetra, duhet të konfiguroni ruajtjen e historisë së fjalëkalimeve (Zbatoni fjalëkalimin histori) .
Dhe së fundi, në mënyrë që përdoruesi të mos e ndryshojë fjalëkalimin e tij në atë të vjetër duke ndryshuar fjalëkalimet disa herë, caktoni periudhën minimale gjatë së cilës fjalëkalimi nuk mund të ndryshohet. (Minimumi fjalëkalimin mosha).
Për t'u mbrojtur nga një sulm fjalori, ne do të konfigurojmë një bllokim të llogarisë nëse fjalëkalimi futet në mënyrë të përsëritur gabimisht. Për ta bërë këtë, në panelin e menaxhimit të politikave të grupit GPMC, zgjidhni seksionin e kërkuar të GPO kompjuter Konfigurimi-> politikat-> Siguria Cilësimet-> llogari politikat-> llogari bllokim Politika . Shih Fig. 2 (Menaxhimi i bllokimit të llogarisë së përdoruesit).
Oriz. 2 Menaxho bllokimin e llogarisë së përdoruesit.
Për të konfiguruar një llogari që të bllokohet përgjithmonë (përpara se të shkyçet nga një administrator), vendosni vlerë zero parametri i kohëzgjatjes së bllokut (llogari bllokim kohëzgjatja).
Në numëruesin e numrit të përpjekjeve të pasuksesshme për hyrje (llogari bllokim pragu) ju duhet të specifikoni vlerën e kërkuar. Në shumicën e rasteve, 3-5 përpjekje për hyrje janë të pranueshme.
Së fundi, duhet të vendosni intervalin për rivendosjen e numëruesit të përpjekjeve të pasuksesshme (rivendosur llogari bllokim kundër pas).
Për të mbrojtur kundër kuajve të Trojës, duhet të përdorni agjentë antiviralë dhe bllokimi i softuerit të paautorizuar.
Për të kufizuar aftësinë e përdoruesve për të futur viruse në sistemin e informacionit, justifikohet: vendosja e një ndalimi për të punuar me pajisje të jashtme(CD, DVD, Flash), modaliteti i rreptë UAC, përdorimi i kioskave të pavarura të internetit të bazuara në kompjuterë që nuk janë pjesë e rrjetit të punës. Dhe, së fundi, futja e rregulloreve strikte të punës që përcaktojnë rregullat për përdoruesit për të punuar në rrjetin e korporatës (ndalimi i transferimit të letrave kredenciale te kushdo, ndalimi i lënies së letrave kredenciale në vende të aksesueshme, kërkesat për bllokimin e detyrueshëm të stacionit të punës kur largohen nga vendi i punës, etj. . P.).
Si rezultat, ne do të jemi në gjendje të arrijmë një reduktim të rreziqeve që lidhen me shkeljen e sigurisë së kompanisë.
Le të supozojmë se gjithçka është bërë. Megjithatë, është shumë herët të thuhet se kemi arritur të sigurojmë vërtetim të sigurt në sistemin tonë.
Faktori njerëzor është kërcënimi më i madh.
Ka ende kërcënime që nuk kemi mundur t'i përballojmë. Një nga më të rëndësishmet - faktori njeri. Përdoruesit e sistemeve tona të informacionit nuk janë gjithmonë mjaft të vetëdijshëm dhe, pavarësisht shpjegimeve të administratorëve të sigurisë, shkruajnë kredencialet e tyre (emrin e përdoruesit dhe fjalëkalimin) dhe nuk kujdesen për fshehtësinë e kësaj informacion konfidencial. Unë kam gjetur vazhdimisht ngjitëse në monitor, shih Fig. 3, ose nën tastierë, shihni fig. 4 me emrin e përdoruesit dhe fjalëkalimin.
Oriz. 3. Një dhuratë e mrekullueshme për një ndërhyrës, apo jo?
Oriz. 4. Një tjetër dhuratë për hajdutin.
Siç mund ta shohim, fjalëkalime të gjata dhe komplekse janë të ngulitura në sistem dhe seria shoqëruese nuk është qartë e dukshme. Sidoqoftë, përdoruesit kanë gjetur një mënyrë "efikase" për të mbajtur mend dhe ruajtur kredencialet...
Kështu, ju mund të shihni se në këtë rast, veçoria që përmenda më lart sapo funksionoi: Fjalëkalimet e gjata dhe komplekse regjistrohen dhe mund të mos ruhen siç duhet.
i brendshëm
Një tjetër kërcënim i rëndësishëm sigurie është mundësia që një sulmues të hyjë fizikisht në stacionin e punës të një përdoruesi ligjor dhe të transferojë informacion konfidencial te palët e treta. Domethënë po flasim për një situatë ku ka një punonjës brenda kompanisë që vjedh informacion nga kolegët e tij.
Është mjaft e qartë se është shumë e vështirë të sigurohet siguria "fizike" e stacionit të punës të përdoruesit. Mund të lidhni lehtësisht një tastierë harduerike (keylogger) me ndërprerjen e tastierës, është gjithashtu e mundur përgjimi i sinjalit nga tastierat me valë. Pajisje të tilla ekzistojnë. Sigurisht, askush nuk do të hyjë në zyrën e kompanisë, por të gjithë e dinë se më i rrezikshmi është spiuni i brendshëm. Ai tashmë ka akses fizik në sistemin tuaj dhe nuk do të jetë e vështirë të vendosni një keylogger, veçanërisht pasi këto pajisje janë të disponueshme për një gamë të gjerë njerëzish. Përveç kësaj, ju nuk mund të zbritni programin - keyloggers. Në fund të fundit, pavarësisht nga të gjitha përpjekjet e administratorëve, mundësia e instalimit të një softueri të tillë "spyware" nuk përjashtohet. A e mbyll përdoruesi gjithmonë stacionin e tij të punës kur largohet nga ai? vendin e punës? A arrin administratori i sistemit të informacionit të sigurojë që përdoruesit të mos i caktohen kompetenca të tepërta, veçanërisht nëse është e nevojshme të përdoren ato të vjetra? produkte softuerike? A ka gjithmonë një administrator, veçanërisht në një kompani të vogël, kualifikime të mjaftueshme për të zbatuar rekomandimet e prodhuesve të softuerëve dhe pajisjeve për ndërtimin e sistemeve të sigurta të informacionit?
Kështu, mund të konkludojmë se vërtetimi i fjalëkalimit në parim nuk është i besueshëm. Prandaj, kërkohet vërtetimi me shumë faktorë dhe në mënyrë të tillë që fjalëkalimi i përdoruesit të mos shtypet në tastierë.
Çfarë mund të na ndihmojë?
Ka kuptim të merret parasysh vërtetimi me dy faktorë: faktori i parë është zotërimi i një fjalëkalimi, i dyti është njohja e kodit pin. Fjalëkalimi i domenit nuk shtypet më në tastierë, që do të thotë se nuk përgjohet keylogger. Përgjimi i një fjalëkalimi të domenit është i mbushur me mundësinë e hyrjes, përgjimi i një kodi pin nuk është aq i rrezikshëm, pasi kërkohet gjithashtu një kartë inteligjente.
Mund të kundërshtohet që përdoruesi mund ta lërë fare mirë kartën e tij në lexues dhe të shkruajë kunjin në afishe, si më parë. Megjithatë, ka sisteme kontrolli që mund të bllokojnë kartën e majtë pasi ajo zbatohet në ATM. Për më tepër, është e mundur të vendoset një kalim në kartë për hyrje / dalje nga zyra, d.m.th. mund të përdorim një kartë me një etiketë RFID, duke kombinuar kështu sistemin e vërtetimit në shërbimin e drejtorisë me sistemin e kontrollit fizik të aksesit. Në këtë rast, për të hapur derën, përdoruesit do t'i duhet karta e tij inteligjente ose token USB, kështu që ai do të duhet ta mbajë gjithmonë me vete.
