Kuberkrakers het toegang tot die hoofposbediener van die internasionale maatskappy Deloitte gekry. Die administrateurrekening vir hierdie bediener is slegs deur 'n wagwoord beskerm.
Onafhanklike Oostenrykse navorser David Wind het 'n beloning van $5 XNUMX ontvang vir die ontdekking van 'n kwesbaarheid in die Google-intranet-aanmeldbladsy.
91% van Russiese maatskappye versteek datalekkasies.
Sulke nuus kan byna elke dag in internetnuusstrome gevind word. Dit is direkte bewys dat die maatskappy se interne dienste beskerm moet word.
En hoe groter die maatskappy, hoe meer werknemers dit het en hoe meer ingewikkeld sy interne IT-infrastruktuur is, hoe meer dringend is die probleem van inligtinglekkasie vir hom. Watter inligting is van belang vir aanvallers en hoe om dit te beskerm?
Watter soort inligtinglek kan die maatskappy benadeel?
- inligting oor kliënte en transaksies;
- tegniese produkinligting en -kennis;
- inligting oor vennote en spesiale aanbiedinge;
- persoonlike data en rekeningkunde.
En as u verstaan dat sommige inligting uit die bogenoemde lys slegs toeganklik is vanaf enige segment van u netwerk met die aanbieding van 'n aanmelding en wagwoord, moet u daaraan dink om die vlak van datasekuriteit te verhoog en dit teen ongemagtigde toegang te beskerm.
Twee-faktor-verifikasie met behulp van hardeware-kriptografiese media (tokens of slimkaarte) het 'n reputasie verwerf dat dit baie betroubaar is en terselfdertyd redelik maklik om te gebruik.
Ons skryf in byna elke artikel oor die voordele van tweefaktor-verifikasie. Jy kan meer hieroor lees in artikels oor и .
In hierdie artikel sal ons jou wys hoe om twee-faktor-verifikasie te gebruik om by jou organisasie se interne portale aan te meld.
As voorbeeld neem ons die mees geskikte model vir korporatiewe gebruik, Rutoken - 'n kriptografiese USB-token .
Kom ons begin met die opstelling.
Stap 1 — Bedieneropstelling
Die basis van enige bediener is die bedryfstelsel. In ons geval is dit Windows Server 2016. En saam met dit en ander bedryfstelsels van die Windows-familie word IIS (Internet Information Services) versprei.
IIS is 'n groep internetbedieners, insluitend 'n webbediener en 'n FTP-bediener. IIS sluit toepassings in vir die skep en bestuur van webwerwe.
IIS is ontwerp om webdienste te bou deur gebruik te maak van gebruikersrekeninge wat deur 'n domein of Active Directory verskaf word. Dit laat jou toe om bestaande gebruikersdatabasisse te gebruik.
В Ons het in detail beskryf hoe om die sertifiseringsowerheid op u bediener te installeer en op te stel. Nou sal ons nie in detail hieroor stilstaan nie, maar sal aanvaar dat alles reeds gekonfigureer is. Die HTTPS-sertifikaat vir die webbediener moet korrek uitgereik word. Dit is beter om dit dadelik na te gaan.
Windows Server 2016 kom met IIS weergawe 10.0 ingebou.
As IIS geïnstalleer is, is al wat oorbly om dit korrek op te stel.
In die stadium van die keuse van roldienste het ons die blokkie gemerk Basiese verifikasie.
Toe in Internet Inligtingsdienste Bestuurder aangesit Basiese verifikasie.
En het die domein aangedui waarin die webbediener geleë is.
Toe het ons 'n werfskakel bygevoeg.
En het die SSL-opsies gekies.
Dit voltooi die bedieneropstelling.
Nadat hierdie stappe voltooi is, sal slegs 'n gebruiker wat 'n teken met 'n sertifikaat en 'n teken-PIN het, toegang tot die werf hê.
Ons herinner u weereens dat volgens , die gebruiker het voorheen 'n teken met sleutels en 'n sertifikaat uitgereik volgens 'n sjabloon soos Gebruiker met slimkaart.
Kom ons gaan nou verder met die opstel van die gebruiker se rekenaar. Hy moet die blaaiers opstel wat hy sal gebruik om aan beskermde webwerwe te koppel.
Stap 2 — Die opstel van die gebruiker se rekenaar
Kom ons neem vir eenvoud aan dat ons gebruiker Windows 10 het.
Kom ons neem ook aan hy het die kit geïnstalleer .
Die installering van 'n stel drywers is opsioneel, aangesien ondersteuning vir die token waarskynlik via Windows Update sal aankom.
Maar as dit skielik nie gebeur nie, sal die installering van 'n stel Rutoken-stuurprogramma's vir Windows al die probleme oplos.
Kom ons koppel die teken aan die gebruiker se rekenaar en maak die Rutoken-kontrolepaneel oop.
In die oortjie Sertifikate Merk die blokkie langs die vereiste sertifikaat as dit nie gemerk is nie.
Ons het dus geverifieer dat die teken werk en die vereiste sertifikaat bevat.
Alle blaaiers behalwe Firefox word outomaties gekonfigureer.
Jy hoef niks spesiaals met hulle te doen nie.
Maak nou enige blaaier oop en voer die hulpbronadres in.
Voordat die webwerf laai, sal 'n venster oopmaak om 'n sertifikaat te kies, en dan 'n venster om die token-PIN-kode in te voer.
As Aktiv ruToken CSP gekies word as die verstek kripto-verskaffer vir die toestel, sal 'n ander venster oopmaak om die PIN-kode in te voer.
En eers nadat ons dit suksesvol in die blaaier ingevoer het, sal ons webwerf oopmaak.
Vir die Firefox-blaaier moet bykomende instellings gemaak word.
Kies in jou blaaierinstellings Privaatheid en sekuriteit. In die afdeling Sertifikate om te druk Beskermingstoestel... 'n Venster sal oopmaak Toestelbestuur.
pers Aflaai, dui die naam Rutoken EDS en die pad C:windowssystem32rtpkcs11ecp.dll aan.
Dit is dit, Firefox weet nou hoe om die teken te hanteer en laat jou toe om by die webwerf aan te meld deur dit te gebruik.
Terloops, aanmeld met 'n teken by webwerwe werk ook op Mac's in die Safari-, Chrome- en Firefox-blaaier.
U hoef net Rutoken vanaf die webwerf te installeer en sien die sertifikaat op die teken daarin.
Dit is nie nodig om Safari, Chrome, Yandex en ander blaaiers op te stel nie; jy hoef net die webwerf in enige van hierdie blaaiers oop te maak.
Die Firefox-blaaier is op amper dieselfde manier opgestel as in Windows (Instellings - Gevorderd - Sertifikate - Sekuriteitstoestelle). Slegs die pad na die biblioteek is effens anders /Library/Akitv Co/Rutoken ECP/lib/librtpkcs11ecp.dylib.
Bevindinge
Ons het jou gewys hoe om twee-faktor-verifikasie op webwerwe op te stel met behulp van kriptografiese tokens. Soos altyd het ons geen addisionele sagteware hiervoor nodig gehad nie, behalwe vir die Rutoken-stelselbiblioteke.
Jy kan hierdie prosedure met enige van jou interne hulpbronne doen, en jy kan ook buigsaam gebruikersgroepe instel wat toegang tot die webwerf sal hê, net soos enige ander plek in Windows Server.
Gebruik jy 'n ander bedryfstelsel vir die bediener?
As jy wil hê ons moet skryf oor die opstel van ander bedryfstelsels, skryf dan daaroor in die kommentaar by die artikel.
Bron: will.com