Kahefaktoriline autentimine domeenis žetoonide ja MS CA abil. Juurdepääs autentimissüsteemile ühekordsete paroolide (OTP) abil

Kui teie andmetele juurdepääsu ainsaks takistuseks on parool, olete suures ohus. Pääsu saab häkkida, pealtkuulada, troojalane varastada või sotsiaalse manipuleerimise abil välja püüda. Kahefaktorilise autentimise mittekasutamine selles olukorras on peaaegu kuritegu.

Ühekordsetest võtmetest oleme juba rohkem kui korra rääkinud. Tähendus on väga lihtne. Kui ründajal õnnestub kuidagi teie sisselogimisparool hankida, pääseb ta hõlpsalt teie e-posti juurde või saab sellega ühenduse luua kaugserver. Aga kui selle teel on lisategur, näiteks ühekordne võti (nimetatakse ka OTP-võtmeks), siis ei tööta midagi. Isegi kui selline võti satub ründaja kätte, pole seda enam võimalik kasutada, kuna see kehtib ainult üks kord. Selline teine tegur võib olla lisakõne, SMS-i teel saadud kood, telefonis teatud algoritmide abil genereeritud võti praeguse kellaaja alusel (aeg on viis algoritmi sünkroonimiseks kliendis ja serveris). Seesama Google on juba ammu soovitanud oma kasutajatel lubada kahefaktoriline autentimine (paar klõpsu konto seadetes). Nüüd on aeg lisada oma teenustele selline kaitsekiht!

Mida Duo Security pakub?

Triviaalne näide. Minu arvutil on töölauaga kaugühenduse loomiseks väljastpoolt avatud RDP-port. Kui sisselogimisparool lekib, saab ründaja kohe masinale täieliku juurdepääsu. Seetõttu polnud OTP paroolikaitse tugevdamises küsimustki – see tuli lihtsalt ära teha. Rumal oli ratast uuesti leiutada ja kõike ise ellu viia, seega vaatasin lihtsalt turul olevaid lahendusi. Enamik neist osutus kommertslikuks (täpsem teave külgribal), kuid vähesele kasutajale saab neid kasutada tasuta. Just see, mida oma kodu jaoks vajate. Üks edukamaid teenuseid, mis võimaldab teil korraldada kahefaktorilist autentimist sõna otseses mõttes kõige jaoks (sh VPN, SSH ja RDP), osutus Duo Securityks (www.duosecurity.com). Sellele lisas atraktiivsust asjaolu, et projekti arendajaks ja asutajaks on tuntud spetsialist John Oberheid. infoturve. Näiteks häkkis ta sisse Google’i suhtlusprotokolli Androidi nutitelefonidega, mida saab kasutada suvaliste rakenduste installimiseks või eemaldamiseks. See alus annab tunda: kahefaktorilise autentimise olulisuse näitamiseks käivitasid poisid VPN-teenus Hunter (www.vpnhunter.com), mis suudab kiiresti leida ettevõtte peidetud VPN-serverid (ja samal ajal määrata nende töötavate seadmete tüübi), kaugjuurdepääsuteenused (OpenVPN, RDP, SSH) ja muud infrastruktuurielemendid, mis võimaldab ründajal pääseda sisevõrku lihtsalt sisselogimise ja parooli teadmisega. On naljakas, et teenuse ametlikus Twitteris hakkasid omanikud iga päev skaneerimisaruandeid avaldama kuulsad ettevõtted, misjärel konto blokeeriti :). Duo Security teenus on loomulikult suunatud eelkõige kahefaktorilise autentimise juurutamisele ettevõtetes, kus suur hulk kasutajad. Meie õnneks on võimalik luua tasuta Personaalne konto, mis võimaldab korraldada kahefaktorilist autentimist kümnele kasutajale tasuta.

Mis võiks olla teine tegur?

Järgmisena vaatleme, kuidas tugevdada teie serveri kaugtöölaua ühenduse ja SSH turvalisust sõna otseses mõttes kümne minutiga. Kuid kõigepealt tahan rääkida täiendavast sammust, mille Duo Security tutvustab teise autoriseerimistegurina. Võimalusi on mitu: telefonikõne, SMS pääsukoodidega, Duo Mobile pääsukoodid, Duo Push, elektrooniline võti. Natuke lähemalt igaühe kohta.

Kui kaua ma saan seda tasuta kasutada?

Nagu juba mainitud, pakub Duo Security spetsiaalset "isiklikku" tariifiplaani. See on täiesti tasuta, kuid kasutajate arv ei tohiks olla suurem kui kümme. Toetab piiramatu arvu integratsioonide lisamist kättesaadavad meetodid autentimine. Pakub tuhandeid tasuta krediite telefoniteenuste jaoks. Krediidid on nagu sisemine valuuta, mis debiteeritakse teie kontolt iga kord, kui autentimine toimub kõne või SMS-i abil. Saate selle oma konto seadetes määrata nii, et kui jõuate antud number Saite teate krediidi kohta ja teil õnnestus oma saldot täiendada. Tuhat krediiti maksab vaid 30 taala. Kõnede ja SMS-ide hind on riigiti erinev. Venemaa jaoks maksab kõne 5 kuni 20 krediiti, SMS - 5 krediiti. Kuid Duo Security veebisaidil autentimise ajal tehtud kõne eest ei võeta midagi. Krediidid võid täiesti unustada, kui kasutad autentimiseks rakendust Duo Mobile – selle eest ei võeta midagi.

