Ang isang password ay hindi isang napaka-maaasahang paraan ng proteksyon. Kadalasan, ang mga simple, madaling mahulaan na mga password ay ginagamit, o ang mga gumagamit ay hindi partikular na sinusubaybayan ang kaligtasan ng kanilang mga password (ibinibigay nila ito sa mga kasamahan, isulat ang mga ito sa mga piraso ng papel, atbp.). Matagal nang ipinatupad ng Microsoft ang teknolohiya na nagbibigay-daan sa iyong gumamit ng SmartCard para mag-log in sa system, i.e. magpatotoo sa system gamit ang isang sertipiko. Ngunit hindi kinakailangang direktang gumamit ng mga smart card, dahil nangangailangan din sila ng mga mambabasa, kaya mas madaling palitan ang mga ito ng mga token ng USB. Papayagan ka nilang ipatupad ang dalawang-factor na pagpapatotoo: ang unang kadahilanan ay ang password mula sa token, ang pangalawang kadahilanan ay ang sertipiko sa token. Susunod, gamit ang JaCarta usb token at isang Windows domain bilang isang halimbawa, sasabihin ko sa iyo kung paano ipatupad ang mekanismo ng pagpapatunay na ito.
Una sa lahat, sa AD gagawa tayo ng grupong “g_EtokenAdmin” at isang account. ang entry na "Enrollment Agent" na bahagi ng grupong ito. Pamamahalaan ng pangkat at user na ito ang awtoridad sa sertipikasyon.
Bukod pa rito ay i-install namin serbisyo sa web para humiling ng mga sertipiko.
Susunod, piliin ang opsyon para sa enterprise. Piliin ang Root CA (kung ito ang unang awtoridad sa certification sa domain)
Gumawa ng bagong pribadong key. Ang haba ng key ay maaaring iwanang pareho, ngunit ang hashing algorithm ay mas mahusay na pumili ng SHA2 (SHA256).
Ilagay ang pangalan ng CA at piliin ang panahon ng bisa ng pangunahing sertipiko.
Iniiwan namin ang natitirang mga parameter bilang default at simulan ang proseso ng pag-install.
Pagkatapos ng pag-install, pumunta sa snap-in ng awtoridad sa sertipikasyon at i-configure ang mga karapatan sa mga template. 
Magiging interesado kami sa dalawang template: Enrollment Agent at Smartcard logon.
Pumunta tayo sa mga katangian ng mga template na ito at sa tab ng seguridad idagdag ang pangkat na “g_EtokenAdmin” na may mga karapatan sa pagbabasa at paglalapat.
At lalabas sila sa aming pangkalahatang listahan.
Ang susunod na hakbang ay i-configure ang mga patakaran ng grupo:
Una sa lahat, sabihin natin sa lahat ng computer sa domain ang tungkol sa root certification authority para magawa ito, babaguhin natin ang Default Domain Policy.
Computer Configuration -> Mga Patakaran -> Windows Configuration -> Security Settings -> Public Key Policy -> Trusted Root Certification Authority -> Import
Piliin natin ang aming root certificate, na matatagpuan sa landas: C:\Windows\System32\certsrv\CertEnroll. Isara ang Default na Patakaran sa Domain.
Sa susunod na hakbang, gagawa kami ng patakaran para sa container kung saan makikita ang mga computer na may token (Smart card) authentication.
Kasama ang landas: Computer Configuration -> Mga Patakaran -> Windows Configuration -> Security Settings -> Mga lokal na patakaran-> Mga setting ng seguridad. I-configure natin ang dalawang parameter na “Interactive logon: nangangailangan ng smart card” at “Interactive logon: behavior kapag nag-aalis ng smart card”.
Iyon lang ang mga setting, maaari ka na ngayong bumuo ng isang sertipiko ng kliyente at suriin ang pagpapatunay gamit ang isang token.
Mag-log in sa computer sa ilalim ng account na “Enrollment Agent” at buksan ang browser sa pamamagitan ng pag-click sa link na http://Server_name_MS_CA/certsrv
Piliin ang Kahilingan sa Sertipiko -> Advanced na Kahilingan sa Sertipiko -> Gumawa at mag-isyu ng kahilingan sa CA na ito
Kung nakatanggap ka ng error tulad ng "Upang makumpleto ang application para sa isang certificate, dapat mong i-configure ang website para sa CA na gumamit ng HTTPS authentication," pagkatapos ay kailangan mong itali ang site sa https protocol sa IIS server kung saan naka-install ang MS CA .
Ipagpatuloy natin ang pagkuha ng sertipiko upang gawin ito, sa pahinang bubukas, piliin ang template: "Agent ng Pagpaparehistro" at i-click ang pindutan upang mag-isyu at mag-install ng sertipiko.
Ang user ng Enrollment Agent ay maaari na ngayong mag-isyu ng mga certificate para sa ibang mga user. Halimbawa, humiling tayo ng sertipiko para sa pagsubok ng gumagamit. Upang gawin ito, buksan ang certificate management console certmgr.msc, dahil Hindi posibleng magsulat ng certificate sa isang USB token sa pamamagitan ng web interface.
Sa console na ito, sa personal na folder, gagawa kami ng kahilingan sa ngalan ng isa pang user
Bilang isang pirma, piliin ang nag-iisang sertipiko ng "Enrollment Agent" at magpatuloy sa susunod na hakbang, kung saan pipiliin namin ang item na "Mag-login gamit ang isang smart card" at i-click ang mga detalye upang pumili ng isang crypto provider.
Sa aking kaso, gumagamit ako ng mga token ng JaCarta, kaya na-install ang “Athena...” crypto provider kasama ng mga driver:
Sa susunod na hakbang pipiliin namin gumagamit ng domain, kung saan nag-isyu kami ng isang sertipiko at nag-click sa pindutan ng "Application".
Ipinasok namin ang token, ipasok ang PIN code at magsisimula ang proseso ng pagbuo. Bilang resulta, dapat tayong makakita ng dialog box na nagsasabing "Tagumpay".
Kung ang proseso ay hindi matagumpay, maaaring ito ang template para sa pagkuha ng sertipiko sa aking kaso, kailangan itong itama ng kaunti.
Simulan natin ang pagsubok, suriin ang pagpapatakbo ng token sa isang computer na matatagpuan sa OU na may patakaran ng grupo Mag-login gamit ang isang smart card.
Kapag sinubukan naming mag-log in gamit ang isang account na may password, dapat kaming makatanggap ng pagtanggi. Kapag sinubukan naming mag-log in gamit ang isang smart card (token), ipo-prompt kami na magpasok ng PIN at dapat na matagumpay na mag-log in.
P.s.
1) Kung ang awtomatikong pag-lock ng computer o pag-log out sa system ay hindi gumana pagkatapos tanggalin ang token, tingnan kung gumagana ang serbisyo ng "Smart Card Removal Policy".
2) Maaari kang sumulat sa isang token (bumuo ng isang sertipiko) sa lokal lamang, hindi ito gagana sa pamamagitan ng RDP.
3) Kung hindi mo masimulan ang proseso ng pagbuo ng sertipiko gamit ang karaniwang template"Mag-login gamit ang isang smart card", lumikha ng isang kopya nito na may mga sumusunod na parameter.
