Tokenlər və MS CA istifadə edərək domendə iki faktorlu autentifikasiya. Birdəfəlik parollardan (OTP) istifadə edərək autentifikasiya sisteminə daxil olun

Məlumatlarınıza daxil olmaq üçün yeganə maneə paroldursa, böyük risk altındasınız. Keçid sındırıla, tutula, troyan tərəfindən oğurlana və ya sosial mühəndislikdən istifadə edərək ovlana bilər. Bu vəziyyətdə iki faktorlu autentifikasiyadan istifadə etməmək demək olar ki, cinayətdir.

Artıq birdəfəlik açarlar haqqında bir dəfədən çox danışdıq. Mənası çox sadədir. Təcavüzkar bir şəkildə giriş parolunuzu əldə edə bilsə, o, asanlıqla e-poçtunuza daxil ola və ya qoşula bilər uzaq server. Ancaq onun yolunda əlavə bir amil varsa, məsələn, birdəfəlik açar (OTP açarı da deyilir), onda heç nə işləməyəcək. Belə bir açar təcavüzkarın əlinə keçsə belə, ondan istifadə etmək artıq mümkün olmayacaq, çünki o, yalnız bir dəfə etibarlıdır. Belə ikinci amil ola bilər əlavə zəng, SMS vasitəsilə alınan kod, cari vaxta əsaslanan müəyyən alqoritmlərdən istifadə edərək telefonda yaradılan açar (vaxt müştəri və serverdə alqoritmi sinxronlaşdırmaq üçün bir yoldur). Eyni Google uzun müddətdir istifadəçilərinə iki faktorlu autentifikasiyanı aktivləşdirməyi tövsiyə edir (hesab parametrlərində bir neçə klik). İndi xidmətləriniz üçün belə bir müdafiə qatını əlavə etmək növbəsidir!

Duo Təhlükəsizlik nə təklif edir?

Önəmsiz bir misal. Mənim kompüterimdə masaüstünə uzaqdan qoşulmaq üçün “xaricdə” açıq RDP portu var. Giriş parolu sızarsa, təcavüzkar dərhal maşına tam giriş əldə edəcək. Buna görə də, OTP parol qorunmasının gücləndirilməsi ilə bağlı heç bir sual yox idi - sadəcə bunu etmək lazım idi. Təkəri yenidən ixtira etmək və hər şeyi öz başıma həyata keçirməyə çalışmaq axmaqlıq idi, ona görə də bazarda olan həllərə baxdım. Onların əksəriyyəti kommersiya xarakteri daşıyırdı (daha ətraflı yan paneldə), lakin az sayda istifadəçi üçün onlar pulsuz istifadə edilə bilər. Yalnız eviniz üçün nə lazımdırsa. Hər şey üçün (VPN, SSH və RDP daxil olmaqla) iki faktorlu autentifikasiyanı təşkil etməyə imkan verən ən uğurlu xidmətlərdən biri Duo Security (www.duosecurity.com) oldu. Onun cəlbediciliyinə əlavə olaraq, layihənin yaradıcısı və təsisçisinin tanınmış mütəxəssis Con Oberheid olması oldu. informasiya təhlükəsizliyi. Məsələn, o, ixtiyari proqramları quraşdırmaq və ya silmək üçün istifadə oluna bilən Android smartfonları ilə Google-un rabitə protokolunu sındırıb. Bu baza özünü hiss etdirir: iki faktorlu autentifikasiyanın əhəmiyyətini göstərmək üçün uşaqlar işə başladılar VPN xidməti Hunter (www.vpnhunter.com), hansı ki, şirkətin gizli VPN serverlərini (və eyni zamanda onların işlədiyi avadanlığın növünü müəyyən edir), uzaqdan giriş xidmətlərini (OpenVPN, RDP, SSH) və digər infrastruktur elementlərini tez tapa bilir. Təcavüzkarın sadəcə giriş və şifrəni bilməklə daxili şəbəkəyə daxil olmasına icazə verin. Maraqlıdır ki, xidmətin rəsmi Twitter-də sahiblər gündəlik skan hesabatlarını dərc etməyə başladılar məşhur şirkətlər, bundan sonra hesaba qadağa qoyuldu :). Duo Təhlükəsizlik xidməti, əlbəttə ki, ilk növbədə şirkətlərdə iki faktorlu autentifikasiyanın tətbiqinə yönəlib. böyük rəqəm istifadəçilər. Xoşbəxtlikdən bizim üçün pulsuz Şəxsi hesab yaratmaq mümkündür ki, bu da pulsuz olaraq on istifadəçi üçün iki faktorlu autentifikasiyanı təşkil etməyə imkan verir.

İkinci amil nə ola bilər?

Sonra, uzaq masaüstü bağlantınızın və serverinizdə SSH-nin təhlükəsizliyini on dəqiqə ərzində necə gücləndirəcəyinizə baxacağıq. Ancaq əvvəlcə Duo Security-nin ikinci icazə faktoru kimi təqdim etdiyi əlavə addım haqqında danışmaq istəyirəm. Bir neçə seçim var: telefon zəngi, parolları olan SMS, Duo Mobile parolları, Duo Push, elektron açar. Hər biri haqqında bir az daha.

Onu nə qədər müddətə pulsuz istifadə edə bilərəm?

Artıq qeyd edildiyi kimi, Duo Security xüsusi “Şəxsi” tarif planını təklif edir. Bu tamamilə pulsuzdur, lakin istifadəçilərin sayı ondan çox olmamalıdır. Bütün inteqrasiyaların qeyri-məhdud sayda əlavə edilməsini dəstəkləyir mövcud üsullar autentifikasiya. Telefoniya xidmətləri üçün minlərlə pulsuz kredit təqdim edir. Kreditlər, zəng və ya SMS vasitəsilə hər dəfə autentifikasiya baş verdikdə hesabınızdan debet edilən daxili valyuta kimidir. Hesab ayarlarınızda onu elə təyin edə bilərsiniz ki, çatdıqda verilmiş nömrə Kreditlər üçün bildiriş aldınız və balansınızı artıra bildiniz. Min kredit cəmi 30 dollara başa gəlir. Zənglərin və SMS-lərin qiyməti müxtəlif ölkələr üçün fərqlidir. Rusiya üçün zəng 5-20 kredit, SMS- 5 kreditə başa gələcək. Bununla belə, Duo Təhlükəsizlik vebsaytında autentifikasiya zamanı baş verən zəng üçün heç bir ödəniş tutulmur. Duo Mobile tətbiqindən autentifikasiya üçün istifadə etsəniz, kreditləri tamamilə unuda bilərsiniz - bunun üçün heç bir ödəniş tutulmur.

