Pengesahan dua faktor dalam domain menggunakan token dan MS CA. Memautkan kata laluan satu kali tambahan ke tetingkap log masuk Windows

Kata laluan bukanlah cara perlindungan yang boleh dipercayai. Selalunya, kata laluan yang ringkas dan mudah diteka digunakan, atau pengguna tidak memantau keselamatan kata laluan mereka (mereka mengedarkannya kepada rakan sekerja, menulisnya pada kepingan kertas, dll.). Microsoft telah lama melaksanakan teknologi yang membolehkan anda menggunakan SmartCard untuk log masuk ke sistem, i.e. mengesahkan dalam sistem menggunakan sijil. Tetapi tidak perlu menggunakan kad pintar secara langsung, kerana ia juga memerlukan pembaca, jadi lebih mudah untuk menggantikannya dengan token USB. Mereka akan membolehkan anda melaksanakan pengesahan dua faktor: faktor pertama ialah kata laluan daripada token, faktor kedua ialah sijil pada token. Seterusnya, menggunakan token usb JaCarta dan domain Windows sebagai contoh, saya akan memberitahu anda bagaimana untuk melaksanakan mekanisme pengesahan ini.

Pertama sekali, dalam AD kami akan mencipta kumpulan "g_EtokenAdmin" dan akaun. entri "Ejen Pendaftaran" yang merupakan sebahagian daripada kumpulan ini. Kumpulan dan pengguna ini akan mengurus pihak berkuasa pensijilan.

Selain itu kami akan memasang Perkhidmatan web untuk meminta sijil.

Seterusnya, pilih pilihan untuk perusahaan. Pilih Root CA (jika ini adalah pihak berkuasa pensijilan pertama dalam domain)
Buat kunci peribadi baharu. Panjang kunci boleh dibiarkan sama, tetapi algoritma pencincangan adalah lebih baik untuk memilih SHA2 (SHA256).


Masukkan nama CA dan pilih tempoh sah sijil utama.
Kami meninggalkan parameter yang tinggal sebagai lalai dan memulakan proses pemasangan.


Selepas pemasangan, pergi ke snap-in pihak berkuasa pensijilan dan konfigurasikan hak untuk templat.

Kami akan berminat dengan dua templat: Ejen Pendaftaran dan log masuk Kad Pintar.
Mari pergi ke sifat templat ini dan pada tab keselamatan tambahkan kumpulan “g_EtokenAdmin” dengan hak baca dan gunakan.

Dan mereka akan muncul dalam senarai umum kami.

Langkah seterusnya ialah mengkonfigurasi dasar kumpulan:
Pertama sekali, mari beritahu semua komputer dalam domain tentang pihak berkuasa pensijilan akar; untuk melakukan ini, kami akan menukar Dasar Domain Lalai.
Konfigurasi Komputer -> Dasar -> Konfigurasi Windows -> Tetapan Keselamatan -> Dasar Kunci Awam -> Pihak Berkuasa Pensijilan Root Dipercayai -> Import


Mari pilih sijil akar kami, terletak di sepanjang laluan: C:\Windows\System32\certsrv\CertEnroll. Tutup Dasar Domain Lalai.
Dalam langkah seterusnya, kami akan membuat dasar untuk bekas di mana komputer dengan pengesahan token (kad Pintar) akan ditempatkan.

Sepanjang laluan: Konfigurasi Komputer -> Dasar -> Konfigurasi Windows -> Tetapan Keselamatan -> Dasar tempatan-> Tetapan keselamatan. Mari konfigurasikan dua parameter "Logon interaktif: memerlukan kad pintar" dan "Logon interaktif: tingkah laku semasa mengalih keluar kad pintar".

Itu sahaja dengan tetapan, kini anda boleh menjana sijil pelanggan dan menyemak pengesahan menggunakan token.
Log masuk ke komputer di bawah akaun "Ejen Pendaftaran" dan buka penyemak imbas dengan mengikuti pautan http://MS_CA_server_name/certsrv

Pilih Permintaan Sijil -> Permintaan Sijil Lanjutan -> Buat dan keluarkan permintaan kepada CA ini
Jika anda menerima ralat seperti "Untuk melengkapkan permohonan sijil, anda mesti mengkonfigurasi tapak web untuk CA menggunakan pengesahan HTTPS", maka anda perlu mengikat tapak tersebut ke protokol https pada pelayan IIS yang mana MS CA dipasang .


Mari teruskan mendapatkan sijil; untuk melakukan ini, pada halaman yang terbuka, pilih templat: "Ejen Pendaftaran" dan klik butang untuk mengeluarkan dan memasang sijil.


Pengguna Ejen Pendaftaran kini boleh mengeluarkan sijil untuk pengguna lain. Sebagai contoh, mari kita meminta sijil untuk ujian pengguna. Untuk melakukan ini, buka konsol pengurusan sijil certmgr.msc, kerana Anda tidak boleh menulis sijil pada token USB melalui antara muka web.
Dalam konsol ini, pada folder peribadi, kami akan membuat permintaan bagi pihak pengguna lain


Sebagai tandatangan, pilih satu-satunya sijil "Ejen Pendaftaran" dan teruskan ke langkah seterusnya, di mana kami memilih item "Log masuk dengan kad pintar" dan klik butiran untuk memilih penyedia kripto.
Dalam kes saya, saya menggunakan token JaCarta, jadi penyedia kripto “Athena...” telah dipasang bersama pemandu:


Dalam langkah seterusnya kita pilih pengguna domain, yang mana kami mengeluarkan sijil dan klik pada butang "Permohonan".

Kami memasukkan token, masukkan kod PIN dan proses penjanaan bermula. Akibatnya, kita akan melihat kotak dialog yang mengatakan "Berjaya".
Jika proses itu tidak berjaya, ia mungkin templat untuk mendapatkan sijil; dalam kes saya, ia perlu diperbetulkan sedikit.

Mari mulakan ujian, semak operasi token pada komputer yang terletak di OU dengan dasar kumpulan Log masuk menggunakan kad pintar.
Apabila kami cuba log masuk menggunakan akaun dengan kata laluan, kami sepatutnya menerima penolakan. Apabila kami cuba log masuk dengan kad pintar (token), kami akan digesa untuk memasukkan PIN dan harus berjaya log masuk.

P.s.
1) Jika penguncian automatik komputer atau log keluar daripada sistem tidak berfungsi selepas mengeluarkan token, lihat sama ada perkhidmatan "Dasar Pembuangan Kad Pintar" sedang berjalan.
2) Anda boleh menulis kepada token (hasilkan sijil) hanya secara tempatan, ia tidak akan berfungsi melalui RDP.
3) Jika anda tidak boleh memulakan proses penjanaan sijil menggunakan templat standard"Log masuk dengan kad pintar", buat salinannya dengan parameter berikut.