Përveç kësaj, zgjidhje moderne vërtetimi me dy faktorë përfshin më shumë sesa thjesht të jesh në gjendje të vërtetosh në AD ose AD DS. Përdorimi i kartave inteligjente dhe çelësave USB ndihmon edhe në shumë mënyra të tjera, si qasja në emailin publik, dyqanet online që kërkojnë regjistrim, aplikacionet që kanë shërbimin e tyre të drejtorisë, etj. etj.
Kështu, është e mundur të merret praktikisht ilaç universal vërtetimi.
Zbatimi i vërtetimit me dy faktorë bazuar në kriptografia asimetrike në SHTO.
Shërbimi Active Directory Directory ka mbështetur vërtetimin e kartave inteligjente që nga Windows 2000.
Në thelb, aftësia për të vërtetuar duke përdorur kartat inteligjente është ngulitur në shtesën PKINIT (inicializimi i çelësit publik) për protokollin Kerberos RFC 4556. Shih. Zgjerimi PKINIT lejon përdorimin e certifikatave të çelësit publik gjatë hapit të para-autentifikimit Kerberos.
Kjo bën të mundur përdorimin e kartave inteligjente. Kjo do të thotë, ne mund të flasim për mundësinë e vërtetimit me dy faktorë në Sistemet e Microsoft bazuar fonde të rregullta, duke filluar me Windows 2000, pasi skema Kerberos + PKINIT tashmë është zbatuar.
Shënim. Autentifikimi paraprakKerberos- një proces që nivel shtesë sigurinë. Përfunduar para lëshimitTGT (Biletë Dhënia Biletë) nga serveri i shpërndarjes së çelësave (KDC). përdoret në protokollKerberos v. 5 për të kundërshtuar sulmet e hamendësimit të fjalëkalimeve jashtë linje. Mësoni më shumë se si funksionon protokolliKerberosmund të gjendet në RFC 4120.Cm
Sigurisht, ne po flasim për kompjuterë në domen. Nëse ka nevojë të drejtoheni në vërtetimin me dy faktorë kur punoni grupi i punës, ose kur përdorni më shumë versionet e hershme sistemet operative, do të duhet t'i drejtohemi softuerëve të palëve të treta, siç është SafeNet (Aladdin) eToken Network Logon 5.1. Cm.
Identifikimi mund të sigurohet duke përdorur ose një shërbim drejtorie domeni ose një shërbim të drejtorisë lokale. Në këtë rast, fjalëkalimi i përdoruesit nuk shtypet në tastierë, por transferohet nga ruajtja e sigurt në kartën inteligjente.
Autentifikimi i kartës inteligjente zbatohet përmes zgjerimit Kerberos PKINIT, i cili ofron mundësinë e përdorimit të algoritmeve kriptografike asimetrike.
Në lidhje me kërkesat për zbatimin e përdorimit të kartave inteligjente në lidhje me PKINIT, për funksionimin Sistemet Windows 2000, Windows 2003 Server, ato janë:
Të gjithë kontrolluesit e domenit dhe të gjithë kompjuterët e klientit brenda pyllit ku po zbatohet zgjidhja jonë, ata duhet t'i besojnë Autoritetit të Certifikimit rrënjë (Certification Authority).
· AK-ja që lëshon certifikata për përdorimin e kartës smart duhet të vendoset në dyqanin e Autoritetit NT
Certifikata duhet të përmbajë identifikuesit e hyrjes në kartën inteligjente dhe të vërtetimit të klientit
· Certifikata e kartës inteligjente duhet të përmbajë UPN-në e përdoruesit.
· Certifikata dhe çelësi privat duhet të vendosen në seksionet përkatëse të kartës smart, ndërsa çelësi privat duhet të vendoset në zonën e mbrojtur të memories së smart kartës.
Certifikata duhet të përmbajë shtegun për në pikën e shpërndarjes CRL
· Të gjithë kontrolluesit e domenit duhet të kenë të instaluar certifikatën Authentication të Domain Controller, ose Kerberos Authentication, sepse është zbatuar procesi i vërtetimit të ndërsjellë të klientit dhe serverit.
Një sërë ndryshimesh në kërkesat kanë ndodhur në sistemet operative duke filluar nga Windows Server 2008:
· Zgjatja CRL nuk kërkohet më në certifikatat e hyrjes në kartën inteligjente
· Tani është e mundur të vendoset një marrëdhënie ndërmjet llogari përdorues dhe certifikatë
Regjistrimi i një certifikate është i mundur në çdo seksion të disponueshëm të një karte smart
· Shtesa EKU nuk kërkohet të përfshijë OID të hyrjes në kartën inteligjente, dhe për të qenë i drejtë, nëse planifikoni të përdorni një shabllon të vetëm certifikate për klientët e të gjitha sistemeve operative, atëherë sigurisht që duhet të aktivizohet OID i hyrjes në kartën inteligjente.
Disa fjalë për vetë procedurën e hyrjes së klientit. Nëse flasim për sistemet operative nga Windows Vista dhe më lart, duhet të theksohet se një numër ndryshimesh kanë ndodhur gjithashtu këtu:
· Së pari, procedura e hyrjes në kartën inteligjente nuk fillon më automatikisht kur futni një kartë inteligjente në një lexues kartash ose kur futni çelësin tuaj USB në Porta USB dmth duhet të shtypni Ctrl+Alt+Delete.
· Së dyti, mundësia e shfaqur e përdorimit të çdo slot të kartës inteligjente për ruajtjen e certifikatave i ofron përdoruesit një zgjedhje të një sërë objektesh identifikimi të ruajtura në kartë, ndërsa ky moment certifikata shfaqet si e përdorshme.
konkluzionet
Pra, ne kemi analizuar disa aspekte kryesore në lidhje me pjesën teorike të vërtetimit me dy faktorë në Active Directory Shërbimet e Domenit, dhe ne mund të përmbledhim.
Sigurimi i sigurisë së procesit të vërtetimit në sistem është kritik. Llojet aktuale të thyerjes së fjalëkalimit formojnë nevojën për vërtetim me shumë faktorë.
Për një kompani të vogël, i kufizuar në një politikë të rreptë të mbrojtjes së kredencialeve, futja e softuerit antivirus, privon përdoruesit nga aftësia për të punuar me media e jashtme bllokoni lëshimin e softuerit të paautorizuar, zbatoni rregulloret e punës së përdoruesit, etj. etj.
Kur bëhet fjalë për një kompani të madhe, apo një kompani në të cilën ka një interes të qartë nga ana e ndërhyrësve, këto fonde nuk janë të mjaftueshme. Gabimet dhe informacionet e brendshme mund të minojnë përpjekjet për të ndërtuar një sistem mbrojtjeje, kështu që ju duhet të zgjidhni një rrugë tjetër. Këtu tashmë ka kuptim të flasim për zbatimin e vërtetimit të sigurt.
Përdorimi i vërtetimit me dy faktorë − vendim i mirë në aspektin e sigurisë.
Ne kemi një faktor të dytë të vërtetimit, përveç kodit pin, përdoruesi duhet të ketë edhe një kartë smart ose çelës USB.
Përdorimi i kartave inteligjente ose çelësat USB na jep mundësinë për të ofruar vërtetim me dy faktorë në mjediset AD dhe AD DS.
Në një nga artikujt e mëposhtëm, unë do të përshkruaj se si kryhet në praktikë zbatimi i vërtetimit me dy faktorë. Ne do të shikojmë vendosjen dhe konfigurimin e një Infrastrukture të Autoritetit të Certifikatës (PKI) në bazuar në Windows Serveri 2008 Ndërmarrja R2.
Bibliografi.
http://www.rfc-archive.org/getrfc.php?rfc=4556
http://www.rfc-archive.org/getrfc.php?rfc=4120
http://www.aladdin.ru/catalog/etoken_products/logon
NCSC-TG-017 - "Një udhëzues për të kuptuar identifikimin dhe vërtetimin në sistemet e besueshme", botuar nga U.S. Qendra Kombëtare e Sigurisë Kompjuterike.