Lihtne registreerimine

Oma serveri kaitsmiseks Duo Securityga peate alla laadima ja installima eriline klient, mis suhtleb Duo Security autentimisserveriga ja pakub teist kaitsekihti. Sellest lähtuvalt on see klient igas olukorras erinev: sõltuvalt sellest, kus täpselt on vaja kahefaktorilist autentimist rakendada. Sellest räägime allpool. Esimene asi, mida peate tegema, on süsteemis registreerumine ja konto hankimine. Seetõttu avame avaleht veebisaidil klõpsake "Tasuta prooviversioon", avaneval lehel isikliku konto tüübi all nuppu "Registreeru". Pärast seda palutakse meil sisestada oma eesnimi, perekonnanimi, meiliaadress ja ettevõtte nimi. Peaksite saama e-kirja, mis sisaldab linki oma registreerimise kinnitamiseks. Sel juhul valib süsteem automaatselt määratud telefoninumbri: konto aktiveerimiseks peate kõnele vastama ja vajutama telefoni nuppu #. Pärast seda on konto aktiivne ja võite alustada võitlusteste.

RDP kaitsmine

Eespool ütlesin, et alustasin suure sooviga kindlustada kaugühendused töölauale. Seetõttu kirjeldan esimese näitena, kuidas tugevdada RDP turvalisust.

Igasugune kahefaktorilise autentimise rakendamine algab lihtsa toiminguga: Duo Security profiilis niinimetatud integratsiooni loomisega. Minge jaotisse "Integratsioonid  Uus integratsioon", määrake integratsiooni nimi (näiteks "Home RDP"), valige selle tüüp "Microsoft RDP" ja klõpsake "Lisa integratsioon".
Ilmuvas aknas kuvatakse integreerimise parameetrid: integreerimisvõti, salajane võti, API hostinimi. Vajame neid hiljem kliendiosa konfigureerimisel. Oluline on mõista: keegi ei tohiks neid tunda.
Järgmiseks peate kaitstud masinasse installima spetsiaalse kliendi, mis installib kõik vajaliku Windowsi süsteemi. Selle saab alla laadida ametlikult veebisaidilt või võtta meie kettalt. Kogu selle seadistus taandub asjaolule, et installiprotsessi ajal peate sisestama ülalmainitud integratsioonivõtme, salajase võtme, API hostinime.
See on tegelikult kõik. Järgmine kord, kui logite RDP kaudu serverisse sisse, on ekraanil kolm välja: kasutajanimi, parool ja Duo ühekordne võti. Sellest tulenevalt ei ole enam võimalik süsteemi sisse logida ainult sisselogimise ja parooliga.

Kui uus kasutaja proovib esimest korda sisse logida, peab ta üks kord läbima Duo Security kinnitusprotsessi. Teenus annab talle spetsiaalse lingi, mille järel ta peab sisestama oma telefoninumbri ja ootama kinnituskõnet. Lisavõtmete saamiseks (või esmakordseks saamiseks) võite sisestada märksõna "sms". Kui soovite autentida telefonikõnega, sisestage "phone", kui kasutate Duo Pushi, sisestage "push". Kõigi serveriga ühenduse loomise katsete (nii edukate kui ka ebaõnnestunud) ajalugu saab vaadata oma kontol Duo Security veebisaidil, valides esmalt soovitud integratsiooni ja minnes selle "Autentimislogi".

Ühendage Duo Security kõikjal!

Kahefaktorilise autentimise abil saate kaitsta mitte ainult RDP-d või SSH-d, vaid ka VPN-e, RADIUS-servereid ja kõiki veebiteenuseid. Näiteks on olemas valmiskliendid, mis lisavad populaarsetele mootoritele Drupal ja WordPress täiendava autentimiskihi. Kui valmis klienti pole, ärge ärrituge: saate alati oma rakendusele või veebisaidile kahefaktorilise autentimise lisada, kui API abi mida süsteem pakub. API-ga töötamise loogika on lihtne – teete päringu URL-ile teatud meetod ja analüüsige tagastatud vastust, mis võib sisse tulla JSON-vormingus(või BSON, XML). Duo REST API täielik dokumentatsioon on saadaval ametlikul veebisaidil. Ütlen vaid, et on olemas meetodid ping, check, preauth, auth, status, mille nime järgi on lihtne aimata, milleks need mõeldud on.

SSH kaitsmine

Vaatleme teist tüüpi integratsiooni - "UNIX Integration" turvalise autentimise rakendamiseks. Lisame oma Duo Security profiilile veel ühe integratsiooni ja jätkame kliendi installimist süsteemi.

Viimase lähtekoodi saad alla laadida aadressilt bit.ly/IcGgk0 või võtta meie kettalt. kasutasin uusim versioon- 1.8. Muide, klient töötab enamikul nix platvormidel, nii et seda saab hõlpsasti installida FreeBSD, NetBSD, OpenBSD, Mac OS X, Solaris/Illumos, HP-UX ja AIX jaoks. Ehitamise protsess on standardne – seadista && make && sudo make install. Ainuke asi, mida ma soovitaksin, on kasutada configure koos võtmega --prefix=/usr, muidu ei pruugi klient seda leida nõutavad raamatukogud. Pärast edukat installimist minge konfiguratsioonifaili /etc/duo/login_duo.conf redigeerimisse. Seda tuleb teha juurtest. Kõik muudatused, mis tuleb teha edukas töö, on integreerimisvõtme, salajase võtme, API hostinime väärtused, mille leiate integratsioonilehel.

; Duo integratsiooni võti = INTEGRATION_KEY; Duo salajane võtmevõti = SECRET_KEY; Duo API hostnamehost = API_HOSTNAME

Kui soovite sundida kõiki teie serverile SSH kaudu juurde pääsevaid kasutajaid kasutama kahefaktorilist autentimist, lihtsalt lisage järgmine rida faili /etc/ssh/sshd_config:

> ForceCommand /usr/local/sbin/login_duo

Samuti on võimalik korraldada ainult kahefaktoriline autentimine üksikud kasutajad, ühendades need rühmaks ja määrates selle rühma failis login_duo.conf:

> rühm = ratas

Muudatuste jõustumiseks piisab, kui taaskäivitada ssh-deemon. Edaspidi, pärast sisselogimisparooli edukat sisestamist, palutakse kasutajal läbida täiendav autentimine. Eraldi tuleks märkida üks peensus ssh seaded- On tungivalt soovitatav keelata konfiguratsioonifailis valikud PermitTunnel ja AllowTcpForwarding, kuna deemon rakendab need enne autentimise teise etapi alustamist. Seega, kui ründaja sisestab parooli õigesti, saab ta sellele juurdepääsu sisevõrk kuni autentimise teine etapp on lõpule viidud tänu pordi edastamisele. Selle efekti vältimiseks lisage failile sshd_config järgmised valikud:

PermitTunnel noAllowTcpForwarding nr

Nüüd on teie server topeltseina taga ja ründajal on palju keerulisem sinna sisse pääseda.