Itu sahaja, jika anda mempunyai sebarang soalan, tanya, saya akan cuba membantu.

  • Tutorial

Sesetengah daripada anda mungkin pernah mendengar tentang insiden yang didedahkan kepada umum baru-baru ini. Pengeluar semikonduktor Amerika Allegro MicroSystem LLC menyaman bekas pakar ITnya kerana mensabotaj. Nimesh Patel, yang bekerja untuk syarikat itu selama 14 tahun, memusnahkan data kewangan penting pada minggu pertama tahun fiskal baharu.


Bagaimana ini berlaku?


Dua minggu selepas pemecatannya, Patel memasuki ibu pejabat syarikat di Worcester (Massachusetts, Amerika Syarikat) untuk menangkap rangkaian Wi-Fi korporat. Menggunakan bukti kelayakan bekas rakan sekerja dan komputer riba kerja, Patel melog masuk ke rangkaian korporat. Dia kemudiannya melaksanakan kod ke dalam modul Oracle dan memprogramkannya untuk dijalankan pada 1 April 2016 - minggu pertama tahun kewangan. Kod ini bertujuan untuk menyalin pengepala atau penunjuk tertentu ke dalam jadual pangkalan data yang berasingan dan pemadaman seterusnya mereka daripada modul. Tepat pada 1 April, data telah dipadamkan daripada sistem. Dan sejak penyerang melog masuk ke rangkaian Allegro secara sah, tindakannya tidak segera disedari.


Orang ramai tidak mengetahui butirannya, tetapi kemungkinan besar kejadian itu berlaku disebabkan oleh fakta bahawa syarikat itu menggunakan pengesahan kata laluan untuk mengakses rangkaian. Sudah tentu terdapat masalah keselamatan lain, tetapi kata laluan boleh dicuri tanpa disedari oleh pengguna dan fakta kecurian kata laluan tidak akan dikesan, dalam senario kes terbaik sehingga menggunakan tauliah yang dicuri.


Permohonan yang ketat pengesahan dua faktor dan larangan penggunaan kata laluan dalam kombinasi dengan dasar keselamatan yang cekap boleh membantu, jika tidak mengelakkan perkembangan peristiwa yang diterangkan, maka sangat merumitkan pelaksanaan rancangan sedemikian.


Kami akan bercakap tentang cara anda boleh meningkatkan tahap keselamatan syarikat anda dengan ketara dan melindungi diri anda daripada insiden sedemikian. Anda akan belajar cara menyediakan pengesahan dan menandatangani data sensitif menggunakan token dan kriptografi (baik asing dan domestik).


Dalam artikel pertama kami akan menerangkan cara menyediakan pengesahan dua faktor yang kuat menggunakan PKI apabila log masuk ke domain akaun pada Windows.


Dalam artikel berikut, kami akan memberitahu anda cara menyediakan Bitlocker, melindungi e-mel dan pengurusan dokumen mudah. Kami juga akan menyediakan bersama-sama dengan anda akses selamat Kepada sumber korporat dan akses jauh selamat melalui VPN.

Pengesahan dua faktor

Berpengalaman pentadbir sistem dan pasukan keselamatan amat menyedari bahawa pengguna sangat lalai dalam mematuhi dasar keselamatan; mereka mungkin menulis bukti kelayakan mereka pada nota melekit dan melekatkannya di sebelah komputer mereka, berkongsi kata laluan dengan rakan sekerja mereka, dan sebagainya. Ini berlaku terutamanya apabila kata laluan adalah kompleks (mengandungi lebih daripada 6 aksara dan terdiri daripada huruf kes, nombor dan aksara khas yang berbeza) dan sukar untuk diingati. Tetapi dasar sedemikian ditetapkan oleh pentadbir atas sebab tertentu. Ini adalah perlu untuk melindungi akaun pengguna daripada meneka kata laluan mudah menggunakan kamus. Selain itu, pentadbir mengesyorkan menukar kata laluan sekurang-kurangnya sekali setiap 6 bulan, hanya dengan mengambil kira bahawa pada masa ini secara teorinya adalah mungkin untuk melakukan kekerasan walaupun kata laluan yang kompleks.


Mari kita ingat apa itu pengesahan. Dalam kes kami, ini ialah proses mengesahkan ketulenan subjek atau objek. Pengesahan pengguna ialah proses mengesahkan identiti pengguna.


Dan pengesahan dua faktor ialah pengesahan yang mana anda perlu menggunakan sekurang-kurangnya dua kaedah berbeza untuk mengesahkan identiti anda.


Contoh paling mudah pengesahan dua faktor dalam kehidupan sebenar ialah peti keselamatan dengan kunci dan gabungan. Untuk membuka peti besi sedemikian, anda perlu mengetahui kod dan mempunyai kuncinya.

Token dan kad pintar

Mungkin kaedah pengesahan dua faktor yang paling boleh dipercayai dan paling mudah untuk dilaksanakan ialah penggunaan token kriptografi atau kad pintar. Token ialah peranti USB yang merupakan pembaca dan kad pintar pada masa yang sama. Faktor pertama dalam kes ini ialah hakikat memiliki peranti, dan yang kedua ialah pengetahuan tentang kod PINnya.


Gunakan token atau kad pintar, yang mana lebih mudah untuk anda. Tetapi dari segi sejarah, orang di Rusia lebih terbiasa menggunakan token, kerana mereka tidak memerlukan penggunaan pembaca kad pintar terbina dalam atau luaran. Token juga mempunyai kelemahannya. Sebagai contoh, anda tidak boleh mencetak gambar di atasnya.


Foto menunjukkan kad pintar dan pembaca biasa.



Walau bagaimanapun, mari kita kembali kepada keselamatan korporat.


Dan kita akan bermula dengan domain Windows, kerana dalam kebanyakan syarikat di Rusia rangkaian korporat dibina tepat di sekelilingnya.


Seperti yang anda ketahui, dasar domain Windows, tetapan pengguna dan tetapan kumpulan dalam Active Directory menyediakan dan mengehadkan akses kepada sejumlah besar aplikasi dan perkhidmatan rangkaian.


Dengan melindungi akaun domain, kami boleh melindungi kebanyakan, dan dalam beberapa kes semua, sumber maklumat dalaman.

Mengapakah pengesahan dua faktor dalam domain menggunakan token dengan kod PIN lebih selamat daripada skim kata laluan biasa?

Kod PIN dipautkan kepada peranti tertentu, dalam kes kami kepada token. Mengetahui kod PIN itu sendiri tidak memberikan apa-apa.


