1) Në fillim të konfigurimit të serverit, futni komandën:
multiotp.exe -debug -config default-request-prefix-pin = 0 display-log = 1 pas tij nuk keni nevojë të futni një kod pin kur konfiguroni përdoruesin dhe shfaqja e regjistrit të çdo operacioni në tastierë është ndezur.
2) Duke përdorur këtë komandë, ju mund të rregulloni kohën e banimit, për përdoruesit që kanë bërë një gabim me fjalëkalimin (parazgjedhja 30 sekonda):
multiotp.exe -debug - dështimi i konfigurimit-koha e vonuar = 60
3) Ajo që do të shkruhet në aplikacionin google Authenticator mbi 6 shifra quhet lëshues, mund të ndryshoni nga MultiOTP e paracaktuar në diçka tjetër:
multiotp.exe -debug -config emetuesi = tjetër
4) Pas operacioneve të përfunduara, komanda për krijimin e një përdoruesi bëhet pak më e lehtë:
multiotp.exe -debug -krijo përdoruesin TOTP 12312312312312312321 6 (Unë nuk e vendos kohën e përditësimit të shifrave të barabartë me 30 sekonda, duket se është 30 si parazgjedhje).
5) Çdo përdorues mund të ndryshojë përshkrimin (tekstin nën numrat në aplikacionin Google Auth):
multiotp.exe -vendos përshkrimin e emrit të përdoruesit = 2
6) Kodet QR mund të gjenerohen direkt në aplikacion:
multiotp.exe -qrcode emri i përdoruesit c: \ multiotp \ qrcode \ user.png: \ multiotp \ qrcode \ user.png
7) Mund të përdorni jo vetëm TOTP, por edhe HOTP (hyrja e funksionit hash nuk është koha aktuale, por vlera e numëruesit rritës):
multiotp.exe -debug -krijoni emrin e përdoruesit HOTP 12312312312312312321 6
Sot do t'ju tregojmë se si mund të konfiguroni shpejt dhe me lehtësi vërtetimin me dy faktorë dhe të kriptoni të dhëna të rëndësishme, madje edhe me aftësinë për të përdorur biometrikë. Zgjidhja do të jetë e rëndësishme për kompanitë e vogla ose thjesht për një kompjuter personal ose laptop. Është e rëndësishme që për këtë të mos kemi nevojë për një infrastrukturë të çelësit publik (PKI), një server me rolin e një autoriteti certifikues (Shërbimet e Certifikatës) dhe nuk kemi nevojë as për një domen (Active Directory). Të gjitha kërkesat e sistemit do të reduktohen në sistemin operativ Windows dhe praninë e një çelësi elektronik për përdoruesin, dhe në rastin e vërtetimit biometrik, gjithashtu një lexues të gjurmëve të gishtërinjve, i cili, për shembull, mund të jetë tashmë i integruar në laptopin tuaj.
Për vërtetim ne do të përdorim softuerin e zhvillimit tonë - JaCarta SecurLogon dhe një çelës elektronik JaCarta PKI si vërtetues. Mjeti i kriptimit do të jetë standardi EFS i Windows, qasja në skedarët e koduar do të kryhet gjithashtu përmes çelësit PKI JaCarta (i njëjti që përdoret për vërtetim).
Kujtojmë që JaCarta SecurLogon është një zgjidhje softuerike dhe harduerike nga Aladdin RD e certifikuar nga FSTEC e Rusisë, e cila lejon një kalim të thjeshtë dhe të shpejtë nga vërtetimi me një faktor bazuar në një çift hyrje-fjalëkalim në vërtetimin me dy faktorë në OS duke përdorur argumentet USB. ose kartat inteligjente. Thelbi i zgjidhjes është mjaft i thjeshtë - JSL gjeneron një fjalëkalim kompleks (~ 63 karaktere) dhe e shkruan atë në kujtesën e mbrojtur të çelësit elektronik. Në këtë rast, fjalëkalimi mund të mos jetë i njohur për vetë përdoruesin, përdoruesi e di vetëm kodin PIN. Duke futur kodin PIN gjatë vërtetimit, pajisja zhbllokohet dhe fjalëkalimi i dërgohet sistemit për vërtetim. Opsionale, mund të zëvendësoni hyrjen PIN duke skanuar gjurmën e gishtit të përdoruesit dhe gjithashtu mund të përdorni kombinimin PIN + gjurmë gishtash.
EFS, si JSL, mund të funksionojë në modalitetin e pavarur, duke mos kërkuar asgjë tjetër përveç vetë OS. Të gjitha sistemet operative të Microsoft të familjes NT, duke filluar me Windows 2000 dhe më të reja (përveç versioneve shtëpiake), kanë një teknologji të integruar të enkriptimit të të dhënave, EFS (Sistemi i skedarëve të enkriptimit). Kriptimi EFS bazohet në aftësitë e sistemit të skedarëve NTFS dhe arkitekturës CryptoAPI dhe është krijuar për të enkriptuar shpejt skedarët në hard diskun e një kompjuteri. Kriptimi EFS përdor çelësat privatë dhe publikë të përdoruesit, të cilët krijohen kur përdoruesi përdor për herë të parë funksionin e kriptimit. Këta çelësa mbeten të pandryshuar për sa kohë që ekziston llogaria e tij. Gjatë enkriptimit të një skedari, EFS gjeneron në mënyrë të rastësishme një numër unik, të ashtuquajturin çelësi i enkriptimit të skedarit (FEK) me një gjatësi prej 128 bitësh, me të cilin kodohen skedarët. FEK-të kodohen me një çelës kryesor, i cili kodohet me çelësin e përdoruesve të sistemit që kanë akses në skedar. Çelësi privat i përdoruesit mbrohet nga hash-i i fjalëkalimit të përdoruesit. Të dhënat e koduara me EFS mund të deshifrohen vetëm duke përdorur të njëjtën llogari të Windows me të njëjtin fjalëkalim nga i cili është kryer kriptimi. Dhe nëse e ruani certifikatën e kriptimit dhe çelësin privat në një kod USB ose kartë inteligjente, atëherë do t'ju duhet gjithashtu ky kod USB ose kartë inteligjente për të hyrë në skedarët e enkriptuar, gjë që zgjidh problemin e kompromentimit të fjalëkalimit, pasi do t'ju duhet një pajisje shtesë. në formën e një çelësi elektronik.
