تمكن المتسللون من الوصول إلى خادم البريد الرئيسي لشركة Deloitte الدولية. حساب المسؤول لهذا الخادم محمي بكلمة مرور فقط.
حصل الباحث النمساوي المستقل ديفيد ويند على مكافأة قدرها 5 دولار لاكتشافه ثغرة أمنية في صفحة تسجيل الدخول إلى شبكة Google الداخلية.
91٪ من الشركات الروسية تخفي حقائق تسرب البيانات.
يمكن العثور على مثل هذه الأخبار كل يوم تقريبًا في موجز الأخبار على الإنترنت. هذا دليل مباشر على ضرورة حماية الخدمات الداخلية للشركة.
وكلما كبرت الشركة ، زاد عدد موظفيها وزادت تعقيد البنية التحتية لتكنولوجيا المعلومات الداخلية ، كلما كانت مشكلة تسرب المعلومات أكثر صلة بها. ما هي المعلومات التي تهم المهاجمين وكيفية حمايتها؟
تسرب ما هي المعلومات التي يمكن أن تضر بالشركة؟
- معلومات العملاء والمعاملات ؛
- المعلومات التقنية حول المنتجات والدراية الفنية ؛
- معلومات عن الشركاء والعروض الخاصة ؛
- البيانات الشخصية والمحاسبة.
وإذا فهمت أن بعض المعلومات الواردة في القائمة أعلاه متاحة من أي جزء من شبكتك فقط عند تقديم تسجيل الدخول وكلمة المرور ، فعليك التفكير في زيادة مستوى أمان البيانات وحمايتها من الوصول غير المصرح به.
اكتسبت المصادقة الثنائية المستندة إلى وسائط تشفير الأجهزة (الرموز المميزة أو البطاقات الذكية) سمعة لكونها موثوقة للغاية وفي نفس الوقت سهلة الاستخدام.
نكتب عن فوائد المصادقة الثنائية في كل مقالة تقريبًا. يمكنك قراءة المزيد عن هذا في مقالات حول и .
في هذه المقالة ، سنوضح لك كيفية استخدام المصادقة الثنائية لتسجيل الدخول إلى البوابات الداخلية لمؤسستك.
على سبيل المثال ، سوف نأخذ أنسب نموذج Rutoken للاستخدام المؤسسي - رمز USB مشفر .
لنبدأ في الإعداد.
الخطوة 1 - إعداد الخادم
إن قلب أي خادم هو نظام التشغيل. في حالتنا ، هذا هو Windows Server 2016. ومعه ومع أنظمة التشغيل الأخرى لعائلة Windows ، يتم توزيع IIS (خدمات معلومات الإنترنت).
IIS عبارة عن مجموعة من خوادم الإنترنت ، بما في ذلك خادم الويب وخادم FTP. يتضمن IIS تطبيقات لإنشاء مواقع الويب وإدارتها.
تم تصميم IIS لإنشاء خدمات الويب باستخدام حسابات المستخدمين التي يوفرها مجال أو Active Directory. هذا يسمح لك باستخدام قواعد بيانات المستخدم الموجودة.
В وصفنا بالتفصيل كيفية تثبيت مرجع مصدق وتكوينه على الخادم الخاص بك. الآن لن نتطرق إلى هذا بالتفصيل ، لكننا سنفترض أن كل شيء قد تم إعداده بالفعل. يجب إصدار شهادة HTTPS لخادم الويب بشكل صحيح. من الأفضل التحقق من ذلك على الفور.
يحتوي Windows Server 2016 على الإصدار 10.0 من IIS المدمج.
إذا تم تثبيت IIS ، فسيظل تكوينه بشكل صحيح.
في مرحلة اختيار خدمات الدور ، حددنا المربع المصادقة الأساسية.
ثم في مدير IIS تشغيل المصادقة الأساسية.
وأشاروا إلى المجال الذي يقع فيه خادم الويب.
ثم أضفنا رابطًا إلى الموقع.
واختار خيارات SSL.
هذا يكمل إعداد الخادم.
بعد إكمال هذه الخطوات ، لن يتمكن من الوصول إلى الموقع سوى مستخدم لديه رمز مميز بشهادة ورمز PIN مميز.