Sebagai contoh, kod PIN untuk token boleh ditentukan kepada orang lain melalui telefon dan ini tidak akan memberi apa-apa kepada penyerang jika anda merawat token dengan berhati-hati dan tidak meninggalkannya tanpa pengawasan.


Dengan kata laluan, keadaannya berbeza sama sekali; jika penyerang telah meneka, mengintip, atau dalam beberapa cara lain mengambil milikan kata laluan untuk akaun dalam domain, maka dia akan dapat mengakses kedua-dua domain itu sendiri dan domain lain secara bebas. perkhidmatan syarikat yang menggunakan akaun yang sama ini.


Token ialah objek fizikal yang unik dan tidak boleh disalin. Ia dimiliki oleh pengguna yang sah. Pengesahan dua faktor menggunakan token hanya boleh dipintas apabila pentadbir secara sengaja atau tidak sengaja meninggalkan "loopholes" dalam sistem untuk tujuan ini.

Kelebihan log masuk ke domain menggunakan token

PIN token lebih mudah diingati kerana ia boleh menjadi lebih mudah daripada kata laluan. Setiap orang mungkin pernah melihat sekurang-kurangnya sekali dalam hidup mereka bagaimana pengguna "berpengalaman" gagal untuk mengesahkan dalam sistem selepas beberapa percubaan, mengingat dan memasukkan kata laluan "selamat" mereka.


Kod PIN tidak perlu sentiasa ditukar, kerana token lebih tahan terhadap kekerasan kod PIN. Selepas beberapa percubaan input yang tidak berjaya, token disekat.


Apabila menggunakan token, log masuk pengguna kelihatan seperti ini: selepas boot komputer, dia hanya memasukkan token ke dalam port USB komputer, memasukkan 4-6 digit dan menekan butang Enter. Kelajuan input nombor orang biasa lebih tinggi daripada kelajuan input huruf. Oleh itu, kod PIN dimasukkan lebih cepat.



Token membantu menyelesaikan masalah "terbengkalai meja" - apabila pengguna meninggalkan tempat kerjanya dan terlupa untuk log keluar daripada akaunnya.

Dasar domain boleh dikonfigurasikan untuk mengunci komputer secara automatik apabila token diambil. Selain itu, token boleh dilengkapi dengan tag RFID untuk laluan antara premis syarikat, jadi tanpa mengambil token dari tempat kerjanya, pekerja itu tidak akan dapat bergerak di sekitar wilayah itu.

Kelemahan, di manakah kita tanpa mereka?

Token atau kad pintar tidak percuma (diputuskan mengikut bajet).


Ia perlu diambil kira, ditadbir dan diselenggara (diselesaikan oleh sistem pengurusan token dan kad pintar).


Beberapa Sistem maklumat mungkin tidak menyokong pengesahan token di luar kotak (diselesaikan oleh sistem jenis Single Sign-On - direka untuk mengatur keupayaan untuk menggunakan satu akaun untuk mengakses sebarang sumber kawasan).

Menyediakan pengesahan dua faktor dalam domain Windows

Bahagian teori:


Perkhidmatan Direktori aktif Direktori telah menyokong pengesahan kad pintar dan token sejak Windows 2000. Ia terbina dalam sambungan PKINIT (pengamalan kunci awam) untuk protokol Kerberos RFC 4556.


Protokol Kerberos direka khusus untuk menyediakan pengesahan pengguna yang kukuh. Ia boleh menggunakan penyimpanan data pengesahan berpusat dan merupakan asas untuk membina mekanisme Sing-On Tunggal. Protokol adalah berdasarkan Tiket entiti utama.



Tiket ialah paket data yang disulitkan yang dikeluarkan oleh pihak berkuasa pengesahan yang dipercayai, dari segi protokol Kerberos - Pusat Pengedaran Utama (KDC).


Apabila pengguna melakukan pengesahan utama selepas berjaya mengesahkan identitinya, KDC mengeluarkan bukti kelayakan utama pengguna untuk mengakses sumber rangkaian - Tiket Pemberian Tiket (TGT).


Pada masa hadapan, apabila mengakses sumber rangkaian individu, pengguna membentangkan TGT dan menerima daripada KDC identiti untuk akses kepada sumber rangkaian- Perkhidmatan Pemberian Tiket (TGS).


Salah satu kelebihan protokol Kerberos ialah ia tahap tinggi keselamatan ialah semasa sebarang interaksi, kata laluan atau nilai cincang kata laluan tidak dihantar dalam teks yang jelas.


Sambungan PKINIT membolehkan anda menggunakan pengesahan dua faktor menggunakan token atau kad pintar semasa fasa pra-pengesahan Kerberos.


Log masuk boleh disediakan menggunakan kedua-dua perkhidmatan direktori domain dan perkhidmatan tempatan katalog. TGT dicipta berdasarkan Tandatangan elektronik, yang dikira pada kad pintar atau token.


Semua pengawal domain mesti ada sijil yang dipasang Pengesahan Pengawal Domain, atau Pengesahan Kerberos, kerana proses pengesahan bersama klien dan pelayan dilaksanakan.


Amalan:


Mari mulakan persediaan.


Kami akan menjadikannya supaya anda boleh log masuk ke domain di bawah akaun anda hanya dengan mengemukakan token dan mengetahui kod PIN.


Untuk demonstrasi, kami akan menggunakan Rutoken EDS PKI yang dikeluarkan oleh syarikat Aktiv.



Peringkat 1 - Persediaan domain Pertama sekali, mari pasang perkhidmatan sijil.


Penafian.


Artikel ini bukan tutorial tentang melaksanakan PKI perusahaan. Isu reka bentuk, penggunaan dan penggunaan PKI yang betul tidak dibincangkan di sini kerana keluasan topik ini.


Semua pengawal domain dan semua komputer pelanggan dalam hutan di mana penyelesaian sedemikian dilaksanakan mesti mempercayai Pihak Berkuasa Pensijilan akar (Pihak Berkuasa Pensijilan).


Tugas pihak berkuasa pensijilan adalah untuk mengesahkan ketulenan kunci penyulitan menggunakan sijil tandatangan elektronik.


Secara teknikal, pihak berkuasa sijil dilaksanakan sebagai komponen perkhidmatan direktori global, yang bertanggungjawab untuk mengurus kunci kriptografi pengguna. Kunci awam dan maklumat lain tentang pengguna disimpan oleh pihak berkuasa pensijilan dalam bentuk sijil digital.


CA yang mengeluarkan sijil untuk penggunaan kad pintar atau token mesti diletakkan dalam repositori NT Authority.


Pergi ke Pengurus Pelayan dan pilih Tambah Peranan dan Ciri.