Lisaseaded

Kui logite sisse oma Duo Security kontole ja lähete jaotisse „Seaded”, saate mõnda seadet endale sobivaks kohandada. Esimene oluline jaotis on "Telefonikõned". See määrab parameetrid, mis kehtivad siis, kui autentimise kinnitamiseks kasutatakse telefonikõnet. Üksus "Tagasihelistamisklahvid" võimaldab teil määrata, millist telefoniklahvi tuleb autentimise kinnitamiseks vajutada. Vaikimisi on väärtus "Vajuta mis tahes võti autentimiseks” – see tähendab, et võite klõpsata ükskõik millisel. Kui määrate väärtuse "Autentimiseks või pettusest teatamiseks vajutage erinevaid klahve", peate määrama kaks võtit: esimesel klõpsamine kinnitab autentimist (Autentimise võti), teisele (Pettusest teatamise võti) klõpsamine tähendab, et me ei algatanud autentimisprotsessi , see tähendab, et keegi on saanud meie parooli ja üritab seda kasutades serverisse sisse logida. Üksus "SMS-i pääsukoodid" võimaldab teil määrata pääsukoodide arvu, mida üks SMS sisaldab, ja nende eluea (kehtivuse). Parameeter „Lukustus ja pettus” võimaldab määrata e-posti aadressi, millele saadetakse teatis teatud arv ebaõnnestunud katsed serverisse sisse logida.

Kasutage seda!

Üllataval kombel ignoreerivad paljud inimesed endiselt kahefaktorilist autentimist. Ma ei saa aru, miks. See suurendab tõesti oluliselt turvalisust. Seda saab rakendada peaaegu kõige jaoks ja väärilisi lahendusi saadaval tasuta. Miks siis? Laiskusest või hoolimatusest.

Analoogteenused

Tähista(www.signify.net) Teenus pakub kolme võimalust kahefaktorilise autentimise korraldamiseks. Esimene on elektrooniliste võtmete kasutamine. Teine meetod on pääsuvõtmete kasutamine, mis saadetakse kasutaja telefonile SMS-i või meili teel. Kolmas variant - mobiilirakendus Android-telefonidele, iPhone'ile, BlackBerryle, mis genereerib ühekordseid paroole (sisuliselt Duo Mobile'i analoog). Teenus on suunatud suurtele ettevõtetele, seega on see täielikult tasuline.

Turvasaatja(www.securenvoy.com) Võimaldab kasutada ka mobiiltelefoni teise kaitsekihina. Pääsmed saadetakse kasutajale SMS-i või e-posti teel. Iga sõnum sisaldab kolme pääsuvõtit, see tähendab, et kasutaja saab enne uue osa taotlemist kolm korda sisse logida. Teenus on samuti tasuline, kuid pakub tasuta 30-päevast perioodi. Märkimisväärne eelis on nii omamaiste kui ka kolmandate osapoolte integratsioonide suur arv.

PhoneFactor(www.phonefactor.com) See teenus võimaldab korraldada tasuta kahefaktorilist autentimist kuni 25 kasutajale, pakkudes 500 tasuta autentimist kuus. Kaitse korraldamiseks peate alla laadima ja installima spetsiaalse kliendi. Kui teil on vaja oma saidile lisada kahefaktoriline autentimine, võite kasutada ametlikku SDK-d, mis pakub üksikasjalikku dokumentatsiooni ja näiteid järgmiste programmeerimiskeelte jaoks: ASP.NET C#, ASP.NET VB, Java, Perl, Ruby, PHP.

Kaitsemeetodid parooliga autentimise kasutamisel. Paroolide kaitsmiseks häkkimise eest peaksite seadistama vastava poliitika. Selleks käivita Start->Administrative Tools->Group Policy Management menüüst GPMC Group Policy Management Console ja vali vajalik objekt rühmapoliitika jaotis Arvuti konfiguratsioon -> Poliisid->Turvaseaded->Kontopoliitikad->Paroolipoliitika Vaata joonist. 1 (Halda parooli seadeid).

Riis. 1 Hallake parooli seadeid.

Saame määrata parooli minimaalse pikkuse, mis võimaldab vältida lühikesi paroole (Minimaalne parool pikkus). Selleks, et kasutaja saaks määrata keerulisi paroole, peab keerukuse nõue olema lubatud (Parool peab kohtuda keerukus nõuded).

Parooli regulaarse muutmise tagamiseks peate määrama selle maksimaalse kasutusaja (Maksimaalne parool vanus).

Selleks, et kasutajad ei kordaks vanu paroole, peate konfigureerima paroolide ajaloo salvestusruumi (Jõustada parool ajalugu) .

Ja lõpuks, tagamaks, et kasutaja ei muudaks oma parooli vanaks, muutes paroole mitu korda, määrake minimaalne tähtaeg, mille jooksul parooli muuta ei saa (Minimaalne parool vanus).

Sõnastikurünnaku eest kaitsmiseks paneme parooli korduvalt valesti sisestamise korral sisse konto lukustuse. Selleks tuleb rühmapoliitika halduskonsooli GPMC-s valida vajalik GPO jaotis Arvuti Seadistamine-> Eeskirjad-> Turvalisus Seaded-> konto Eeskirjad-> konto Lukustus poliitika . Vaata joon. 2 (Kasutajakonto lukustuse haldamine).

Riis. 2 Hallake kasutajakonto lukustamist.

Konto püsivaks lukustamiseks (enne kui administraator selle avab) peate selle seadistama nullväärtus blokeerimise kestuse parameeter (konto töösulus kestus).