Iyon lang, kung mayroon kang anumang mga katanungan, magtanong, susubukan kong tumulong.
- Tutorial
Ang ilan sa inyo ay malamang na narinig ang tungkol sa insidente na ginawa sa publiko kamakailan lamang. Ang American semiconductor manufacturer na si Allegro MicroSystem LLC ay kinasuhan ang dating IT specialist nito para sa sabotahe. Sinira ni Nimesh Patel, na nagtrabaho sa kumpanya sa loob ng 14 na taon, ang mahalagang data sa pananalapi sa unang linggo ng bagong taon ng pananalapi.
Paano ito nangyari?
Dalawang linggo pagkatapos ng kanyang pagpapaalis, pumasok si Patel sa punong-tanggapan ng kumpanya sa Worcester (Massachusetts, USA) upang makuha ang corporate Wi-Fi network. Gamit ang mga kredensyal ng isang dating kasamahan at isang laptop sa trabaho, nag-log in si Patel sa corporate network. Pagkatapos ay ipinatupad niya ang code sa Oracle module at na-program ito upang tumakbo noong Abril 1, 2016 - ang unang linggo ng bagong taon ng pananalapi. Ang code ay inilaan upang kopyahin ang ilang mga header o pointer sa isang hiwalay na talahanayan ng database at susunod na pagtanggal ang mga ito mula sa modyul. Eksaktong noong Abril 1, ang data ay tinanggal mula sa system. At dahil legal na nag-log in ang attacker sa network ng Allegro, hindi agad napansin ang kanyang mga aksyon.
Ang pangkalahatang publiko ay hindi alam ang mga detalye, ngunit malamang na ang insidente ay naging posible dahil sa ang katunayan na ang kumpanya ay gumagamit ng pagpapatunay ng password upang ma-access ang network. Tiyak na mayroong iba pang mga problema sa seguridad, ngunit ang password ay maaaring nakawin nang hindi napapansin ng gumagamit at ang katotohanan ng pagnanakaw ng password ay hindi makikita, sa pinakamahusay na senaryo ng kaso hanggang sa paggamit ng mga ninakaw na kredensyal.
Paglalapat ng mahigpit dalawang-factor na pagpapatunay at ang pagbabawal sa paggamit ng mga password kasama ng isang karampatang patakaran sa seguridad ay maaaring makatulong, kung hindi maiwasan ang inilarawan na pag-unlad ng mga kaganapan, kung gayon ay lubos na magpapalubha sa pagpapatupad ng naturang plano.
Pag-uusapan natin kung paano mo mapapalaki nang malaki ang antas ng seguridad ng iyong kumpanya at mapoprotektahan ang iyong sarili mula sa mga ganitong insidente. Matututuhan mo kung paano mag-set up ng pagpapatunay at pag-sign ng sensitibong data gamit ang mga token at cryptography (parehong dayuhan at domestic).
Sa unang artikulo, ipapaliwanag namin kung paano mag-set up ng malakas na two-factor authentication gamit ang PKI kapag nagla-log in sa isang domain account sa Windows.
Sa mga sumusunod na artikulo, sasabihin namin sa iyo kung paano i-set up ang Bitlocker, protektahan ang email at simpleng pamamahala ng dokumento. Magse-set up din kami together with you ligtas na pag-access Upang mga mapagkukunan ng korporasyon at secure ang malayuang pag-access sa pamamagitan ng VPN.
Dalawang-factor na pagpapatunay
Naranasan mga tagapangasiwa ng system at ang mga pangkat ng seguridad ay lubos na nakakaalam na ang mga gumagamit ay masyadong maluwag sa pagsunod sa mga patakaran sa seguridad, maaari nilang isulat ang kanilang mga kredensyal sa isang sticky note at idikit ito sa tabi ng kanilang computer, magbahagi ng mga password sa kanilang mga kasamahan, at mga katulad nito. Madalas itong nangyayari kapag kumplikado ang password (naglalaman ng higit sa 6 na character at binubuo ng mga titik ng iba't ibang case, numero at espesyal na character) at mahirap matandaan. Ngunit ang mga naturang patakaran ay itinakda ng mga administrator para sa isang dahilan. Ito ay kinakailangan upang maprotektahan ang user account mula sa simpleng paghula ng password gamit ang isang diksyunaryo. Gayundin, inirerekomenda ng mga administrador ang pagpapalit ng mga password nang hindi bababa sa isang beses bawat 6 na buwan, mula lamang sa pagsasaalang-alang na sa panahong ito ay posible na mag-brute force kahit na. kumplikadong password.
Tandaan natin kung ano ang authentication. Sa aming kaso, ito ang proseso ng pagkumpirma sa pagiging tunay ng isang paksa o bagay. Ang pagpapatunay ng user ay ang proseso ng pagkumpirma ng pagkakakilanlan ng isang user.
At ang two-factor authentication ay isang authentication kung saan kailangan mong gumamit ng hindi bababa sa dalawang magkaibang paraan upang kumpirmahin ang iyong pagkakakilanlan.
Ang pinakasimpleng halimbawa ng two-factor authentication sa totoong buhay ay isang safe na may lock at kumbinasyon. Upang buksan ang naturang safe kailangan mong malaman ang code at magkaroon ng susi.
Token at smart card
Marahil ang pinaka maaasahan at pinakamadaling ipatupad na paraan ng two-factor authentication ay ang paggamit ng cryptographic token o smart card. Ang token ay isang USB device na parehong reader at smart card sa parehong oras. Ang unang kadahilanan sa kasong ito ay ang katotohanan ng pagmamay-ari ng device, at ang pangalawa ay ang kaalaman sa PIN code nito.
Gumamit ng token o smart card, alinman ang mas maginhawa para sa iyo. Ngunit ayon sa kasaysayan, ang mga tao sa Russia ay mas sanay na gumamit ng mga token, dahil hindi nila kailangan ang paggamit ng mga built-in o panlabas na smart card reader. Ang mga token ay mayroon ding mga disadvantages. Halimbawa, hindi ka makakapag-print ng litrato dito.
Ang larawan ay nagpapakita ng isang tipikal na smart card at reader.
Gayunpaman, bumalik tayo sa corporate security.
At magsisimula kami sa domain ng Windows, dahil sa karamihan ng mga kumpanya sa Russia network ng korporasyon tiyak na binuo sa paligid nito.
Tulad ng alam mo, ang mga patakaran sa domain ng Windows, mga setting ng user, at mga setting ng grupo sa Active Directory ay nagbibigay at nililimitahan ang access sa isang malaking bilang ng mga application at serbisyo ng network.
Sa pamamagitan ng pagprotekta sa isang domain account, mapoprotektahan namin ang karamihan, at sa ilang mga kaso lahat, ang mga panloob na mapagkukunan ng impormasyon.
Bakit mas secure ang two-factor authentication sa isang domain gamit ang isang token na may PIN code kaysa sa isang regular na scheme ng password?
Naka-link ang PIN code sa tiyak na aparato, sa aming kaso sa isang token. Ang pag-alam sa mismong PIN code ay hindi nagbibigay ng anuman.
Halimbawa, ang PIN code para sa isang token ay maaaring idikta sa iba sa pamamagitan ng telepono at hindi ito magbibigay sa isang umaatake ng anuman kung maingat mong ituturing ang token at hindi mo ito iiwan.