Apabila menambah peranan pelayan, pilih "Perkhidmatan Sijil Direktori Aktif" (Microsoft amat mengesyorkan agar tidak melakukan ini pada pengawal domain untuk mengelakkan isu prestasi). Dalam tetingkap yang terbuka, pilih "Tambah komponen" dan pilih "Pihak Berkuasa Pensijilan".


Pada halaman untuk mengesahkan pemasangan komponen, klik "Pasang".


Peringkat 2 - Menyediakan log masuk domain menggunakan token


Untuk log masuk, kami memerlukan sijil yang mengandungi Logon Kad Pintar dan pengecam Pengesahan Pelanggan.


Sijil untuk kad pintar atau token juga mesti mengandungi UPN pengguna (akhiran nama utama pengguna). Secara lalai, akhiran UPN untuk akaun ialah nama DNS domain yang mengandungi akaun pengguna.


Sijil dan kunci persendirian mesti diletakkan di bahagian yang sesuai pada kad pintar atau token, dan kunci persendirian mesti terletak di kawasan selamat memori peranti.


Sijil mesti menunjukkan laluan ke titik pengedaran senarai pembatalan sijil (titik pengedaran CRL). Fail ini mengandungi senarai sijil, menunjukkan nombor siri sijil, tarikh pembatalan dan sebab pembatalan. Ia digunakan untuk menyampaikan maklumat tentang sijil yang dibatalkan kepada pengguna, komputer dan aplikasi yang cuba mengesahkan ketulenan sijil.


Mari konfigurasikan perkhidmatan pensijilan yang dipasang. Di penjuru kanan sebelah atas, klik pada segi tiga kuning dengan tanda seru dan klik "Konfigurasikan Perkhidmatan Sijil...".



Dalam tetingkap Kredensial, pilih kelayakan pengguna yang diperlukan untuk mengkonfigurasi peranan. Pilih "Pihak Berkuasa Pensijilan".


Pilih Perusahaan CA.


CA Perusahaan disepadukan dengan AD. Mereka menerbitkan sijil dan senarai pembatalan sijil kepada AD.


Tentukan jenis sebagai "Root CA".


Dalam langkah seterusnya, pilih "Buat kunci peribadi baharu."


Pilih tempoh sah sijil.


Peringkat 3 - Menambah templat sijil


Untuk menambah templat sijil, buka Panel Kawalan, pilih Alat Pentadbiran dan buka Pihak Berkuasa Pensijilan.


Klik pada nama folder "Templat Sijil", pilih "Urus".


Klik pada nama templat "Pengguna Kad Pintar" dan pilih "Salin Templat". Tangkapan skrin berikut menunjukkan tetapan dalam tetingkap Ciri Templat Baharu yang perlu anda ubah.


Jika "Aktiv ruToken CSP v1.0" tiada dalam senarai pembekal, maka anda perlu memasang kit "Pemacu Rutoken untuk Windows".


Bermula dengan Windows Server 2008 R2, anda boleh menggunakan "Pembekal Kripto Kad Pintar Pangkalan Microsoft" dan bukannya pembekal khas daripada pengilang.


Untuk peranti Rutoken, perpustakaan "pemacu mini" yang menyokong "Pembekal Kripto Kad Pintar Pangkalan Microsoft" diedarkan melalui Kemas Kini Windows.


Anda boleh menyemak sama ada "pemacu mini" dipasang pada pelayan anda dengan menyambungkan Rutoken kepadanya dan melihat dalam pengurus peranti.




Jika atas sebab tertentu tiada "pemacu mini", anda boleh memasangnya secara paksa dengan memasang kit "Pemacu Rutoken untuk Windows", dan kemudian gunakan "Pembekal Kripto Kad Pintar Pangkalan Microsoft".


Set "Pemacu Rutoken untuk Windows" diedarkan secara percuma dari tapak web Rutoken.


Tambah dua templat baharu "Ejen Pensijilan" dan "Pengguna dengan Rutoken".



Dalam tetingkap Snap-in Pengurus Sijil, pilih Akaun Pengguna Saya. Dalam tetingkap Tambah atau Alih Keluar Snap-In, sahkan menambah sijil.


Pilih folder Sijil.




Minta sijil baharu. Halaman untuk mendaftar sijil akan dibuka. Pada peringkat permintaan sijil, pilih dasar pendaftaran "Pentadbir" dan klik "Permintaan".




Minta sijil untuk Ejen Pendaftaran dengan cara yang sama.


Untuk meminta sijil untuk pengguna tertentu, klik "Sijil", pilih "Daftar bagi pihak...".



Dalam tetingkap permintaan sijil, tandai kotak semak "Pengguna dengan Rutoken".


Sekarang anda perlu memilih pengguna.


Dalam medan "Masukkan nama objek yang dipilih", masukkan nama domain pengguna dan klik "Semak Nama".


Dalam tetingkap untuk memilih pengguna, klik "Aplikasi".


Daripada senarai juntai bawah, pilih nama token dan masukkan PIN.


Pilih sijil untuk pengguna lain dalam domain dengan cara yang sama.


Peringkat 4 - Menyediakan akaun pengguna


Untuk mengkonfigurasi akaun, buka senarai pengguna dan komputer AD.


Pilih Folder pengguna dan item "Properties".



Pergi ke tab "Akaun", tandai kotak pilihan "Kad pintar diperlukan untuk log masuk dalam talian".


Sediakan dasar keselamatan. Untuk melakukan ini, buka Panel Kawalan dan pilih "Pentadbiran". Buka menu untuk mengurus Dasar Kumpulan.


Di sebelah kiri tetingkap Pengurusan Dasar Kumpulan, klik Dasar Domain Lalai dan pilih Edit.



Di sebelah kiri tetingkap Editor Kawalan dasar kumpulan» Pilih “Tetapan Keselamatan”.



Buka Log Masuk Interaktif: Memerlukan dasar Kad Pintar.


Pada tab Tetapan Dasar Keselamatan, pilih Tentukan parameter seterusnya polisi" dan "Didayakan".


Buka Log Masuk Interaktif: Dasar Gelagat Pembuangan Kad Pintar.


Pada tab "Tetapan Dasar Keselamatan", tandai kotak pilihan "Tentukan tetapan dasar berikut" dan pilih "Kunci Stesen Kerja" daripada senarai lungsur.


Mulakan semula komputer anda. Dan pada kali seterusnya anda cuba mengesahkan dalam domain, anda akan dapat menggunakan token dan kod PINnya.



Pengesahan dua faktor untuk log masuk ke domain dikonfigurasikan, yang bermaksud tahap keselamatan untuk log masuk domain Windows tanpa membelanjakan jumlah yang gila dana tambahan perlindungan. Kini, tanpa token, log masuk ke sistem adalah mustahil, dan pengguna boleh bernafas lega dan tidak perlu risau tentang kata laluan yang rumit.


