Unul dintre voi a auzit de incident. care a fost promulgată abia recent. Producătorul american de semiconductori Allegro MicroSystem LLC a dat în judecată fostul său specialist IT pentru sabotaj. Nimesh Patel, care a lucrat pentru companie timp de 14 ani, a distrus date financiare importante în prima săptămână a noului an fiscal.
Cum sa întâmplat asta?
Detalii privind publicul larg nu știe, dar cel mai probabil incidentul a fost posibil în mare parte datorită faptului că societatea are acces la rețea utilizată autentificarea prin parolă. Cu siguranță au existat alte probleme de securitate, dar poate fura parola fără parola utilizatorului și faptul că furtul nu va fi detectat, cel mai bun caz, până la punctul de a utiliza acreditările furate.
Utilizarea autentificării stricte a doi factori și interzicerea utilizării parolelor în combinație cu o politică de securitate solidă ar putea ajuta, dacă această dezvoltare nu este evitată, atunci este foarte dificil să se pună în aplicare un astfel de plan.
Vom vorbi despre cum puteți îmbunătăți în mod semnificativ nivelul de securitate al companiei dvs. și vă veți proteja de astfel de incidente. Veți învăța cum să configurați autentificarea și semnarea datelor importante utilizând jetoanele și criptografia (atât străină, cât și internă).
În primul articol, explicăm modul de configurare a unei autentificări puternice cu doi factori utilizând PKI atunci când vă conectați la un cont de domeniu din Windows.
Autentificare în două factori
administratorii de sistem cu experiență și serviciile de securitate sunt conștienți de faptul că utilizatorii nu sunt foarte conștient de problema respectării politicilor de securitate, ele pot scrie în jos acreditările lor de pe eticheta adezivă și stick-l de lângă computer, transfera parolele colegilor săi, și altele asemenea. Acest lucru este valabil mai ales în cazul în care complexul parola (care conține mai mult de 6 caractere formate din litere și numere diferite de registru și simboluri) și este dificil să-și amintească. Dar acești administratori cer astfel de politici pentru un motiv. Acest lucru este necesar pentru a proteja contul de utilizator de o simplă căutare a parolelor pentru dicționar. De asemenea, administratorii recomanda schimbarea parolelor cel puțin o dată la fiecare 6 luni, pur și simplu, din cauza considerația că, în acest timp, este teoretic posibil otbrutforsit chiar și o parolă complexă.
Să ne amintim ce este autentificarea. În cazul nostru, acesta este un proces de confirmare a autenticității subiectului sau a obiectului. Autentificarea utilizatorilor este procesul de autentificare a unui utilizator.
O autentificare cu doi factori este o autentificare în care este necesar să se utilizeze cel puțin două moduri diferite de verificare a identității dvs.
Cel mai simplu exemplu de autentificare cu doi factori în viața reală este un seif cu o combinație de blocare și o combinație de coduri. Pentru a deschide un astfel de seif, trebuie să cunoașteți codul și să îl dețineți.
Cu toate acestea, să revenim la securitatea corporativă.
Și vom începe cu domeniul Windows, deoarece în majoritatea companiilor din Rusia este construită o rețea corporativă.
După cum știți, politicile domeniului Windows, setările utilizatorului, setările de grup din Active Directory furnizează și diferențiază accesul la un număr imens de aplicații și servicii de rețea.
Apărând un cont în domeniu, putem proteja majoritatea și, în unele cazuri, în general, toate resursele interne de informații.
De ce este autentificarea cu două factori în domeniu prin jetonul cu cod PIN mai sigur decât schema obișnuită a parolei?
PIN-ul este atașat unui anumit dispozitiv, în cazul nostru, unui token. Cunoașterea numai a codului PIN nu oferă nimic.
Un token este un obiect fizic unic necopos. Ei au un utilizator legitim. Autentificarea în doi factori prin token poate fi ocolită numai atunci când administratorul a intenționat sau din greșeală a lăsat pentru acest "lacune" în sistem.