Gamit ang isang password, ang sitwasyon ay ganap na naiiba; kung ang isang umaatake ay kinuha, nahulaan, natiktikan, o sa ibang paraan ay nakuha ang password para sa isang account sa isang domain, pagkatapos ay malaya niyang maa-access ang parehong domain mismo at iba pang mga serbisyo ng kumpanya na gumagamit ng parehong account na ito.
Ang token ay isang natatangi, hindi makokopya na pisikal na bagay. Ito ay pagmamay-ari ng isang lehitimong gumagamit. Ang dalawang-factor na pagpapatotoo gamit ang isang token ay maaari lamang i-bypass kapag ang administrator ay sinasadya o hindi sinasadyang nag-iwan ng "mga butas" sa system para sa layuning ito.
Mga kalamangan ng pag-log in sa isang domain gamit ang isang token
Ang token PIN ay mas madaling matandaan dahil maaari itong maging mas simple kaysa sa isang password. Malamang na nakita ng lahat kahit isang beses sa kanilang buhay kung paano masakit na nabigo ang isang "karanasan" na gumagamit na magpatotoo sa system pagkatapos ng ilang mga pagtatangka, na inaalala at ipinasok ang kanilang "ligtas" na password.
Ang PIN code ay hindi kailangang palaging palitan, dahil ang mga token ay mas lumalaban sa PIN code na brute force. Pagkatapos ng isang tiyak na bilang ng mga hindi matagumpay na pagtatangka sa pag-input, ang token ay naharang.
Kapag gumagamit ng token, ganito ang hitsura ng login ng user: pagkatapos i-boot ang computer, isaksak lang niya ang token sa USB port ng computer, ipasok ang 4-6 na digit at pinindot ang Enter button. Bilis ng pag-input ng numero ordinaryong tao mas mataas kaysa sa bilis ng pagpasok ng titik. Samakatuwid, ang PIN code ay ipinasok nang mas mabilis.
Tumutulong ang mga token na lutasin ang problema ng "pag-abandona sa desk" - kapag umalis ang isang user sa kanyang lugar ng trabaho at nakalimutang mag-log out sa kanyang account.
Maaaring i-configure ang isang patakaran ng domain upang awtomatikong i-lock ang isang computer kapag nakuha ang isang token. Gayundin, ang token ay maaaring nilagyan ng isang RFID tag para sa pagpasa sa pagitan ng mga lugar ng kumpanya, kaya nang hindi kukunin ang token mula sa kanyang lugar ng trabaho, ang empleyado ay hindi makakagalaw sa paligid ng teritoryo.
Mga disadvantages, saan tayo kung wala sila?
Ang mga token o smart card ay hindi libre (napagpasyahan ng badyet).
Kailangang isaalang-alang, pangasiwaan at pangalagaan ang mga ito (malutas sa pamamagitan ng mga sistema ng pamamahala ng token at smart card).
Ang ilan mga sistema ng impormasyon maaaring hindi suportahan ang pagpapatotoo ng token sa labas ng kahon (nalutas ng mga sistema ng uri ng Single Sign-On - na idinisenyo upang ayusin ang kakayahang gumamit ng isang account upang ma-access ang anumang mga mapagkukunan ng lugar).
Pagse-set up ng two-factor authentication sa isang domain ng Windows
Teoretikal na bahagi:
Serbisyo Aktibong direktoryo Sinusuportahan ng Directory ang smart card at token authentication mula noong Windows 2000. Ito ay binuo sa extension ng PKINIT (public key initialization) para sa Kerberos RFC 4556 protocol.
Ang Kerberos protocol ay partikular na idinisenyo upang magbigay ng malakas na pagpapatunay ng user. Maaari itong gumamit ng sentralisadong imbakan ng data ng pagpapatunay at ang batayan para sa pagbuo ng mga mekanismo ng Single Sing-On. Ang protocol ay batay sa pangunahing entity na Ticket.
Ang Ticket ay isang naka-encrypt na data packet na ibinibigay ng isang pinagkakatiwalaang awtoridad sa pagpapatotoo, ayon sa protocol ng Kerberos - Key Distribution Center (KDC).
Kapag ang isang user ay nagsagawa ng paunang pagpapatotoo pagkatapos matagumpay na ma-verify ang kanyang pagkakakilanlan, ang KDC ay nagbibigay ng mga pangunahing kredensyal ng gumagamit para sa pag-access ng mga mapagkukunan ng network - isang Ticket Granting Ticket (TGT).
Sa hinaharap, kapag nag-a-access ng mga indibidwal na mapagkukunan ng network, ipapakita ng user ang TGT at tumatanggap mula sa KDC ng pagkakakilanlan para sa pag-access sa isang partikular na mapagkukunan ng network- Serbisyo sa Pagbibigay ng Ticket (TGS).
Isa sa mga bentahe ng Kerberos protocol ay ito mataas na antas Ang seguridad ay na sa panahon ng anumang mga pakikipag-ugnayan, alinman sa mga password o mga halaga ng hash ng password ay ipinadala sa malinaw na teksto.
Binibigyang-daan ka ng extension ng PKINIT na gumamit ng two-factor authentication gamit ang mga token o smart card sa panahon ng Kerberos pre-authentication phase.
Maaaring ibigay ang pag-login gamit ang parehong serbisyo ng direktoryo ng domain at lokal na serbisyo katalogo. Ang TGT ay nilikha batay sa elektronikong lagda, na kinakalkula sa smart card o token.
Dapat mayroon ang lahat ng domain controller naka-install na sertipiko Domain Controller Authentication, o Kerberos Authentication, dahil ang proseso ng mutual authentication ng client at server ay ipinatupad.
Pagsasanay:
Magsimula tayo sa pag-set up.
Gagawin namin ito upang makapag-log in ka sa domain sa ilalim ng iyong account sa pamamagitan lamang ng pagpapakita ng token at pag-alam sa PIN code.
Para sa demonstrasyon, gagamitin namin ang Rutoken EDS PKI na ginawa ng kumpanyang Aktiv.
Stage 1 - Pag-setup ng domain Una sa lahat, mag-install tayo ng mga serbisyo ng sertipiko.
Disclaimer.
Ang artikulong ito ay hindi isang tutorial sa pagpapatupad ng enterprise PKI. Ang mga isyu sa disenyo, deployment at wastong paggamit ng PKI ay hindi tinatalakay dito dahil sa lawak ng paksang ito.
Ang lahat ng domain controller at lahat ng client computer sa loob ng kagubatan kung saan ipinapatupad ang naturang solusyon ay dapat magtiwala sa root Certification Authority (Certification Authority).
Ang gawain ng isang awtoridad sa sertipikasyon ay upang kumpirmahin ang pagiging tunay ng mga susi sa pag-encrypt gamit ang mga electronic signature certificate.
Sa teknikal na paraan, ang awtoridad ng sertipiko ay ipinatupad bilang isang bahagi ng pandaigdigang serbisyo ng direktoryo, na responsable sa pamamahala cryptographic na mga susi mga gumagamit. Ang mga pampublikong key at iba pang impormasyon tungkol sa mga user ay iniimbak ng mga awtoridad sa sertipikasyon sa anyo ng mga digital na sertipiko.