Langkah seterusnya - mel selamat, baca tentang perkara ini dan tentang menyediakan pengesahan selamat dalam sistem lain dalam artikel kami yang seterusnya.

Tag:

  • pelayan tingkap
  • PKI
  • Rutoken
  • pengesahan
Tambah tag Saya menerima komen dan penjelasan yang sangat baik daripada rakan yang ingin kekal tanpa nama:
1) Pada permulaan penyediaan pelayan, masukkan arahan:
multiotp.exe -debug -config default-request-prefix-pin=0 display-log=1 selepas itu tidak perlu memasukkan kod pin semasa menyediakan pengguna dan log setiap operasi dipaparkan dalam konsol.

2) Menggunakan arahan ini, anda boleh melaraskan masa rehat untuk pengguna yang membuat kesilapan dengan kata laluan (lalai 30 saat):
multiotp.exe -debug -config failure-delayed-time=60
3) Apa yang akan ditulis dalam permohonan itu Pengesah Google di atas 6 digit, dipanggil pengeluar, boleh ditukar daripada MultiOTP lalai kepada sesuatu yang lain:
multiotp.exe -debug -config issuer=other
4) Selepas operasi selesai, arahan untuk mencipta pengguna menjadi lebih mudah:
multiotp.exe -debug -cipta pengguna TOTP 12312312312312312321 6 (Saya tidak menetapkan masa kemas kini digit 30 saat, nampaknya 30 secara lalai).

5) Setiap pengguna boleh menukar penerangan (teks di bawah nombor dalam aplikasi Google Auth):
multiotp.exe -set perihalan nama pengguna=2
6) Kod QR boleh dibuat terus dalam aplikasi:
multiotp.exe -qrcode nama pengguna c:\multiotp\qrcode\user.png:\multiotp\qrcode\user.png
7) Anda boleh menggunakan bukan sahaja TOTP, tetapi juga HOTP (bukan masa semasa, dan nilai pembilang tambahan):
multiotp.exe -debug -cipta nama pengguna HOTP 12312312312312312321 6

Hari ini kami akan memberitahu anda cara anda boleh menyediakan pengesahan dua faktor dan menyulitkan data penting dengan cepat dan mudah, walaupun dengan keupayaan untuk menggunakan biometrik. Penyelesaiannya akan relevan untuk syarikat kecil atau hanya untuk komputer peribadi atau komputer riba. Adalah penting untuk ini kami tidak memerlukan infrastruktur kunci awam (PKI), pelayan dengan peranan pihak berkuasa pensijilan (Perkhidmatan Sijil), dan kami tidak memerlukan domain pun (Direktori Aktif). Semua keperluan sistem akan berpunca daripada sistem pengendalian Windows dan kehadiran kunci elektronik pengguna, dan dalam hal pengesahan biometrik, juga pembaca cap jari, yang, sebagai contoh, mungkin sudah terbina dalam komputer riba anda.

Untuk pengesahan kami akan menggunakan perisian kami - JaCarta SecurLogon dan elektronik kunci JaCarta PKI sebagai pengesah. Alat penyulitan akan menjadi Windows biasa EFS, akses kepada fail yang disulitkan juga akan disediakan melalui kunci JaCarta PKI (yang sama digunakan untuk pengesahan).

Biar kami ingatkan anda bahawa JaCarta SecurLogon ialah penyelesaian perisian dan perkakasan syarikat Aladdin R.D. yang diperakui oleh FSTEC dari Rusia, yang membolehkan mudah dan Laluan pantas daripada pengesahan faktor tunggal berdasarkan pasangan kata laluan log masuk kepada pengesahan dua faktor dalam OS menggunakan token USB atau kad pintar. Intipati penyelesaiannya agak mudah - JSL menjana kata laluan kompleks (~63 aksara) dan menulisnya ke dalam ingatan selamat kunci elektronik. Dalam kes ini, kata laluan mungkin tidak diketahui oleh pengguna sendiri; pengguna hanya mengetahui kod PIN. Dengan memasukkan kod PIN semasa pengesahan, peranti dibuka kunci dan kata laluan dihantar ke sistem untuk pengesahan. Secara pilihan, anda boleh menggantikan memasukkan kod PIN dengan mengimbas cap jari pengguna, dan anda juga boleh menggunakan gabungan PIN + cap jari.

EFS, seperti JSL, boleh berfungsi dalam mod kendiri, tidak memerlukan apa-apa kecuali OS itu sendiri. Di semua bilik bedah sistem Microsoft Keluarga NT, bermula dari Windows 2000 dan lebih baru (kecuali versi rumah), terdapat teknologi penyulitan data terbina dalam EFS (Encrypting Sistem fail). Penyulitan EFS adalah berdasarkan keupayaan sistem fail Seni bina NTFS dan CryptoAPI dan direka untuk menyulitkan fail dengan cepat pada pemacu keras komputer. Untuk penyulitan, EFS menggunakan peribadi dan kunci awam pengguna, yang dijana pada kali pertama pengguna menggunakan fungsi penyulitan. Kunci ini kekal tidak berubah selagi akaunnya wujud. Apabila menyulitkan fail, EFS menjana secara rawak nombor unik, apa yang dipanggil File Kunci Penyulitan(FEK) 128 bit panjang, yang mana fail disulitkan. Kunci FEK disulitkan dengan kunci induk, yang disulitkan dengan kunci pengguna sistem yang mempunyai akses kepada fail. Kunci peribadi pengguna dilindungi oleh cincang kata laluan pengguna. Data yang disulitkan menggunakan EFS hanya boleh dinyahsulit menggunakan akaun yang sama. entri Windows dengan kata laluan yang sama digunakan untuk penyulitan. Dan jika anda menyimpan sijil penyulitan dan kunci persendirian pada token USB atau kad pintar, maka untuk mengakses fail yang disulitkan, anda juga memerlukan token USB atau kad pintar ini, yang menyelesaikan masalah kompromi kata laluan, kerana ia akan diperlukan untuk mempunyai peranti tambahan dalam bentuk kunci elektronik.

Pengesahan

Seperti yang telah dinyatakan, anda tidak memerlukan AD atau pihak berkuasa pensijilan untuk mengkonfigurasi, anda memerlukan apa-apa Windows moden, pengedaran dan lesen JSL. Persediaan adalah sangat mudah.

Anda perlu memasang fail lesen.

Tambahkan profil pengguna.

Dan mula menggunakan pengesahan dua faktor.