Asan qeydiyyat

Serverinizi Duo Security ilə qorumaq üçün endirib quraşdırmalısınız xüsusi müştəri Duo Təhlükəsizlik identifikasiyası serveri ilə qarşılıqlı əlaqədə olacaq və ikinci qoruma qatını təmin edəcək. Müvafiq olaraq, bu müştəri hər bir vəziyyətdə fərqli olacaq: iki faktorlu autentifikasiyanın tam olaraq harada həyata keçirilməsinin zəruriliyindən asılı olaraq. Bu barədə aşağıda danışacağıq. Etməli olduğunuz ilk şey sistemdə qeydiyyatdan keçmək və hesab əldə etməkdir. Ona görə də açırıq ana səhifə saytında "Pulsuz sınaq" düyməsini basın, açılan səhifədə Şəxsi hesab növü altında "Oxumaq" düyməsini basın. Bundan sonra bizdən ad, soyad, e-poçt ünvanı və şirkət adımızı daxil etməyimiz xahiş olunur. Qeydiyyatınızı təsdiqləmək üçün linkdən ibarət e-poçt məktubu almalısınız. Bu halda, sistem avtomatik olaraq göstərilən telefon nömrəsini yığacaq: hesabınızı aktivləşdirmək üçün zəngə cavab verməli və telefonda # düyməsini sıxmalısınız. Bundan sonra hesab aktiv olacaq və siz döyüş testinə başlaya bilərsiniz.

RDP-nin qorunması

Yuxarıda dedim ki, qorumağa böyük həvəslə başlamışam uzaq əlaqələr masaüstünüze. Buna görə də, ilk nümunə olaraq, RDP təhlükəsizliyini necə gücləndirəcəyimi təsvir edəcəyəm.

İki faktorlu autentifikasiyanın istənilən tətbiqi sadə bir hərəkətlə başlayır: Duo Təhlükəsizlik profilində sözdə inteqrasiya yaratmaq. “İnteqrasiya  Yeni İnteqrasiya” bölməsinə keçin, inteqrasiyanın adını göstərin (məsələn, “Ev RDP”), onun növünü “Microsoft RDP” seçin və “İnteqrasiya əlavə et” düyməsini basın.
Görünən pəncərə inteqrasiya parametrlərini göstərir: İnteqrasiya açarı, Gizli açar, API host adı. Müştəri hissəsini konfiqurasiya etdikdən sonra onlara ehtiyacımız olacaq. Anlamaq vacibdir: onları heç kim bilməməlidir.
Bundan sonra, qorunan maşında Windows sisteminə lazım olan hər şeyi quraşdıracaq xüsusi bir müştəri quraşdırmalısınız. Rəsmi veb saytından endirilə və ya diskimizdən götürülə bilər. Onun bütün qurulması ondan ibarətdir ki, quraşdırma prosesi zamanı yuxarıda qeyd olunan İnteqrasiya açarı, Gizli açar, API host adını daxil etməlisiniz.
Əslində hamısı budur. İndi növbəti dəfə RDP vasitəsilə serverə daxil olduğunuz zaman ekranda üç sahə olacaq: istifadəçi adı, parol və Duo birdəfəlik açar. Müvafiq olaraq, sistemə yalnız loqin və şifrənizlə daxil olmaq artıq mümkün deyil.

Yeni istifadəçi ilk dəfə daxil olmağa cəhd etdikdə onlardan Duo Təhlükəsizlik doğrulama prosesindən bir dəfə keçməsi tələb olunacaq. Xidmət ona xüsusi bir keçid verəcək, bunun ardınca o, telefon nömrəsini daxil etməli və doğrulama zəngini gözləməlidir. Əlavə açarlar əldə etmək (və ya onları ilk dəfə əldə etmək) üçün siz “sms” açar sözünü daxil edə bilərsiniz. Telefon zəngi ilə autentifikasiya etmək istəyirsinizsə, “telefon” yazın, Duo Push istifadə edirsinizsə, “push” daxil edin. Serverə bütün qoşulma cəhdlərinin (həm uğurlu, həm də uğursuz) tarixçəsinə əvvəlcə istədiyiniz inteqrasiyanı seçmək və onun “Autentifikasiya jurnalı”na keçməklə Duo Təhlükəsizlik veb saytında hesabınızda baxmaq olar.

İstənilən yerdə Duo Təhlükəsizliyinə qoşulun!

İki faktorlu autentifikasiyadan istifadə edərək, yalnız RDP və ya SSH deyil, həm də VPN-ləri, RADIUS serverlərini və istənilən veb xidmətlərini qoruya bilərsiniz. Məsələn, məşhur Drupal və WordPress mühərriklərinə əlavə identifikasiya qatını əlavə edən hazır müştərilər var. Hazır müştəri yoxdursa, üzülməyin: hər zaman ərizəniz və ya veb saytınız üçün iki faktorlu autentifikasiya əlavə edə bilərsiniz. API yardımı sistem tərəfindən təmin edilir. API ilə işləməyin məntiqi sadədir - siz URL-ə sorğu göndərirsiniz müəyyən bir üsul və daxil ola biləcək qaytarılmış cavabı təhlil edin JSON formatı(və ya BSON, XML). Duo REST API üçün tam sənədlər rəsmi internet saytında mövcuddur. Sadəcə onu deyim ki, ping, check, preauth, auth, status üsulları var ki, onların adından nə üçün nəzərdə tutulduğunu təxmin etmək asandır.

SSH qorunması

Təhlükəsiz autentifikasiyanı həyata keçirmək üçün digər inteqrasiya növünü - "UNIX Integration"ı nəzərdən keçirək. Duo Təhlükəsizlik profilimizə daha bir inteqrasiya əlavə edirik və müştərini sistemə quraşdırmağa davam edirik.

Sonuncunun mənbə kodunu bit.ly/IcGgk0 saytından yükləyə və ya diskimizdən götürə bilərsiniz. istifadə etdim son versiya- 1.8. Yeri gəlmişkən, müştəri əksər nix platformalarında işləyir, ona görə də onu FreeBSD, NetBSD, OpenBSD, Mac OS X, Solaris/Illumos, HP-UX və AIX-də asanlıqla quraşdırmaq olar. Quraşdırma prosesi standartdır - konfiqurasiya && et && sudo make install. Tövsiyə edəcəyim yeganə şey --prefix=/usr seçimi ilə konfiqurasiyadan istifadə etməkdir, əks halda müştəri tapa bilməyəcək. tələb olunan kitabxanalar. Uğurlu quraşdırmadan sonra /etc/duo/login_duo.conf konfiqurasiya faylını redaktə etmək üçün keçin. Bu kökdən edilməlidir. Edilməli olan bütün dəyişikliklər uğurlu iş, inteqrasiya səhifəsində tapıla bilən İnteqrasiya açarı, Gizli açar, API host adı dəyərlərini təyin etməkdir.

