Хакери получиха достъп до основния пощенски сървър на международната компания Deloitte. Администраторският акаунт за този сървър беше защитен само с парола.
Независимият австрийски изследовател Дейвид Уинд получи награда от 5 долара за откриване на уязвимост в страницата за вход в интранет на Google.
91% от руските компании крият изтичане на данни.
Такива новини могат да бъдат намерени почти всеки ден в новинарските емисии в Интернет. Това е пряко доказателство, че вътрешните услуги на компанията трябва да бъдат защитени.
И колкото по-голяма е компанията, колкото повече служители има и колкото по-сложна е вътрешната й ИТ инфраструктура, толкова по-належащ е проблемът с изтичането на информация за нея. Каква информация представлява интерес за нападателите и как да я защитим?
Какъв вид изтичане на информация може да навреди на компанията?
- информация за клиенти и сделки;
- техническа информация за продукта и ноу-хау;
- информация за партньори и специални оферти;
- лични данни и счетоводство.
И ако разбирате, че част от информацията от горния списък е достъпна от всеки сегмент на вашата мрежа само при представяне на потребителско име и парола, тогава трябва да помислите за повишаване на нивото на сигурност на данните и защитата им от неоторизиран достъп.
Двуфакторното удостоверяване с помощта на хардуерни криптографски носители (токени или смарт карти) си спечели репутацията на много надеждно и в същото време доста лесно за използване.
Ние пишем за предимствата на двуфакторната автентификация в почти всяка статия. Можете да прочетете повече за това в статии за и .
В тази статия ще ви покажем как да използвате двуфакторно удостоверяване, за да влезете във вътрешните портали на вашата организация.
Като пример ще вземем най-подходящия модел за корпоративна употреба Rutoken - криптографски USB токен .
Да започнем с настройката.
Стъпка 1 — Настройка на сървъра
Основата на всеки сървър е операционната система. В нашия случай това е Windows Server 2016. И заедно с него и други операционни системи от семейството на Windows се разпространява IIS (Internet Information Services).
IIS е група от интернет сървъри, включително уеб сървър и FTP сървър. IIS включва приложения за създаване и управление на уебсайтове.
IIS е проектиран да създава уеб услуги, използвайки потребителски акаунти, предоставени от домейн или Active Directory. Това ви позволява да използвате съществуващи потребителски бази данни.
В Описахме подробно как да инсталирате и конфигурирате сертифициращия орган на вашия сървър. Сега няма да се спираме на това подробно, но ще приемем, че всичко вече е конфигурирано. HTTPS сертификатът за уеб сървъра трябва да бъде издаден правилно. По-добре е да проверите това веднага.
Windows Server 2016 идва с вграден IIS версия 10.0.
Ако IIS е инсталиран, тогава всичко, което остава, е да го конфигурирате правилно.
На етапа на избор на ролеви услуги поставихме отметка в квадратчето Основно удостоверяване.
След това в Мениджър на интернет информационни услуги включен Основно удостоверяване.
И посочи домейна, в който се намира уеб сървърът.
След това добавихме връзка към сайта.
И избра SSL опциите.
Това завършва настройката на сървъра.
След като изпълните тези стъпки, само потребител, който има токен със сертификат и ПИН код за токен, ще има достъп до сайта.
Още веднъж напомняме, че съгл , на потребителя преди това е издаден токен с ключове и сертификат, издаден съгласно шаблон като Потребител със смарт карта.
Сега нека да преминем към настройката на компютъра на потребителя. Той трябва да конфигурира браузърите, които ще използва, за да се свързва със защитени уебсайтове.
Стъпка 2 — Настройка на компютъра на потребителя
За простота нека приемем, че нашият потребител има Windows 10.
Да приемем също, че той е инсталирал комплекта .
Инсталирането на набор от драйвери не е задължително, тъй като най-вероятно поддръжката за токена ще пристигне чрез Windows Update.
Но ако това изведнъж не се случи, тогава инсталирането на набор от драйвери на Rutoken за Windows ще реши всички проблеми.
Нека свържем токена към компютъра на потребителя и да отворим контролния панел на Rutoken.
В раздела Сертификати Поставете отметка в квадратчето до необходимия сертификат, ако не е отметнато.
По този начин ние проверихме, че токенът работи и съдържа необходимия сертификат.
Всички браузъри с изключение на Firefox се конфигурират автоматично.
Не е нужно да правите нищо специално с тях.
Сега отворете всеки браузър и въведете адреса на ресурса.
Преди да се зареди сайта, ще се отвори прозорец за избор на сертификат, а след това прозорец за въвеждане на PIN кода на токена.
Ако Aktiv ruToken CSP е избран като крипто доставчик по подразбиране за устройството, тогава ще се отвори друг прозорец за въвеждане на ПИН кода.
И само след успешното му въвеждане в браузъра ще се отвори нашият уебсайт.
За браузъра Firefox трябва да се направят допълнителни настройки.
В настройките на вашия браузър изберете Поверителност и сигурност, В раздела Сертификати да натиснеш Устройство за защита... Ще се отвори прозорец Управление на устройства.
Кликнете Изтегляне, посочете името Rutoken EDS и пътя C:windowssystem32rtpkcs11ecp.dll.
Това е всичко, Firefox вече знае как да борави с токена и ви позволява да влезете в сайта, като го използвате.
Между другото, влизането с токен в уебсайтове също работи на Mac в браузърите Safari, Chrome и Firefox.
Просто трябва да инсталирате Rutoken от уебсайта и вижте сертификата на токена в него.
Няма нужда да конфигурирате Safari, Chrome, Yandex и други браузъри, просто трябва да отворите сайта в някой от тези браузъри.
Браузърът Firefox е конфигуриран почти по същия начин, както в Windows (Настройки - Разширени - Сертификати - Защитни устройства). Само пътят до библиотеката е малко по-различен /Library/Akitv Co/Rutoken ECP/lib/librtpkcs11ecp.dylib.
Данни
Показахме ви как да настроите двуфакторно удостоверяване на уебсайтове, използващи криптографски токени. Както винаги, не се нуждаехме от допълнителен софтуер за това, с изключение на системните библиотеки на Rutoken.
Можете да направите тази процедура с който и да е от вашите вътрешни ресурси и можете също така гъвкаво да конфигурирате потребителски групи, които ще имат достъп до сайта, точно както навсякъде другаде в Windows Server.
Използвате ли друга операционна система за сървъра?
Ако искате да пишем за настройката на други операционни системи, пишете за това в коментарите към статията.
Източник: www.habr.com