Ebaõnnestunud sisselogimiskatsete loenduris (konto töösulus künnis) peate määrama vajaliku väärtuse. Enamasti on vastuvõetav 3-5 sisselogimiskatset.

Lõpuks peaksite määrama ebaõnnestunud katsete loenduri lähtestamise intervalli (Lähtesta konto töösulus loendur pärast).

Et kaitsta " Trooja hobused» Kasutada tuleks viirusetõrjevahendeid ja volitamata tarkvara blokeerimist.

Et piirata kasutajate võimalust viiruseid infosüsteemi sisestada, on põhjendatud: keeld töötada välisseadmed(CD, DVD, Flash), range UAC-režiim, kasutage eraldi seisev Internet kioskid, mis põhinevad arvutitel, mis ei kuulu töövõrku. Ja lõpuks rangete tööreeglite kehtestamine, mis määratlevad reeglid, kuidas kasutajad töötavad ettevõtte võrk(keeld oma volikirjad kellelegi üle anda, keeld jätta oma volikirjad ligipääsetavatesse kohtadesse, nõuded töökoha kohustuslikule blokeerimisele töökohalt lahkumisel jne).

Tänu sellele saame vähendada riske, mis on seotud ettevõtte turvalisuse rikkumisega.

Oletame, et see kõik on tehtud. Siiski on veel vara öelda, et oleme oma süsteemis suutnud tagada turvalise autentimise.

Inimfaktor on suurim oht.

Endiselt on ähvardusi, millega me pole suutnud toime tulla. Üks olulisemaid on inimfaktor. Meie infosüsteemide kasutajad ei ole alati piisavalt teadlikud ja panevad vaatamata turvahaldurite selgitustele kirja oma mandaadid (kasutajanimi ja parool) ega hooli selle konfidentsiaalse info saladusest. Olen rohkem kui korra leidnud monitorilt kleebiseid, vt joon. 3 või klaviatuuri all vt joon. 4 kasutajanime ja parooliga.

Riis. 3. Imeline kingitus ründajale, kas pole?

Riis. 4. Veel üks kingitus murdvargale.

Nagu näeme, sisestatakse süsteemi pikad ja keerulised paroolid ning assotsiatiivne seeria pole selgelt nähtav. Kasutajad on aga leidnud "tõhusa" viisi mandaatide meeldejätmiseks ja salvestamiseks...

Seega näete, et antud juhul tuli mängu ülalmainitud funktsioon: pikad ja keerulised paroolid salvestatakse ja neid ei pruugita korralikult salvestada.

Insaider

Teine oluline turvaoht on võimalus, et ründaja pääseb füüsiliselt ligi seadusliku kasutaja tööjaamale ja edastab konfidentsiaalset teavet kolmandatele osapooltele. See tähendab, et me räägime olukorrast, kus ettevõtte sees on töötaja, kes varastab oma kolleegidelt teavet.

On üsna ilmne, et kasutaja tööjaama “füüsilist” turvalisust on väga raske tagada. Saate hõlpsasti ühendada riistvaralise klahvilogija klaviatuuripiluga, peatades signaali juhtmevabad klaviatuurid on ka võimalik. Sellised seadmed on olemas. Loomulikult ei sisene keegi ettevõtte kontorisse, kuid kõik teavad, et kõige ohtlikum on sisemine spioon. Tal on juba füüsiline juurdepääs teie süsteemile ja klahvilogija paigutamine pole keeruline, eriti kuna need seadmed on saadaval paljudele inimestele. Lisaks ei saa allahindlust teha ka klahvilogija programmidele. Tõepoolest, hoolimata kõigist administraatorite jõupingutustest, pole sellise "nuhkvara" tarkvara installimise võimalus välistatud. Kas kasutaja blokeerib alati oma tööjaam jättes oma töökoht? Kas administraator suudab infosüsteem jälgige, et kasutajale ei antaks liigseid õigusi, eriti kui on vaja kasutada vanu õigusi tarkvaratooted? Kas administraatoril, eriti väikeses ettevõttes, on alati piisav kvalifikatsioon tarkvara soovituste rakendamiseks ja riistvara turvaliste infosüsteemide ehitamisel?

Seega võime järeldada, et parooliga autentimine on põhimõtteliselt ebausaldusväärne. Seetõttu on vajalik mitmefaktoriline autentimine ja seda tüüpi, et kasutaja parooli ei sisestata klaviatuuril.

Mis saab meid aidata?

Mõttekas on kaaluda kahefaktorilist autentimist: 1. tegur on parooli omamine, 2. PIN-koodi teadmine. Domeeni parooli ei sisestata enam klaviatuuril, mis tähendab, et klahvilogija seda ei peata. Domeeni parooli pealtkuulamine on täis sisselogimisvõimalust, kuna PIN-koodi pealtkuulamine pole nii ohtlik, kuna lisaks on vaja kiipkaarti.

Sellele võib väita, et kasutaja võib jätta oma kaardi lugejasse ja kirjutada PIN-koodi kleebisele nagu varemgi. Siiski on juhtimissüsteeme, mis võivad hüljatud kaardi blokeerida, nagu seda sularahaautomaatides rakendatakse. Lisaks on võimalik kaardile panna pääse kontorisse sisenemiseks/väljumiseks ehk saame kasutada kaarti RFID märgis, kombineerides seeläbi kataloogiteenuse autentimissüsteemi füüsilise juurdepääsukontrollisüsteemiga. Sel juhul vajab kasutaja ukse avamiseks oma kiipkaarti või USB-märki, mistõttu on ta sunnitud seda alati endaga kaasas kandma.

Pealegi, kaasaegseid lahendusi kahefaktorilise autentimise jaoks ei nõua need mitte ainult AD või AD DS-i autentimise võimalust. Kiipkaartide ja USB-võtmete kasutamine aitab ka paljudel muudel juhtudel, näiteks avalikkusele juurdepääsul meili, veebipoodidesse, kus registreerimine on vajalik, rakendustele, millel on oma kataloogiteenus jne. jne.