Ang CA na nag-isyu ng mga sertipiko para sa paggamit ng mga smart card o token ay dapat ilagay sa NT Authority repository.
Pumunta sa Server Manager at piliin ang Magdagdag ng Mga Tungkulin at Mga Tampok.
Kapag nagdaragdag ng mga tungkulin sa server, piliin ang "Mga Serbisyo sa Sertipiko ng Aktibo sa Direktoryo" (Lubos na inirerekomenda ng Microsoft na huwag gawin ito sa isang controller ng domain upang maiwasan ang mga isyu sa pagganap). Sa window na bubukas, piliin ang "Magdagdag ng mga bahagi" at piliin ang "Certification Authority".
Sa pahina upang kumpirmahin ang pag-install ng mga bahagi, i-click ang "I-install".
Stage 2 - Pagse-set up ng domain login gamit ang isang token
Para mag-log in, kailangan namin ng certificate na naglalaman ng Smart Card Logon at Client Authentication identifier.
Ang certificate para sa mga smart card o token ay dapat ding naglalaman ng UPN ng user (user principal name suffix). Bilang default, ang UPN suffix para sa isang account ay ang DNS name ng domain na naglalaman ng user account.
Ang sertipiko at pribadong key ay dapat ilagay sa naaangkop na mga seksyon ng smart card o token, at ang pribadong key ay dapat na matatagpuan sa isang secure na lugar ng memorya ng device.
Dapat ipahiwatig ng certificate ang landas patungo sa punto ng pamamahagi ng listahan ng pagpapawalang-bisa ng sertipiko (punto ng pamamahagi ng CRL). Ang file na ito ay naglalaman ng isang listahan ng mga sertipiko, na nagpapahiwatig ng serial number ng sertipiko, ang petsa ng pagbawi, at ang dahilan ng pagbawi. Ginagamit ito upang ipaalam ang impormasyon tungkol sa mga binawi na certificate sa mga user, computer, at application na sumusubok na i-verify ang pagiging tunay ng certificate.
I-configure natin ang mga naka-install na serbisyo ng certificate. Sa kanang sulok sa itaas, mag-click sa dilaw na tatsulok na may tandang padamdam at i-click ang “I-configure ang Mga Serbisyo sa Sertipiko...”.
Sa window ng Mga Kredensyal, piliin ang mga kinakailangang kredensyal ng user para i-configure ang tungkulin. Piliin ang "Certification Authority".
Piliin ang Enterprise CA.
Ang mga Enterprise CA ay isinama sa AD. Nag-publish sila ng mga certificate at mga listahan ng pagbawi ng certificate sa AD.
Tukuyin ang uri bilang "Root CA".
Sa susunod na hakbang, piliin ang "Gumawa ng bagong pribadong key."
Piliin ang panahon ng bisa ng sertipiko.
Stage 3 - Pagdaragdag ng mga template ng certificate
Upang magdagdag ng mga template ng certificate, buksan ang Control Panel, piliin ang Administrative Tools, at buksan ang Certification Authority.
Mag-click sa pangalan ng folder na "Mga Template ng Sertipiko", piliin ang "Pamahalaan".
Mag-click sa pangalan ng template na "Smart Card User" at piliin ang "Kopyahin ang Template". Ipinapakita ng mga sumusunod na screenshot kung aling mga setting sa window ng New Template Properties ang kailangan mong baguhin.
Kung ang "Aktiv ruToken CSP v1.0" ay wala sa listahan ng mga supplier, kailangan mong i-install ang "Rutoken Drivers for Windows" kit.
Simula sa Windows Server 2008 R2, maaari mong gamitin ang "Microsoft Base Smart Card Crypto Provider" sa halip na isang espesyal na provider mula sa manufacturer.
Para sa mga Rutoken device, ang library ng "minidriver" na sumusuporta sa "Microsoft Base Smart Card Crypto Provider" ay ipinamamahagi sa pamamagitan ng Windows Update.
Maaari mong suriin kung ang "minidriver" ay naka-install sa iyong server sa pamamagitan ng pagkonekta sa Rutoken dito at pagtingin sa device manager.
Kung sa ilang kadahilanan ay walang "minidriver", maaari mo itong puwersahang i-install sa pamamagitan ng pag-install ng "Rutoken Drivers for Windows" kit, at pagkatapos ay gamitin ang "Microsoft Base Smart Card Crypto Provider".
Ang set na "Mga Driver ng Rutoken para sa Windows" ay ipinamahagi nang walang bayad mula sa website ng Rutoken.
Magdagdag ng dalawang bagong template na "Certification Agent" at "User na may Rutoken".
Sa window ng Certificate Manager Snap-in, piliin ang Aking User Account. Sa window ng Add or Remove Snap-In, kumpirmahin ang pagdaragdag ng mga certificate.
Piliin ang folder ng Mga Certificate.
Humiling ng bagong sertipiko. Magbubukas ang isang pahina para sa pagpaparehistro ng isang sertipiko. Sa yugto ng paghiling ng sertipiko, piliin ang patakaran sa pagpaparehistro ng "Administrator" at i-click ang "Humiling".
Humiling ng sertipiko para sa Ahente ng Pagpaparehistro sa parehong paraan.
Upang humiling ng certificate para sa isang partikular na user, i-click ang "Mga Sertipiko", piliin ang "Magparehistro sa ngalan ng...".
Sa window ng kahilingan sa sertipiko, lagyan ng check ang checkbox na "User na may Rutoken".
Ngayon ay kailangan mong pumili ng isang user.
Sa field na "Ipasok ang mga pangalan ng mga napiling bagay," ilagay ang domain name ng user at i-click ang "Suriin ang Pangalan".
Sa window para sa pagpili ng isang user, i-click ang "Application".
Mula sa drop-down na listahan, piliin ang pangalan ng token at ilagay ang PIN.
Pumili ng mga certificate para sa iba pang mga user sa domain sa parehong paraan.
Stage 4 - Pag-set up ng mga user account
Upang i-configure ang mga account, buksan ang listahan ng mga user at computer ng AD.
Pumili Folder ng mga gumagamit at ang item na "Properties".
Pumunta sa tab na "Mga Account," lagyan ng check ang checkbox na "Kinakailangan ng Smart card para sa online na pag-log in."
I-set up ang mga patakaran sa seguridad. Upang gawin ito, buksan ang Control Panel at piliin ang "Administration". Buksan ang menu para pamahalaan ang Patakaran ng Grupo.
Sa kaliwang bahagi ng window ng Pamamahala ng Patakaran ng Grupo, i-click ang Default na Patakaran sa Domain at piliin ang I-edit.
Sa kaliwang bahagi ng window ng Control Editor mga patakaran ng grupo» Piliin ang “Mga Setting ng Seguridad”.
Buksan ang Interactive Logon: Require Smart Card policy.
Sa tab na Mga Setting ng Patakaran sa Seguridad, piliin ang Tukuyin susunod na parameter patakaran" at "Pinagana".
Buksan ang patakaran sa Interactive Logon: Smart Card Removal Behavior.
Sa tab na "Mga Setting ng Patakaran sa Seguridad," piliin ang checkbox na "Tukuyin ang sumusunod na setting ng patakaran," at piliin ang "Lock ng Workstation" mula sa drop-down na listahan.