Avantajele introducerii unui domeniu prin jeton
Codul PIN de la token este mai ușor de reținut, deoarece poate fi mult mai ușor de parolat. Toată lumea, probabil, pentru o dată în viața sa a văzut cum un utilizator "experimentat" dureros nu poate cu câteva încercări de a se autentifica în sistem, amintindu-și introducerea parolei sale "sigure".
Codul PIN nu trebuie schimbat în mod constant, deoarece jetoanele sunt mai rezistente la accesarea cu crawlere. După câteva încercări nereușite de a intra, jetonul este blocat.
Jetoanele vă permit să rezolvați problema unui "loc de muncă abandonat" - când un utilizator își părăsește locul de muncă și uită să se deconecteze din contul său.
O politică de domeniu poate fi configurată astfel încât computerul să fie blocat automat când este recuperat tokenul. De asemenea, tokenul poate fi echipat cu o etichetă RFID pentru a trece între sediul companiei, astfel încât, fără a lua simbolul de la locul său de muncă, angajatul pur și simplu nu se poate mișca în jurul teritoriului.
Dezavantaje, unde fără ele
Unele sisteme informatice nu pot accepta autentificare prin token-uri (rezolvate de sisteme cum ar fi Single Sign-On - concepute pentru a organiza posibilitatea de a utiliza un singur cont pentru a accesa orice resurse din zonă).
Configurarea autentificării în doi factori într-un domeniu Windows
Protocolul Kerberos a fost conceput special pentru a oferi autentificare autentică a utilizatorilor. Poate utiliza stocarea centralizată a datelor de autentificare și reprezintă baza pentru construirea mecanismelor Single Sing-On. Protocolul se bazează pe esența cheie (Ticket).
Un bilet este un pachet de date criptat care este emis de un centru de autentificare de încredere, în ceea ce privește Centrul de distribuție Kerberos-Key (KDC).
Atunci când utilizatorul efectuează autentificarea primară după o autentificare reușită, KDC emite o identitate de utilizator primară pentru accesarea resurselor de rețea - Ticket Granting Ticket (TGT).
În viitor, când accesează resursele de rețea individuale, utilizatorul trimite un TGT, primește de la KDC o identitate pentru accesarea unei resurse specifice de rețea - Serviciul de acordare a biletelor (TGS).
Unul dintre avantajele protocolului Kerberos, care oferă un nivel ridicat de securitate, este că nici o parolă sau valori de hash de parolă nu sunt transmise în orice interacțiune deschisă în orice interacțiune.
Toți controlorii de domeniu trebuie să aibă instalat un certificat de autentificare a controlerului de domeniu sau un certificat de autentificare Kerberos, deoarece procesul de autentificare a clientului și serverului este implementat.
Să începem.
Vom face ca domeniul din contul dvs. să aibă acces doar prin prezentarea unui simbol și cunoașterea codului PIN.
Pentru demonstrație, vom folosi PKI Rutoken EKP produs de compania "Aktiv".
Pasul 1 - Configurarea domeniului În primul rând, vom instala Servicii de certificare.
Toate controlerele de domeniu și toate computerele client din cadrul pădurii în care este implementată o astfel de soluție trebuie să aibă încredere în autoritatea de certificare (Centrul de certificare).
Sarcina autorității de certificare este de a verifica autenticitatea cheilor de criptare cu ajutorul certificatelor de semnătură electronică.
Din punct de vedere tehnic, autoritatea de certificare este implementată ca o componentă a serviciului de directoare global, responsabil cu gestionarea cheilor criptografice ale utilizatorului. Cheile publice și alte informații despre utilizatori sunt stocate de către centre de certificare sub formă de certificate digitale.
Accesați Managerul de Server și selectați "Adăugați roluri și componente".
Pe pagina pentru a confirma instalarea componentelor, faceți clic pe Instalați.
Pasul 2 - Configurarea înregistrării domeniului utilizând jetonul
Pentru a vă conecta, avem nevoie de un certificat care să conțină ID-urile de autentificare a cardului inteligent și de autentificare a clienților.
Certificatul trebuie să specifice calea către punctul de distribuție al punctului de distribuție CRL. Acest fișier conține o listă de certificate cu numărul de serie al certificatului, data revocării și motivul revocării. Este folosit pentru a trimite informații despre certificate revocate utilizatorilor, computerelor și aplicațiilor care încearcă să verifice autenticitatea certificatului.