Seega saate praktiliselt universaalne ravim autentimine.

Asümmeetrilisel krüptograafial põhineva kahefaktorilise autentimise rakendamine AD DS-is.

Teenindus Aktiivne kataloog Kataloog on toetanud kiipkaardi autentimist alates Windows 2000-st.

Kiipkaartide abil autentimisvõimalus sisaldub Kerberos RFC 4556 protokolli laienduses PKINIT (avaliku võtme lähtestamine). Laiendus PKINIT võimaldab Kerberose eelautentimise faasis kasutada avaliku võtme sertifikaate.

See võimaldab kasutada kiipkaarte. See tähendab, et saame rääkida kahefaktorilise autentimise võimalusest Microsofti süsteemid põhineb tavalised fondid, alustades Windows 2000-st, kuna Kerberos + PKINIT skeem on juba rakendatud.

Märkus. EelautentimineKerberos– protsess, mis tagab täiendava turvalisuse taseme. Teostatud enne väljastamistTGT (Pilet Andmine Pilet) võtmejaotusserverist (K.D.C.). Kasutatakse protokollisKerberos v. 5 võrguühenduseta parooli arvamise rünnakute vastu. Lisateave selle kohta, kuidas protokoll toimibKerberosvõib leida RFC 4120-st.Cm

Loomulikult räägime arvutitest, mis on osa domeenist. Kui töötamisel on vaja kasutada kahefaktorilist autentimist töörühm, või kui kasutate operatsioonisüsteemide varasemaid versioone, siis peame pöörduma kolmanda osapoole tarkvara poole, näiteks SafeNet (Aladdin) eToken Network Logon 5.1. cm.

Sisselogimiseks saab kasutada kas domeenikataloogiteenust või kohalikku kataloogiteenust. Sel juhul ei sisestata kasutaja parooli klaviatuuril, vaid kantakse turvalisest salvestusruumist kiipkaardile.

Kiipkaartide abil autentimine on realiseeritud Kerberose PKINIT laienduse kaudu, see laiendus annab võimaluse kasutada asümmeetrilisi krüptoalgoritme.

Mis puudutab kiipkaartide kasutamise nõuete osas koos PKINITiga, siis operatsioonisüsteemide Windows 2000, Windows 2003 Server jaoks on need järgmised:

· Kõik domeenikontrollerid ja kõik klientarvutid metsas, kus meie lahendust juurutatakse, tuleb usaldada juursertifitseerimisasutust (Certification Authority).

· CA, mis väljastab kiipkaartide kasutamise sertifikaate, tuleb paigutada NT Authority hoidlasse

· Sertifikaat peab sisaldama kiipkaardi sisselogimise ja kliendi autentimise identifikaatoreid

· Kiipkaartide sertifikaat peab sisaldama kasutaja UPN-i.

· Sertifikaat ja privaatvõti tuleb asetada kiipkaardi vastavatesse osadesse ning privaatvõti peab asuma kiipkaardi mälu turvalises piirkonnas.

· Sertifikaadil tuleb näidata tee serdi tühistamise nimekirja CRL jaotuspunktini

· Kõigil domeenikontrolleritel peab olema installitud sertifikaat Domeenikontrolleri autentimine või Kerberose autentimine, kuna rakendatakse kliendi ja serveri vastastikust autentimist.

Alates operatsioonisüsteemist Windows Server 2008 on operatsioonisüsteemides toimunud mitmeid muudatusi nõuetes:

· CRL-laiendit ei nõuta enam kiipkaardi sisselogimissertifikaatides

· Nüüd toetab kasutajakonto ja sertifikaadi vahelise seose loomist

· Sertifikaadi saab kirjutada kiipkaardi mis tahes juurdepääsetavasse sektsiooni

· EKU laiendus Kiipkaardi sisselogimise OID ei pea olema lubatud, kuid aususe huvides tuleb märkida, et kui plaanite kõigi operatsioonisüsteemide klientide jaoks kasutada ühtset sertifikaadi malli, siis loomulikult peab Smart Card Logon OID olema lubatud.

Paar sõna kliendi sisselogimisprotseduuri enda kohta. Kui me räägime operatsioonisüsteemidest alates Windows Vista ja eespool, tuleb märkida, et siin on toimunud mitmeid muudatusi:

· Esiteks, kiipkaardi sisselogimine ei käivitu enam automaatselt, kui sisestate kiipkaardi kaardilugejasse või ühendate USB-võtme USB-porti, st peate vajutama Ctrl+Alt+Delete.

· Teiseks, uus võimalus kasutada sertifikaatide salvestamiseks mis tahes kiipkaardi pesa annab kasutajale valiku mitmesuguste kaardile salvestatud identifitseerimisobjektide hulgast. hetkel Sertifikaat näib olevat kasutamiseks saadaval.

Järeldused

Niisiis oleme uurinud mitmeid peamisi aspekte seoses kahefaktorilise autentimise teoreetilise osaga Active Directory Domeeniteenused ja saame kokkuvõtte.

Süsteemi autentimisprotsessi turvalisuse tagamine on kriitilise tähtsusega. Tänapäeval eksisteerivad paroolimurdmise tüübid tekitavad vajaduse mitmefaktorilise autentimise järele.

Väikese ettevõtte jaoks saate piirduvad range mandaadikaitsepoliitikaga, rakendavad viirusetõrjetarkvara ja võtavad kasutajatelt võimaluse töötada välist meediat teave volitamata tarkvara käivitamise blokeerimiseks, kasutajaeeskirjade rakendamiseks jne. jne.

Kui tuleb suur ettevõte, või ettevõtte kohta, mille vastu on ründajatel selge huvi – nendest vahenditest ei piisa. Vead ja siseteave võivad rikkuda teie jõupingutused turvasüsteemi loomisel, seega peate valima teistsuguse tee. Siin on juba mõtet rääkida turvalise autentimise juurutamisest.