; Duo inteqrasiyası açarı = INTEGRATION_KEY; Duo gizli açar düyməsi = SECRET_KEY; Duo API hostnamehost = API_HOSTNAME

SSH vasitəsilə serverinizə daxil olan bütün istifadəçiləri iki faktorlu autentifikasiyadan istifadə etməyə məcbur etmək üçün sadəcə əlavə edin növbəti sətir/etc/ssh/sshd_config faylına:

> ForceCommand /usr/local/sbin/login_duo

Yalnız iki faktorlu autentifikasiyanı təşkil etmək də mümkündür fərdi istifadəçilər, onları qrupa birləşdirərək və bu qrupu login_duo.conf faylında göstərərək:

> qrup = təkər

Dəyişikliklərin qüvvəyə minməsi üçün ssh demonunu yenidən başlatmağınız kifayətdir. Bundan sonra, login-parol uğurla daxil edildikdən sonra istifadəçiyə əlavə autentifikasiyadan keçmək təklif olunacaq. Bir incəliyi ayrıca qeyd etmək lazımdır ssh parametrləri- Konfiqurasiya faylında PermitTunnel və AllowTcpForwarding seçimlərini söndürmək şiddətlə tövsiyə olunur, çünki demon autentifikasiyanın ikinci mərhələsinə başlamazdan əvvəl onları tətbiq edir. Beləliklə, təcavüzkar parolu düzgün daxil edərsə, giriş əldə edə bilər daxili şəbəkə port yönləndirilməsi sayəsində autentifikasiyanın ikinci mərhələsi tamamlanana qədər. Bu təsirin qarşısını almaq üçün sshd_config-ə aşağıdakı seçimləri əlavə edin:

PermitTunnel noAllowTcpForwarding no

İndi serveriniz ikiqat divarın arxasındadır və təcavüzkarın ona daxil olması daha çətindir.

Əlavə parametrlər

Duo Təhlükəsizlik hesabınıza daxil olub "Parametrlər" bölməsinə keçsəniz, bəzi parametrləri özünüzə uyğunlaşdıra bilərsiniz. Birinci vacib bölmə “Telefon zəngləri”dir. Bu, autentifikasiyanı təsdiqləmək üçün telefon zəngi istifadə edildikdə qüvvədə olacaq parametrləri müəyyən edir. “Səsli geri çağırış düymələri” bəndi autentifikasiyanı təsdiqləmək üçün hansı telefon düyməsinin basılmalı olduğunu müəyyən etməyə imkan verir. Varsayılan olaraq, dəyər “Press istənilən açar autentifikasiya etmək” - yəni istənilən birinə klikləyə bilərsiniz. Əgər “Autentifikasiya etmək və ya saxtakarlığı bildirmək üçün müxtəlif düymələrə basın” dəyərini təyin etsəniz, onda siz iki düyməni təyin etməlisiniz: birinciyə klikləməklə autentifikasiya təsdiqlənir (Autentifikasiya açarı), ikinciyə klikləməklə (Fırıldaqlığı bildirmək üçün açar) autentifikasiya prosesini başlatmadı, yəni kimsə parolumuzu aldı və ondan istifadə edərək serverə daxil olmağa çalışır. “SMS keçid kodları” elementi bir SMS-də olacaq parolların sayını və onların istifadə müddətini (etibarlılıq müddəti) təyin etməyə imkan verir. “Lokavt və fırıldaqçılıq” parametri sizə bildirişin göndəriləcəyi e-poçt ünvanını təyin etməyə imkan verir. müəyyən bir rəqəm serverə daxil olmaq üçün uğursuz cəhdlər.

İstifadə edin!

Təəccüblüdür ki, bir çox insanlar hələ də iki faktorlu autentifikasiyaya məhəl qoymurlar. Mən başa düşmürəm niyə. Bu, həqiqətən təhlükəsizliyi çox artırır. Demək olar ki, hər şey üçün həyata keçirilə bilər və layiqli həllər pulsuz mövcuddur. Bəs niyə? Tənbəllikdən və ya diqqətsizlikdən.

Analoq xidmətlər

İşarə et(www.signify.net) Xidmət iki faktorlu autentifikasiyanın təşkili üçün üç variant təqdim edir. Birincisi, elektron açarların istifadəsidir. İkinci üsul, istifadəçinin telefonuna SMS və ya e-poçt vasitəsilə göndərilən keçid açarlarından istifadə etməkdir. Üçüncü seçim - mobil proqram Android telefonları üçün iPhone, birdəfəlik parollar yaradan BlackBerry (əslində Duo Mobile-ın analoqu). Xidmət böyük şirkətlərə yönəlib, ona görə də tamamilə ödənişlidir.

SecurEnvoy(www.securenvoy.com) Həmçinin sizə mobil telefonunuzdan ikinci qorunma təbəqəsi kimi istifadə etməyə imkan verir. Keçid açarları istifadəçiyə SMS və ya e-poçt vasitəsilə göndərilir. Hər mesajda üç keçid açarı var, yəni istifadəçi yeni hissə tələb etməzdən əvvəl üç dəfə daxil ola bilər. Xidmət də ödənişlidir, lakin pulsuz 30 günlük müddət təqdim edir. Əhəmiyyətli bir üstünlük həm yerli, həm də üçüncü tərəf inteqrasiyalarının çoxluğudur.

PhoneFactor(www.phonefactor.com) Bu xidmət sizə ayda 500 pulsuz autentifikasiya təmin etməklə 25-ə qədər istifadəçi üçün pulsuz iki faktorlu autentifikasiya təşkil etməyə imkan verir. Qorunmanı təşkil etmək üçün xüsusi müştəri yükləməli və quraşdırmalısınız. Əgər saytınıza iki faktorlu autentifikasiya əlavə etmək lazımdırsa, aşağıdakı proqramlaşdırma dilləri üçün ətraflı sənədləri və nümunələri təqdim edən rəsmi SDK-dan istifadə edə bilərsiniz: ASP.NET C#, ASP.NET VB, Java, Perl, Ruby, PHP.

Parolun autentifikasiyasından istifadə edərkən qorunma üsulları. Parollarınızı hackdən qorumaq üçün müvafiq siyasət qurmalısınız. Bunu etmək üçün, GPMC Qrup Siyasəti İdarəetmə Konsolunu işə salmaq və tələb olunan obyekti seçmək üçün Başlat->İnzibati Alətlər->Qrup Siyasətinin İdarəetmə menyusundan istifadə edin. qrup siyasəti bölmə Kompüter Konfiqurasiyası->Siyasətlər->Təhlükəsizlik Parametrləri->Hesab Siyasəti->Parol Siyasəti Şəkilə baxın. 1 (Parol parametrlərini idarə et).

düyü. 1 Parol parametrlərini idarə edin.

Biz qısa parollardan qaçmağa imkan verən minimum parol uzunluğu təyin edə bilərik (Minimum parol uzunluq). İstifadəçinin mürəkkəb parollar təyin etməsi üçün mürəkkəblik tələbi aktivləşdirilməlidir (parol lazımdır görüşmək mürəkkəblik tələblər).

Parolun müntəzəm olaraq dəyişdirilməsini təmin etmək üçün onun maksimum istifadə müddətini təyin etməlisiniz (Maksimum parol yaş).

İstifadəçilərin köhnə parolları təkrarlamasının qarşısını almaq üçün parol tarixçəsinin yaddaşını konfiqurasiya etməlisiniz (Tətbiq edin parol tarix) .

Və nəhayət, istifadəçinin parolları dəfələrlə dəyişdirərək parolunu köhnəsinə dəyişməməsini təmin etmək üçün təyin edin minimum müddət, bu müddət ərzində parol dəyişdirilə bilməz (Minimum parol yaş).