Autentifikimi
Siç u përmend tashmë, ju nuk keni nevojë për një AD ose një autoritet certifikimi për konfigurim, keni nevojë për ndonjë Windows modern, një shpërndarje JSL dhe një licencë. Vendosja është jashtëzakonisht e thjeshtë.Duhet të instaloni skedarin e licencës.
Shto profilin e përdoruesit.
Dhe filloni të përdorni vërtetimin me dy faktorë.
Autentifikimi biometrik
Është e mundur të përdoret vërtetimi biometrik i gjurmëve të gishtërinjve. Zgjidhja funksionon në teknologjinë Match On Card. Hash-i i gjurmës së gishtit shkruhet në kartë gjatë inicializimit fillestar dhe më pas verifikohet kundrejt origjinalit. Nuk e lë askund hartën, nuk ruhet në disa baza të dhënash. Për të zhbllokuar një çelës të tillë, përdoret një gjurmë gishti ose një kombinim i PIN + gjurmë gishti, PIN ose gjurmë gishti.Për të filluar përdorimin e tij, thjesht duhet të inicializoni kartën me parametrat e nevojshëm, të regjistroni gjurmën e gishtit të përdoruesit.
Në të ardhmen, e njëjta dritare do të shfaqet përpara se të hyni në OS.
Në shembullin aktual, karta është inicializuar me mundësinë e vërtetimit me anë të gjurmës së gishtit ose kodit PIN, siç tregohet nga dritarja e vërtetimit.
Pas paraqitjes së një gjurmë gishti ose kodi PIN, përdoruesi do të hyjë në sistemin operativ.
Kriptimi i të dhënave
Vendosja e EFS nuk është gjithashtu shumë e vështirë, bëhet fjalë për vendosjen e një certifikate dhe lëshimin e saj në një çelës elektronik dhe vendosjen e drejtorive të kriptimit. Në mënyrë tipike, nuk keni nevojë të kriptoni të gjithë diskun. Skedarët vërtet të rëndësishëm, të cilët nuk janë të dëshirueshëm për akses nga palët e treta, zakonisht ndodhen në drejtori të veçanta dhe jo të shpërndara në të gjithë diskun.Për të lëshuar një certifikatë enkriptimi dhe një çelës privat, hapni një llogari përdoruesi, zgjidhni - Menaxho certifikatat e enkriptimit të skedarëve. Në magjistarin që hapet, krijoni një certifikatë të vetë-nënshkruar në kartën inteligjente. Meqenëse ne vazhdojmë të përdorim kartën inteligjente me apletin BIO, duhet të paraqesim gjurmën e gishtit ose PIN-in tonë për të shkruar certifikatën e enkriptimit.
Në hapin tjetër, specifikoni drejtoritë që do të lidhen me certifikatën e re, nëse është e nevojshme, mund të specifikoni të gjitha disqet logjike.
Vetë drejtoria e koduar dhe skedarët në të do të theksohen me një ngjyrë të ndryshme.
Qasja në skedarë kryhet vetëm në prani të një çelësi elektronik, me paraqitjen e një gjurmë gishti ose kodi PIN, në varësi të asaj që është zgjedhur.
Kjo përfundon të gjithë konfigurimin.
Ju mund të përdorni të dy skenarët (autentifikimin dhe enkriptimin), mund të ndaleni në një gjë.
Realitetet e vendeve ku jetojnë shumica e Khabrovitëve janë të tilla që mbajtja e serverëve me informacione të rëndësishme jashtë vendit të të bërit biznes është bërë një formë e mirë, duke ju lejuar të kurseni nervat dhe të dhënat tuaja.
Pyetja e parë që lind kur kaloni në cloud pas kriptimit të të dhënave, ose ndoshta edhe para tij, është garancia që qasja në të dhënat me një llogari përdoruesi kryhet nga përdoruesi dhe jo nga dikush tjetër. Dhe nëse një mënyrë e mirë për të kriptuar të dhënat e pritura në një re private diskutohet në një artikull nga kolegu im, atëherë me vërtetimin gjithçka është më e ndërlikuar.
Rreth përdoruesve dhe metodave të mbrojtjes
Natyra e një përdoruesi tipik është e tillë që qëndrimi ndaj sigurisë së fjalëkalimeve nga llogaritë është mjaft joserioz dhe është e pamundur ta rregullosh atë. Përvoja jonë tregon se edhe nëse një kompani ka politika strikte, trajnime të përdoruesve etj., sërish do të ketë një pajisje të pakriptuar që ka dalë nga muret e zyrës dhe duke parë listën e produkteve të një kompanie të njohur, kupton se nxjerrja fjalëkalimet nga një pajisje e pakriptuar është vetëm çështje kohe.
Disa kompani për të kontrolluar aksesin në të dhënat në cloud krijojnë tunele midis cloud dhe zyrës, ndalojnë hyrjen në distancë https://habrahabr.ru/company/pc-administrator/blog/320016/. Sipas mendimit tonë, kjo nuk është një zgjidhje plotësisht optimale, së pari, disa nga avantazhet e një zgjidhjeje cloud humbasin, dhe së dyti, ka probleme të performancës të vërejtura në artikull.
Zgjidhja duke përdorur serverin terminal dhe Porta e desktopit në distancë (RDG) më fleksibël, mund të konfiguroni një nivel të lartë sigurie, siç përshkruhet nga kolegu im https://habrahabr.ru/post/134860/ (neni i 2011, por vetë parimi është ende i rëndësishëm). Kjo metodë ju lejon të parandaloni transferimin e të dhënave nga cloud, por vendos kufizime në punën e përdoruesit dhe nuk e zgjidh plotësisht problemin e vërtetimit, përkundrazi është një zgjidhje DLP.