نذكرك مرة أخرى أنه وفقًا لـ ، تم إصدار رمز مميز للمستخدم مسبقًا مع مفاتيح وشهادة تم إصدارها وفقًا لقالب مثل مستخدم البطاقة الذكية.
الآن دعنا ننتقل إلى إعداد كمبيوتر المستخدم. يجب عليه تكوين المتصفحات التي سيستخدمها للاتصال بالمواقع المحمية.
الخطوة الثانية - إعداد جهاز الكمبيوتر الخاص بالمستخدم
للتبسيط ، دعنا نفترض أن مستخدمنا لديه Windows 10.
افترض أيضًا أن لديه المجموعة مثبتة .
يعد تثبيت مجموعة من برامج التشغيل أمرًا اختياريًا ، نظرًا لأن دعم الرمز المميز سيصل على الأرجح عبر Windows Update.
ولكن إذا لم يحدث هذا فجأة ، فسيؤدي تثبيت Rutoken Drivers لنظام التشغيل Windows إلى حل جميع المشكلات.
قم بتوصيل الرمز المميز بجهاز كمبيوتر المستخدم وافتح لوحة تحكم Rutoken.
في علامة التبويب الشهادات حدد المربع بجوار الشهادة المطلوبة إذا لم يتم تحديدها.
وبالتالي ، تحققنا من عمل الرمز المميز وأنه يحتوي على الشهادة المطلوبة.
يتم تكوين جميع المتصفحات تلقائيًا باستثناء Firefox.
لا تحتاج إلى فعل أي شيء مميز معهم.
افتح الآن أي متصفح وأدخل عنوان المورد.
قبل تحميل الموقع ، ستفتح لنا نافذة لتحديد شهادة ، ثم نافذة لإدخال رمز PIN الخاص بالرمز المميز.
إذا تم تحديد Aktiv ruToken CSP كموفر التشفير الافتراضي للجهاز ، فسيتم فتح نافذة أخرى لإدخال رمز PIN.
وفقط بعد دخوله بنجاح في المتصفح ، سيفتح موقعنا.
بالنسبة لمتصفح Firefox ، يجب إجراء إعدادات إضافية.
حدد في إعدادات المتصفح الخصوصية والأمن. في القسم الشهادات لدفع جهاز الحماية. سيتم فتح نافذة إدارة الجهاز.
صحافة تحميل، حدد اسم Rutoken EDS والمسار C: windowssystem32rtpkcs11ecp.dll.
هذا كل شيء ، يعرف Firefox الآن كيفية التعامل مع الرمز المميز ويسمح لك بتسجيل الدخول إلى الموقع باستخدامه.
بالمناسبة ، يعمل تسجيل الدخول إلى مواقع الويب أيضًا على أجهزة Mac في متصفحات Safari و Chrome و Firefox.
تحتاج فقط إلى التثبيت من موقع Rutoken وشاهد الشهادة على الرمز المميز فيه.
لا تحتاج إلى تكوين Safari و Chrome و Yandex ومتصفحات أخرى ، ما عليك سوى فتح الموقع في أي من هذه المتصفحات.
يتم تكوين متصفح Firefox بنفس الطريقة تقريبًا كما في Windows (الإعدادات - متقدمة - الشهادات - أجهزة الأمان). فقط المسار إلى المكتبة مختلف قليلاً / Library / Akitv Co / Rutoken ECP / lib / librtpkcs11ecp.dylib.
النتائج
لقد أوضحنا لك كيفية إعداد مصادقة ثنائية على مواقع الويب باستخدام الرموز المميزة المشفرة. كما هو الحال دائمًا ، لم نكن بحاجة إلى أي برامج إضافية لهذا الغرض ، باستثناء مكتبات نظام Rutoken.
يمكنك القيام بهذا الإجراء مع أي من مواردك الداخلية ، ويمكنك أيضًا تكوين مجموعات المستخدمين التي ستتمكن من الوصول إلى الموقع بمرونة ، كما هو الحال في أي مكان آخر في Windows Server.
هل تستخدم نظام تشغيل مختلف للخادم؟
إذا كنت تريد منا أن نكتب عن إعداد أنظمة تشغيل أخرى ، فاكتب عنها في التعليقات على المقالة.
المصدر: www.habr.com