Lüğət hücumundan qorunmaq üçün parol dəfələrlə səhv daxil edilərsə, biz hesab kilidi quracağıq. Bunun üçün Group Policy Management Console GPMC-də tələb olunan GPO bölməsini seçməlisiniz Kompüter Konfiqurasiya-> Siyasətlər-> Təhlükəsizlik Parametrlər-> Hesab Siyasətlər-> Hesab Lokaut Siyasət . Şəkilə baxın. 2 (İstifadəçi hesabının kilidlənməsini idarə et).

düyü. 2 İstifadəçi hesabının bloklanmasını idarə edin.

Hesabı həmişəlik kilidləmək üçün konfiqurasiya etmək üçün (inzibatçı onu kiliddən çıxarmazdan əvvəl) sıfır dəyər bloklama müddəti parametri (Hesab lokavt müddəti).

Uğursuz giriş cəhdlərinin sayının sayğacında (Hesab lokavt eşik) tələb olunan dəyəri təyin etməlisiniz. Əksər hallarda 3-5 giriş cəhdi məqbuldur.

Nəhayət, uğursuz cəhd sayğacını sıfırlamaq üçün interval təyin etməlisiniz (Sıfırlayın hesab lokavt sayğac sonra).

qorunmaq üçün " Troya atları» Siz antivirus vasitələrindən istifadə etməli və icazəsiz proqram təminatını bloklamalısınız.

İstifadəçilərin virusları informasiya sisteminə daxil etmək imkanlarını məhdudlaşdırmaq üçün əsaslandırılır: onlarla işləməyə qadağa qoyulması. xarici cihazlar(CD, DVD, Flash), ciddi UAC rejimi, ayrıca istifadə edin daimi internet iş şəbəkəsinə daxil olmayan kompüterlərə əsaslanan köşklər. Və nəhayət, istifadəçilərin necə işləməsi qaydalarını müəyyən edən ciddi iş qaydalarının tətbiqi korporativ şəbəkə(etimadnamələrinizin kiməsə ötürülməsinin qadağan edilməsi, etimadnamənizi əlçatan yerlərdə tərk etməyin qadağan edilməsi, iş yerindən çıxarkən iş stansiyasının məcburi bloklanması tələbləri və s.).

Nəticədə, biz şirkətin təhlükəsizliyinin pozulması ilə bağlı riskləri azalda biləcəyik.

Bütün bunların edildiyini düşünək. Bununla belə, sistemimizdə təhlükəsiz autentifikasiyanı təmin edə bildiyimizi söyləmək hələ tezdir.

İnsan amili ən böyük təhlükədir.

Hələ də öhdəsindən gələ bilmədiyimiz təhdidlər var. Ən mühüm amillərdən biri insan faktorudur. İnformasiya sistemlərimizin istifadəçiləri həmişə kifayət qədər şüurlu olmurlar və təhlükəsizlik inzibatçılarının izahatlarına baxmayaraq, öz etimadnamələrini (istifadəçi adı və şifrə) yazır və bu məxfi məlumatın məxfiliyinə əhəmiyyət vermirlər. Bir dəfədən çox monitorda stikerlər tapmışam, Şəkilə baxın. 3 və ya klaviaturanın altındakı şək. 4 istifadəçi adı və şifrə ilə.

düyü. 3. Təcavüzkar üçün gözəl hədiyyə, elə deyilmi?

düyü. 4. Oğruya daha bir hədiyyə.

Gördüyümüz kimi uzun və mürəkkəb parollar sistemə daxil edilir və assosiativ seriyalar açıq şəkildə görünmür. Bununla belə, istifadəçilər etimadnamələri yadda saxlamaq və saxlamaq üçün “səmərəli” üsul tapıblar...

Beləliklə, görürsünüz ki, bu halda yuxarıda qeyd etdiyim xüsusiyyət tam işlədi: Uzun və mürəkkəb parollar qeyd olunur və düzgün saxlanmaya bilər.

İnsayder

Digər əhəmiyyətli təhlükəsizlik təhdidləri təcavüzkarın qanuni istifadəçinin iş stansiyasına fiziki giriş əldə etməsi və məxfi məlumatları üçüncü tərəflərə ötürməsi potensialıdır. Yəni söhbət elə bir vəziyyətdən gedir ki, şirkət daxilində həmkarlarından məlumat oğurlayan işçi var.

Aydındır ki, istifadəçinin iş stansiyasının “fiziki” təhlükəsizliyini təmin etmək çox çətindir. Siz siqnalı tutaraq klaviatura boşluğuna bir hardware keyloggeri asanlıqla qoşa bilərsiniz simsiz klaviaturalar də mümkündür. Belə qurğular mövcuddur. Əlbəttə ki, hər kəs şirkətin ofisinə girməyəcək, amma hamı bilir ki, ən təhlükəlisi daxili casusdur. O, artıq sizin sisteminizə fiziki girişə malikdir və keylogger yerləşdirmək çətin olmayacaq, xüsusən də bu qurğular geniş insanlar üçün əlçatan olduğundan. Bundan əlavə, keylogger proqramlarına endirim edilə bilməz. Həqiqətən, inzibatçıların bütün səylərinə baxmayaraq, bu cür "casus proqram" proqramını quraşdırmaq imkanı istisna edilmir. İstifadəçi həmişə onu bloklayır iş stansiyası, onun tərk iş yeri? Administrator bacarırmı informasiya sistemi istifadəçiyə həddindən artıq icazələrin təyin edilməməsini təmin edin, xüsusən də köhnələrdən istifadə etmək lazımdırsa proqram məhsulları? Administrator, xüsusən də kiçik bir şirkətdə həmişə proqram təminatı və tövsiyələrini yerinə yetirmək üçün kifayət qədər ixtisasa malikdirmi? aparat təhlükəsiz informasiya sistemlərinin qurulması haqqında?

Beləliklə, parol autentifikasiyasının prinsipcə etibarsız olduğu qənaətinə gələ bilərik. Buna görə də, çoxfaktorlu autentifikasiya tələb olunur və istifadəçinin parolu klaviaturada yazılmasın.

Bizə nə kömək edə bilər?

İki faktorlu autentifikasiyanı nəzərdən keçirməyin mənası var: 1-ci amil parolun olması, 2-cisi PİN kodu bilməkdir. Domen parolu artıq klaviaturada yazılmır, yəni o, keylogger tərəfindən tutulmur. Domen parolunun tutulması daxil olmaq ehtimalı ilə doludur, PİN kodu ələ keçirmək o qədər də təhlükəli deyil, çünki əlavə olaraq smart kart tələb olunur.

Buna etiraz etmək olar ki, istifadəçi öz kartını oxuyucuda qoyub PİN kodu əvvəlki kimi stikerə yaza bilər. Bununla belə, bankomatlarda tətbiq olunduğu kimi, tərk edilmiş kartı bloklaya bilən nəzarət sistemləri var. Əlavə olaraq, ofisə daxil olmaq/çıxmaq üçün karta keçid yerləşdirmək mümkündür, yəni biz kartdan istifadə edə bilərik. RFID etiketi, bununla da kataloq xidmətində autentifikasiya sistemini fiziki girişə nəzarət sistemi ilə birləşdirir. Bu halda qapını açmaq üçün istifadəçiyə öz smart kartı və ya USB token lazım olacaq, ona görə də onu həmişə özü ilə aparmaq məcburiyyətində qalacaq.