I-restart ang iyong computer. At sa susunod na subukan mong mag-authenticate sa domain, magagamit mo ang token at ang PIN code nito.
Ang dalawang-factor na pagpapatotoo para sa pag-log in sa domain ay na-configure, na nangangahulugang ang antas ng seguridad para sa pag-log in Windows domain nang hindi gumagasta ng nakakabaliw na halaga karagdagang pondo proteksyon. Ngayon, nang walang token, ang pag-log in sa system ay imposible, at ang mga user ay makakahinga ng maluwag at hindi na kailangang mag-alala tungkol sa mga kumplikadong password.
Susunod na hakbang - secure na mail, basahin ang tungkol dito at tungkol sa pagse-set up ng secure na pagpapatotoo sa ibang mga system sa aming susunod na mga artikulo.
Mga Tag:
- windows server
- PKI
- Rutoken
- pagpapatunay
1) Sa pinakadulo simula ng pag-set up ng server, ipasok ang command:
multiotp.exe -debug -config default-request-prefix-pin=0 display-log=1 pagkatapos nito ay hindi na kailangang maglagay ng pin code kapag nagse-set up ng user at ang log ng bawat operasyon ay ipinapakita sa console.
2) Gamit ang command na ito maaari mong ayusin ang bantime para sa mga user na nagkamali sa password (default na 30 segundo):
multiotp.exe -debug -config failure-delayed-time=60
3) Ano ang isusulat sa aplikasyon Google Authenticator sa itaas ng 6 na numero, na tinatawag na issuer, ay maaaring baguhin mula sa default na MultiOTP patungo sa ibang bagay:
multiotp.exe -debug -config issuer=other
4) Matapos makumpleto ang mga operasyon, ang utos na lumikha ng isang gumagamit ay nagiging mas simple:
multiotp.exe -debug -create user TOTP 12312312312312312321 6 (Hindi ko itinakda ang digit na oras ng pag-update ng 30 segundo, ito ay tila 30 bilang default).
5) Maaaring baguhin ng bawat user ang paglalarawan (teksto sa ilalim ng mga numero sa application Google Auth):
multiotp.exe -set username description=2
6) Ang mga QR code ay maaaring direktang gawin sa application:
multiotp.exe -qrcode username c:\multiotp\qrcode\user.png:\multiotp\qrcode\user.png
7) Maaari mong gamitin hindi lamang ang TOTP, kundi pati na rin ang HOTP (hindi kasalukuyang panahon, at ang halaga ng incremental counter):
multiotp.exe -debug -lumikha ng username HOTP 12312312312312312321 6
Ngayon, sasabihin namin sa iyo kung paano ka makakapag-set up nang mabilis at madaling mag-set up ng two-factor authentication at mag-encrypt ng mahalagang data, kahit na may kakayahang gumamit ng biometrics. Ang solusyon ay magiging may kaugnayan para sa maliliit na kumpanya o para lang personal na computer o laptop. Mahalaga na para dito hindi namin kailangan ng public key infrastructure (PKI), isang server na may tungkulin ng isang awtoridad sa sertipikasyon (Certificate Services), at hindi rin namin kailangan ng domain (Active Directory). Ang lahat ng mga kinakailangan sa system ay mapupunta sa operating system ng Windows at ang pagkakaroon ng user ng isang electronic key, at sa kaso ng biometric authentication, isa ring fingerprint reader, na, halimbawa, ay maaaring naka-built na sa iyong laptop.
Para sa pagpapatunay ay gagamitin namin ang aming software - JaCarta SecurLogon at electronic Susi ng JaCarta PKI bilang isang authenticator. Ang tool sa pag-encrypt ay magiging regular na Windows EFS, ang access sa mga naka-encrypt na file ay ibibigay din sa pamamagitan ng JaCarta PKI key (kaparehong ginamit para sa pagpapatunay).
Ipaalala namin sa iyo na ang JaCarta SecurLogon ay isang software at hardware na solusyon ng kumpanyang Aladdin R.D. na sertipikado ng FSTEC ng Russia, na nagbibigay-daan para sa simple at mabilis na paglipat mula sa single-factor authentication batay sa isang login-password pares hanggang sa two-factor authentication sa OS gamit ang mga USB token o smart card. Ang kakanyahan ng solusyon ay medyo simple - ang JSL ay bumubuo ng isang kumplikadong password (~63 character) at isinusulat ito sa secure na memorya ng electronic key. Sa kasong ito, maaaring hindi alam ng user mismo ang password; ang PIN code lang ang alam ng user. Sa pamamagitan ng pagpasok ng PIN code sa panahon ng pagpapatunay, ang aparato ay na-unlock at ang password ay ipinadala sa system para sa pagpapatunay. Opsyonal, maaari mong palitan ang paglalagay ng PIN code sa pamamagitan ng pag-scan sa fingerprint ng user, at maaari mo ring gamitin ang kumbinasyon ng PIN + fingerprint.
Ang EFS, tulad ng JSL, ay maaaring gumana sa standalone mode, na nangangailangan ng anuman maliban sa OS mismo. Sa lahat ng operating room Mga sistema ng Microsoft NT family, simula sa Windows 2000 at mas bago (maliban mga bersyon ng bahay), mayroong built-in na data encryption technology na EFS (Encrypting File System). Ang EFS encryption ay batay sa mga kakayahan file system NTFS at CryptoAPI architecture at idinisenyo upang mabilis na i-encrypt ang mga file sa hard drive ng isang computer. Para sa pag-encrypt, gumagamit ang EFS ng pribado at mga pampublikong susi user, na nabuo sa unang pagkakataon na ginamit ng isang user ang encryption function. Ang mga key na ito ay nananatiling hindi nagbabago hangga't umiiral ang kanyang account. Kapag nag-e-encrypt ng file, random na bumubuo ang EFS natatanging numero, ang tinatawag na File Encryption Key(FEK) 128 bits ang haba, kung saan naka-encrypt ang mga file. Ang mga FEK key ay naka-encrypt gamit ang master key, na naka-encrypt gamit ang key ng mga user ng system na may access sa file. Ang pribadong key ng user ay pinoprotektahan ng isang hash ng password ng user. Ang data na naka-encrypt gamit ang EFS ay maaari lamang i-decrypt gamit ang parehong account. Mga entry sa Windows na may parehong password na ginamit para sa pag-encrypt. At kung iimbak mo ang sertipiko ng pag-encrypt at pribadong key sa isang USB token o smart card, pagkatapos ay upang ma-access ang mga naka-encrypt na file kakailanganin mo rin itong USB token o smart card, na malulutas ang problema ng kompromiso sa password, dahil kakailanganin na magkaroon ng isang karagdagang device sa anyo ng electronic key.
Pagpapatunay
Gaya ng nabanggit na, hindi mo kailangan ng AD o isang awtoridad sa sertipikasyon para i-configure, kailangan mo ng anuman modernong Windows, pamamahagi at lisensya ng JSL. Ang setup ay ridiculously simple.Kailangan mong mag-install ng file ng lisensya.
Magdagdag ng profile ng user.
At simulan ang paggamit ng two-factor authentication.