RFC4120 - Shërbimi i vërtetimit të rrjetit Kerberos (V5)
RFC4556 - Kriptografia e çelësit publik për vërtetimin fillestar në Kerberos (PKINIT)
Brian Komar Windows Server 2008 PKI dhe Siguria e Certifikatës
Leonid Shapiro,
MCT, MCSE:S, MCSE:M, MCITP EA, Trajner i certifikuar TMS
Nëse një fjalëkalim është e vetmja pengesë për të hyrë në të dhënat tuaja, ju jeni në rrezik të madh. Leja mund të grumbullohet, kapet, tërhiqet zvarrë me një trojan, të peshkohet me ndihmën e inxhinierisë sociale. Mos e përdorni në këtë skenar autorizimi me dy faktorë- pothuajse një krim.
Ne kemi folur tashmë për çelësat një herë më shumë se një herë. Kuptimi është shumë i thjeshtë. Nëse një sulmues arrin disi të marrë fjalëkalimin tuaj të hyrjes, atëherë ai mund të hyjë lehtësisht në postën tuaj ose të lidhet me të server në distancë. Por nëse është në rrugën e tij faktor shtesë, për shembull, një çelës një herë (i quajtur edhe një çelës OTP), atëherë asgjë nuk do të vijë prej tij. Edhe nëse një çelës i tillë arrin te një sulmues, nuk do të jetë më i mundur përdorimi i tij, pasi është i vlefshëm vetëm një herë. Një faktor i tillë i dytë mund të jetë një telefonatë shtesë, një kod i marrë me SMS, një çelës i krijuar në telefon sipas algoritmeve të caktuara bazuar në kohën aktuale (koha është një mënyrë për të sinkronizuar algoritmin në klient dhe server). E njëjta Google tashmë prej kohësh u rekomandon përdoruesve të tij që të mundësojnë vërtetimin me dy faktorë (disa klikime në cilësimet e llogarisë). Tani është radha për të shtuar një shtresë të tillë mbrojtjeje për shërbimet tuaja!
Çfarë ofron Duo Security?
Shembull banal. Kompjuteri im "jashtë" ka një port RDP të hapur për lidhje me desktopin në distancë. Nëse fjalëkalimi i hyrjes rrjedh, sulmuesi do të marrë menjëherë akses të plotë tek makina. Prandaj, nuk bëhej fjalë për forcimin e mbrojtjes së fjalëkalimit OTP - thjesht duhej bërë. Ishte marrëzi të rishpikësh timonin dhe të përpiqesha të zbatoja gjithçka vetë, kështu që thjesht shikova zgjidhjet që janë në treg. Shumica e tyre doli të ishin komerciale (më shumë në shiritin anësor), por për një numër të vogël përdoruesish ato mund të përdoren falas. Vetëm ajo që ju nevojitet për shtëpinë. Një nga shërbimet më të suksesshme që ju lejon të organizoni autorizimin me dy faktorë për fjalë për fjalë çdo gjë (përfshirë VPN, SSH dhe RDP) doli të ishte Duo Security (www.duosecurity.com). Ajo që shtoi atraktivitetin e tij ishte fakti se zhvilluesi dhe themeluesi i projektit është John Oberheid, një specialist i njohur i sigurisë së informacionit. Ai, për shembull, hapi protokollin e komunikimit midis Google dhe Telefonat inteligjentë Android, me të cilin mund të instaloni ose hiqni aplikacione arbitrare. Një bazë e tillë e bën veten të ndjehet: për të treguar rëndësinë e autorizimit me dy faktorë, djemtë lançuan shërbimin VPN Hunter (www.vpnhunter.com), i cili mund të gjejë shpejt serverët VPN të pafshehur të kompanisë (dhe në të njëjtën kohë të përcaktojë llojin të pajisjeve në të cilat ata punojnë), shërbimet e aksesit në distancë (OpenVPN, RDP, SSH) dhe elementë të tjerë të infrastrukturës që lejojnë një sulmues të hyjë në rrjetin e brendshëm thjesht duke ditur hyrjen dhe fjalëkalimin. Është qesharake që në Twitter-in zyrtar të shërbimit, pronarët filluan të publikojnë raporte ditore për skanimin e kompanive të njohura, pas së cilës llogaria u ndalua :). Shërbimi Duo Security, natyrisht, synon kryesisht futjen e vërtetimit me dy faktorë në kompanitë me një numër të madh përdoruesish. Për fat të mirë për ne, është e mundur të krijoni një llogari personale falas që ju lejon të konfiguroni pa pagesë vërtetimin me dy faktorë për deri në dhjetë përdorues.
Cili mund të jetë faktori i dytë?
Më pas, do të shikojmë se si të forcojmë sigurinë e një lidhjeje me desktop në distancë, si dhe SSH në një server, në vetëm dhjetë minuta. Por së pari, dua të flas për hapin shtesë që prezanton Duo Security si një faktor të dytë autorizimi. Ka disa opsione: thirrje telefonike, SMS me kodkalime, kodkalime Duo Mobile, Duo Push, çelës elektronik. Pak më shumë për secilën.
Sa kohë mund ta përdorni falas?
Siç është përmendur tashmë, Duo Security ofron një speciale plani tarifor"Personale". Është absolutisht falas, por numri i përdoruesve duhet të jetë jo më shumë se dhjetë. Mbështet shtimin e një numri të pakufizuar integrimesh, të gjitha metodat e disponueshme të vërtetimit. Ofron një mijë kredi falas për shërbimet e telefonisë. Kreditë janë, si të thuash, një monedhë e brendshme që debitohet nga llogaria juaj sa herë që ndodh një vërtetim duke përdorur një telefonatë ose SMS. Në cilësimet e llogarisë, mund ta vendosni në mënyrë që kur të arrini numrin e specifikuar të krediteve, të merrni një njoftim për sapunin dhe të keni kohë për të rimbushur bilancin. Një mijë kredite kushtojnë vetëm 30 dollarë. Çmimi për thirrjet dhe SMS për vende të ndryshme eshte ndryshe. Për Rusinë, një telefonatë do të kushtojë nga 5 në 20 kredite, SMS - 5 kredite. Megjithatë, telefonata që ndodh kur vërtetohet në sajtin e Duo Security nuk tarifohet. Ju mund t'i harroni plotësisht kreditet nëse përdorni aplikacionin Duo Mobile për vërtetim - asgjë nuk tarifohet për të.
Regjistrim i lehtë
Për të mbrojtur serverin tuaj me Duo Security, duhet të shkarkoni dhe instaloni një klient të veçantë që do të ndërveprojë me serverin e vërtetimit të Duo Security dhe do të sigurojë një shtresë të dytë mbrojtjeje. Prandaj, ky klient do të jetë i ndryshëm në secilën situatë: në varësi të vendit ku saktësisht është e nevojshme të zbatohet autorizimi me dy faktorë. Për këtë do të flasim më poshtë. Gjëja e parë që duhet të bëni është të regjistroheni në sistem dhe të merrni një llogari. Prandaj, ne hapemi faqen kryesore faqe, klikoni "Provë falas", në faqen që hapet, klikoni butonin "Këndoni" nën llojin e llogarisë personale. Pas kësaj, na kërkohet të fusim emrin, mbiemrin, adresën e emailit dhe emrin e kompanisë. Ju duhet të merrni një email që përmban një lidhje për të konfirmuar regjistrimin tuaj. Në këtë rast, sistemi do të telefonojë automatikisht telefonin e specifikuar: për të aktivizuar llogarinë tuaj, duhet t'i përgjigjeni thirrjes dhe të shtypni butonin # në telefonin tuaj. Pas kësaj, llogaria do të jetë aktive dhe mund të filloni provat luftarake.
Mbrojtja e RDP
E thashë më lart se e kam nisur me një dëshirë të madhe për të siguruar lidhjet në distancë në desktopin tuaj. Prandaj, si shembull i parë, unë do të përshkruaj se si të forcohet siguria e RDP.