Bundan başqa, müasir həllər iki faktorlu autentifikasiya üçün onlar yalnız AD və ya AD DS-də autentifikasiya qabiliyyətini tələb etmirlər. Ağıllı kartların və USB açarların istifadəsi bir çox başqa hallarda da, məsələn, ictimai giriş zamanı kömək edir e-poçt, qeydiyyat tələb olunan onlayn mağazalara, öz kataloq xidməti olan proqramlara və s. və s.

Beləliklə, praktik olaraq əldə edə bilərsiniz universal vasitə autentifikasiya.

AD DS-də asimmetrik kriptoqrafiya əsasında iki faktorlu autentifikasiyanın həyata keçirilməsi.

Xidmət Aktiv kataloq Kataloq Windows 2000-dən bəri smart kartın autentifikasiyasını dəstəkləyir.

Əsas olaraq, smart kartlardan istifadə edərək autentifikasiya etmək imkanı Kerberos RFC 4556 Bax protokolu üçün PKINIT (ictimai açarın işə salınması) genişlənməsinə daxildir. PKINIT genişləndirilməsi Kerberos ilkin doğrulama mərhələsində açıq açar sertifikatlarından istifadə etməyə imkan verir.

Bu, smart kartlardan istifadə etməyə imkan verir. Yəni iki faktorlu autentifikasiyanın mümkünlüyündən danışmaq olar Microsoft sistemləriəsasında müntəzəm vəsaitlər, Windows 2000-dən başlayaraq, Kerberos + PKINIT sxemi artıq tətbiq olunduğundan.

Qeyd. Əvvəlcədən autentifikasiyaKerberos– əlavə təhlükəsizlik səviyyəsini təmin edən proses. Buraxılışdan əvvəl icra edilmişdirTGT (Bilet İcazə vermək Bilet) açar paylama serverindən (K.D.C.). Protokolda istifadə olunurKerberos v. 5 oflayn parol təxmin edən hücumlara qarşı durmaq üçün. Protokolun necə işlədiyi haqqında daha çox məlumat əldə edinKerberosRFC 4120-də tapa bilərsiniz.Cm

Təbii ki, söhbət domenin bir hissəsi olan kompüterlərdən gedir. Əgər işləyərkən iki faktorlu autentifikasiyaya müraciət etmək lazımdırsa işçi qrupu, və ya əməliyyat sistemlərinin əvvəlki versiyalarından istifadə edərkən, biz üçüncü tərəf proqramlarına müraciət etməli olacağıq, məsələn SafeNet (Ələddin) eToken Network Logon 5.1. Cm.

Giriş ya domen kataloqu xidmətindən, ya da yerli kataloq xidmətindən istifadə etməklə təmin edilə bilər. Bu zaman istifadəçi parolu klaviaturada yazılmır, təhlükəsiz yaddaşdan smart karta ötürülür.

Smart kartlardan istifadə etməklə autentifikasiya Kerberos PKINIT genişləndirilməsi vasitəsilə həyata keçirilir, bu genişləndirmə asimmetrik kriptoqrafik alqoritmlərdən istifadə etmək imkanı verir.

Windows 2000, Windows 2003 Server əməliyyat sistemləri üçün PKINIT ilə birlikdə smart kartların istifadəsinin tətbiqi tələblərinə gəldikdə, bunlar aşağıdakılardır:

· Bütün domen nəzarətçiləri və hamısı müştəri kompüterləri həllimizin həyata keçirildiyi meşə daxilində kök Sertifikatlaşdırma Təşkilatına (Sertifikatlaşdırma Təşkilatı) etibar edilməlidir.

· Smart kartların istifadəsi üçün sertifikatlar verən CA NT Authority repozitoriyasına yerləşdirilməlidir.

· Sertifikatda Smart Card Giriş və Müştəri Doğrulama identifikatorları olmalıdır

· Smart kartlar üçün sertifikatda istifadəçinin UPN-i olmalıdır.

· Sertifikat və gizli açar smart kartın müvafiq bölmələrində, gizli açar isə smart kartın yaddaşının təhlükəsiz yerində yerləşməlidir.

· Sertifikat sertifikatın ləğvi siyahısına gedən yolu göstərməlidir

· Bütün domen nəzarətçiləri olmalıdır quraşdırılmış sertifikat Müştəri və serverin qarşılıqlı autentifikasiyası prosesi həyata keçirildiyi üçün Domain Controller Authentication və ya Kerberos Authentication.

Windows Server 2008 ilə başlayan əməliyyat sistemlərində tələblərdə bir sıra dəyişikliklər baş verdi:

· Smart kartın giriş sertifikatlarında CRL uzadılması artıq tələb olunmur

· İndi istifadəçi hesabı və sertifikat arasında əlaqə yaratmaq imkanı dəstəkləyir

· Sertifikat smart kartın istənilən əlçatan bölməsinə yazıla bilər

· EKU uzadılması Smart Card Logon OID aktivləşdirilməməlidir, lakin ədalət naminə qeyd etmək lazımdır ki, əgər siz bütün əməliyyat sistemlərinin müştəriləri üçün vahid sertifikat şablonundan istifadə etməyi planlaşdırırsınızsa, əlbəttə ki, Smart Card Giriş OID-i aktivləşdirilməlidir.

Müştərinin giriş prosedurunun özü haqqında bir neçə kəlmə. Əməliyyat sistemlərindən danışsaq Windows Vista və yuxarıda qeyd etmək lazımdır ki, burada bir sıra dəyişikliklər baş verib:

· Birincisi, smart kartı kart oxuyucuya daxil etdikdə və ya USB açarı USB porta qoşduqda, yəni siz Ctrl+Alt+Delete düymələrini sıxmalısınız.

· İkincisi, sertifikatları saxlamaq üçün istənilən smart kart yuvasından istifadə etmək üçün yeni imkan istifadəçiyə kartda saxlanılan müxtəlif identifikasiya obyektləri arasından seçim imkanı verir. hal-hazırda Sertifikat istifadə üçün əlçatan görünür.

Nəticələr

Beləliklə, biz iki faktorlu autentifikasiyanın nəzəri hissəsi ilə bağlı bir neçə əsas aspekti araşdırdıq. Active Directory Domain Services və ümumiləşdirə bilərik.

Sistemin autentifikasiya prosesinin təhlükəsizliyinin təmin edilməsi vacibdir. Bu gün mövcud olan parol sındırma növləri çox faktorlu autentifikasiya ehtiyacını yaradır.

Kiçik bir şirkət üçün edə bilərsiniz ciddi etimadnamə mühafizəsi siyasəti ilə məhdudlaşdırmaq, antivirus proqram təminatı tətbiq etmək və istifadəçiləri onlarla işləmək imkanından məhrum etmək xarici media icazəsiz proqram təminatının işə salınmasının qarşısını almaq, istifadəçi qaydalarını həyata keçirmək və s. və s.