Pengesahan biometrik

Ia adalah mungkin untuk digunakan pengesahan biometrik dengan cap jari. Penyelesaiannya berfungsi menggunakan teknologi Match On Card. Cincang cap jari ditulis pada kad semasa pemulaan awal dan kemudiannya disemak terhadap yang asal. Ia tidak meninggalkan kad di mana-mana, ia tidak disimpan dalam mana-mana pangkalan data. Untuk membuka kunci kekunci sedemikian, cap jari atau gabungan PIN + cap jari, PIN atau cap jari digunakan.

Untuk mula menggunakannya, anda hanya perlu memulakan kad dengan parameter yang diperlukan dan merekodkan cap jari pengguna.

Pada masa hadapan, tetingkap yang sama akan muncul sebelum memasuki OS.

Dalam contoh ini, kad dimulakan dengan keupayaan untuk mengesahkan menggunakan cap jari atau kod PIN, seperti yang ditunjukkan oleh tetingkap pengesahan.

Selepas membentangkan cap jari atau kod PIN, pengguna akan dibawa ke dalam OS.

Penyulitan data

Menyediakan EFS juga tidak begitu rumit; ia datang kepada menyediakan sijil dan mengeluarkannya kepada kunci elektronik dan menyediakan direktori penyulitan. Biasanya, anda tidak perlu menyulitkan keseluruhan cakera. Fail benar-benar penting yang tidak diingini untuk diakses oleh pihak ketiga biasanya terletak dalam direktori berasingan dan tidak bertaburan secara rawak merentasi cakera.

Untuk mengeluarkan sijil penyulitan dan kunci peribadi buka akaun pengguna anda, pilih - Urus sijil penyulitan fail. Dalam wizard yang terbuka, buat sijil yang ditandatangani sendiri pada kad pintar. Memandangkan kami terus menggunakan kad pintar dengan applet BIO, anda mesti memberikan cap jari atau PIN untuk merekodkan sijil penyulitan.

Dalam langkah seterusnya, tentukan direktori yang akan dikaitkan dengan sijil baharu; jika perlu, anda boleh menentukan semua pemacu logik.

Direktori yang disulitkan itu sendiri dan fail di dalamnya akan diserlahkan dalam warna yang berbeza.

Akses kepada fail dijalankan hanya jika anda mempunyai kunci elektronik, selepas pembentangan cap jari atau kod PIN, bergantung pada apa yang dipilih.

Ini melengkapkan persediaan.

Anda boleh menggunakan kedua-dua senario (pengesahan dan penyulitan), atau anda boleh memilih satu.

Jika satu-satunya halangan untuk mengakses data anda ialah kata laluan, anda berisiko tinggi. Pas boleh ditangkap, dipintas, diseret oleh Trojan, dipancing keluar menggunakan Kejuruteraan sosial. Tidak menggunakan pengesahan dua faktor dalam situasi ini adalah hampir satu jenayah.

Kami telah bercakap tentang kunci sekali lebih daripada sekali. Maksudnya sangat mudah. Jika penyerang entah bagaimana berjaya mendapatkan kata laluan log masuk anda, dia boleh mengakses e-mel anda atau menyambung dengan mudah pelayan jauh. Tetapi jika terdapat faktor tambahan dalam caranya, contohnya kunci satu kali (juga dipanggil kunci OTP), maka tiada apa yang akan berfungsi. Walaupun kunci sedemikian sampai ke tangan penyerang, ia tidak lagi boleh digunakan, kerana ia hanya sah sekali. Faktor kedua ini boleh menjadi panggilan tambahan, kod yang diterima melalui SMS, kunci yang dijana pada telefon menggunakan algoritma tertentu berdasarkan masa semasa (masa ialah cara untuk menyegerakkan algoritma pada klien dan pelayan). Google yang sama telah lama mengesyorkan penggunanya untuk mendayakan pengesahan dua faktor (beberapa klik dalam tetapan akaun). Kini tiba masanya untuk menambah lapisan perlindungan sedemikian untuk perkhidmatan anda!

Apakah yang ditawarkan oleh Duo Security?

Contoh remeh. Komputer saya mempunyai port RDP terbuka "di luar" untuk sambungan jauh ke desktop. Jika kata laluan log masuk bocor, penyerang akan segera menerima akses penuh ke kereta. Oleh itu, tiada persoalan mengenai pengukuhan perlindungan kata laluan OTP - ia hanya perlu dilakukan. Adalah bodoh untuk mencipta semula roda dan cuba melaksanakan segala-galanya sendiri, jadi saya hanya melihat penyelesaian yang ada di pasaran. Kebanyakannya ternyata komersil (perincian lanjut di bar sisi), tetapi untuk sebilangan kecil pengguna ia boleh digunakan secara percuma. Hanya apa yang anda perlukan untuk rumah anda. Salah satu perkhidmatan paling berjaya yang membolehkan anda mengatur pengesahan dua faktor untuk apa-apa sahaja (termasuk VPN, SSH dan RDP) ternyata adalah Duo Security (www.duosecurity.com). Apa yang menambah daya tarikannya ialah hakikat bahawa pemaju dan pengasas projek itu ialah John Oberheid, pakar terkenal Oleh keselamatan maklumat. Sebagai contoh, dia menggodam protokol komunikasi Google dengan telefon pintar Android, yang boleh digunakan untuk memasang atau mengalih keluar aplikasi sewenang-wenangnya. Asas ini membuatkan dirinya terasa: untuk menunjukkan kepentingan pengesahan dua faktor, mereka melancarkan Perkhidmatan VPN Hunter (www.vpnhunter.com), yang boleh mencari pelayan VPN tidak tersembunyi syarikat dengan cepat (dan pada masa yang sama menentukan jenis peralatan yang mereka jalankan), perkhidmatan untuk akses jauh(OpenVPN, RDP, SSH) dan elemen infrastruktur lain yang membenarkan penyerang masuk ke rangkaian dalaman hanya dengan mengetahui log masuk dan kata laluan. Sungguh melucukan bahawa di Twitter rasmi perkhidmatan itu, pemilik mula menerbitkan laporan imbasan setiap hari syarikat terkenal, selepas itu akaun itu diharamkan :). Perkhidmatan Duo Security, sudah tentu, bertujuan terutamanya untuk memperkenalkan pengesahan dua faktor dalam syarikat yang mempunyai bilangan pengguna yang besar. Nasib baik bagi kami, adalah mungkin untuk membuat akaun Peribadi percuma, yang membolehkan anda mengatur pengesahan dua faktor untuk sepuluh pengguna secara percuma.

Apakah yang boleh menjadi faktor kedua?

Seterusnya, kami akan melihat cara mengukuhkan keselamatan sambungan desktop jauh anda dan SSH pada pelayan anda dalam masa sepuluh minit sahaja. Tetapi pertama-tama saya ingin bercakap tentang langkah tambahan yang Duo Security perkenalkan sebagai faktor kebenaran kedua. Terdapat beberapa pilihan: panggilan telefon, SMS dengan kod laluan, kod laluan Mudah Alih Duo, Duo Push, kunci elektronik. Sedikit lagi tentang setiap satu.