- Çdo zbatim i vërtetimit me dy faktorë fillon me veprim i thjeshtë: Krijo një të ashtuquajtur integrim në profilin Duo Security. Shkoni te seksioni "Integrimet Integrimi i ri", specifikoni emrin e integrimit (për shembull, "Home RDP"), zgjidhni llojin e tij "Microsoft RDP" dhe klikoni "Shto Integrim".
- Dritarja që shfaqet shfaq parametrat e integrimit: çelësi i integrimit, çelësi sekret, emri i hostit API. Do të na duhen më vonë kur t'i vendosim anën e klientit. Është e rëndësishme të kuptohet: askush nuk duhet t'i njohë ato.
- Më pas, duhet të instaloni një klient të veçantë në makinën e mbrojtur, i cili do të instalojë gjithçka që ju nevojitet në sistemin Windows. Mund të shkarkohet nga faqja zyrtare ose të merret nga disku ynë. I gjithë konfigurimi i tij zbret në faktin se gjatë procesit të instalimit do të jetë e nevojshme të futni çelësin e Integrimit, çelësin sekret, emrin e hostit API të përmendur më lart.
- Kjo, në fakt, është e gjitha. Tani, herën tjetër që të hyni në server nëpërmjet RDP, do të ketë tre fusha në ekran: emri i përdoruesit, fjalëkalimi dhe çelësi i njëhershëm Duo. Prandaj, me vetëm një fjalëkalim hyrje-hyrje, nuk është më e mundur të identifikohesh në sistem.
Herën e parë që një përdorues i ri përpiqet të identifikohet, do të duhet të kalojë një herë procesin e verifikimit të Duo Security. Shërbimi do t'i japë atij një lidhje të veçantë, duke klikuar mbi të cilën duhet të futni numrin tuaj të telefonit dhe të prisni për një telefonatë verifikimi. Për të marrë çelësat shtesë(ose merrni ato për herë të parë), mund të futni fjalën kyçe "sms". Nëse dëshironi të vërtetoni me një telefonatë - futni "phone", nëse me Duo Push - "shtyni". Historia e të gjitha përpjekjeve për lidhje (si të suksesshme ashtu edhe të pasuksesshme) me serverin mund të shihet në llogarinë tuaj në faqen e internetit të Duo Security duke zgjedhur fillimisht integrimin e dëshiruar dhe duke shkuar te "Regjistri i vërtetimit".
Ne e lidhim Duo Security kudo!
Duke përdorur vërtetimin me dy faktorë, ju mund të mbroni jo vetëm RDP ose SSH, por edhe VPN, serverë RADIUS dhe çdo shërbim në internet. Për shembull, ka klientë të jashtëm që shtojnë një shtresë shtesë të vërtetimit në motorët e njohur Drupal dhe WordPress. Nëse nuk ka klient të gatshëm, nuk duhet të shqetësoheni: gjithmonë mund të shtoni vërtetimin me dy faktorë për aplikacionin ose faqen tuaj të internetit kur Ndihmë API ofruar nga sistemi. Logjika e API është e thjeshtë - ju bëni një kërkesë në një URL metodë e caktuar dhe analizoni përgjigjen e kthyer, e cila mund të vijë format json(ose BSON, XML). Dokumentacioni i plotë mbi Duo REST API është i disponueshëm në faqen zyrtare të internetit. Unë vetëm do të them se ekzistojnë metoda ping, kontroll, preauth, auth, status, nga emri i të cilave është e lehtë të merret me mend se për çfarë synohen.
Sigurimi i SSH
Konsideroni një lloj tjetër integrimi - "Integrimi UNIX" për të zbatuar vërtetimin e sigurt. Ne shtojmë një integrim tjetër në profilin tonë të Duo Security dhe vazhdojmë të instalojmë klientin në sistem.
Burimet e kësaj të fundit mund t'i shkarkoni në bit.ly/IcGgk0 ose ta merrni nga disku ynë. une e perdora Versioni i fundit- 1.8. Nga rruga, klienti funksionon në shumicën e platformave nix, kështu që mund ta instaloni lehtësisht në FreeBSD, NetBSD, OpenBSD, Mac OS X, Solaris/Illumos, HP-UX dhe AIX. Procesi i ndërtimit është standard - konfiguroni && bëni && sudo make install. E vetmja gjë që do të rekomandoja është përdorimi i konfigurimit me opsionin --prefix=/usr, përndryshe klienti mund të mos gjejë bibliotekat e nevojshme në fillim. Pas instalimit të suksesshëm, ne shkojmë në modifikimin e skedarit të konfigurimit /etc/duo/login_duo.conf. Kjo duhet të bëhet nga rrënja. Të gjitha ndryshimet që duhen bërë në punë e suksesshme, është të vendosni vlerat e çelësit të Integrimit, çelësit sekret, të emrit të hostit të API, të cilat mund të gjenden në faqen e integrimit.
; Tasti i integrimit Duo = INTEGRATION_KEY; Çelësi sekret i dyfishtë = SECRET_KEY; Duo API hostnamehost = API_HOSTNAME
Për të detyruar të gjithë përdoruesit që hyjnë në serverin tuaj nëpërmjet SSH të përdorin vërtetimin me dy faktorë, thjesht shtoni rreshti tjetër në skedarin /etc/ssh/sshd_config:
> ForceCommand /usr/local/sbin/login_duo
Është gjithashtu e mundur të organizohet vërtetimi me dy faktorë vetëm për përdoruesit individualë duke i kombinuar në një grup dhe duke specifikuar këtë grup në skedarin login_duo.conf:
>grup=rrota
Që ndryshimet të hyjnë në fuqi, mbetet vetëm rinisja e demonit ssh. Tani e tutje, pas futjes me sukses të fjalëkalimit të hyrjes, përdoruesit do t'i kërkohet vërtetim shtesë. Një hollësi e konfigurimit ssh duhet të theksohet veçmas - rekomandohet fuqimisht të çaktivizoni opsionet PermitTunnel dhe AllowTcpForwarding në skedarin e konfigurimit, pasi demon i zbaton ato përpara se të fillojë fazën e dytë të vërtetimit. Kështu, nëse një sulmues e fut saktë fjalëkalimin, ai mund të ketë akses në rrjeti i brendshëm para përfundimit të fazës së dytë të vërtetimit për shkak të port-forwarding. Për të shmangur këtë efekt, shtoni opsionet e mëposhtme në sshd_config:
PermitTunnel noAllowTcpForwarding nr
Tani serveri juaj është pas një muri të dyfishtë dhe është shumë më e vështirë për një sulmues të hyjë në të.
Cilësimet shtesë
Nëse hyni në llogarinë tuaj të Duo Security dhe shkoni te seksioni "Cilësimet", mund të ndryshoni disa cilësime për veten tuaj. Seksioni i parë i rëndësishëm është "Thirrjet telefonike". Kjo specifikon cilësimet që do të jenë në fuqi kur përdoret një telefonatë për të konfirmuar vërtetimin. Artikulli "Testat e kthimit të telefonatës zanore" ju lejon të vendosni se cilin çelës telefoni duhet të shtypni për të konfirmuar vërtetimin. Si parazgjedhje, vlera "Shtypni çdo çelës për të vërtetuar" është atje - domethënë, mund të shtypni çdo çelës. Nëse e vendosni vlerën në "Shtypni çelësa të ndryshëm për të vërtetuar ose për të raportuar mashtrimin", atëherë do t'ju duhet të vendosni dy çelësa: shtypja e të parit konfirmon vërtetimin (Testi për vërtetim), shtypja e të dytit (Testi për të raportuar mashtrimin) do të thotë që ne nuk e kemi inicuar procesin e vërtetimit, domethënë dikush ka marrë fjalëkalimin tonë dhe po përpiqet ta përdorë atë për të hyrë në server. Artikulli "Kodet e kalimit SMS" ju lejon të vendosni numrin e kodeve që do të përmbajë një SMS dhe jetëgjatësinë (vlefshmërinë e tyre). Parametri "Lockout and fraud" ju lejon të vendosni adresën e emailit që do të marrë një alarm në rast të një numri të caktuar përpjekjet e dështuara hyni në server.