Gələndə böyük şirkət, və ya təcavüzkarların açıq marağı olan bir şirkət haqqında - bu vəsait kifayət deyil. Səhvlər və daxili məlumatlar təhlükəsizlik sistemi qurmaq səylərinizi məhv edə bilər, ona görə də fərqli bir yol seçməlisiniz. Burada təhlükəsiz autentifikasiyanın tətbiqi haqqında danışmaq artıq məna kəsb edir.

İki faktorlu autentifikasiyadan istifadə - yaxşı qərar təhlükəsizlik baxımından.

İndi bizdə PİN koddan başqa ikinci autentifikasiya faktoru var, istifadəçinin smart kartı və ya USB açarı da olmalıdır;

Smart kartların istifadəsi və ya USB açarları bizə həm AD, həm də AD DS mühitlərində iki faktorlu autentifikasiyanı təmin etmək imkanı verir.

Aşağıdakı məqalələrdən birində iki faktorlu autentifikasiyanın praktikada necə həyata keçirildiyini sizə xəbər verəcəyəm. Biz sertifikat orqanı infrastrukturunun (PKI) yerləşdirilməsi və konfiqurasiyasına baxacağıq Windows əsaslıdır Server 2008 Enterprise R2.

İstinadlar.

Http://www.rfc-archive.org/getrfc.php?rfc=4556

Http://www.rfc-archive.org/getrfc.php?rfc=4120

Http://www.aladdin.ru/catalog/etoken_products/logon

NCSC-TG-017 - ABŞ tərəfindən nəşr olunan "Etibarlı Sistemlərdə İdentifikasiya və Doğrulamanın Anlanması üçün Bələdçi" Milli Kompüter Təhlükəsizliyi Mərkəzi.

RFC4120 – Kerberos Şəbəkə Doğrulama Xidməti (V5)

RFC4556 – Kerberosda İlkin Doğrulama üçün Açıq Açar Kriptoqrafiyası (PKINIT)

Brian Komar Windows Server 2008 PKI və Sertifikat Təhlükəsizliyi

Leonid Şapiro,
MCT, MCSE:S, MCSE:M, MCITP EA, TMS Sertifikatlı Təlimçi

Parollar böyük təhlükəsizlik baş ağrısı yarada bilər və müəssisə və təşkilatların İT administratorları üçün idarəolunma qabiliyyəti. İstifadəçilər tez-tez yaradır sadə parollar və ya parolları unutmamaq üçün onları yazın. Bundan əlavə, bir neçə parol sıfırlama proseduru effektiv və ya təhlükəsizdir. Bu məhdudiyyətləri nəzərə alaraq, şəbəkəyə giriş həyata keçirildikdə bu növ təhlükəsizlik problemlərini necə azaltmaq olar uzaq istifadəçilər? Bir çox istifadəçinin parollarını yazdığını bilərək, şirkətinizin parol həllini necə daha təhlükəsiz edə bilərsiniz?

Bir həll yolu var - bu təşkilatda həyata keçirməkdir əlavə sistem giriş əsaslı giriş mühafizəsi birdəfəlik parollar(OTP – Birdəfəlik Şifrə) yaradılan mobil cihaz sizin işçiniz. Birdəfəlik parol identifikasiyasına keçid adətən standart uzunmüddətli parolların təhlükəsizlik baxımından qeyri-kafi olduğu və smart kartların istifadəsinin məhdud olduğu bir vəziyyətdə baş verir, məsələn, belə bir vəziyyətdə kütləvi tətbiq mobil müştərilər.

Şirkətimiz texnoloji həll işləyib hazırlayıb, əldə etməyə imkan verəcək birdəfəlik parollara əsaslanan terminal serveri və ya 1C serveri üçün əlavə müdafiə xətti , işçilərin uzaqdan qoşulduğu.

OTP sisteminin yerləşdirilməsi və konfiqurasiyası üçün işin həcmi

İxtisaslaşmış proqram təminatı birdəfəlik parollara (OTP) əsaslanan giriş identifikasiyası sisteminin işləməsi üçün Serverə girişə ehtiyacı olan təşkilatın bütün işçiləri OTP sisteminə daxil olurlar Hər bir işçi üçün edilir ilkin quraşdırma mobil telefon birdəfəlik parol yaratmaq üçün proqramın quraşdırılması ilə

Bir təşkilata giriş identifikasiyası sisteminin tətbiqi dəyəri terminal server və ya birdəfəlik parollara əsaslanan 1C serveri (OTP) başlayır 6400 rubdan..

OTP sisteminin təhlükəsiz "buludumuzda" infrastruktur icarəsi ilə birlikdə yerləşdiriləcəyi hallarda, Birdəfəlik parollardan (OTP) istifadə edərək mühafizə sisteminin tətbiqinə endirim 50%-ə çata bilər.

Birdəfəlik parollar - məlumat təhlükəsizliyinin əlavə səviyyəsi

Ənənəvi, statik parol adətən yalnız zəruri hallarda dəyişdirilir: ya müddəti bitdikdə, ya da istifadəçi onu unutduqda və onu yenidən qurmaq istədikdə. Parollar kompüterin sərt disklərində saxlandığı və serverdə saxlandığı üçün onlar haker hücumlarına məruz qalırlar. Bu problem xüsusilə noutbuklar üçün aktualdır, çünki onları oğurlamaq asandır. Bir çox şirkətlər işçilərini noutbuk kompüterləri ilə təmin edir və şəbəkələrini uzaqdan giriş üçün açır. Onlar həmçinin müvəqqəti işçilər və təchizatçılar işə götürürlər. Belə bir mühitdə sadə statik parol həlli dezavantaj olur.
Statik paroldan fərqli olaraq, birdəfəlik parol istifadəçi sistemə hər dəfə daxil olduqda dəyişir və yalnız qısa müddət ərzində (30 saniyə) etibarlıdır. Parolların özləri yaradılır və istifadə edərək şifrələnir mürəkkəb alqoritm bir çox dəyişənlərdən asılı olaraq: vaxt, uğurlu/uğursuz girişlərin sayı, təsadüfi yaradılan nömrələr və s. Bu mürəkkəb görünən yanaşma istifadəçidən sadə hərəkətlər tələb edir - Telefonunuza quraşdırın xüsusi tətbiq

, serverlə bir dəfə sinxronizasiya edən və sonra birdəfəlik parol yaradan. Hər yeni uğurlu girişlə müştəri və server xüsusi alqoritmdən istifadə edərək bir-birindən asılı olmayaraq avtomatik olaraq yenidən sinxronlaşdırılır. Cihazdan hər dəfə OTP dəyəri tələb olunduqda sayğac dəyəri artır və istifadəçi daxil olmaq istədikdə, hazırda mobil cihazında göstərilən OTP-lərə daxil olur. Parol o qədər də etibarlı qorunma vasitəsi deyil. Çox vaxt sadə, asanlıqla təxmin edilən parollardan istifadə olunur və ya istifadəçilər parollarının təhlükəsizliyinə xüsusi nəzarət etmirlər (onları həmkarlarına verirlər, kağız parçalarına yazır və s.). Microsoft uzun müddətdir ki, sistemə daxil olmaq üçün SmartCard-dan istifadə etməyə imkan verən texnologiya tətbiq edib, yəni. sertifikatdan istifadə edərək sistemdə autentifikasiya edin. Amma smart kartları birbaşa istifadə etmək lazım deyil, çünki onlar da oxucu tələb edir, ona görə də onları USB tokenləri ilə əvəz etmək daha asandır. Onlar iki faktorlu autentifikasiyanı həyata keçirməyə imkan verəcəklər: birinci amil tokendən olan parol, ikinci amil tokendəki sertifikatdır. Aşağıda JaCarta usb tokeninin nümunəsi və Windows domeni

Bu autentifikasiya mexanizmini necə həyata keçirəcəyinizi sizə xəbər verəcəyəm.