Biometric na pagpapatunay
Posibleng gamitin biometric na pagpapatunay sa pamamagitan ng fingerprint. Gumagana ang solusyon gamit ang teknolohiyang Match On Card. Ang hash ng fingerprint ay isinusulat sa card sa panahon ng paunang pagsisimula at pagkatapos ay susuriin laban sa orihinal. Hindi nito iniiwan ang card kahit saan, hindi ito nakaimbak sa anumang mga database. Upang i-unlock ang naturang key, gumamit ng fingerprint o kumbinasyon ng PIN + fingerprint, PIN o fingerprint.Upang simulan ang paggamit nito, kailangan mo lamang na simulan ang card gamit ang mga kinakailangang parameter at i-record ang fingerprint ng user.
Sa hinaharap, ang parehong window ay lilitaw bago pumasok sa OS.
Sa halimbawang ito, sinisimulan ang card na may kakayahang mag-authenticate gamit ang fingerprint o PIN code, gaya ng ipinahiwatig ng window ng pagpapatotoo.
Pagkatapos magpakita ng fingerprint o PIN code, dadalhin ang user sa OS.
Pag-encrypt ng data
Ang pag-set up ng EFS ay hindi rin masyadong kumplikado; ito ay nagmumula sa pag-set up ng isang sertipiko at pag-isyu nito sa isang electronic key at pag-set up ng mga direktoryo ng pag-encrypt. Karaniwan, hindi mo kailangang i-encrypt ang buong disk. Ang mga talagang mahalagang file na hindi kanais-nais para sa mga third party na ma-access ay karaniwang matatagpuan sa magkahiwalay na mga direktoryo at hindi nakakalat nang random sa buong disk.Upang mag-isyu ng sertipiko ng pag-encrypt at pribadong susi buksan ang iyong user account, piliin ang - Pamahalaan ang mga sertipiko ng pag-encrypt ng file. Sa wizard na bubukas, gumawa ng self-signed certificate sa smart card. Dahil patuloy kaming gumagamit ng smart card na may BIO applet, dapat kang magbigay ng fingerprint o PIN para maitala ang encryption certificate.
Sa susunod na hakbang, tukuyin ang mga direktoryo na maiuugnay sa bagong sertipiko kung kinakailangan, maaari mong tukuyin ang lahat ng mga lohikal na drive;
Ang naka-encrypt na direktoryo mismo at ang mga file sa loob nito ay iha-highlight sa ibang kulay.
Ang pag-access sa mga file ay isinasagawa lamang kung mayroon kang electronic key, sa pagpapakita ng fingerprint o PIN code, depende sa kung ano ang napili.
Kinukumpleto nito ang pag-setup.
Maaari mong gamitin ang parehong mga sitwasyon (authentication at encryption), o maaari kang pumili ng isa.
Kung ang tanging hadlang sa pag-access sa iyong data ay isang password, ikaw ay nasa malaking panganib. Ang pass ay maaaring makuha, maharang, i-drag ang layo ng isang Trojan, fished out gamit social engineering. Ang hindi paggamit ng two-factor authentication sa sitwasyong ito ay halos isang krimen.
Napag-usapan na natin ang tungkol sa isang beses na mga susi nang higit sa isang beses. Ang kahulugan ay napakasimple. Kung ang isang umaatake sa anumang paraan ay nakakakuha ng iyong password sa pag-login, madali niyang maa-access ang iyong email o makakonekta malayong server. Ngunit kung mayroong karagdagang kadahilanan sa paraan nito, halimbawa isang isang beses na susi (tinatawag ding OTP key), walang gagana. Kahit na ang naturang susi ay nakuha sa mga kamay ng isang umaatake, hindi na ito magagamit, dahil ito ay may bisa nang isang beses lamang. Ang pangalawang kadahilanan na ito ay maaaring isang karagdagang tawag, isang code na natanggap sa pamamagitan ng SMS, isang key na nabuo sa telepono gamit ang ilang mga algorithm batay sa kasalukuyang oras (ang oras ay isang paraan upang i-synchronize ang algorithm sa client at server). Matagal nang inirerekomenda ng parehong Google ang mga user nito na paganahin ang two-factor authentication (isang pares ng mga pag-click sa mga setting ng account). Ngayon ay oras na upang magdagdag ng gayong layer ng proteksyon para sa iyong mga serbisyo!
Ano ang inaalok ng Duo Security?
Isang maliit na halimbawa. Ang aking computer ay may RDP port na nakabukas “sa labas” para sa malayuang koneksyon sa desktop. Kung na-leak ang password sa pag-log in, agad na matatanggap ng attacker ganap na pag-access papunta sa kotse. Samakatuwid, walang tanong tungkol sa pagpapalakas ng proteksyon ng password ng OTP - kailangan lang itong gawin. Ito ay hangal na muling likhain ang gulong at subukang ipatupad ang lahat sa aking sarili, kaya tiningnan ko na lang ang mga solusyon na nasa merkado. Karamihan sa kanila ay naging komersyal (higit pang mga detalye sa sidebar), ngunit para sa isang maliit na bilang ng mga gumagamit maaari silang magamit nang libre. Ang kailangan mo lang para sa iyong tahanan. Isa sa mga pinakamatagumpay na serbisyo na nagbibigay-daan sa iyong ayusin ang dalawang-factor na pagpapatotoo para sa literal na anumang bagay (kabilang ang VPN, SSH at RDP) ay naging Duo Security (www.duosecurity.com). Ang nakadagdag sa pagiging kaakit-akit nito ay ang katotohanan na ang developer at tagapagtatag ng proyekto ay si John Oberheid, sikat na espesyalista Sa pamamagitan ng seguridad ng impormasyon. Halimbawa, na-hack niya ang protocol ng komunikasyon ng Google sa mga Android smartphone, na maaaring magamit upang mag-install o mag-alis ng mga arbitrary na application. Ang base na ito ay nagpapadama sa sarili: upang ipakita ang kahalagahan ng two-factor authentication, naglunsad ang mga lalaki serbisyo ng VPN Hunter (www.vpnhunter.com), na mabilis na makakahanap ng hindi nakatagong mga VPN server ng kumpanya (at sa parehong oras ay tinutukoy ang uri ng kagamitan na ginagamit nila), mga serbisyo para sa malayuang pag-access(OpenVPN, RDP, SSH) at iba pang mga elemento ng imprastraktura na nagpapahintulot sa isang umaatake na makapasok sa panloob na network sa pamamagitan lamang ng pag-alam sa login at password. Nakakatuwa na sa opisyal na Twitter ng serbisyo, ang mga may-ari ay nagsimulang mag-publish ng mga ulat ng pag-scan araw-araw mga sikat na kumpanya, pagkatapos nito ay pinagbawalan ang account :). Ang serbisyo ng Duo Security, siyempre, ay pangunahing naglalayong ipakilala ang dalawang-factor na pagpapatotoo sa mga kumpanyang may malaking bilang ng mga user. Sa kabutihang palad para sa amin, posible na lumikha ng isang libreng Personal na account, na nagbibigay-daan sa iyo upang ayusin ang dalawang-factor na pagpapatunay para sa sampung mga gumagamit nang libre.
Ano ang maaaring maging pangalawang kadahilanan?