Përdorni!
Çuditërisht, shumë ende injorojnë vërtetimin me dy faktorë. Nuk e kuptoj pse. Kjo me të vërtetë shton shumë siguri. Ju mund ta zbatoni atë për pothuajse çdo gjë, dhe zgjidhjet e denja janë në dispozicion falas. Pra, pse? Nga dembelizmi apo pakujdesia.
Shërbime të ngjashme
- nënkuptojnë(www.signify.net) Shërbimi ofron tre opsione për organizimin e vërtetimit me dy faktorë. E para është përdorimi çelësat elektronikë. Mënyra e dytë është përdorimi i çelësave, të cilët dërgohen në telefonin e përdoruesit me SMS ose vijnë tek email. Opsioni i tretë - aplikacioni celular për telefonat android, iPhone, BlackBerry, i cili gjeneron fjalëkalime një herë (në fakt, një analog i Duo Mobile). Shërbimi u drejtohet kompanive të mëdha, kështu që paguhet plotësisht.
- SecurEnvoy(www.securenvoy.com) Gjithashtu ju lejon të përdorni telefonin tuaj celular si një shtresë të dytë sigurie. Passkeys i dërgohen përdoruesit me SMS ose e-mail. Çdo mesazh përmban tre çelësa kalimi, që do të thotë se përdoruesi mund të identifikohet tre herë përpara se të kërkojë një pjesë të re. Shërbimi është gjithashtu me pagesë, por ofron një periudhë 30-ditore falas. Një plus i rëndësishëm është një numër i madh i integrimeve vendase dhe të palëve të treta.
- PhoneFactor(www.phonefactor.com) Ky shërbim ju lejon të organizoni vërtetim falas me dy faktorë për deri në 25 përdorues, duke siguruar 500 vërtetime falas në muaj. Për të organizuar mbrojtjen, do t'ju duhet të shkarkoni dhe instaloni një klient të veçantë. Nëse keni nevojë të shtoni vërtetim me dy faktorë në faqen tuaj, mund të përdorni SDK-në zyrtare, e cila ofron dokumentacion të detajuar dhe shembuj për gjuhët e mëposhtme të programimit: ASP.NET C#, ASP.NET VB, Java, Perl, Ruby, PHP.
- tutorial
Disa prej jush duhet të kenë dëgjuar për ngjarjen, e cila u bë publike së fundmi. Prodhuesi amerikan i gjysmëpërçuesve Allegro MicroSystem LLC ka paditur ish-specialistin e tij IT për sabotim. Nimesh Patel, i cili punon prej 14 vitesh në kompani, ka shkatërruar të dhëna të rëndësishme financiare në javën e parë të vitit të ri fiskal.
Si ndodhi?
Dy javë pasi u pushua nga puna, Patel hyri në selinë e kompanisë në Worcester, Massachusetts, SHBA, për të kapur rrjetin Wi-Fi të kompanisë. Duke përdorur kredencialet e një ish-kolegu dhe një laptopi pune, Patel hyri në rrjetin e korporatës. Më pas ai injektoi kodin në modulin Oracle dhe e programoi që të funksiononte më 1 prill 2016, javën e parë të vitit të ri fiskal. Kodi kishte për qëllim të kopjonte disa tituj ose tregues në një tabelë të veçantë të bazës së të dhënave dhe më pas t'i hiqte ato nga moduli. Pikërisht më 1 prill të dhënat janë fshirë nga sistemi. Dhe meqenëse sulmuesi hyri legalisht në rrjetin Allegro, veprimet e tij nuk u vunë re menjëherë.
Publiku i gjerë nuk i di detajet, por ka shumë të ngjarë që incidenti u bë i mundur kryesisht për faktin se kompania përdori vërtetimin e fjalëkalimit për të hyrë në rrjet. Sigurisht që ka pasur probleme të tjera sigurie, por është fjalëkalimi që mund të vidhet pa e vënë re përdoruesi dhe fakti i vjedhjes së fjalëkalimit nuk do të zbulohet, në rastin më të mirë deri në pikën e përdorimit të kredencialeve të vjedhura.
Përdorimi i vërtetimit të fortë me dy faktorë dhe ndalimi i përdorimit të fjalëkalimeve, i kombinuar me një politikë sigurie kompetente, mund të ndihmojë, nëse jo të shmangë zhvillimin e përshkruar të ngjarjeve, atëherë ta komplikojë shumë zbatimin e një plani të tillë.
Ne do të flasim se si mund të rrisni ndjeshëm nivelin e sigurisë së kompanisë suaj dhe të mbroheni nga incidente të tilla. Do të mësoni se si të vendosni vërtetimin dhe nënshkrimin e të dhënave të rëndësishme duke përdorur argumente dhe kriptografi (të huaja dhe vendase).
Në artikullin e parë, ne do të shpjegojmë se si të vendosni një vërtetim të fortë me dy faktorë duke përdorur PKI kur hyni në një llogari domeni në Windows.
Në artikujt e mëposhtëm, ne do t'ju tregojmë se si të konfiguroni Bitlocker, email të sigurt dhe rrjedhën më të thjeshtë të punës. Së bashku me ju, ne do të krijojmë qasje të sigurt në burimet e korporatës dhe të sigurt akses në distancë nga VPN.
Autentifikimi me dy faktorë
Me eksperiencë administratorët e sistemit dhe shërbimet e sigurisë e dinë mirë se përdoruesit janë jashtëzakonisht të pandërgjegjshëm në çështjen e politikave të sigurisë, ata mund të shkruajnë kredencialet e tyre në një shënim ngjitës dhe ta ngjitin atë pranë kompjuterit, të transferojnë fjalëkalime te kolegët e tyre dhe të ngjashme. Kjo ndodh veçanërisht shpesh kur fjalëkalimi është kompleks (që përmban më shumë se 6 karaktere dhe përbëhet nga shkronja të rasteve, numrave dhe personazhe të veçanta) dhe është e vështirë të mbahet mend. Por politika të tilla vendosen nga administratorët për një arsye. Kjo është e nevojshme për të mbrojtur llogarinë e përdoruesit nga një kërkim i thjeshtë në fjalor i fjalëkalimeve. Gjithashtu, administratorët rekomandojnë ndryshimin e fjalëkalimeve të paktën një herë në 6 muaj, thjesht duke pasur parasysh se gjatë kësaj kohe edhe një fjalëkalim kompleks teorikisht mund të jetë i detyruar.
Le të kujtojmë se çfarë është vërtetimi. Në rastin tonë, ky është procesi i konfirmimit të identitetit të një subjekti ose objekti. Autentifikimi i përdoruesit është procesi i verifikimit të identitetit të një përdoruesi.
Autentifikimi me dy faktorë është një vërtetim që kërkon të paktën dy mënyra të ndryshme për të verifikuar identitetin tuaj.
Shembulli më i thjeshtë i vërtetimit me dy faktorë në jeta realeështë një kasafortë me një bravë dhe një kombinim kodesh. Për të hapur një kasafortë të tillë, duhet të dini kodin dhe të zotëroni çelësin.
Token dhe kartë inteligjente
Ndoshta metoda më e besueshme dhe më e lehtë për t'u zbatuar e vërtetimit me dy faktorë është përdorimi i një token kriptografik ose kartë inteligjente. Një shenjë është një pajisje USB që është njëkohësisht lexues dhe kartë inteligjente. Faktori i parë në këtë rast është fakti i pronësisë së pajisjes dhe i dyti është njohja e kodit PIN të saj.