Berapa lama saya boleh menggunakannya secara percuma?

Seperti yang telah disebutkan, Duo Security menawarkan tawaran istimewa pelan tarif"Peribadi". Ia benar-benar percuma, tetapi bilangan pengguna tidak boleh lebih daripada sepuluh. Menyokong menambah bilangan penyepaduan yang tidak terhad, semuanya kaedah yang ada pengesahan. Menyediakan beribu-ribu kredit percuma untuk perkhidmatan telefon. Kredit adalah seperti mata wang dalaman yang didebitkan daripada akaun anda setiap kali pengesahan berlaku menggunakan panggilan atau SMS. Dalam tetapan akaun anda, anda boleh menetapkannya supaya apabila anda sampai nombor yang diberi Anda menerima pemberitahuan untuk kredit dan anda berjaya menambah baki anda. Seribu kredit berharga 30 dolar sahaja. Harga panggilan dan SMS berbeza untuk negara yang berbeza. Untuk Rusia, panggilan akan dikenakan kos dari 5 hingga 20 kredit, SMS - 5 kredit. Walau bagaimanapun, tiada bayaran dikenakan untuk panggilan yang berlaku semasa membuat pengesahan di tapak web Duo Security. Anda boleh melupakan kredit sepenuhnya jika anda menggunakan aplikasi Duo Mobile untuk pengesahan - tiada bayaran dikenakan untuknya.

Pendaftaran mudah

Untuk melindungi pelayan anda dengan Duo Security, anda perlu memuat turun dan memasang pelanggan khas, yang akan berinteraksi dengan pelayan pengesahan Duo Security dan menyediakan lapisan perlindungan kedua. Sehubungan itu, pelanggan ini akan berbeza dalam setiap situasi: bergantung pada di mana sebenarnya perlu untuk melaksanakan pengesahan dua faktor. Kami akan membincangkan perkara ini di bawah. Perkara pertama yang perlu anda lakukan ialah mendaftar dalam sistem dan mendapatkan akaun. Oleh itu kami buka laman utama tapak web, klik "Percubaan Percuma", pada halaman yang terbuka, klik butang "Nyanyi" di bawah jenis akaun Peribadi. Selepas itu kami diminta untuk memasukkan nama pertama, nama keluarga, alamat e-mel dan nama syarikat kami. Anda sepatutnya menerima e-mel yang mengandungi pautan untuk mengesahkan pendaftaran anda. Dalam kes ini, sistem pasti akan membuat panggilan automatik ke nombor telefon yang ditetapkan: Untuk mengaktifkan akaun anda, anda perlu menjawab panggilan dan tekan butang # pada telefon anda. Selepas ini, akaun akan aktif dan anda boleh memulakan ujian pertempuran.

Melindungi RDP

Saya berkata di atas bahawa saya bermula dengan keinginan yang besar untuk mendapatkan sambungan jauh ke desktop anda. Oleh itu, sebagai contoh pertama, saya akan menerangkan cara mengukuhkan keselamatan RDP.

  1. Sebarang pelaksanaan pengesahan dua faktor bermula dengan tindakan mudah: mencipta integrasi yang dipanggil dalam profil Duo Security. Pergi ke bahagian “Integrasi  New Integration”, nyatakan nama integrasi (contohnya, “Home RDP”), pilih jenisnya “Microsoft RDP” dan klik “Add Integration”.
  2. Tetingkap yang muncul memaparkan parameter penyepaduan: Kunci integrasi, Kunci rahsia, nama hos API. Kami akan memerlukannya kemudian apabila kami mengkonfigurasi bahagian klien. Adalah penting untuk memahami: tiada siapa yang harus mengenali mereka.
  3. Seterusnya, anda perlu memasang pelanggan khas pada mesin yang dilindungi, yang akan memasang semua yang diperlukan ke dalam sistem Windows. Ia boleh dimuat turun dari laman web rasmi atau diambil dari cakera kami. Keseluruhan persediaannya berpunca daripada fakta bahawa semasa proses pemasangan anda perlu memasukkan kunci Integrasi yang disebutkan di atas, Kunci Rahsia, nama hos API.
  4. Itu sahaja, sebenarnya. Kini, pada kali seterusnya anda log masuk ke pelayan melalui RDP, skrin akan mempunyai tiga medan: nama pengguna, kata laluan dan kunci sekali Duo. Sehubungan itu, tidak lagi boleh log masuk ke sistem dengan hanya log masuk dan kata laluan.

Kali pertama pengguna baharu cuba log masuk, mereka akan dikehendaki melalui proses pengesahan Duo Security sekali. Perkhidmatan itu akan memberinya pautan khas, berikutan itu dia mesti memasukkan nombor telefonnya dan menunggu panggilan pengesahan. Untuk mendapatkan kunci tambahan (atau untuk mendapatkannya buat kali pertama), anda boleh masuk kata kunci"sms". Jika anda ingin mengesahkan menggunakan panggilan telefon, masukkan "telefon", jika bantu Duo Tolak - "tolak". Sejarah semua percubaan sambungan (berjaya dan tidak berjaya) ke pelayan boleh dilihat dalam akaun anda di tapak web Duo Security dengan terlebih dahulu memilih penyepaduan yang diingini dan pergi ke "Log Pengesahan"nya.

Sambungkan Duo Security di mana-mana sahaja!

Menggunakan pengesahan dua faktor, anda boleh melindungi bukan sahaja RDP atau SSH, tetapi juga VPN, pelayan RADIUS dan sebarang perkhidmatan web. Sebagai contoh, terdapat pelanggan sedia yang menambah lapisan pengesahan tambahan pada enjin popular Drupal dan WordPress. Jika tiada pelanggan sedia, jangan gusar: anda sentiasa boleh menambah pengesahan dua faktor untuk aplikasi atau tapak web anda sendiri apabila Bantuan API disediakan oleh sistem. Logik bekerja dengan API adalah mudah - anda membuat permintaan ke URL kaedah tertentu dan menghuraikan respons yang dikembalikan yang mungkin masuk format JSON(atau BSON, XML). Dokumentasi lengkap untuk Duo REST API tersedia di tapak web rasmi. Saya hanya akan mengatakan bahawa terdapat kaedah ping, semak, preauth, auth, status, dari nama yang mudah untuk meneka tujuannya.

Melindungi SSH

Mari pertimbangkan satu lagi jenis penyepaduan - "Integrasi UNIX" untuk melaksanakan pengesahan selamat. Kami menambah satu lagi penyepaduan pada profil Keselamatan Duo kami dan teruskan memasang klien pada sistem.