Configurați serviciile de certificare instalate. În colțul din dreapta sus, faceți clic pe triunghiul galben cu un semn de exclamare și faceți clic pe "Configurați certificatele de servicii ...".
În fereastra Credentials, selectați acreditările necesare pentru a configura rolul. Selectați "Autoritatea de certificare".
Selectați "Enterprise CA".
Întreprinderile CA sunt integrate cu AD. Ele publică liste de certificate și certificate de revocare în AD.
Specificați tipul de "CA Root".
În pasul următor, selectați "Creați o cheie privată nouă".
Selectați perioada de valabilitate a certificatului.
Pasul 3 - Adăugați șabloane de certificate
Pentru a adăuga șabloane de certificate, deschideți panoul de control, indicați spre Instrumente administrative și apoi deschideți autoritatea de certificare.
Faceți clic pe numele folderului "Certificate Templates", selectați "Management".
Dacă nu există "Aktiv ruToken CSP v1.0" în lista de furnizori, atunci trebuie să instalați kitul "Drivere Windows XP".
Pentru dispozitivele Rutocene, biblioteca "minidraver" care acceptă "Microsoft Base Smart Card Crypto Provider" este distribuită prin Windows Update.
Verificați dacă "mini-driverul" este instalat pe serverul dvs. prin conectarea rutoken-ului la acesta și examinarea managerului de dispozitive.
Dacă „minidriver“ pentru un motiv oarecare, nu, îl puteți instala prin forță, instalarea kit-ul „Drivere Rutoken pentru Windows“, apoi utilizați «Microsoft Baza de Smart Card Crypto Provider».
Bundle Drivere Windows XP este disponibil gratuit de pe site-ul Rutoken.
Adăugați două șabloane noi "Certificate Authority" și "User with Rootoken".
Apoi, trebuie să emităm un certificat administratorului domeniului. Deschideți serviciul "Run" și specificați comanda mmc. Adăugați modulul snap-in Certificate.
În fereastra snap-in Certificate, selectați Contul meu de utilizator. În fereastra Add or Remove Snap-in, confirmați că doriți să adăugați certificate.
Selectați dosarul Certificate.
Solicitați un nou certificat. Se va deschide pagina pentru înregistrarea certificatului. În faza de solicitare a certificatului, selectați politica de înregistrare "Administrator" și dați clic pe "Revendicați".
În același mod, solicitați un certificat pentru agentul de înregistrare.
Pentru a solicita un certificat pentru un anumit utilizator, faceți clic pe Certificate și selectați Înregistrare ca. “.
În fereastra pentru solicitarea unui certificat, bifați caseta de validare "Utilizator cu Rootoken".
Acum trebuie să selectați un utilizator.
În câmpul "Introduceți numele câmpurilor selectate", specificați numele de utilizator din domeniu și dați clic pe "Verificați numele".
În fereastra pentru a selecta utilizatorul, faceți clic pe "Solicitare".
Din lista derulantă, selectați numele de jeton și introduceți codul PIN.
În același mod, selectați certificate pentru alți utilizatori din domeniu.
Pasul 4 - Configurarea conturilor de utilizator
Pentru a configura conturile, deschideți lista utilizatorilor de AD și a calculatoarelor.
Selectați dosarul Utilizatori și elementul "Proprietăți".
Configurați politicile de securitate. Pentru aceasta, deschideți panoul de control și selectați elementul "Administrare". Deschideți meniul pentru gestionarea politicii de grup.
În partea stângă a ferestrei "Gestionarea politicii de grup", faceți clic pe "Politica implicită a domeniului" și selectați "Editați".
În fila Setări politică de securitate, bifați casetele de selectare "Determinați următoarea setare de politică" și "Activați".
În fila "Setări pentru politica de securitate", bifați caseta de selectare "Definește următoarea setare de politică", selectați "Blocare stație de lucru" din lista derulantă.
Reporniți computerul. La data viitoare când încercați să vă autentificați în domeniu, puteți utiliza deja codul PIN și codul PIN.
Trimiteți-le prietenilor: