Els pirates informàtics van obtenir accés al servidor de correu principal de l'empresa internacional Deloitte. El compte d'administrador d'aquest servidor només estava protegit per una contrasenya.
L'investigador austríac independent David Wind va rebre una recompensa de 5 dòlars per descobrir una vulnerabilitat a la pàgina d'inici de sessió de la intranet de Google.
El 91% de les empreses russes amaguen filtracions de dades.
Aquestes notícies es poden trobar gairebé cada dia als canals de notícies d'Internet. Aquesta és una evidència directa que s'han de protegir els serveis interns de l'empresa.
I com més gran és l'empresa, més empleats té i com més complexa és la seva infraestructura informàtica interna, més urgent és per a ella el problema de la fuga d'informació. Quina informació és d'interès per als atacants i com protegir-la?
Quin tipus de filtració d'informació podria perjudicar l'empresa?
- informació sobre clients i transaccions;
- informació tècnica del producte i coneixements;
- informació sobre socis i ofertes especials;
- dades personals i comptabilitat.
I si enteneu que alguna informació de la llista anterior és accessible des de qualsevol segment de la vostra xarxa només amb la presentació d'un inici de sessió i una contrasenya, hauríeu de pensar en augmentar el nivell de seguretat de les dades i protegir-les de l'accés no autoritzat.
L'autenticació de dos factors utilitzant suports criptogràfics de maquinari (tokens o targetes intel·ligents) s'ha guanyat la reputació de ser molt fiable i alhora força fàcil d'utilitzar.
Escrivim sobre els avantatges de l'autenticació de dos factors en gairebé tots els articles. Podeu llegir més sobre això als articles sobre и .
En aquest article, us mostrarem com utilitzar l'autenticació de dos factors per iniciar sessió als portals interns de la vostra organització.
Com a exemple, prendrem el model més adequat per a ús corporatiu, Rutoken, un testimoni USB criptogràfic .
Comencem amb la configuració.
Pas 1: Configuració del servidor
La base de qualsevol servidor és el sistema operatiu. En el nostre cas, es tracta de Windows Server 2016. I juntament amb aquest i altres sistemes operatius de la família Windows, es distribueix IIS (Internet Information Services).
IIS és un grup de servidors d'Internet, que inclou un servidor web i un servidor FTP. IIS inclou aplicacions per crear i gestionar llocs web.
IIS està dissenyat per crear serveis web mitjançant comptes d'usuari proporcionats per un domini o Active Directory. Això us permet utilitzar les bases de dades d'usuaris existents.
В Hem descrit detalladament com instal·lar i configurar l'Autoritat de Certificació al vostre servidor. Ara no ens detenem en això en detall, sinó que suposarem que ja està tot configurat. El certificat HTTPS per al servidor web s'ha d'emetre correctament. És millor comprovar-ho immediatament.
Windows Server 2016 inclou la versió 10.0 d'IIS integrada.
Si està instal·lat IIS, només queda configurar-lo correctament.
En l'etapa de selecció dels serveis de rol, vam marcar la casella Autenticació bàsica.
Llavors a Gestor de serveis d'informació d'Internet encès Autenticació bàsica.
I va indicar el domini on es troba el servidor web.
Després vam afegir un enllaç al lloc.
I va seleccionar les opcions SSL.
Això completa la configuració del servidor.
Després de completar aquests passos, només un usuari que tingui un testimoni amb un certificat i un PIN de testimoni podrà accedir al lloc.
Us recordem una vegada més que segons , a l'usuari se li va emetre prèviament un testimoni amb claus i un certificat emès segons una plantilla com Usuari amb targeta intel·ligent.
Ara passem a configurar l'ordinador de l'usuari. Hauria de configurar els navegadors que utilitzarà per connectar-se a llocs web protegits.
Pas 2: Configuració de l'ordinador de l'usuari
Per simplificar, suposem que el nostre usuari té Windows 10.
Suposem també que té el kit instal·lat .
La instal·lació d'un conjunt de controladors és opcional, ja que el més probable és que el suport per al testimoni arribarà mitjançant Windows Update.
Però si això no passa de sobte, instal·lar un conjunt de controladors Rutoken per a Windows solucionarà tots els problemes.
Connectem el testimoni a l'ordinador de l'usuari i obrim el tauler de control de Rutoken.
A la pestanya Сертификаты Marqueu la casella al costat del certificat requerit si no està marcada.
Així, vam comprovar que el testimoni funciona i conté el certificat requerit.
Tots els navegadors excepte Firefox es configuren automàticament.
No cal que facis res especial amb ells.
Ara obriu qualsevol navegador i introduïu l'adreça del recurs.
Abans que es carregui el lloc, s'obrirà una finestra per seleccionar un certificat i després una finestra per introduir el codi PIN del testimoni.
Si se selecciona Aktiv ruToken CSP com a proveïdor de criptografia predeterminat per al dispositiu, s'obrirà una altra finestra per introduir el codi PIN.
I només després d'introduir-lo correctament al navegador s'obrirà el nostre lloc web.
Per al navegador Firefox, cal fer una configuració addicional.
A la configuració del navegador, seleccioneu Privacitat i seguretat... A la secció Сертификаты polsar Dispositiu de protecció... S'obrirà una finestra Gestió de dispositius.
Premeu descarregar, indiqueu el nom Rutoken EDS i el camí C:windowssystem32rtpkcs11ecp.dll.
Això és tot, ara Firefox sap com gestionar el testimoni i us permet iniciar sessió al lloc utilitzant-lo.
Per cert, l'inici de sessió amb un testimoni als llocs web també funciona amb Mac al navegador Safari, Chrome i Firefox.
Només cal que instal·leu Rutoken des del lloc web i vegeu el certificat al testimoni.
No cal configurar Safari, Chrome, Yandex i altres navegadors; només cal que obriu el lloc en qualsevol d'aquests navegadors.
El navegador Firefox es configura gairebé de la mateixa manera que a Windows (Configuració - Avançat - Certificats - Dispositius de seguretat). Només el camí a la biblioteca és lleugerament diferent /Library/Akitv Co/Rutoken ECP/lib/librtpkcs11ecp.dylib.
Troballes
Us vam mostrar com configurar l'autenticació de dos factors als llocs web mitjançant fitxes criptogràfiques. Com sempre, no necessitàvem cap programari addicional per a això, excepte les biblioteques del sistema Rutoken.
Podeu fer aquest tràmit amb qualsevol dels vostres recursos interns i també podeu configurar de manera flexible els grups d'usuaris que tindran accés al lloc, igual que a qualsevol altre lloc de Windows Server.
Esteu utilitzant un sistema operatiu diferent per al servidor?
Si voleu que escrivim sobre la configuració d'altres sistemes operatius, escriviu-ne als comentaris de l'article.
Font: www.habr.com