Susunod, titingnan natin kung paano palakasin ang seguridad ng iyong remote na koneksyon sa desktop at SSH sa iyong server sa literal na sampung minuto. Ngunit gusto ko munang pag-usapan ang karagdagang hakbang na ipinakilala ng Duo Security bilang pangalawang kadahilanan ng awtorisasyon. Mayroong ilang mga pagpipilian: tawag sa telepono, SMS na may mga passcode, Duo Mobile passcode, Duo Push, electronic key. Kaunti pa tungkol sa bawat isa.
Gaano ko katagal magagamit ito nang libre?
Gaya ng nabanggit na, nag-aalok ang Duo Security ng espesyal plano ng taripa"Personal". Ito ay ganap na libre, ngunit ang bilang ng mga gumagamit ay hindi dapat higit sa sampu. Sinusuportahan ang pagdaragdag ng walang limitasyong bilang ng mga pagsasama, lahat magagamit na mga pamamaraan pagpapatunay. Nagbibigay ng libu-libong libreng kredito para sa mga serbisyo ng telepono. Ang mga kredito ay tulad ng isang panloob na pera na nade-debit mula sa iyong account sa tuwing nangyayari ang pagpapatotoo gamit ang isang tawag o SMS. Sa iyong mga setting ng account maaari mo itong itakda upang kapag naabot mo binigay na numero Nakatanggap ka ng notification para sa mga credit at nagawa mong i-top up ang iyong balanse. Ang isang libong kredito ay nagkakahalaga lamang ng 30 bucks. Ang presyo ng mga tawag at SMS ay naiiba para sa iba't ibang bansa. Para sa Russia, ang isang tawag ay nagkakahalaga ng 5 hanggang 20 credits, isang SMS - 5 credits. Gayunpaman, walang sinisingil para sa isang tawag na nangyayari habang nagpapatotoo sa website ng Duo Security. Maaari mong ganap na makalimutan ang tungkol sa mga kredito kung gagamitin mo ang Duo Mobile application para sa pagpapatunay - walang sinisingil para dito.
Madaling pagpaparehistro
Para protektahan ang iyong server gamit ang Duo Security, kailangan mong mag-download at mag-install espesyal na kliyente, na makikipag-ugnayan sa server ng pagpapatunay ng Duo Security at magbibigay ng pangalawang layer ng proteksyon. Alinsunod dito, ang kliyenteng ito ay magkakaiba sa bawat sitwasyon: depende sa kung saan eksaktong kinakailangan upang ipatupad ang dalawang-factor na pagpapatunay. Pag-uusapan natin ito sa ibaba. Ang unang bagay na kailangan mong gawin ay magparehistro sa system at kumuha ng account. Kaya nagbubukas kami home page site, i-click ang "Libreng Pagsubok", sa pahinang bubukas, i-click ang button na "Kumanta" sa ilalim ng uri ng Personal na account. Pagkatapos nito ay hinihiling sa amin na ipasok ang aming pangalan, apelyido, email address at pangalan ng kumpanya. Dapat kang makatanggap ng isang email na naglalaman ng isang link upang kumpirmahin ang iyong pagpaparehistro. Sa kasong ito, tiyak na gagawa ng awtomatikong tawag ang system sa ang tinukoy na numero ng telepono: Upang i-activate ang iyong account, kailangan mong sagutin ang tawag at pindutin ang # button sa iyong telepono. Pagkatapos nito, magiging aktibo ang account at maaari mong simulan ang combat testing.
Pinoprotektahan ang RDP
Sinabi ko sa itaas na nagsimula ako sa isang malaking pagnanais na protektahan malalayong koneksyon sa iyong desktop. Samakatuwid, bilang unang halimbawa, ilalarawan ko kung paano palakasin ang seguridad ng RDP.
- Ang anumang pagpapatupad ng two-factor authentication ay nagsisimula sa simpleng aksyon: paggawa ng tinatawag na pagsasama sa profile ng Duo Security. Pumunta sa seksyong "Mga Pagsasama Bagong Pagsasama", tukuyin ang pangalan ng pagsasama (halimbawa, "Home RDP"), piliin ang uri nito na "Microsoft RDP" at i-click ang "Magdagdag ng Pagsasama".
- Ang lalabas na window ay nagpapakita ng mga parameter ng integration: Integration key, Secret key, API hostname. Kakailanganin namin ang mga ito sa ibang pagkakataon kapag na-configure namin ang bahagi ng kliyente. Mahalagang maunawaan: walang dapat makakilala sa kanila.
- Susunod, kailangan mong mag-install ng isang espesyal na kliyente sa protektadong makina, na mag-i-install ng lahat ng kailangan sa Windows system. Maaari itong i-download mula sa opisyal na website o kunin mula sa aming disk. Ang buong setup nito ay bumagsak sa katotohanan na sa panahon ng proseso ng pag-install ay kakailanganin mong ilagay ang nabanggit sa itaas na Integration key, Secret key, API hostname.
- Iyon lang, actually. Ngayon, sa susunod na mag-log in ka sa server sa pamamagitan ng RDP, magkakaroon ng tatlong field ang screen: username, password at Duo one-time key. Alinsunod dito, hindi na posible na mag-log in sa system gamit lamang ang iyong login at password.
Sa unang pagkakataon na sinubukan ng isang bagong user na mag-log in, kakailanganin nilang dumaan sa proseso ng pag-verify ng Duo Security nang isang beses. Bibigyan siya ng serbisyo ng isang espesyal na link, kasunod nito ay dapat niyang ipasok ang kanyang numero ng telepono at maghintay para sa isang tawag sa pag-verify. Upang makakuha ng mga karagdagang key (o para makuha ang mga ito sa unang pagkakataon), maaari kang pumasok keyword"sms". Kung gusto mong magpatotoo gamit ang isang tawag sa telepono, ilagay ang "telepono", kung tulungan ang Duo Itulak - "itulak". Ang kasaysayan ng lahat ng mga pagtatangka sa koneksyon (parehong matagumpay at hindi matagumpay) sa server ay maaaring tingnan sa iyong account sa website ng Duo Security sa pamamagitan ng unang pagpili sa nais na pagsasama at pagpunta sa "Authentication Log" nito.
Ikonekta ang Duo Security kahit saan!
Gamit ang two-factor authentication, mapoprotektahan mo hindi lamang ang RDP o SSH, kundi pati na rin ang mga VPN, RADIUS server, at anumang serbisyo sa web. Halimbawa, may mga handa na kliyente na nagdaragdag ng karagdagang layer ng pagpapatunay sa mga sikat na makinang Drupal at WordPress. Kung walang handa na kliyente, huwag magalit: maaari kang palaging magdagdag ng dalawang-factor na pagpapatotoo para sa iyong aplikasyon o website mismo kapag Tulong sa API ibinigay ng system. Ang lohika ng pagtatrabaho sa API ay simple - humiling ka sa URL isang tiyak na pamamaraan at i-parse ang ibinalik na tugon na maaaring pumasok JSON na format(o BSON, XML). Available ang kumpletong dokumentasyon para sa Duo REST API sa opisyal na website. Sasabihin ko lang na may mga pamamaraan na ping, check, preauth, auth, status, mula sa pangalan kung saan madaling hulaan kung para saan ang mga ito.