Ndoshta mënyra më e mirë për të siguruar që një sulmues nuk po funksionon nën një llogari përdoruesi është vërtetimi me dy faktorë... Artikujt e kolegut tim https://habrahabr.ru/post/271259/ https://habrahabr.ru/post/271113/ përshkruajnë vendosjen e MFA nga Microsoft dhe Google për VPN-në e klientit. Metoda është e mirë, por, së pari, kërkon CISCO ASA, e cila nuk është gjithmonë e lehtë për t'u zbatuar, veçanërisht në retë e buxhetit, dhe së dyti, puna përmes një VPN është e papërshtatshme. Puna me një seancë terminali nëpërmjet RDG është shumë më komode dhe protokolli i enkriptimit SSL duket më i gjithanshëm dhe më i besueshëm se VPN nga CISCO.
Ka shumë zgjidhje me vërtetim me dy faktorë në vetë serverin e terminalit, këtu është një shembull i konfigurimit të një zgjidhjeje falas - http://servilon.ru/dvuhfaktornaya-autentifikaciya-otp/. Kjo zgjidhje, për fat të keq, nuk funksionon përmes RDG.
Serveri RDG kërkon konfirmimin e autorizimit nga serveri i MPJ. MPJ, në varësi të metodës së përzgjedhur të vërtetimit, telefonon, dërgon SMS ose dërgon një kërkesë në aplikacionin celular. Përdoruesi miraton ose refuzon kërkesën për akses. MFA kthen rezultatin e faktorit të dytë të vërtetimit në serverin RDG.
Instaloni dhe konfiguroni serverin e vërtetimit me shumë faktorë Azure
Krijoni një ofrues vërtetimi në Portalin Microsoft Azure
Shkoni te Microsoft Azure (llogaria duhet të ketë të instaluar një abonim ose një version prove) dhe gjeni Autentifikimin me shumë faktorë (MFA).Në këtë moment, menaxhimi i MPJ-së nuk është shtuar në versionin e ri të portalit Azure, kështu që do të hapet versioni i vjetër i portalit.
Për të krijuar një ofrues të ri të vërtetimit me shumë faktorë, klikoni në "KRIJO → Shërbimet e aplikacionit → Drejtoria aktive → Ofruesi i vërtetimit me shumë faktorë → Krijimi i shpejtë" në pjesën e poshtme majtas. Jepni emrin dhe modelin e përdorimit.
Mënyra se si do të tarifohet pagesa varet nga modeli i përdorimit, qoftë nga numri i përdoruesve ose nga numri i vërtetimeve.
Pasi të krijohet, MPJ do të shfaqet në listë. Tjetra, shkoni te menaxhimi duke klikuar butonin e duhur.
Shkoni te shkarkimet dhe shkarkoni serverin MFA
Vendosja e serverit MFA
Serveri MFA duhet të instalohet në një makinë virtuale të ndryshme nga serveri RDG. Mbështetet OS më i vjetër se Windows Server 2008 ose Windows 7. Microsoft .NET Framework 4.0 kërkohet për funksionim.Adresat në portin 443 duhet të jenë të disponueshme:
Ne instalojmë serverin MFA, gjatë instalimit ne refuzojmë magjistarin e cilësimeve.
Në fillimin e parë, duhet të futni të dhëna nga llogaria, të cilat duhet të gjenerohen në faqen e shkarkimit të serverit.
Më pas, shtoni përdoruesit. Për ta bërë këtë, shkoni te seksioni "Përdoruesit" dhe klikoni "Import nga Active Directory", zgjidhni përdoruesit për import.
Nëse është e nevojshme, mund të konfiguroni shtimin automatik të përdoruesve të rinj nga AD:
"Integrimi i drejtorisë → Sinkronizimi → Shto", si dhe shtoni një drejtori që do të sinkronizohet automatikisht në intervalin kohor të caktuar.
Le të testojmë performancën e serverit të MPJ. Shkoni te seksioni i Përdoruesve. Për llogarinë tuaj, specifikoni numrin e telefonit (nëse nuk është vendosur tashmë) dhe zgjidhni metodën e vërtetimit "Telefonata". Shtypni butonin Test dhe shkruani emrin e përdoruesit dhe fjalëkalimin tuaj. Duhet të vijë një telefonatë në telefon. Ne i përgjigjemi dhe shtypim #.
Konfigurimi i një serveri MFA për të punuar me kërkesat e Radius
Shkoni te seksioni "Autentifikimi me rreze" dhe kontrolloni kutinë "Aktivizo vërtetimin e RADIUS".Shtoni një klient të ri, duke specifikuar adresën IP të serverit NPS dhe sekretin e përbashkët. Nëse vërtetimi duhet të kryhet për të gjithë përdoruesit, vendosni kutinë e duhur të kontrollit (në këtë rast, të gjithë përdoruesit duhet të shtohen në serverin MFA).
Ju gjithashtu duhet të siguroheni që portat e specifikuara për lidhjen korrespondojnë me portet e specifikuara në serverin NPS dhe nuk janë të bllokuara nga një mur zjarri.
Shkoni te skeda Target dhe shtoni serverin Radius.
Shënim: Nëse nuk ka server qendror NPS në rrjet, adresat IP të Radius të klientit dhe serverit do të jenë të njëjta.
Konfigurimi i serverit RDG dhe NPS për të punuar në lidhje me MPJ
Porta RD duhet të konfigurohet për të dërguar kërkesat e Radius te serveri i MPJ. Për ta bërë këtë, hapni pronat e portës dhe shkoni te skeda "RDG CAP Store", zgjidhni "NPS po funksionon në një server qendror" dhe specifikoni adresën e serverit MFA dhe sekretin e përbashkët.
Tjetra, ne konfigurojmë serverin NPS. Zgjeroni seksionin "Klientët dhe serverët e rrezeve → Grupet e serverëve me rreze në distancë". Hapni vetitë e "grupit të serverëve të portës TS" (grupi krijohet kur konfiguroni RDG) dhe shtoni serverin tonë MFA.
Kur shtojmë, në skedën "Load Balancing", ne rrisim kufijtë e skadimit të serverit. Ne vendosëm "Numrin e sekondave pa përgjigje, pas së cilës kërkesa konsiderohet e hedhur poshtë" dhe "Numri i sekondave midis kërkesave, pas së cilës serveri konsiderohet i padisponueshëm" në intervalin 30-60 sekonda.