Kahefaktorilise autentimise kasutamine - hea otsus turvalisuse seisukohast.

Meil on nüüd teine autentimisfaktor, lisaks PIN-koodile peab kasutajal olema ka kiipkaart või USB-võti.

Kasutades kiipkaarte või USB-võtmed annab meile võimaluse pakkuda kahefaktorilist autentimist nii AD kui ka AD DS keskkondades.

Ühes järgmistest artiklitest räägin teile, kuidas kahefaktorilist autentimist praktikas rakendatakse. Vaatleme sertifitseerimisasutuse infrastruktuuri (PKI) juurutamist ja konfigureerimist Windowsi baasil Server 2008 Enterprise R2.

Viited.

Http://www.rfc-archive.org/getrfc.php?rfc=4556

Http://www.rfc-archive.org/getrfc.php?rfc=4120

Http://www.aladdin.ru/catalog/etoken_products/logon

NCSC-TG-017 – Usaldusväärsetes süsteemides tuvastamise ja autentimise mõistmise juhend, mille on välja andnud USA Riiklik arvutiturvakeskus.

RFC4120 – Kerberose võrgu autentimisteenus (V5)

RFC4556 – avaliku võtme krüptograafia Kerberose esmaseks autentimiseks (PKINIT)

Brian Komar Windows Server 2008 PKI ja sertifikaadi turvalisus

Leonid Šapiro,
MCT, MCSE:S, MCSE:M, MCITP EA, TMS sertifitseeritud koolitaja

Paroolid võivad tekitada suure turvapeavalu ja juhitavus ettevõtete ja organisatsioonide IT-administraatoritele. Kasutajad loovad sageli lihtsad paroolid või kirjutage paroolid üles, et te neid ei unustaks. Lisaks on vähesed parooli lähtestamise protseduurid tõhusad või turvalised. Arvestades neid piiranguid, kuidas saab seda tüüpi turbeprobleeme võrgule juurdepääsu korral leevendada kaugkasutajad? Kuidas muuta oma ettevõtte paroolilahendust turvalisemaks, teades, et paljud kasutajad panevad oma paroolid kirja?

Lahendus on olemas – see on juurutamine organisatsioonis lisasüsteem sisendipõhine juurdepääsukaitse ühekordsed paroolid(OTP – ühekordne parool), mis genereeritakse mobiilseade teie töötaja. Üleminek ühekordsele parooliga autentimisele toimub enamasti olukorras, kus saadakse aru, et standardsetest pikaajalistest paroolidest turvalisuse seisukohast ei piisa ning kiipkaartide kasutamine on näiteks olukorras piiratud. massrakendus mobiilikliendid.

Meie ettevõte on välja töötanud tehnoloogilise lahenduse, mis võimaldab teil saada terminaliserveri või 1C-serveri täiendav kaitseliin ühekordsete paroolide alusel , millega töötajad kaugühenduse kaudu loovad.

OTP-süsteemi juurutamise ja konfigureerimise tööde ulatus

Spetsialiseerunud tarkvaraühekordsetel paroolidel (OTP) põhineva juurdepääsu autentimissüsteemi kasutamiseks Kõik organisatsiooni töötajad, kes vajavad juurdepääsu serverile, on OTP-süsteemi sisse logitud Iga töötaja jaoks tehakse algseadistus mobiiltelefon koos programmi installimisega ühekordse parooli genereerimiseks

Organisatsioonis juurdepääsu autentimise süsteemi juurutamise kulud terminaliserver või 1C server, mis põhineb ühekordsetel paroolidel (OTP). alates 6400 rubla..

Juhtudel, kui OTP-süsteem võetakse kasutusele koos infrastruktuuri rentimisega meie turvalises pilves, allahindlus ühekordseid paroole (OTP) kasutava kaitsesüsteemi rakendamisel võib ulatuda 50% -ni.

Ühekordsed paroolid – andmete turvalisuse täiendav tase

Traditsioonilist staatilist parooli muudetakse tavaliselt ainult vajaduse korral: kas siis, kui see aegub või kui kasutaja on selle unustanud ja soovib selle lähtestada. Kuna paroolid salvestatakse vahemällu arvuti kõvaketastele ja salvestatakse serverisse, on need häkkimise suhtes haavatavad. See probleem on eriti terav sülearvutite puhul, kuna neid on lihtne varastada. Paljud ettevõtted pakuvad töötajatele sülearvuteid ja avavad oma võrgud kaugjuurdepääsuks. Samuti palkavad nad ajutisi töötajaid ja tarnijaid. Sellises keskkonnas muutub miinuseks lihtne staatiline paroolilahendus.
Erinevalt staatilisest paroolist muutub ühekordne parool iga kord, kui kasutaja süsteemi sisse logib ja kehtib vaid lühikest aega (30 sekundit). Paroolid ise luuakse ja krüpteeritakse kasutades keeruline algoritm olenevalt paljudest muutujatest: aeg, edukate/ebaõnnestunud sisestuste arv, juhuslikult genereeritud numbrid jne. See näiliselt keeruline lähenemine nõuab kasutajalt lihtsaid toiminguid – installige oma telefoni spetsiaalne rakendus

, mis sünkroonib ühe korra serveriga ja genereerib seejärel ühekordse parooli. Iga uue eduka sisselogimisega sünkroonitakse klient ja server automaatselt üksteisest sõltumatult, kasutades spetsiaalset algoritmi. Loenduri väärtus suureneb iga kord, kui seadmelt nõutakse OTP väärtust ja kui kasutaja soovib sisse logida, sisestab ta hetkel tema mobiilseadmes kuvatavad OTP-d. Parool ei ole kuigi usaldusväärne kaitsevahend. Väga sageli kasutatakse lihtsaid, kergesti äraarvatavaid paroole või kasutajad ei jälgi eriti oma paroolide turvalisust (annavad need kolleegidele, kirjutavad paberitele jne). Microsoft on juba ammu juurutanud tehnoloogiat, mis võimaldab süsteemi sisse logimiseks kasutada SmartCardi, s.t. autentida süsteemis sertifikaadi abil. Kuid kiipkaarte pole vaja otse kasutada, sest need nõuavad ka lugejaid, nii et neid on lihtsam USB-žetoonidega asendada. Need võimaldavad teil rakendada kahefaktorilist autentimist: esimene tegur on loa parool, teine tegur on märgil olev sertifikaat. Allpool on näide JaCarta usb-märgist ja Windowsi domeen

Ma ütlen teile, kuidas seda autentimismehhanismi rakendada.