Përdorni një token ose një kartë inteligjente, cilado që është më e përshtatshme për ju. Por historikisht, ndodhi që në Rusi ata janë më të mësuar të përdorin argumente, pasi nuk kërkojnë përdorimin e lexuesve të integruar ose të jashtëm të kartave inteligjente. Shenjat gjithashtu kanë anët e tyre negative. Për shembull, nuk mund të printoni një foto në të.
Fotografia tregon një kartë tipike smart dhe lexues.
Por përsëri te siguria e korporatës.
Dhe ne do të fillojmë me domenin Windows, sepse në shumicën e kompanive në Rusi rrjeti i korporatës është ndërtuar rreth tij.
Siç e dini, politikat e domenit të Windows, cilësimet e përdoruesit dhe cilësimet e grupit në Active Directory ofrojnë dhe kufizojnë aksesin në një numër i madh aplikacionet dhe shërbimet e rrjetit.
Duke mbrojtur një llogari në një domen, ne mund të mbrojmë shumicën dhe në disa raste të gjitha burimet e brendshme të informacionit.
Pse vërtetimi me dy faktorë në një domen duke përdorur një token me një kod PIN është më i sigurt se një skemë e zakonshme fjalëkalimi?
Kodi PIN i lidhur me pajisje specifike, në rastin tonë në shenjë. Njohja e kodit PIN në vetvete nuk jep asgjë.
Për shembull, një kod PIN nga një shenjë mund t'u diktohet me telefon personave të tjerë dhe kjo nuk do t'i japë asgjë një sulmuesi nëse e trajtoni tokenin me mjaft kujdes dhe nuk e lini pa mbikëqyrje.
Me një fjalëkalim, situata është krejtësisht e ndryshme, nëse një sulmues ka marrë, hamendësuar, spiunuar ose ka marrë disi fjalëkalimin nga një llogari në domen, atëherë ai do të jetë në gjendje të hyjë lirshëm si në vetë domenin ashtu edhe në kompaninë tjetër. shërbimet që përdorin të njëjtën llogari.
Një shenjë është një objekt fizik unik i pa kopjueshëm. Ai është në pronësi të një përdoruesi legjitim. Autentifikimi me dy faktorë me anë të tokenit mund të anashkalohet vetëm kur administratori me dashje ose nëpërmjet një mbikëqyrjeje ka lënë "boshllëqe" në sistem për këtë.
Përfitimet e hyrjes në një domen me një shenjë
Kodi PIN nga token është më i lehtë për t'u mbajtur mend, pasi mund të jetë shumë më e lehtë se një fjalëkalim. Të gjithë duhet të kenë parë të paktën një herë në jetën e tyre se si një përdorues "me përvojë" me dhimbje nuk mund të vërtetojë në sistem pas disa përpjekjeve, duke kujtuar dhe futur fjalëkalimin e tij "të sigurt".
PIN-i nuk ka nevojë të ndryshohet vazhdimisht, pasi shenjat janë më rezistente ndaj forcës brutale të PIN-it. Pas një numri të caktuar përpjekjesh hyrëse të pasuksesshme, token bllokohet.
Kur përdorni një shenjë për një përdorues, hyrja është si më poshtë: pasi kompjuteri të ndizet, ai thjesht fut tokenin në portën USB të kompjuterit, fut 4-6 shifra dhe shtyp butonin Enter. Shpejtësia e hyrjes shifrore njerëzit e zakonshëm më e lartë se shpejtësia e futjes së shkronjave. Prandaj, kodi PIN futet më shpejt.
Shenjat zgjidhin problemin e "vendit të punës të braktisur" - kur një përdorues largohet nga vendi i tij i punës dhe harron të dalë nga llogaria e tij.
Politika e domenit mund të konfigurohet për të kyçur automatikisht kompjuterin kur të merret token. Gjithashtu, token mund të pajiset me një etiketë RFID për kalimin midis ambienteve të kompanisë, kështu që pa marrë shenjën nga vendi i tij i punës, punonjësi thjesht nuk do të jetë në gjendje të lëvizë nëpër territor.
Disavantazhet, ku pa to
Shenjat ose kartat inteligjente nuk janë falas (të vendosura nga buxheti).
Ato duhet të llogariten, administrohen dhe mirëmbahen (të vendosura nga sistemet e menaxhimit të shenjave dhe kartat inteligjente).
Disa Sistemet e Informacionit mund të mos mbështesë vërtetimin me shenja jashtë kutisë (ai zgjidhet nga sistemet Single Sign-On - projektuar për të organizuar mundësinë e përdorimit të një llogarie të vetme për të hyrë në çdo burim të rajonit).
Vendosja e vërtetimit me dy faktorë në një domen Windows
Pjesa teorike:
Shërbimi i direktoriumit Active Directory mbështet vërtetimin e kartave inteligjente dhe tokenit që nga Windows 2000. Ai është i integruar në shtesën PKINIT (inicializimi i çelësit publik) për protokollin Kerberos RFC 4556.
Protokolli Kerberos u krijua posaçërisht për të siguruar vërtetim të fortë të përdoruesit. Mund të përdorë ruajtjen e centralizuar të të dhënave të vërtetimit dhe është baza për ndërtimin e mekanizmave Single Sing-On. Protokolli bazohet në entitetin kryesor Ticket (ticket).
Bileta (biletë) është një paketë e koduar e të dhënave që lëshohet nga një qendër e besuar e vërtetimit, në kuptim të protokollit Kerberos - Qendra e Shpërndarjes së Çelësave (KDC, qendra e shpërndarjes së çelësave).
Kur një përdorues kryen vërtetimin parësor pas vërtetimit të suksesshëm të përdoruesit, KDC lëshon identitetin kryesor të përdoruesit për aksesin në burimet e rrjetit, Biletën e Dhënies së Biletave (TGT).
Në të ardhmen, kur hyn në burime individuale të rrjetit, përdoruesi, duke paraqitur TGT, merr nga KDC një identitet për të hyrë në një burim specifik të rrjetit - Shërbimi i Dhënies së Biletave (TGS).
Një nga avantazhet e protokollit Kerberos, i cili ofron nivel të lartë siguria, është se gjatë çdo ndërveprimesh as fjalëkalimet dhe as vlerat e hash-it të fjalëkalimit nuk transmetohen në tekst të qartë.
Zgjatja PKINIT ju lejon të përdorni vërtetimin me dy faktorë duke përdorur shenja ose karta inteligjente gjatë fazës së vërtetimit paraprak të Kerberos.
Identifikimi mund të sigurohet duke përdorur ose një shërbim drejtorie domeni ose një shërbim të drejtorisë lokale. TGT është krijuar në bazë të nënshkrim elektronik, e cila llogaritet në një kartë inteligjente ose token.
Të gjithë kontrolluesit e domenit duhet të kenë të instaluar certifikatën "Vërtetimi i Kontrolluesit të Domenit" ose "Kerberos Authentication", sepse është zbatuar procesi i vërtetimit të ndërsjellë të klientit dhe serverit.
Praktikoni:
Le të fillojmë të konfigurojmë.
Ne do të sigurohemi që ju të mund të futni domenin nën llogarinë tuaj vetëm pasi të keni paraqitur kodin dhe duke ditur kodin PIN.
Për demonstrim, ne do të përdorim Rutoken EDS PKI të prodhuar nga Aktiv.
Faza 1 - Vendosja e një domeni Hapi i parë është instalimi i Shërbimeve të Certifikatës.
Mohim përgjegjësie.
Ky artikull nuk është një tutorial se si të zbatoni një PKI të ndërmarrjes. Çështjet e projektimit, vendosjes dhe përdorimit me kompetencë të PKI nuk merren parasysh këtu për shkak të pafundësisë së kësaj teme.
Të gjithë kontrolluesit e domenit dhe të gjithë kompjuterët e klientëve brenda pyllit ku po zbatohet një zgjidhje e tillë duhet domosdoshmërisht t'i besojnë Autoritetit të Certifikimit rrënjë (Autoriteti i Certifikimit).