Në skedën "Autentifikimi / Kontabiliteti", ne kontrollojmë korrektësinë e porteve të specifikuara dhe vendosim çelësin e përbashkët sekret.
Tani le të shkojmë te seksioni "Radius Clients and Servers → Radius Clients" dhe të shtojmë një server MFA, duke specifikuar "Emri Friendly", adresa dhe sekreti i përbashkët.
Shkoni te seksioni "Politikat → Politikat e Kërkesës për Lidhje". Ky seksion duhet të përmbajë një politikë të krijuar gjatë konfigurimit të RDG. Kjo politikë i drejton kërkesat e Radius te serveri i MPJ.
Dublikojeni politikën dhe shkoni te vetitë e saj. Shto një kusht që përputhet me "Emrin miqësor ndaj klientit" me "Emrin miqësor" të specifikuar në hapin e mëparshëm.
Në skedën "Cilësimet", ndryshoni ofruesin e shërbimit të vërtetimit në serverin lokal.
Kjo politikë do të sigurojë që kur të merret një kërkesë Radius nga serveri i MFA, kërkesa do të përpunohet në nivel lokal, duke shmangur kështu kërkesat e ciklit.
Ne kontrollojmë që kjo politikë të vendoset mbi atë origjinale.
Në këtë fazë, lidhja RDG dhe MPJ është funksionale. Hapat e mëposhtëm kërkohen për ata që duhet të jenë në gjendje të përdorin vërtetimin e aplikacionit celular ose t'u ofrojnë përdoruesve akses në disa nga cilësimet e vërtetimit me shumë faktorë përmes portalit të përdoruesit.
Instalimi i SDK-së, Shërbimit në ueb të aplikacionit celular dhe portalit të përdoruesit
Lidhja me këta komponentë bëhet nëpërmjet protokollit HTTPS. Prandaj, në serverët ku do të vendosen, duhet të instaloni një certifikatë SSL.Portali i personalizuar dhe shërbimi në internet i aplikacionit celular përdorin SDK-në për të komunikuar me serverin e MPJ.
Instalimi i SDK-së
SDK-ja është e instaluar në serverin MFA dhe kërkon IIS, ASP.NET, Authentication Basic, të cilat fillimisht duhet të instalohen duke përdorur Server Manager.Për të instaluar SDK-në, shkoni te seksioni SDK i Shërbimit Ueb në Serverin e vërtetimit me shumë faktorë dhe klikoni butonin e instalimit, ndiqni udhëzuesin e instalimit.
Instalimi i shërbimit në internet të aplikacionit celular
Ky shërbim kërkohet që aplikacioni celular të ndërveprojë me serverin e MPJ-së. Që shërbimi të funksionojë siç duhet, kompjuteri në të cilin do të instalohet duhet të ketë lidhje interneti dhe porta 443 duhet të jetë e hapur për t'u lidhur nga interneti.Skedari i instalimit të shërbimit ndodhet në dosje C: \ Program Files \ Autentifikimi me shumë faktorë Azure në një kompjuter me MPJ të instaluar. Hapni instaluesin dhe ndiqni magjistarin e instalimit. Për lehtësinë e përdoruesve, mund të zëvendësoni emrin e drejtorisë virtuale "MultiFactorAuthMobileAppWebService" me një më të shkurtër.
Pas instalimit, shkoni te dosja C: \ inetpub \ wwwroot \ MultiFactorAuthMobileAppWebService dhe modifikoni skedarin web.config... Në këtë skedar, duhet të vendosni çelësat përgjegjës për llogarinë e përfshirë në grupin e sigurisë PhoneFactor Admins. Kjo llogari do të përdoret për t'u lidhur me SDK.
Në të njëjtin skedar, duhet të specifikoni URL-në ku disponohet SDK.
Shënim: Lidhja me SDK bëhet duke përdorur protokollin SSL, kështu që duhet t'i referoheni SDK-së me emrin e serverit (të specifikuar në certifikatën SSL) dhe jo nga adresa IP. Nëse kërkesa është bërë me një emër lokal, ju duhet të shtoni një hyrje të përshtatshme në skedarin e hosteve në mënyrë që të përdorni certifikatën SSL.
Shtoni URL-në ku ofrohet shërbimi i uebit i aplikacionit celular në aplikacionin Serveri i vërtetimit me shumë faktorë në seksionin e aplikacionit celular. Kjo është e nevojshme për gjenerimin e saktë të kodit QR në portalin e përdoruesit për lidhjen e aplikacioneve celulare.
Gjithashtu në këtë seksion, mund të kontrolloni kutinë "Aktivizo argumentet OATH", e cila ju lejon të përdorni aplikacionin celular si një kod Softueri për të gjeneruar fjalëkalime një herë në bazë të kohës.
Instalimi i një portali personal
Instalimi kërkon IIS, ASP.NET dhe IIS 6 Meta Compatibility Role (për IIS 7 ose më vonë).Nëse portali është i instaluar në një server MFA, mjafton të shkoni te seksioni i Portalit të Përdoruesit në Serverin e Autentifikimit Multi-Factor, të klikoni butonin e instalimit dhe të ndiqni udhëzuesin e instalimit. Nëse kompjuteri është i bashkuar me një domen, instalimi do të krijojë një përdorues që është anëtar i grupit të sigurisë PhoneFactor Admins. Ky përdorues kërkohet për një lidhje të sigurt me SDK.
Kur instaloni në një server të veçantë, duhet të kopjoni skedarin e instalimit nga serveri MFA (skedari i instalimit ndodhet në dosje C: \ Program Files \ Serveri i vërtetimit me shumë faktorë). Instaloni dhe modifikoni skedarin web.config te vendndodhja C: \ inetpub \ wwwroot \ MultiFactorAuth... Në këtë skedar, ju duhet të ndryshoni çelësin USE_WEB_SERVICE_SDK nga e rreme ne e vertete. Specifikoni detajet e llogarisë së grupit PhoneFactor Admins në çelësat WEB_SERVICE_SDK_AUTHENTICATION_USERNAME dhe WEB_SERVICE_SDK_AUTHENTICATION_PASSWORD... Dhe specifikoni adresën URL të shërbimit SDK, duke mos harruar, nëse është e nevojshme, të korrigjoni skedarin e hosteve në mënyrë që protokolli SSL të funksionojë.
