Hackere fik adgang til hovedmailserveren hos den internationale virksomhed Deloitte. Administratorkontoen for denne server var kun beskyttet af en adgangskode.
Den uafhængige østrigske forsker David Wind modtog en belønning på $5 for at opdage en sårbarhed på Googles intranet login-side.
91 % af russiske virksomheder skjuler datalæk.
Sådanne nyheder kan findes næsten hver dag i internetnyhedsfeeds. Dette er et direkte bevis på, at virksomhedens interne tjenester skal beskyttes.
Og jo større virksomheden er, jo flere medarbejdere den har og jo mere kompleks dens interne it-infrastruktur, jo mere presserende er problemet med informationslækage for den. Hvilke oplysninger er af interesse for angribere, og hvordan beskytter man dem?
Hvilken slags informationslæk kan skade virksomheden?
- information om kunder og transaktioner;
- teknisk produktinformation og knowhow;
- oplysninger om partnere og særlige tilbud;
- persondata og regnskab.
Og hvis du forstår, at nogle oplysninger fra ovenstående liste kun er tilgængelige fra ethvert segment af dit netværk ved præsentation af et login og en adgangskode, bør du overveje at øge niveauet af datasikkerhed og beskytte det mod uautoriseret adgang.
To-faktor autentificering ved hjælp af hardware kryptografiske medier (tokens eller smart cards) har fået ry for at være meget pålidelig og samtidig ret nem at bruge.
Vi skriver om fordelene ved to-faktor autentificering i næsten hver eneste artikel. Det kan du læse mere om i artikler om и .
I denne artikel viser vi dig, hvordan du bruger to-faktor-godkendelse til at logge ind på din organisations interne portaler.
Som et eksempel vil vi tage den mest egnede model til virksomhedsbrug, Rutoken - et kryptografisk USB-token .
Lad os komme i gang med opsætningen.
Trin 1 — Serveropsætning
Grundlaget for enhver server er operativsystemet. I vores tilfælde er dette Windows Server 2016. Og sammen med det og andre operativsystemer i Windows-familien distribueres IIS (Internet Information Services).
IIS er en gruppe af internetservere, inklusive en webserver og en FTP-server. IIS inkluderer applikationer til at oprette og administrere websteder.
IIS er designet til at bygge webtjenester ved hjælp af brugerkonti leveret af et domæne eller Active Directory. Dette giver dig mulighed for at bruge eksisterende brugerdatabaser.
В Vi beskrev i detaljer, hvordan du installerer og konfigurerer certificeringsmyndigheden på din server. Nu vil vi ikke dvæle ved dette i detaljer, men vil antage, at alt allerede er konfigureret. HTTPS-certifikatet til webserveren skal udstedes korrekt. Det er bedre at tjekke dette med det samme.
Windows Server 2016 leveres med IIS version 10.0 indbygget.
Hvis IIS er installeret, er der kun tilbage at konfigurere det korrekt.
På tidspunktet for udvælgelsen af rolletjenester har vi markeret feltet Grundlæggende godkendelse.
Så ind Internet Information Services Manager tændt Grundlæggende godkendelse.
Og angivet det domæne, hvor webserveren er placeret.
Så har vi tilføjet et webstedslink.
Og valgte SSL-indstillingerne.
Dette fuldender serveropsætningen.
Efter at have gennemført disse trin, vil kun en bruger, der har et token med et certifikat og en token-pinkode, kunne få adgang til webstedet.
Vi minder endnu engang om, at iflg , blev brugeren tidligere udstedt et token med nøgler og et certifikat udstedt i henhold til en skabelon som Bruger med smartkort.
Lad os nu gå videre til opsætning af brugerens computer. Han bør konfigurere de browsere, han vil bruge til at oprette forbindelse til beskyttede websteder.
Trin 2 — Opsætning af brugerens computer
Lad os for nemheds skyld antage, at vores bruger har Windows 10.
Lad os også antage, at han har sættet installeret .
Installation af et sæt drivere er valgfrit, da understøttelse af tokenet sandsynligvis vil ankomme via Windows Update.
Men hvis dette pludselig ikke sker, vil installation af et sæt Rutoken-drivere til Windows løse alle problemerne.
Lad os forbinde tokenet til brugerens computer og åbne Rutoken Kontrolpanel.
I fanen Certificeringer Marker afkrydsningsfeltet ud for det påkrævede certifikat, hvis det ikke er markeret.
Således bekræftede vi, at tokenet fungerer og indeholder det påkrævede certifikat.
Alle browsere undtagen Firefox konfigureres automatisk.
Du behøver ikke gøre noget særligt med dem.
Åbn nu en hvilken som helst browser og indtast ressourceadressen.
Før siden indlæses, åbnes et vindue til valg af et certifikat og derefter et vindue til indtastning af token-pinkoden.
Hvis Aktiv ruToken CSP er valgt som standardkryptoudbyder for enheden, åbnes et andet vindue for at indtaste PIN-koden.
Og først efter at have indtastet det i browseren, åbnes vores hjemmeside.
For Firefox-browseren skal der foretages yderligere indstillinger.
Vælg i dine browserindstillinger Privatliv og sikkerhed. I afsnit Certificeringer at trykke Beskyttelsesenhed. Et vindue åbnes Enhedshåndtering.
tryk downloade, angiv navnet Rutoken EDS og stien C:windowssystem32rtpkcs11ecp.dll.
Det er det, Firefox ved nu, hvordan man håndterer tokenet og giver dig mulighed for at logge ind på webstedet ved hjælp af det.
Forresten fungerer login med et token til websteder også på Macs i Safari-, Chrome- og Firefox-browseren.
Du skal blot installere Rutoken fra hjemmesiden og se certifikatet på tokenet i det.
Der er ingen grund til at konfigurere Safari, Chrome, Yandex og andre browsere; du skal bare åbne webstedet i en af disse browsere.
Firefox-browseren er konfigureret på næsten samme måde som i Windows (Indstillinger - Avanceret - Certifikater - Sikkerhedsenheder). Kun stien til biblioteket er lidt anderledes /Library/Akitv Co/Rutoken ECP/lib/librtpkcs11ecp.dylib.
Fund
Vi viste dig, hvordan du opsætter to-faktor-godkendelse på websteder ved hjælp af kryptografiske tokens. Som altid havde vi ikke brug for yderligere software til dette, bortset fra Rutoken-systembibliotekerne.
Du kan udføre denne procedure med alle dine interne ressourcer, og du kan også fleksibelt konfigurere brugergrupper, der vil have adgang til webstedet, ligesom alle andre steder i Windows Server.
Bruger du et andet OS til serveren?
Hvis du vil have os til at skrive om opsætning af andre styresystemer, så skriv om det i kommentarerne til artiklen.
Kilde: www.habr.com