Anda boleh memuat turun kod sumber yang terakhir di bit.ly/IcGgk0 atau mengambilnya dari cakera kami. Saya menggunakan versi terkini - 1.8. Dengan cara ini, pelanggan berfungsi pada kebanyakan platform nix, jadi ia boleh dipasang dengan mudah pada FreeBSD, NetBSD, OpenBSD, Mac OS X, Solaris/Illumos, HP-UX dan AIX. Proses binaan adalah standard - konfigurasi && buat && sudo make install. Satu-satunya perkara yang saya cadangkan ialah menggunakan konfigurasi dengan pilihan --prefix=/usr, jika tidak, pelanggan mungkin tidak menemui perpustakaan yang diperlukan apabila bermula. Selepas pemasangan berjaya, pergi ke mengedit fail konfigurasi /etc/duo/login_duo.conf. Ini mesti dilakukan dari akar. Semua perubahan yang perlu dilakukan kerja yang berjaya, adalah untuk menetapkan nilai kunci Integrasi, Kunci rahsia, nama hos API, yang boleh didapati pada halaman penyepaduan.

; Keykey integrasi duo = INTEGRATION_KEY; Kunci kekunci rahsia Duo = SECRET_KEY; Hos nama hos API Duo = API_HOSTNAME

Untuk memaksa semua pengguna log masuk ke pelayan anda melalui SSH menggunakan pengesahan dua faktor, cuma tambahkan baris berikut pada fail /etc/ssh/sshd_config:

> ForceCommand /usr/local/sbin/login_duo

Ia juga mungkin untuk mengatur pengesahan dua faktor hanya untuk pengguna individu dengan menggabungkan mereka ke dalam kumpulan dan menentukan kumpulan ini dalam fail login_duo.conf:

> kumpulan = roda

Untuk perubahan berkuat kuasa, anda hanya perlu memulakan semula daemon ssh. Mulai sekarang, selepas berjaya memasukkan kata laluan log masuk, pengguna akan digesa untuk menjalani pengesahan tambahan. Satu kehalusan harus diperhatikan secara berasingan tetapan ssh- Adalah amat disyorkan untuk melumpuhkan pilihan PermitTunnel dan AllowTcpForwarding dalam fail konfigurasi, kerana daemon menggunakannya sebelum memulakan peringkat kedua pengesahan. Oleh itu, jika penyerang memasukkan kata laluan dengan betul, dia boleh mendapat akses kepada rangkaian dalaman sebelum peringkat kedua pengesahan selesai terima kasih kepada pemajuan port. Untuk mengelakkan kesan ini, tambahkan pilihan berikut pada sshd_config:

PermitTunnel noAllowTcpForwarding no

Sekarang pelayan anda berada di belakang tembok berganda dan lebih sukar bagi penyerang untuk masuk ke dalamnya.

Tetapan tambahan

Jika anda log masuk ke akaun Duo Security anda dan pergi ke bahagian "Tetapan", anda boleh mengubah suai beberapa tetapan supaya sesuai dengan anda. Bahagian penting pertama ialah "Panggilan telefon". Ini menentukan parameter yang akan berkuat kuasa apabila panggilan telefon digunakan untuk mengesahkan pengesahan. Item "Kekunci panggil balik suara" membolehkan anda menentukan kekunci telefon yang perlu ditekan untuk mengesahkan pengesahan. Secara lalai, nilainya ialah "Tekan sebarang kekunci untuk mengesahkan" - iaitu, anda boleh menekan mana-mana satu. Jika anda menetapkan nilai "Tekan kekunci yang berbeza untuk mengesahkan atau melaporkan penipuan", maka anda perlu menetapkan dua kunci: mengklik pada yang pertama mengesahkan pengesahan (Kunci untuk mengesahkan), mengklik pada yang kedua (Kunci untuk melaporkan penipuan) bermakna kami tidak memulakan proses pengesahan , iaitu seseorang telah menerima kata laluan kami dan cuba log masuk ke pelayan menggunakannya. Item "Kod laluan SMS" membolehkan anda menetapkan bilangan kod laluan yang akan terkandung dalam satu SMS dan sepanjang hayatnya (sah). Parameter "Sekat keluar dan penipuan" membolehkan anda menetapkan alamat e-mel yang pemberitahuan akan dihantar sekiranya terdapat beberapa percubaan yang tidak berjaya untuk log masuk ke pelayan.

Gunakannya!

Anehnya, ramai orang masih mengabaikan pengesahan dua faktor. Tak faham kenapa. Ini benar-benar meningkatkan keselamatan. Ia boleh dilaksanakan untuk hampir semua perkara, dan penyelesaian yang layak tersedia secara percuma. Jadi kenapa? Daripada kemalasan atau kecuaian.

Perkhidmatan analog

  • Signify(www.signify.net) Perkhidmatan ini menyediakan tiga pilihan untuk mengatur pengesahan dua faktor. Yang pertama ialah penggunaan kunci elektronik. Kaedah kedua ialah menggunakan kunci laluan, yang dihantar ke telefon pengguna melalui SMS atau dihantar melalui e-mel. Pilihan ketiga ialah aplikasi mudah alih untuk telefon Android, iPhone, BlackBerry, yang menjana kata laluan sekali sahaja (pada asasnya adalah analog Duo Mobile). Perkhidmatan ini ditujukan kepada syarikat besar, jadi ia dibayar sepenuhnya.
  • SecurEnvoy(www.securenvoy.com) Juga membolehkan anda menggunakan telefon bimbit sebagai lapisan pelindung kedua. Kunci laluan dihantar kepada pengguna melalui SMS atau e-mel. Setiap mesej mengandungi tiga kekunci laluan, iaitu, pengguna boleh log masuk tiga kali sebelum meminta bahagian baharu. Perkhidmatan ini juga dibayar, tetapi menyediakan tempoh 30 hari percuma. Kelebihan ketara ialah bilangan besar penyepaduan asli dan pihak ketiga.
  • PhoneFactor(www.phonefactor.com) Perkhidmatan ini membolehkan anda mengatur pengesahan dua faktor percuma untuk sehingga 25 pengguna, menyediakan 500 pengesahan percuma setiap bulan. Untuk mengatur perlindungan, anda perlu memuat turun dan memasang pelanggan khas. Jika anda perlu menambah pengesahan dua faktor ke tapak anda, anda boleh menggunakan SDK rasmi, yang menyediakan dokumentasi terperinci dan contoh untuk bahasa pengaturcaraan berikut: ASP.NET C#, ASP.NET VB, Java, Perl, Ruby, PHP.


ARTIKEL BERKAITAN