Shtoni URL-në ku është i disponueshëm portali i përdoruesit në aplikacionin Serveri i vërtetimit me shumë faktorë në seksionin Portali i përdoruesit.
Demonstroni se si funksionon Azure MFA për vërtetimin e lidhjeve RDG
Ne do ta konsiderojmë punën e MPJ-së nga ana e përdoruesit. Në rastin tonë, faktori i dytë i vërtetimit do të jetë aplikacioni celular, pasi rrjeti celular ka një sërë dobësish që lejojnë, me përgatitjen e duhur, përgjimin e thirrjeve dhe SMS-ve.Para së gjithash, përdoruesi do të duhet të shkojë në portalin e përdoruesit dhe të specifikojë numrin e tij të telefonit (nëse nuk specifikohet në AD) dhe të lidhë aplikacionin celular me llogarinë. Ne shkojmë në portalin nën llogarinë tonë dhe futim përgjigjet e pyetjeve sekrete (do të na duhen në rast të rivendosjes së aksesit në llogari).
Më pas, zgjidhni metodën e vërtetimit, në rastin tonë aplikacionin celular dhe klikoni butonin "Krijo kodin e aktivizimit". Do të gjenerohet një kod QR, i cili duhet të skanohet në aplikacionin celular.
Meqenëse gjatë importimit të përdoruesve në serverin MFA, vërtetimi u vendos duke përdorur një kod PIN, do të na kërkohet të krijojmë një të tillë. Futni kodin PIN të dëshiruar dhe klikoni "Kontrollo origjinalitetin tim". Në aplikacionin celular, duhet të konfirmoni kërkesën që shfaqet. Pas këtyre veprimeve, ne kemi një aplikacion të lidhur me llogarinë dhe akses të plotë në portal për ndryshimin e cilësimeve personale.
Fjalëkalimet mund të jenë një dhimbje koke e madhe sigurie dhe menaxhueshmëri për administratorët e TI-së të ndërmarrjeve dhe organizatave. Përdoruesit shpesh krijojnë fjalëkalime të thjeshta ose shkruajnë fjalëkalime që të mos i harrojnë. Për më tepër, vetëm disa nga procedurat e rivendosjes së fjalëkalimit janë efektive dhe të sigurta. Duke pasur parasysh këto kufizime, si mund t'i zbusni këto lloj shqetësimesh sigurie kur qasja në rrjet kryhet nga përdorues të largët? Si mund t'i bëni zgjidhjet e fjalëkalimeve të kompanisë suaj më të sigurta duke ditur që shumë përdorues i shkruajnë fjalëkalimet e tyre?
Ekziston një zgjidhje - kjo është futja në organizimin e një sistemi shtesë të mbrojtjes së aksesit bazuar në futjen e fjalëkalimeve një herë (OTP - Fjalëkalimi Një herë), të cilat krijohen në pajisjen celulare të punonjësit tuaj. Kalimi në vërtetimin e njëhershëm të bazuar në fjalëkalim zakonisht ndodh kur bëhet fjalë për të kuptuar se fjalëkalimet standarde afatgjata janë të pamjaftueshme nga pikëpamja e sigurisë, dhe në të njëjtën kohë, përdorimi i kartave inteligjente është i kufizuar, për shembull, në një situatë të përdorimit masiv të klientëve celularë.
Kompania jonë ka zhvilluar një zgjidhje teknologjike e cila do t'ju lejojë të merrni linjë shtesë mbrojtjeje për një server terminal ose server 1C bazuar në fjalëkalime një herë me të cilat punonjësit lidhen nga distanca.
Fusha e punës për vendosjen dhe konfigurimin e sistemit OTP
Në serverin tuaj, softuer i specializuar është instaluar dhe konfiguruar për të operuar një sistem vërtetimi të aksesit të bazuar në fjalëkalime një herë (OTP) Të gjithë punonjësit e organizatës që kanë nevojë për qasje në server futen në sistemin OTP. Për çdo punonjës, konfigurimi fillestar i një telefoni celular kryhet me instalimin e një programi për gjenerimin e një fjalëkalimi një herë.
Fillon kostoja e futjes në organizatë të një sistemi të vërtetimit të aksesit në një server terminal ose server 1C bazuar në fjalëkalime një herë (OTP) nga 6 400 rubla.
Në rastet kur sistemi OTP do të vendoset në lidhje me marrjen me qira të infrastrukturës në "cloud" tonë të sigurt, zbritja për zbatimin e sistemit të mbrojtjes me fjalëkalim një herë (OTP) mund të arrijë në 50%.
Fjalëkalimet një herë - një shtresë shtesë e sigurisë së të dhënave
Një fjalëkalim tradicional, statik zakonisht ndryshon vetëm kur është e nevojshme: ose kur skadon, ose kur përdoruesi e ka harruar atë dhe dëshiron ta rivendosë atë. Për shkak se fjalëkalimet ruhen në disqet e kompjuterit dhe ruhen në server, ato janë të prekshme ndaj hakerimit. Ky problem është veçanërisht i mprehtë për kompjuterët laptop, pasi ato mund të vidhen lehtësisht. Shumë kompani u japin punonjësve kompjuterë laptopë dhe hapin rrjetet e tyre për qasje në distancë. Ata gjithashtu punësojnë staf të përkohshëm dhe furnitorë. Në një mjedis të tillë, një zgjidhje e thjeshtë e fjalëkalimit statik bëhet një disavantazh.