Detyra e autoritetit të certifikimit është të vërtetojë çelësat e enkriptimit duke përdorur certifikatat e nënshkrimit elektronik.
Teknikisht, CA zbatohet si një komponent i shërbimit global të drejtorive përgjegjës për menaxhimin e çelësave kriptografikë të përdoruesve. Çelësat publikë dhe informacione të tjera rreth përdoruesve ruhen nga autoritetet e certifikimit në formën e certifikatave dixhitale.
AK që lëshon certifikata për përdorimin e kartave inteligjente ose tokeneve duhet të vendoset në dyqanin e Autoritetit NT.
Shkoni te Menaxheri i Serverit dhe zgjidhni "Shto role dhe veçori".
Kur shtoni role serveri, zgjidhni "Shërbimet e certifikatës së drejtorisë aktive" (Microsoft rekomandon fuqimisht që të mos e bëni këtë në një kontrollues domeni, në mënyrë që të mos përkeqësoni problemet e performancës). Në dritaren që hapet, zgjidhni "Shto veçori" dhe zgjidhni "Autoriteti i Certifikatës".
Në faqen për të konfirmuar instalimin e komponentëve, klikoni "Instalo".
Faza 2 - Vendosja e hyrjes në domen duke përdorur një shenjë
Për t'u identifikuar, na duhet një certifikatë që përmban ID-të e hyrjes në kartën inteligjente dhe të vërtetimit të klientit.
Certifikata për kartat inteligjente ose tokenat duhet të përmbajë gjithashtu UPN-në e përdoruesit (prapashtesa e emrit kryesor të përdoruesit). Si parazgjedhje, prapashtesa UPN për një llogari është emri DNS i domenit që përmban llogarinë e përdoruesit.
Certifikata dhe çelësi privat duhet të vendosen në seksionet përkatëse të kartës inteligjente ose tokenit, ndërsa çelësi privat duhet të jetë në një zonë të sigurt të memories së pajisjes.
Certifikata duhet të përmbajë shtegun për në pikën e shpërndarjes CRL. Një skedar i tillë përmban një listë certifikatash, duke treguar numrin serial të certifikatës, datën e revokimit dhe arsyen e revokimit. Përdoret për të komunikuar informacione rreth certifikatave të revokuara te përdoruesit, kompjuterët dhe aplikacionet që përpiqen të verifikojnë vërtetësinë e një certifikate.
Le të konfigurojmë shërbimet e instaluara të certifikatave. Në këndin e sipërm të djathtë, klikoni në trekëndëshin e verdhë me pikëçuditëse dhe klikoni "Konfiguro shërbimet e certifikatës...".
Në dritaren Kredencialet, zgjidhni kredencialet e kërkuara të përdoruesit për të konfiguruar rolin. Zgjidhni "Autoriteti i Certifikatës".
Zgjidhni Enterprise CA.
AK-të e ndërmarrjeve janë të integruara me AD. Ata publikojnë certifikata dhe CRL në AD.
Specifikoni llojin "Root CA".
Në hapin tjetër, zgjidhni "Krijo një çelës të ri privat".
Zgjidhni periudhën e vlefshmërisë për certifikatën.
Hapi 3 - Shtimi i modeleve të certifikatave
Për të shtuar shabllone certifikatash, hapni Panelin e Kontrollit, zgjidhni Veglat Administrative dhe hapni Autoritetin e Certifikimit.
Klikoni në emrin e dosjes "Modelet e Certifikatës", zgjidhni "Menaxho".
Klikoni në emrin e shabllonit "Përdoruesi i kartës inteligjente" dhe zgjidhni "Kopjo shabllonin". Pamjet e mëposhtme të ekranit tregojnë se cilat opsione në dritaren Karakteristikat e modelit të ri duhet të ndryshohen.
Nëse nuk ka "Aktiv ruToken CSP v1.0" në listën e ofruesve, atëherë duhet të instaloni kompletin "Rutoken Drivers for Windows".
Duke filluar me Windows Server 2008 R2, ju mund të përdorni "Microsoft Base Smart Card Crypto Provider" në vend të ofruesit specifik të shitësit.
Për pajisjet Rutoken, biblioteka "minidriver" që mbështet "Microsoft Base Smart Card Crypto Provider" shpërndahet nëpërmjet Windows Update.
Ju mund të kontrolloni nëse "minidriver" është i instaluar në serverin tuaj duke lidhur Rutoken me të dhe duke kërkuar në menaxherin e pajisjes.
Nëse për ndonjë arsye nuk ka "minidriver", mund ta detyroni duke instaluar kompletin "Rutoken Drivers for Windows" dhe më pas përdorni "Microsoft Base Smart Card Crypto Provider".
Kompleti Rutoken Drivers për Windows shpërndahet pa pagesë nga faqja e internetit Rutoken.
Shtoni dy shabllone të rinj "Agjenti i certifikimit" dhe "Përdoruesi me Rutoken".
Në dritaren "Snap-in e Menaxherit të Certifikatës", zgjidhni "Llogaria ime e përdoruesit". Në dritaren Add/Remove Snap-in, konfirmoni shtimin e certifikatave.
Zgjidhni dosjen "Certifikatat".
Kërkoni një certifikatë të re. Do të hapet faqja për regjistrimin e certifikatës. Në hapin e kërkesës për certifikatë, zgjidhni politikën e regjistrimit "Administrator" dhe klikoni "Aplikoni".
Në të njëjtën mënyrë, kërkoni një certifikatë për Agjentin e Regjistrimit.
Për të kërkuar një certifikatë për një përdorues specifik, klikoni "Certifikatat", zgjidhni "Regjistrohu si...".
Në dritaren për të kërkuar një certifikatë, kontrolloni kutinë "Përdorues me Rutoken".
Tani ju duhet të zgjidhni një përdorues.
Në fushën "Futni emrat e objekteve të zgjedhura", vendosni emrin e përdoruesit në domen dhe klikoni "Kontrollo emrin".
Në dritaren për zgjedhjen e një përdoruesi, klikoni "Aplikacioni".
Zgjidhni emrin e tokenit nga lista rënëse dhe futni kodin PIN.
Zgjidhni certifikatat për përdoruesit e tjerë në domen në të njëjtën mënyrë.
Faza 4 - Vendosja e llogarive të përdoruesve
Për të konfiguruar llogaritë, hapni listën e përdoruesve dhe kompjuterëve të AD.
Zgjidhni dosjen Users dhe zgjidhni Properties.
Shkoni te skeda "Llogaritë", kontrolloni kutinë "Kërkon një kartë inteligjente për t'u identifikuar në mënyrë interaktive".
Vendosni politikat e sigurisë. Për ta bërë këtë, hapni Panelin e Kontrollit dhe zgjidhni Mjetet Administrative. Hapni menunë për të menaxhuar politikën e grupit.
Në anën e majtë të dritares së Menaxhimit të Politikave të Grupit, klikoni Politikën e paracaktuar të domenit dhe zgjidhni Edit.
Në anën e majtë të dritares së Redaktuesit të Menaxhimit të Politikave të Grupit, zgjidhni Opsionet e Sigurisë.
Hapni politikën "Hyrja interaktive: Kërkoni kartë inteligjente".
Në skedën "Cilësimet e politikës së sigurisë", zgjidhni kutitë e kontrollit "Përcaktoni cilësimet e mëposhtme të politikës" dhe "Aktivizuar".
Hapni politikën e "Identifikimit interaktiv: Sjellja e heqjes së kartës inteligjente".
Në skedën "Cilësimet e politikës së sigurisë", kontrolloni kutinë "Përcaktoni cilësimet e mëposhtme të politikës", zgjidhni "Blloko stacionin e punës" nga lista rënëse.
Rinisni kompjuterin tuaj. Dhe në provën e radhës autentifikimi në domen, tashmë do të jetë e mundur të përdoret token dhe kodi i tij PIN.