Kõigepealt loome AD-s grupi “g_EtokenAdmin” ja konto. kirje "Registreerimisagent", mis on selle rühma osa. See rühm ja kasutaja haldavad sertifitseerimisasutust.

Lisaks installime sertifikaatide küsimiseks veebiteenuse.
Järgmisena valige ettevõtte jaoks sobiv valik. Valige juur-CA (kui see on domeeni esimene sertifitseerimisasutus)

Looge uus privaatvõti. Võtme pikkuse võib jätta samaks, kuid räsimisalgoritmiks on parem valida SHA2 (SHA256).
Sisestage CA nimi ja valige põhisertifikaadi kehtivusaeg.

Jätame ülejäänud parameetrid vaikimisi ja alustame installiprotsessi.

Pärast installimist minge sertifitseerimisasutuse lisandmoodulisse ja konfigureerige mallide õigused.
Liigume nende mallide atribuutide juurde ja lisame turvalisuse vahekaardile lugemis- ja rakendusõigustega grupp “g_EtokenAdmin”.

Ja need kuvatakse meie üldises loendis.

Järgmine samm on rühmapoliitika konfigureerimine.
Kõigepealt räägime kõikidele domeeni arvutitele juursertifitseerimisasutusest. Selleks muudame domeeni vaikepoliitikat.
Arvuti konfiguratsioon -> Poliitika -> Windowsi konfiguratsioon-> Turvaseaded -> Avaliku võtme eeskirjad -> Usaldusväärsed juursertifitseerimisasutused -> Import

Valime oma juursertifikaadi, mis asub tee ääres: C:\Windows\System32\certsrv\CertEnroll. Sulgege domeeni vaikepoliitika.
Järgmises etapis loome poliitika konteineri jaoks, milles asuvad token- (kiipkaardi) autentimisega arvutid.

Mööda teed: Arvuti konfiguratsioon -> Poliitika -> Windowsi konfiguratsioon -> Turvaseaded -> Kohalikud poliitikad-> Turvaseaded. Seadistagem kaks parameetrit "Interaktiivne sisselogimine: vaja kiipkaarti" ja "Interaktiivne sisselogimine: käitumine kiipkaardi eemaldamisel".

Seadetega on kõik, nüüd saate genereerida kliendi sertifikaadi ja kontrollida autentimist loa abil.
Logige arvutisse sisse registreerimisagendi konto all ja avage brauser, järgides linki http://Server_name_MS_CA/certsrv

Valige Sertifikaadi taotlus -> Täiustatud sertifikaaditaotlus -> Loo ja esitage sellele CA-le taotlus
Kui kuvatakse tõrketeade, näiteks "Serdirakenduse lõpuleviimiseks peate CA veebisaidi konfigureerima HTTPS-i autentimist kasutama", IIS server millele MS CA on installitud, siduge sait https-protokolliga.

Jätkame sertifikaadi hankimist, et seda teha, valige avanenud lehel mall: “Registration Agent” ja klõpsake sertifikaadi väljastamiseks ja installimiseks nuppu.

Registreerimisagendi kasutaja saab nüüd teistele kasutajatele sertifikaate väljastada. Näiteks küsime kasutajatesti jaoks sertifikaati. Selleks avage serdihalduskonsool certmgr.msc, sest läbi veebiliides Sertifikaadi usb-märgile ei saa kirjutada.
Selles konsoolis isiklikus kaustas esitame teise kasutaja nimel päringu

Allkirjaks valige ainuke "Registreeruva agent" sertifikaat ja jätkake järgmise sammuga, mille käigus valime üksuse "Logi sisse kiipkaardiga" ja klõpsame krüptoteenuse pakkuja valimiseks üksikasjad.
Minu puhul kasutan JaCarta märke, seega installiti koos draiveritega krüptopakkuja "Athena...":

Järgmise sammuna valige domeeni kasutaja, kellele me sertifikaadi väljastame ja klõpsake nuppu “Taotlus”.

Sisestame märgi, sisestame PIN-koodi ja genereerimisprotsess algab. Selle tulemusena peaksime nägema dialoogiboksi, mis ütleb "Edu".
Kui protsess ebaõnnestus, võib see olla minu puhul sertifikaadi saamise mall, seda oli vaja veidi parandada.

Alustame testimist, kontrollime tokeni toimimist OU-s asuvas arvutis, millel on grupipoliitika kiipkaardiga sisselogimiseks.
Kui proovime parooliga kontot kasutades sisse logida, peaksime saama keeldumise. Kui proovime kiipkaardiga (tokeniga) sisse logida, palutakse meil sisestada PIN-kood ja peaksime edukalt sisse logima.

P.s.
1) Kui see ei tööta automaatne blokeerimine arvutist või logige välja, pärast märgi eemaldamist kontrollige, kas teenus "Smart Card Removal Policy" töötab
2) Tokenile saate kirjutada (sertifikaadi genereerida) ainult kohapeal, see ei tööta RDP kaudu.
3) Kui te ei saa sertifikaadi genereerimise protsessi alustada kasutades standardne mall“Logi sisse kiipkaardiga”, loo sellest koopia järgmiste parameetritega.

See on kõik, kui teil on küsimusi, küsige, ma püüan aidata.