Pinoprotektahan ang SSH
Isaalang-alang natin ang isa pang uri ng integration - "UNIX Integration" para ipatupad ang secure na authentication. Nagdagdag kami ng isa pang integration sa aming Duo Security profile at magpatuloy sa pag-install ng client sa system.
Maaari mong i-download ang source code ng huli sa bit.ly/IcGgk0 o kunin ito mula sa aming disk. Ginamit ko ang pinakabagong bersyon - 1.8. Sa pamamagitan ng paraan, gumagana ang kliyente sa karamihan ng mga platform ng nix, kaya madali itong mai-install sa FreeBSD, NetBSD, OpenBSD, Mac OS X, Solaris/Illumos, HP-UX at AIX. Ang proseso ng pagbuo ay karaniwan - i-configure ang && gumawa ng && sudo make install. Ang tanging bagay na irerekomenda ko ay ang paggamit ng configure gamit ang --prefix=/usr na opsyon, kung hindi, maaaring hindi mahanap ng kliyente ang mga kinakailangang aklatan kapag nagsisimula. Pagkatapos ng matagumpay na pag-install, pumunta upang i-edit ang configuration file /etc/duo/login_duo.conf. Dapat itong gawin mula sa ugat. Lahat ng pagbabago na kailangang gawin matagumpay na gawain, ay upang itakda ang mga halaga ng Integration key, Secret key, API hostname, na makikita sa integration page.
; Duo integration keyikey = INTEGRATION_KEY; Duo secret keyskey = SECRET_KEY; Duo API hostnamehost = API_HOSTNAME
Para pilitin ang lahat ng user na mag-log in sa iyong server sa pamamagitan ng SSH na gumamit ng two-factor authentication, idagdag lang ang sumusunod na linya sa /etc/ssh/sshd_config file:
> ForceCommand /usr/local/sbin/login_duo
Posible rin na ayusin ang two-factor authentication para lamang sa mga indibidwal na user sa pamamagitan ng pagsasama-sama ng mga ito sa isang grupo at pagtukoy sa grupong ito sa login_duo.conf file:
> pangkat = gulong
Para magkabisa ang mga pagbabago, ang kailangan mo lang gawin ay i-restart ang ssh daemon. Mula ngayon, pagkatapos na matagumpay na maipasok ang login-password, ipo-prompt ang user na sumailalim sa karagdagang pagpapatunay. Ang isang subtlety ay dapat tandaan nang hiwalay mga setting ng ssh- Lubos na inirerekumenda na huwag paganahin ang PermitTunnel at AllowTcpForwarding na mga opsyon sa configuration file, dahil inilalapat ng daemon ang mga ito bago simulan ang ikalawang yugto ng pagpapatunay. Kaya, kung ang isang umaatake ay nagpasok ng password nang tama, maaari siyang makakuha ng access sa panloob na network bago makumpleto ang ikalawang yugto ng pagpapatunay salamat sa pagpapasa ng port. Upang maiwasan ang epektong ito, idagdag ang mga sumusunod na opsyon sa sshd_config:
PermitTunnel noAllowTcpForwarding no
Ngayon ang iyong server ay nasa likod ng double wall at mas mahirap para sa isang attacker na makapasok dito.
Mga karagdagang setting
Kung magla-log in ka sa iyong Duo Security account at pumunta sa seksyong "Mga Setting," maaari mong i-tweak ang ilan sa mga setting upang umangkop sa iyo. Ang unang mahalagang seksyon ay "Mga tawag sa telepono". Tinutukoy nito ang mga parameter na magkakabisa kapag ginamit ang isang tawag sa telepono upang kumpirmahin ang pagpapatunay. Binibigyang-daan ka ng item na "Mga voice callback key" na tukuyin kung aling key ng telepono ang kailangang pindutin para kumpirmahin ang pagpapatunay. Bilang default, ang halaga ay "Pindutin ang anumang key upang patotohanan" - ibig sabihin, maaari mong pindutin ang alinman. Kung itinakda mo ang halaga na "Pindutin ang iba't ibang mga key upang patotohanan o iulat ang pandaraya", kakailanganin mong magtakda ng dalawang mga susi: ang pag-click sa una ay nagkukumpirma ng pagpapatunay (Key upang mapatotohanan), ang pag-click sa pangalawa (Susi para mag-ulat ng pandaraya) ay nangangahulugan na kami ay hindi nagpasimula ng proseso ng pagpapatunay , ibig sabihin, may nakatanggap ng aming password at sinusubukang mag-log in sa server gamit ito. Ang item na "SMS passcodes" ay nagbibigay-daan sa iyo na itakda ang bilang ng mga passcode na naglalaman ng isang SMS at ang kanilang panghabambuhay (validity). Ang parameter na "Lockout at pandaraya" ay nagbibigay-daan sa iyo na itakda ang email address kung saan ipapadala ang isang alerto sa kaganapan ng isang tiyak na bilang ng mga hindi matagumpay na pagtatangka na mag-log in sa server.
Gamitin mo!
Nakapagtataka, maraming tao pa rin ang hindi pinapansin ang two-factor authentication. Hindi ko maintindihan kung bakit. Ito ay talagang lubos na nagpapataas ng seguridad. Maaari itong ipatupad para sa halos lahat, at karapat-dapat na solusyon magagamit nang libre. Kaya bakit? Mula sa katamaran o kapabayaan.
Mga serbisyo ng analogue
- Ipahiwatig(www.signify.net) Nagbibigay ang serbisyo ng tatlong opsyon para sa pag-aayos ng two-factor authentication. Ang una ay ang paggamit ng mga electronic key. Ang pangalawang paraan ay ang paggamit ng mga passkey, na ipinapadala sa telepono ng user sa pamamagitan ng SMS o ipinadala sa pamamagitan ng email. Ang ikatlong opsyon ay isang mobile application para sa Mga Android phone, iPhone, BlackBerry, na bumubuo ng isang beses na mga password (mahalagang isang analogue ng Duo Mobile). Ang serbisyo ay naglalayong sa malalaking kumpanya, kaya ito ay ganap na binabayaran.
- SecurEnvoy(www.securenvoy.com) Nagbibigay-daan din sa iyo na gamitin mobile phone bilang pangalawang proteksiyon na layer. Ang mga passkey ay ipinapadala sa user sa pamamagitan ng SMS o email. Ang bawat mensahe ay naglalaman ng tatlong passkey, iyon ay, ang user ay maaaring mag-log in ng tatlong beses bago humiling ng isang bagong bahagi. Ang serbisyo ay binabayaran din, ngunit nagbibigay ng libreng 30-araw na panahon. Ang isang makabuluhang bentahe ay ang malaking bilang ng parehong native at third-party na pagsasama.
- PhoneFactor(www.phonefactor.com) Binibigyang-daan ka ng serbisyong ito na ayusin ang libreng two-factor authentication para sa hanggang 25 user, na nagbibigay ng 500 libreng authentication bawat buwan. Upang ayusin ang proteksyon, kakailanganin mong mag-download at mag-install ng isang espesyal na kliyente. Kung kailangan mong magdagdag ng two-factor authentication sa iyong site, maaari mong gamitin ang opisyal na SDK, na nagbibigay ng detalyadong dokumentasyon at mga halimbawa para sa mga sumusunod na programming language: ASP.NET C#, ASP.NET VB, Java, Perl, Ruby, PHP.