Ndryshe nga një fjalëkalim statik, një fjalëkalim një herë ndryshon sa herë që një përdorues hyn në sistem dhe është i vlefshëm vetëm për një periudhë të shkurtër kohe (30 sekonda). Vetë fjalëkalimet krijohen dhe kodohen duke përdorur një algoritëm kompleks në varësi të shumë variablave: koha, numri i hyrjeve të suksesshme / të pasuksesshme, numrat e krijuar rastësisht, etj. Kjo qasje në dukje komplekse kërkon veprime të thjeshta nga përdoruesi - Instaloni një aplikacion të veçantë në telefonin tuaj, i cili sinkronizohet një herë me serverin dhe më pas gjeneron një fjalëkalim një herë. Me çdo hyrje të re të suksesshme, klienti dhe serveri risinkronizohen automatikisht në mënyrë të pavarur nga njëri-tjetri duke përdorur një algoritëm të veçantë. Numëruesi rritet sa herë që i kërkohet pajisjes të ketë një vlerë OTP dhe kur përdoruesi dëshiron të identifikohet, ai fut OTP-në që shfaqet aktualisht në pajisjen e tij celulare.
Metodat e sigurisë kur përdorni vërtetimin e fjalëkalimit. Për të mbrojtur fjalëkalimet nga hakerimi, duhet të konfiguroni politikën e duhur. Për ta bërë këtë, përdorni menunë Start-> Administrative Tools-> Group Policy Management për të nisur GPMC, zgjidhni GPO-në e kërkuar nën Konfigurimi i kompjuterit-> Politikat-> Cilësimet e sigurisë-> Politikat e llogarisë-> Politika e fjalëkalimit Shih Fig. 1 (Menaxho cilësimet e fjalëkalimit).
Oriz. 1 Menaxho cilësimet e fjalëkalimit.
Ju mund të vendosni gjatësinë minimale të fjalëkalimit, e cila do të na lejojë të shmangim fjalëkalimet e shkurtra (Minimumi fjalëkalimin gjatësia). Në mënyrë që përdoruesi të vendosë fjalëkalime komplekse, duhet të aktivizohet kërkesa e kompleksitetit (Fjalëkalimi duhet takohen kompleksiteti Kërkesat).
Për të siguruar ndryshime të rregullta të fjalëkalimit, duhet të caktoni jetëgjatësinë maksimale të tij (Maksimumi fjalëkalimin mosha).
Në mënyrë që përdoruesit të mos përsërisin fjalëkalimet e vjetra, duhet të konfiguroni ruajtjen e historisë së fjalëkalimeve (Zbatoni fjalëkalimin histori) .
Dhe së fundi, në mënyrë që përdoruesi të mos e ndryshojë fjalëkalimin e tij në atë të vjetër duke ndryshuar shumë herë fjalëkalimet, vendosni periudhën minimale gjatë së cilës fjalëkalimi nuk mund të ndryshohet. (Minimumi fjalëkalimin mosha).
Për t'u mbrojtur nga sulmet e fjalorit, ne do të konfigurojmë bllokimin e llogarisë kur fjalëkalimi futet në mënyrë të përsëritur gabimisht. Për ta bërë këtë, në GPMC, zgjidhni seksionin e kërkuar të GPO Kompjuter Konfigurimi-> politikat-> Siguria Cilësimet-> Llogaria politikat-> Llogaria Lockout Politika ... Shih Fig. 2 (Menaxho bllokimin e llogarisë së përdoruesit).
Oriz. 2 Menaxho bllokimin e llogarisë së përdoruesit.
Për të konfiguruar bllokimin përfundimtar të një llogarie (derisa të zhbllokohet nga administratori), vendosni një vlerë zero për parametrin e kohëzgjatjes së bllokimit (Llogaria bllokim kohëzgjatja).
Në numëruesin e numrit të përpjekjeve të pasuksesshme për t'u kyçur në rrjet (Llogaria bllokim pragu) ju duhet të specifikoni vlerën e kërkuar. Në shumicën e rasteve, 3-5 përpjekje për hyrje janë të pranueshme.
Së fundi, duhet të vendoset intervali për rivendosjen e numëruesit të përpjekjeve të pasuksesshme. (Rivendos llogari bllokim kundër pas).
Për t'u mbrojtur nga kuajt e Trojës, duhet të përdorni mjete antivirus dhe të bllokoni softuerin e paautorizuar.
Për të kufizuar aftësinë e përdoruesve për të futur viruse në sistemin e informacionit, justifikohet: vendosja e një ndalimi për të punuar me pajisje të jashtme (CD, DVD, Flash), funksionimi i rreptë UAC, përdorimi i kioskave të pavarura të internetit të bazuara në kompjuterë që nuk janë pjesë e rrjetit të punës. Dhe, së fundi, futja e rregulloreve strikte të punës që përcaktojnë rregullat për përdoruesit në rrjetin e korporatës (që ndalojnë transferimin e kredencialeve të tyre te dikush tjetër, ndalojnë lënien e kredencialeve të tyre në vende të aksesueshme, kërkojnë bllokimin e detyrueshëm të stacionit të punës kur largohen nga vendi i punës). etj) . P.).
Si rezultat, ne do të jemi në gjendje të arrijmë një reduktim të rreziqeve që lidhen me një shkelje të sigurisë së kompanisë.
Le të supozojmë se e gjithë kjo është bërë. Megjithatë, është shumë herët të thuhet se kemi arritur të sigurojmë vërtetim të sigurt në sistemin tonë.
Faktori njerëzor është kërcënimi më i madh.
Ka edhe kërcënime që nuk kemi mundur t'i përballojmë. Një nga më të rëndësishmit është faktori njerëzor. Përdoruesit e sistemeve tona të informacionit nuk janë gjithmonë mjaft të vetëdijshëm dhe, pavarësisht shpjegimeve të administratorëve të sigurisë, regjistrojnë kredencialet e tyre (emrin e përdoruesit dhe fjalëkalimin) dhe nuk kujdesen për fshehtësinë e këtij informacioni konfidencial. Kam parë ngjitëse në monitor më shumë se një herë, shih Fig. 3, ose nën tastierë shih fig. 4 me emrin e përdoruesit dhe fjalëkalimin.
Oriz. 3. Një dhuratë e mrekullueshme për një ndërhyrës, apo jo?
Oriz. 4. Një tjetër dhuratë për hajdutin.
Siç mund ta shohim, fjalëkalime të gjata dhe komplekse janë të ngulitura në sistem dhe grupi shoqërues nuk është qartë i dukshëm. Sidoqoftë, përdoruesit kanë gjetur një mënyrë "efikase" për të kujtuar dhe ruajtur kredencialet ...