Täna räägime teile, kuidas saate kiiresti ja lihtsalt seadistada kahefaktorilise autentimise ja krüpteerida olulisi andmeid, isegi kui on võimalik kasutada biomeetriat. Lahendus on asjakohane väikesed ettevõtted või lihtsalt selleks personaalarvuti või sülearvuti. Oluline on, et selleks pole vaja avaliku võtme infrastruktuuri (PKI), sertifitseerimisasutuse rolliga serverit (Certificate Services) ega vaja isegi domeeni (Active Directory). Kõik süsteeminõuded vähendatakse töötamiseks Windowsi süsteem ja kasutaja kättesaadavus elektrooniline võti, ja biomeetrilise autentimise puhul ka sõrmejäljelugeja, mis võib näiteks olla juba sülearvutisse sisse ehitatud.

Autentimiseks kasutame oma tarkvara - JaCarta SecurLogon ja JaCarta PKI elektroonilist võtit autentimiseks. Krüpteerimistööriist on tavaline Windows EFS, juurdepääs krüptitud failidele tagatakse ka JaCarta PKI võtme kaudu (sama, mida kasutatakse autentimiseks).

Tuletame meelde, et JaCarta SecurLogon on Venemaa FSTECi poolt sertifitseeritud ettevõtte Aladdin R.D. tarkvara- ja riistvaralahendus, mis võimaldab lihtsat ja kiire üleminek alates sisselogimis-parooli paaril põhinevast ühefaktorilisest autentimisest kuni kahefaktorilise autentimiseni OS-is, kasutades USB-märke või kiipkaarte. Lahenduse olemus on üsna lihtne – JSL genereerib keeruka parooli (~63 tähemärki) ja kirjutab selle elektroonilise võtme turvalisse mällu. Sel juhul võib parool olla kasutajale endale teadmata, kasutajale on teada ainult PIN-kood. Autentimise ajal PIN-koodi sisestamisel seade avatakse ja parool edastatakse süsteemile autentimiseks. Soovi korral saate PIN-koodi sisestamise asendada kasutaja sõrmejälje skaneerimisega, samuti saate kasutada PIN-koodi + sõrmejälje kombinatsiooni.

EFS, nagu JSL, võib töötada eraldiseisvas režiimis, nõudes midagi peale OS-i enda. Kõigis NT perekonna Microsofti operatsioonisüsteemides, alates Windows 2000 ja uuematest versioonidest (v.a kodused versioonid), on sisseehitatud andmete krüptimise tehnoloogia EFS (Encrypting Failisüsteem). EFS-krüptimine põhineb faili võimalustel NTFS süsteemid ja CryptoAPI arhitektuuri ning on loodud arvuti kõvakettal olevate failide kiireks krüpteerimiseks. EFS-krüptimine kasutab kasutaja privaat- ja avalikke võtmeid, mis genereeritakse esmakordsel krüpteerimisfunktsiooni kasutamisel. Need võtmed jäävad muutumatuks seni, kuni tema konto eksisteerib. Faili krüptimisel genereerib EFS juhuslikult unikaalne number, 128 bitti pikkune nn File Encryption Key (FEK), millega faile krüpteeritakse. FEK-võtmed krüpteeritakse põhivõtmega, mis krüpteeritakse failile juurdepääsu omavate süsteemikasutajate võtmega. Kasutaja privaatvõti on kaitstud kasutaja parooli räsi abil. EFS-iga krüptitud andmeid saab dekrüpteerida ainult sama konto abil. Windowsi kirjed sama parooliga, mida kasutatakse krüptimisel. Ja kui salvestate krüpteerimissertifikaadi ja privaatvõtme USB-märgile või kiipkaardile, on krüptitud failidele juurdepääsuks vaja ka seda USB-luba või kiipkaarti, mis lahendab paroolide kompromissi probleemi, kuna selleks on vaja lisaseade elektroonilise võtme kujul.

Autentimine

Nagu juba märgitud, ei vaja te selle konfigureerimiseks AD-d ega sertifitseerimisasutust, vajate kaasaegset Windowsi, JSL-i distributsiooni ja litsentsi. Seadistamine on naeruväärselt lihtne.

Peate installima litsentsifaili.

Lisage kasutajaprofiil.

Ja hakake kasutama kahefaktorilist autentimist.

Biomeetriline autentimine

Võimalik kasutada biomeetriline autentimine sõrmejälje järgi. Lahendus töötab Match On Card tehnoloogia abil. Sõrmejälje räsi kirjutatakse kaardile esmase lähtestamise ajal ja seejärel võrreldakse seda originaaliga. See ei jäta kaarti kuhugi, seda ei salvestata üheski andmebaasis. Sellise võtme avamiseks kasutatakse sõrmejälge või PIN + sõrmejälje, PIN-koodi või sõrmejälje kombinatsiooni.

Selle kasutamise alustamiseks peate lihtsalt vormistama kaardi vajalike parameetritega ja salvestama kasutaja sõrmejälje.

Tulevikus ilmub sama aken enne OS-i sisenemist.

Selles näites lähtestatakse kaart võimalusega autentida sõrmejälje või PIN-koodi abil, nagu näitab autentimisaken.

Pärast sõrmejälje või PIN-koodi esitamist suunatakse kasutaja OS-i.

Andmete krüpteerimine

EFS-i seadistamine pole ka väga keeruline, see taandub sertifikaadi seadistamisele ja selle väljastamisele elektroonilisele võtmele ning krüpteerimiskataloogide seadistamisele. Tavaliselt ei pea te kogu ketast krüpteerima. Tõeliselt olulised failid, millele te ei soovi, et kolmandad osapooled pääseksid juurde, asuvad tavaliselt eraldi kataloogides ega ole kettale juhuslikult laiali.

Krüpteerimissertifikaadi väljastamiseks ja privaatvõti avage oma kasutajakonto, valige - Halda failide krüpteerimissertifikaate. Looge avanevas viisardis kiipkaardile iseallkirjastatud sertifikaat. Kuna me kasutame jätkuvalt BIO-apletiga kiipkaarti, peate krüpteerimissertifikaadi salvestamiseks esitama sõrmejälje või PIN-koodi.