İlk olaraq AD-də “g_EtokenAdmin” qrupu və hesabı yaradacağıq. bu qrupun bir hissəsi olan "Qeydiyyat Agenti" girişi. Bu qrup və istifadəçi sertifikatlaşdırma orqanını idarə edəcək.

Bundan əlavə, biz sertifikatlar tələb etmək üçün Veb xidməti quraşdıracağıq.
Sonra, müəssisə üçün seçim seçin. Kök CA seçin (əgər bu domendəki ilk sertifikatlaşdırma orqanıdırsa)

Yeni şəxsi açar yaradın. Açar uzunluğu eyni qala bilər, lakin hashing alqoritmi SHA2 (SHA256) seçmək daha yaxşıdır.
CA-nın adını daxil edin və əsas sertifikatın etibarlılıq müddətini seçin.

Qalan parametrləri standart olaraq buraxırıq və quraşdırma prosesinə başlayırıq.

Quraşdırıldıqdan sonra sertifikatlaşdırma orqanına daxil olun və şablonlara olan hüquqları konfiqurasiya edin.
Gəlin bu şablonların xassələrinə keçək və təhlükəsizlik sekmesinde oxumaq və tətbiq etmək hüququ olan “g_EtokenAdmin” qrupunu əlavə edək.

Və onlar bizim ümumi siyahımızda görünəcəklər.

Növbəti addım qrup siyasətlərini konfiqurasiya etməkdir:
Əvvəlcə domendəki bütün kompüterlərə kök sertifikatlaşdırma orqanı haqqında məlumat verək, bunu etmək üçün Defolt Domen Siyasətini dəyişəcəyik;
Kompüter Konfiqurasiyası -> Siyasətlər -> Windows Konfiqurasiyası-> Təhlükəsizlik Parametrləri -> İctimai Açar Siyasətləri -> Etibarlı Kök Sertifikatlaşdırma Orqanları -> İdxal

Yol boyunca yerləşən kök sertifikatımızı seçək: C:\Windows\System32\certsrv\CertEnroll. Defolt Domen Siyasətini bağlayın.
Növbəti addımda biz token (Smart kart) autentifikasiyası olan kompüterlərin yerləşəcəyi konteyner üçün siyasət yaradacağıq.

Yol boyu: Kompüter Konfiqurasiyası -> Siyasətlər -> Windows Konfiqurasiyası -> Təhlükəsizlik Parametrləri -> Yerli siyasətlər-> Təhlükəsizlik parametrləri. Gəlin “İnteraktiv giriş: smart kart tələb olunur” və “İnteraktiv giriş: smart kartı çıxararkən davranış” parametrlərini konfiqurasiya edək.

Bütün parametrlər budur, indi siz müştəri sertifikatı yarada və nişandan istifadə edərək autentifikasiyanı yoxlaya bilərsiniz.
“Qeydiyyat agenti” hesabı ilə kompüterə daxil olun və http://Server_name_MS_CA/certsrv linkinə klikləməklə brauzeri açın.

Seçin Sertifikat Sorğusu -> Qabaqcıl Sertifikat Sorğusu -> Bu CA-ya sorğu yaradın və verin
"Sertifikat tətbiqini tamamlamaq üçün CA veb saytını HTTPS autentifikasiyasından istifadə etmək üçün konfiqurasiya etməlisiniz" kimi bir xəta alsanız, IIS serveri MS CA-nın quraşdırıldığı saytı https protokoluna bağlayın.

Bunun üçün sertifikatı əldə etməyə davam edək, açılan səhifədə şablonu seçin: “Registration Agent” və sertifikatı vermək və quraşdırmaq üçün düyməni sıxın;

Qeydiyyat Agent istifadəçisi indi digər istifadəçilər üçün sertifikatlar verə bilər. Məsələn, istifadəçi testi üçün sertifikat tələb edək. Bunun üçün certmgr.msc sertifikat idarəetmə konsolunu açın, çünki vasitəsilə veb interfeysi Sertifikatı usb tokeninə yazmaq mümkün olmayacaq.
Bu konsolda, şəxsi qovluqda başqa bir istifadəçi adından sorğu göndərəcəyik

İmza olaraq, yeganə “Qeydiyyat Agenti” sertifikatını seçin və növbəti addıma keçin, burada “Smart kartla daxil olun” maddəsini seçirik və kripto provayderi seçmək üçün təfərrüatlara klikləyirik.
Mənim vəziyyətimdə JaCarta tokenlərindən istifadə edirəm, ona görə də “Athena...” kripto provayderi sürücülərlə birlikdə quraşdırılıb:

Növbəti addımda sertifikat verdiyimiz domen istifadəçisini seçin və “Tətbiq” düyməsini sıxın.

Tokeni daxil edirik, PİN kodu daxil edirik və generasiya prosesi başlayır. Nəticədə "Uğur" deyən bir dialoq pəncərəsi görməliyik.
Proses uğursuz olarsa, bu, mənim vəziyyətimdə sertifikat almaq üçün şablon ola bilər, bir az düzəldilməlidir;

Testə başlayaq, smart kartdan istifadə edərək daxil olmaq üçün qrup siyasəti ilə OU-da yerləşən kompüterdə tokenin işini yoxlayın.
Şifrə ilə hesabdan istifadə edərək daxil olmağa cəhd etdikdə, rədd cavabı almalıyıq. Smart kart (token) ilə daxil olmağa çalışdığımız zaman bizdən PİN kodu daxil etmək istəniləcək və uğurla daxil olmalıyıq.

P.s.
1) Əgər işləmirsə avtomatik bloklama kompüter və ya sistemdən çıxın, nişanı sildikdən sonra “Smart Kartın Silinməsi Siyasəti” xidmətinin işlək olub-olmadığına baxın
2) Siz yalnız yerli olaraq bir tokenə yaza bilərsiniz (sertifikat yaradın), o, RDP vasitəsilə işləməyəcək.
3) Əgər istifadə edərək sertifikat yaratma prosesinə başlaya bilmirsinizsə standart şablon“Smart kartla daxil olun”, aşağıdakı parametrlərlə onun surətini yaradın.