Kështu, mund të shihni se në këtë rast funksioni që përmenda më lart funksionoi saktësisht: Fjalëkalimet e gjata dhe komplekse regjistrohen dhe mund të mos ruhen siç duhet.
Insajderi
Një tjetër kërcënim i rëndësishëm sigurie është potenciali që një sulmues të fitojë fizikisht akses në stacionin e punës të një përdoruesi legjitim dhe të transferojë informacion konfidencial te palët e treta. Domethënë po flasim për një situatë kur brenda kompanisë është një punonjës që vjedh informacion nga kolegët e tij.
Është mjaft e qartë se është shumë e vështirë të sigurohet siguria "fizike" e stacionit të punës të përdoruesit. Mund të lidhni lehtësisht një tastierë harduerike me ndërprerjen e tastierës, është gjithashtu e mundur të përgjoni një sinjal nga tastierat me valë. Pajisjet e tilla ekzistojnë. Sigurisht, kushdo që thjesht nuk futet në zyrën e kompanisë, por të gjithë e dinë që më i rrezikshmi është një spiun i brendshëm. Ai tashmë ka qasje fizike në sistemin tuaj dhe nuk do të jetë e vështirë të vendosni një keylogger, veçanërisht pasi këto pajisje janë të disponueshme për një gamë të gjerë njerëzish. Përveç kësaj, ju nuk mund të zbritni programet e keylogger. Në fund të fundit, pavarësisht nga të gjitha përpjekjet e administratorëve, mundësia e instalimit të një softueri të tillë "spyware" nuk përjashtohet. A e kyç gjithmonë përdoruesi stacionin e punës kur largohet nga stacioni i punës? A arrin administratori i sistemit të informacionit të sigurojë që përdoruesit të mos i caktohen kompetenca të tepërta, veçanërisht kur është e nevojshme të përdoren produkte të vjetra softuerike? A është gjithmonë një administrator, veçanërisht në një kompani të vogël, i kualifikuar për të zbatuar rekomandimet e prodhuesve të softuerëve dhe pajisjeve për ndërtimin e sistemeve të sigurta të informacionit?
Kështu, mund të konkludojmë se vërtetimi i fjalëkalimit është përgjithësisht jo i besueshëm. Prandaj, kërkohet vërtetimi me shumë faktorë, dhe në këtë rast, i tillë që fjalëkalimi i përdoruesit të mos shtypet në tastierë.
Çfarë mund të na ndihmojë?
Ka kuptim të merret parasysh vërtetimi me dy faktorë: faktori i parë është zotërimi i fjalëkalimit, i dyti është njohja e kodit PIN. Fjalëkalimi i domenit nuk shtypet më në tastierë, që do të thotë se nuk përgjohet nga një keylogger. Përgjimi i një fjalëkalimi të domenit është i mbushur me mundësinë e hyrjes, përgjimi i një kodi PIN nuk është aq i rrezikshëm, pasi kërkohet një kartë inteligjente shtesë.
Mund të argumentohet se përdoruesi mund ta lërë kartën e tij në lexues dhe të shkruajë kunjin në afishe, si më parë. Megjithatë, ka sisteme kontrolli që mund të bllokojnë një kartë të braktisur pasi ajo zbatohet në ATM. Për më tepër, është e mundur që në kartë të vendoset një kalim për hyrje/dalje nga zyra, d.m.th. mund të përdorim një kartë me një etiketë RFID, duke kombinuar kështu sistemin e vërtetimit në shërbimin e drejtorisë me një sistem për diferencimin e aksesit fizik. Në këtë rast, për të hapur derën, përdoruesit do t'i duhet karta e tij inteligjente ose token USB, kështu që ai do të duhet ta mbajë atë me vete gjatë gjithë kohës.
Për më tepër, zgjidhjet moderne të vërtetimit me dy faktorë përfshijnë më shumë sesa thjesht aftësinë për të vërtetuar në AD ose AD DS. Përdorimi i kartave inteligjente dhe çelësave USB ndihmon edhe në shumë raste të tjera, për shembull, kur hyni në postë elektronike publike, dyqane online ku kërkohet regjistrimi, aplikacione që kanë shërbimin e tyre të drejtorisë, etj. etj.
Kështu, mund të merret një mjet praktikisht universal i vërtetimit.
Zbatimi i vërtetimit me dy faktorë bazuar në kriptografinë asimetrike në AD DS.
Active Directory ka mbështetur vërtetimin e kartave inteligjente që nga Windows 2000.
Në thelbin e tij, vërtetimi i kartës inteligjente është ngulitur në shtesën PKINIT (inicializim i çelësit publik) në protokollin Kerberos RFC 4556. Zgjerimi PKINIT lejon që certifikatat e çelësit publik të përdoren në fazën e para-autentifikimit Kerberos.
Falë kësaj, bëhet e mundur përdorimi i kartave inteligjente. Kjo do të thotë, mund të flasim për mundësinë e vërtetimit me dy faktorë në sistemet e Microsoft bazuar në mjete standarde, duke filluar me Windows 2000, pasi skema Kerberos + PKINIT tashmë është zbatuar.
Shënim. Autentifikimi paraprakKerberos- një proces që ofron një nivel shtesë sigurie. Kryhet përpara lëshimitTGT (Biletë Dhënia Biletë) nga serveri i shpërndarjes së çelësave (KDC). Përdoret në protokollKerberos v... 5 për të kundërshtuar sulmet e hamendësimit të fjalëkalimeve jashtë linje. Mësoni më shumë se si funksionon protokolliKerberosmund të gjendet në RFC 4120.Cm
Sigurisht, ne po flasim për kompjuterë në domen. Nëse ekziston nevoja për t'iu drejtuar vërtetimit me dy faktorë kur punoni në një grup pune, ose kur përdorni versione të mëparshme të sistemeve operative, atëherë do të duhet t'i drejtohemi softuerit të palëve të treta, për shembull SafeNet (Aladdin) eToken Network Logon 5.1. Cm.