Autentifikimi me dy faktorë për hyrjen në domen është konfiguruar, që do të thotë se niveli i sigurisë për hyrjen në domenin Windows është rritur ndjeshëm pa shpenzuar një shumë të çmendur në fonde shtesë mbrojtjes. Tani, pa një shenjë, hyrja në sistem është e pamundur dhe përdoruesit mund të marrin frymë lehtë dhe të mos vuajnë nga fjalëkalime komplekse.
Hapi tjetër është posta e sigurt, lexoni për këtë dhe si të vendosni vërtetimin e sigurt në sisteme të tjera në artikujt tanë të ardhshëm.
Etiketa:
- serveri i Windows
- PKI
- Rutoken
- vërtetimi
Fjalëkalimi nuk është një masë shumë e fortë sigurie. Shumë shpesh, përdoren fjalëkalime të thjeshta, të lehta për t'u hamendësuar, ose përdoruesit nuk monitorojnë me të vërtetë sigurinë e fjalëkalimeve të tyre (shpërndajini kolegëve, shkruani në copa letre, etj.). Microsoft ka zbatuar prej kohësh një teknologji që ju lejon të përdorni një SmartCard për të hyrë, d.m.th. vërtetoni në sistem duke përdorur një certifikatë. Por nuk është e nevojshme të përdoren direkt kartat smart, sepse ato kanë nevojë edhe për lexues, kështu që është më e lehtë t'i zëvendësoni me tokena usb. Ata do t'ju lejojnë të zbatoni vërtetimin me dy faktorë: faktori i parë është fjalëkalimi nga token, faktori i dytë është certifikata në shenjë. Më tej, duke përdorur shembullin e tokenit USB JaCarta dhe domenit të Windows, unë do t'ju tregoj se si ta zbatoni këtë mekanizëm vërtetimi.
Para së gjithash, le të krijojmë një grup "g_EtokenAdmin" në AD dhe llogari. Regjistrimi i agjentit të regjistrimit që i përket këtij grupi. Ky grup dhe përdorues do të drejtojnë autoritetin e certifikatës.
Përveç kësaj, instaloni shërbim në internet për të kërkuar certifikata.
Tjetra, zgjidhni opsionin për ndërmarrjen. Zgjidhni Root CA (nëse kemi ky është autoriteti i parë i certifikatës në domen)
Ne krijojmë një çelës të ri privat. Gjatësia e çelësit mund të lihet më e ngushtë, por algoritmi i hashimit është më mirë të zgjidhni SHA2 (SHA256).
Futni emrin e AK-së dhe zgjidhni periudhën e vlefshmërisë së certifikatës kryesore.
Lërini pjesën tjetër të parametrave si parazgjedhje dhe filloni procesin e instalimit.
Pas instalimit, le të shkojmë te snap-in e qendrës së certifikimit dhe të konfigurojmë të drejtat për shabllonet. 
Do të na interesojnë dy shabllone: Agjenti i regjistrimit dhe identifikimi i kartës Smart.
Le të shkojmë te vetitë e këtyre shablloneve dhe në skedën e sigurisë shtojmë grupin "g_EtokenAdmin" me të drejta leximi dhe kërkesash.
Dhe ato do të shfaqen në listën tonë të përgjithshme.
Hapi tjetër është të konfiguroni politikat e grupit:
Para së gjithash, ne do t'u tregojmë të gjithë kompjuterëve në domen për autoritetin e certifikimit rrënjë, për këtë ne do të ndryshojmë Politikën e Domainit të Parazgjedhur.
Konfigurimi i kompjuterit -> Politikat -> Konfigurimi i Windows-> Opsionet e sigurisë -> Politikat e çelësit publik -> Autoritetet e certifikimit të rrënjëve të besuara -> Importi
Le të zgjedhim certifikatën tonë rrënjë të vendosur përgjatë shtegut: C:\Windows\System32\certsrv\CertEnroll. Mbyll politikën e parazgjedhur të domenit.
Në hapi tjeter Le të krijojmë një politikë për një kontejner që do të përmbajë kompjuterë me vërtetim token (Smart Card).
Gjatë rrugës Konfigurimi i kompjuterit -> Politikat -> Konfigurimi i Windows -> Opsionet e sigurisë -> Politikat Lokale-> Opsionet e sigurisë. Le të konfigurojmë dy opsione "Hyrja interaktive: kërkohet kartë inteligjente" dhe "Hyrja ndërvepruese: Sjellja kur hiqet karta inteligjente".
Kjo është e gjitha me cilësimet, tani mund të gjeneroni një certifikatë klienti dhe të kontrolloni vërtetimin me shenjë.
Hyni në kompjuter nën llogarinë "Agjenti i regjistrimit" dhe hapni shfletuesin duke klikuar në lidhjen http://Server_name_MS_CA/certsrv
Zgjidhni Kërkesë për Certifikatë -> Kërkesë e Avancuar për Certifikatë -> Krijo dhe lësho një kërkesë për këtë CA
Nëse merrni një gabim si "Për të përfunduar regjistrimin e certifikatës, duhet të konfiguroni faqen e internetit që CA të përdor vërtetimin HTTPS", atëherë duhet ta lidhni sajtin me protokollin https në serverin IIS në të cilin është instaluar MS CA.
Le të vazhdojmë marrjen e një certifikate, për këtë, në faqen që hapet, zgjidhni shabllonin: "Agjenti i regjistrimit" dhe klikoni butonin për të lëshuar dhe instaluar një certifikatë.
Përdoruesi i Agjentit të Regjistrimit tani mund të lëshojë certifikata për përdoruesit e tjerë. Për shembull, ne do të kërkojmë një certifikatë për përdoruesin e testimit. Për ta bërë këtë, hapni konsolën e menaxhimit të certifikatës certmgr.msc, sepse nëpërmjet ndërfaqes së internetit nuk do të jetë e mundur të shkruani një certifikatë në një token usb.
Në këtë tastierë, në dosjen personale, ne do të bëjmë një kërkesë në emër të një përdoruesi tjetër
Si nënshkrim, zgjidhni certifikatën e vetme "Agjent Regjistrimi" dhe vazhdoni në hapin tjetër, ku zgjedhim artikullin "Hyrja me një kartë smart" dhe klikojmë detajet për të zgjedhur një ofrues kriptosh.
Në rastin tim, unë përdor argumentet JaCarta, kështu që ofruesi i kriptos Athena u instalua së bashku me drejtuesit:
Në hapin tjetër, zgjidhni përdoruesin e domenit për të cilin lëshojmë një certifikatë dhe klikoni në butonin "Aplikacion".
Fusim tokenin, fut kodin pin dhe fillon procesi i gjenerimit. Si rezultat, ne duhet të shohim një kuti dialogu që thotë "I suksesshëm".
Nëse procesi përfundoi pa sukses, problemi mund të jetë në shabllonin për marrjen e një certifikate, në rastin tim duhej të rregullohej pak.
Le të fillojmë testimin, le të kontrollojmë funksionimin e tokenit në një kompjuter të vendosur në një OU me një politikë grupi të hyrjes së kartave inteligjente.
Kur përpiqemi të identifikohemi me një llogari me një fjalëkalim, duhet të refuzohemi. Kur përpiqemi të identifikohemi me një kartë inteligjente (token), do të na kërkohet të fusim një pin dhe duhet të regjistrohemi me sukses në sistem.
P.s.
1) Nëse bllokimi automatik i kompjuterit ose dalja nuk funksionon, pasi të keni nxjerrë kodin, shikoni nëse shërbimi "Smart Card Removal Policy" po funksionon
2) Mund të shkruani (të gjeneroni një certifikatë) në një shenjë vetëm në nivel lokal, ai nuk do të funksionojë përmes RDP.
3) Nëse nuk është e mundur të filloni procesin e gjenerimit të certifikatës duke përdorur shabllonin standard "Hyrja e kartës inteligjente", krijoni një kopje të tij me parametrat e mëposhtëm.
Kjo është e gjitha, nëse keni ndonjë pyetje, pyesni, unë do të përpiqem të ndihmoj.