Budur, hər hansı bir sualınız varsa, soruşun, kömək etməyə çalışacağam.

Bu gün sizə iki faktorlu autentifikasiyanı necə tez və asanlıqla qura biləcəyinizi və hətta biometrikdən istifadə etmək imkanı ilə vacib məlumatları şifrələyə biləcəyinizi söyləyəcəyik. Həll üçün müvafiq olacaq kiçik şirkətlər və ya sadəcə üçün fərdi kompüter və ya noutbuk. Bunun üçün bizə açıq açar infrastrukturuna (PKI), sertifikatlaşdırma orqanı rolu olan serverə (Sertifikat Xidmətləri) və hətta domenə (Active Directory) ehtiyacımız olmaması vacibdir. Bütün sistem tələbləri işə salınacaq Windows sistemi və istifadəçinin mövcudluğu elektron açar, və biometrik identifikasiya vəziyyətində, həmçinin barmaq izi oxuyucusu, məsələn, artıq dizüstü kompüterinizə quraşdırıla bilər.

Doğrulama üçün biz proqram təminatımızdan - JaCarta SecurLogon və JaCarta PKI elektron açarından autentifikator kimi istifadə edəcəyik. Şifrələmə aləti olacaq adi Windows EFS, şifrələnmiş fayllara giriş də JaCarta PKI açarı (identifikasiya üçün istifadə edilən eyni) vasitəsilə təmin ediləcək.

Nəzərinizə çatdıraq ki, JaCarta SecurLogon Aladdin R.D. şirkətinin Rusiyanın FSTEC tərəfindən sertifikatlaşdırılmış proqram və aparat həllidir, sadə və sadə işlərə imkan verir. sürətli keçid giriş-parol cütlüyünə əsaslanan tək faktorlu autentifikasiyadan USB tokenləri və ya smart kartlardan istifadə etməklə ƏS-də iki faktorlu autentifikasiyaya qədər. Həllin mahiyyəti olduqca sadədir - JSL mürəkkəb parol (~63 simvol) yaradır və onu elektron açarın təhlükəsiz yaddaşına yazır. Bu halda, parol istifadəçinin özü üçün naməlum ola bilər, istifadəçi yalnız PİN kodu bilir. Doğrulama zamanı PİN kodu daxil etməklə cihazın kilidi açılır və parol autentifikasiya üçün sistemə ötürülür. İstəyə görə, siz istifadəçinin barmaq izini skan etməklə PİN kodun daxil edilməsini əvəz edə bilərsiniz və həmçinin PIN + barmaq izinin kombinasiyasından istifadə edə bilərsiniz.

EFS, JSL kimi, OS-nin özündən başqa heç bir şey tələb etməyən müstəqil rejimdə işləyə bilər. Windows 2000 və sonradan başlayaraq NT ailəsinin bütün Microsoft əməliyyat sistemlərində ( ev versiyaları), daxili məlumat şifrələmə texnologiyası EFS (Encrypting Fayl sistemi). EFS şifrələməsi faylın imkanlarına əsaslanır NTFS sistemləri və CryptoAPI arxitekturasına malikdir və kompüterin sabit diskindəki faylları tez şifrələmək üçün nəzərdə tutulub. EFS şifrələməsi istifadəçinin şifrələmə funksiyasından ilk dəfə istifadə etdiyi zaman yaradılan istifadəçinin şəxsi və açıq açarlarından istifadə edir. Onun hesabı mövcud olduğu müddətdə bu açarlar dəyişməz olaraq qalır. Faylı şifrələyərkən EFS təsadüfi yaradır unikal nömrə, sözdə Fayl Şifrələmə Açarı (FEK) 128 bit uzunluğunda, faylların şifrələnməsi ilə. FEK açarları fayla girişi olan sistem istifadəçilərinin açarı ilə şifrələnən master açarla şifrələnir. İstifadəçinin şəxsi açarı istifadəçinin parolunun hash ilə qorunur. EFS ilə şifrələnmiş məlumat yalnız eyni hesabdan istifadə etməklə deşifrə edilə bilər. Windows girişlərişifrələmə üçün istifadə edilən eyni parol ilə. Şifrələmə sertifikatını və şəxsi açarı USB tokenində və ya smart kartda saxlayırsınızsa, şifrələnmiş fayllara daxil olmaq üçün sizə parolun pozulması problemini həll edən bu USB token və ya smart karta da ehtiyacınız olacaq, çünki bunun üçün bir parolun olması lazım olacaq. elektron açar şəklində əlavə cihaz.

Doğrulama

Artıq qeyd edildiyi kimi, onu konfiqurasiya etmək üçün AD və ya sertifikat orqanına ehtiyacınız yoxdur, sizə hər hansı bir müasir Windows, JSL paylanması və lisenziya lazımdır; Quraşdırma gülünc dərəcədə sadədir.

Lisenziya faylını quraşdırmalısınız.

İstifadəçi profili əlavə edin.

Və iki faktorlu autentifikasiyadan istifadə etməyə başlayın.

Biometrik autentifikasiya

İstifadə etmək mümkündür biometrik autentifikasiya barmaq izi ilə. Həll Match On Card texnologiyasından istifadə etməklə işləyir. Barmaq izi hash ilkin başlatma zamanı karta yazılır və sonra orijinalla yoxlanılır. Kartı heç bir yerdə qoymur, heç bir verilənlər bazasında saxlanmır. Belə açarın kilidini açmaq üçün barmaq izi və ya PIN + barmaq izi, PIN və ya barmaq izi birləşməsindən istifadə olunur.

Onu istifadə etməyə başlamaq üçün sadəcə kartı lazımi parametrlərlə işə salmaq və istifadəçinin barmaq izini qeyd etmək lazımdır.

Gələcəkdə OS-yə girməzdən əvvəl eyni pəncərə açılacaq.

Bu nümunədə kart autentifikasiya pəncərəsində göstərildiyi kimi barmaq izi və ya PİN kodu istifadə edərək autentifikasiya etmək imkanı ilə işə salınıb.

Barmaq izi və ya PİN kodu təqdim etdikdən sonra istifadəçi OS-yə daxil olacaq.

Məlumatların şifrələnməsi

EFS-nin qurulması da çox mürəkkəb deyil; bu, sertifikatın qurulması və elektron açara verilməsi və şifrələmə qovluqlarının qurulmasıdır. Tipik olaraq, bütün diski şifrələməyə ehtiyac yoxdur. Üçüncü tərəflərin daxil olması arzuolunmayan həqiqətən vacib fayllar adətən ayrı-ayrı qovluqlarda yerləşir və diskə təsadüfi səpələnməyib.

Şifrələmə sertifikatı vermək və şəxsi açar istifadəçi hesabınızı açın, seçin - Fayl şifrələmə sertifikatlarını idarə edin. Açılan sehrbazda smart kartda özünü imzalayan sertifikat yaradın. BIO appleti ilə smart kartdan istifadə etməyə davam etdiyimiz üçün şifrələmə sertifikatını qeyd etmək üçün barmaq izi və ya PİN kodu təqdim etməlisiniz.