Hyrja në sistem mund të sigurohet duke përdorur ose shërbimin e drejtorisë së domenit ose shërbimin e drejtorisë lokale. Në këtë rast, fjalëkalimi i përdoruesit nuk shtypet në tastierë, por transmetohet nga ruajtja e sigurt në kartën inteligjente.
Autentifikimi i kartës inteligjente zbatohet përmes zgjerimit Kerberos PKINIT, i cili mundëson algoritme kriptografike asimetrike.
Sa i përket kërkesave për zbatimin e përdorimit të kartave inteligjente në lidhje me PKINIT, për sistemet operative Windows 2000, Windows 2003 Server, ato janë si më poshtë:
· Të gjithë kontrolluesit e domenit dhe të gjithë kompjuterët e klientëve brenda pyllit ku po vendoset zgjidhja jonë duhet t'i besojnë Autoritetit të Certifikimit rrënjë (Autoriteti i Certifikatës).
Autoriteti i certifikimit që lëshon certifikatat për përdorimin e kartave inteligjente duhet të vendoset në dyqanin e Autoritetit NT
Certifikata duhet të përmbajë identifikuesit e hyrjes në kartën inteligjente dhe të vërtetimit të klientit
· Certifikata për kartat inteligjente duhet të përmbajë UPN-në e përdoruesit.
· Certifikata dhe çelësi privat duhet të vendosen në seksionet përkatëse të kartës smart, ndërsa çelësi privat duhet të jetë në një zonë të sigurt të kartës smart.
Certifikata duhet të përmbajë shtegun për në pikën e shpërndarjes CRL
· Të gjithë kontrolluesit e domenit duhet të kenë të instaluar certifikatën Authentication të Domain Controller, ose Kerberos Authentication, pasi është zbatuar procesi i vërtetimit të ndërsjellë të klientit dhe serverit.
Një numër ndryshimesh në kërkesat kanë ndodhur në sistemet operative që nga Windows Server 2008:
Nuk kërkohet më zgjerim CRL në certifikatat e hyrjes në kartën inteligjente
Tani mbështetet aftësia për të krijuar një marrëdhënie midis një llogarie përdoruesi dhe një certifikate
Shkrimi i certifikatës është i mundur në çdo seksion të aksesueshëm të kartës smart
· Shtesa EKU nuk kërkohet të përfshijë OID të hyrjes në kartën inteligjente, ndërsa me drejtësi duhet të theksohet se nëse planifikoni të përdorni një shabllon të vetëm certifikate për klientët e të gjitha sistemeve operative, atëherë, sigurisht, duhet të aktivizohet Smart Card Logon OID .
Disa fjalë për vetë procedurën e hyrjes së klientit. Nëse flasim për sistemet operative nga Windows Vista dhe më lart, atëherë duhet të theksohet se një numër ndryshimesh kanë ndodhur gjithashtu këtu:
· Së pari, procedura e hyrjes në kartën inteligjente nuk fillon më automatikisht kur futni kartën inteligjente në lexuesin e kartave, ose kur futni çelësin tuaj USB në portën USB, domethënë, duhet të shtypni Ctrl + Alt + Delete.
· Së dyti, aftësia e re për të përdorur çdo slot të kartës inteligjente për ruajtjen e certifikatave i ofron përdoruesit një zgjedhje nga një shumëllojshmëri objektesh identifikimi të ruajtura në kartë, ndërkohë që certifikata e kërkuar aktualisht shfaqet si e disponueshme për përdorim.
konkluzionet
Pra, ne kemi analizuar disa aspekte kryesore në lidhje me pjesën teorike të vërtetimit me dy faktorë në Shërbimet e Domainit të Active Directory dhe mund t'i përmbledhim.
Sigurimi i procesit të vërtetimit në sistem është kritik. Llojet e thyerjes së fjalëkalimit që ekzistojnë sot krijojnë nevojën për vërtetim me shumë faktorë.
Për një kompani të vogël, mundeni Kufizohemi në një politikë strikte të mbrojtjes së kredencialeve, futjen e softuerit antivirus, privimin e përdoruesve nga aftësia për të punuar me media të jashtme të ruajtjes, bllokimin e lëshimit të softuerit të paautorizuar, zbatimin e rregulloreve të punës së përdoruesit, etj. etj.
Kur bëhet fjalë për një kompani të madhe, apo një kompani në të cilën ka një interes të qartë nga ana e kriminelëve kibernetikë, këto fonde nuk janë të mjaftueshme. Gabimet dhe informacionet e brendshme mund të minojnë përpjekjet për të ndërtuar një sistem sigurie, ndaj duhet ndjekur një rrugë tjetër. Tashmë ka kuptim të flasim për zbatimin e vërtetimit të sigurt.
Përdorimi i vërtetimit me dy faktorë është një zgjidhje e mirë sigurie.
Ne kemi një faktor të dytë të vërtetimit, përveç kodit pin, përdoruesi duhet të ketë edhe një kartë smart ose çelës USB.
Përdorimi i kartave inteligjente ose çelësave USB na jep mundësinë të sigurojmë vërtetim me dy faktorë në mjediset AD dhe AD DS.
Në një nga artikujt e mëposhtëm, unë do t'ju tregoj se si të zbatoni vërtetimin me dy faktorë në praktikë. Ne do të kalojmë në vendosjen dhe konfigurimin e një Infrastrukture të Autoritetit të Certifikatës (PKI) bazuar në Windows Server 2008 Enterprise R2.
Bibliografi.
Http://www.rfc-archive.org/getrfc.php?rfc=4556
Http://www.rfc-archive.org/getrfc.php?rfc=4120
Http://www.aladdin.ru/catalog/etoken_products/logon
NCSC-TG-017 - "Një udhëzues për të kuptuar identifikimin dhe vërtetimin në sistemet e besueshme", botuar nga U.S. Qendra Kombëtare e Sigurisë Kompjuterike.
RFC4120 - Shërbimi i vërtetimit të rrjetit Kerberos (V5)
RFC4556 - Kriptografia e çelësit publik për vërtetimin fillestar në Kerberos (PKINIT)
Brian Komar Windows Server 2008 PKI dhe Siguria e Certifikatës
Leonid Shapiro,
MCT, MCSE: S, MCSE: M, MCITP EA, Trajner i certifikuar TMS
