
Hacker haben Zugriff auf den Haupt-Mail-Server des internationalen Unternehmens Deloitte erhalten. Das Administrator-Konto dieses Servers war nur durch ein Passwort geschützt.
Der unabhängige österreichische Forscher David Wind erhielt eine Belohnung von 5.000 Dollar für die Entdeckung einer Schwachstelle auf der Anmeldeseite des Google-Intranets.
91% der russischen Unternehmen verbergen die Fakten über Datenlecks.
Solche Nachrichten sind fast täglich in den Internet-Nachrichtenschlagzeilen zu finden. Dies ist ein klarer Beweis dafür, dass interne Services eines Unternehmens unbedingt geschützt werden müssen.
Je größer das Unternehmen, je mehr Mitarbeiter es hat und je komplexer die interne IT-Infrastruktur ist, desto relevanter wird das Problem von Informationslecks. Welche Informationen sind für Angreifer von Interesse und wie können Sie sie schützen?
Welches Informationsleck kann dem Unternehmen schaden?
- Informationen über Kunden und Geschäfte;
- Technische Informationen über Produkte und Know-how;
- Informationen über Partner und spezielle Angebote;
- personenbezogene Daten und Buchhaltung.
Wenn Sie festgestellt haben, dass bestimmte Informationen aus der genannten Liste in jedem Segment Ihres Netzwerks nur durch Eingabe von Benutzername und Passwort zugänglich sind, sollten Sie über eine Verbesserung des Datenschutzes und den Schutz vor unbefugtem Zugriff nachdenken.
Die Zwei-Faktor-Authentifizierung mittels hardwarebasierten kryptografischen Trägern (Token oder Smartcards) hat sich einen Ruf als sehr zuverlässig und gleichzeitig relativ einfach in der Anwendung erarbeitet.
Über die Vorteile der Zwei-Faktor-Authentifizierung schreiben wir fast in jedem Artikel. Detailliertere Informationen finden Sie in Artikeln über und .
In diesem Artikel zeigen wir Ihnen, wie Sie die Zwei-Faktor-Authentifizierung für den Zugang zu den internen Portalen der Organisation implementieren.
Als Beispiel nehmen wir das am besten geeignete Modell für den Unternehmensgebrauch, das RUTOKEN — ein kryptografisches USB-Token. .

Lassen Sie uns mit der Einrichtung beginnen.
Schritt 1 — Servereinrichtung
Die Basis jedes Servers ist das Betriebssystem. In unserem Fall handelt es sich um Windows Server 2016. Zusammen mit diesem und anderen Betriebssystemen der Windows-Familie wird auch IIS (Internet Information Services) bereitgestellt.
IIS ist eine Gruppe von Internetservern, zu denen unter anderem ein Webserver und ein FTP-Server gehören. IIS umfasst Anwendungen zur Erstellung und Verwaltung von Websites.
IIS wurde entwickelt, um Webdienste unter Verwendung von Benutzerkonten bereitzustellen, die von der Domäne oder dem Active Directory bereitgestellt werden. Dadurch können bestehende Benutzerdatenbanken verwendet werden.
In haben wir ausführlich erklärt, wie Sie eine Zertifizierungsstelle (Certification Authority) auf Ihrem Server installieren und konfigurieren können. Jetzt werden wir nicht näher darauf eingehen und gehen davon aus, dass alles bereits eingerichtet ist. Das HTTPS-Zertifikat für den Webserver sollte korrekt ausgestellt sein. Es ist besser, dies sofort zu überprüfen.
In Windows Server 2016 ist IIS Version 10.0 integriert.
Wenn IIS installiert ist, muss es lediglich richtig konfiguriert werden.
Beim Auswahlprozess der Rollendienste haben wir das Kontrollkästchen gesetzt Einfache Authentifizierung.

Dann in der IIS-Dienstverwaltung aktiviert die einfache Authentifizierung.

Und wir haben die Domain angegeben, auf der der Webserver befindet.


Dann haben wir die Website-Verknüpfung hinzugefügt.

Und die SSL-Einstellungen ausgewählt.

Damit ist die Serverkonfiguration abgeschlossen.
Nach der Ausführung der genannten Schritte kann nur der Benutzer mit einem Token, der ein Zertifikat und eine PIN enthält, auf die Website zugreifen.
Wir möchten erneut daran erinnern, dass gemäß dem Benutzer im Voraus ein Token mit den Schlüsseln und einem Zertifikat, das nach dem Muster vom Typ, ausgestellt wurde, ausgegeben wurde. Der Benutzer mit der Smartcard.
Jetzt gehen wir zur Konfiguration des Benutzercomputers über. Er sollte die Browser einrichten, die er für den Zugriff auf die geschützten Websites verwenden möchte.
Schritt 2 – Konfiguration des Benutzercomputers
Zur Vereinfachung nehmen wir an, unser Benutzer verwendet Windows 10.
Nehmen wir weiterhin an, dass er das Paket installiert hat. .
Die Installation des Treiberpakets ist optional, da die Token-Unterstützung wahrscheinlich über Windows Update kommt.
Sollte dies jedoch nicht geschehen sein, wird die Installation des Treiberpakets für RUTOKEN für Windows alle Probleme lösen.
Schließen Sie das Token an den Benutzercomputer an und öffnen Sie die RUTOKEN-Systemsteuerung.
Auf der Registerkarte Zertifikate Wir setzen ein Häkchen neben dem benötigten Zertifikat, falls es nicht gesetzt ist.
Damit haben wir überprüft, dass das Token funktionsfähig ist und das benötigte Zertifikat enthält.

Alle Browser außer Firefox werden automatisch konfiguriert.
Dafür muss nichts Besonderes gemacht werden.
Jetzt öffnen wir einen beliebigen Browser und geben die Adresse der Ressource ein.
Bevor die Seite geladen wird, öffnet sich ein Fenster zur Auswahl des Zertifikats und anschließend ein Fenster zur Eingabe des PIN-Codes des Tokens.


Wenn für das Gerät als Kryptoprovider standardmäßig Aktiv ruToken CSP ausgewählt ist, öffnet sich ein anderes Fenster zur Eingabe des PIN-Codes.

Und erst nach erfolgreicher Eingabe öffnet sich unsere Website im Browser.

Für den Firefox-Browser sind zusätzliche Einstellungen erforderlich.
In den Browsereinstellungen wählen Sie Datenschutz und Sicherheit. Im Abschnitt Zertifikate klicken Sie auf Schutzgerät. Es öffnet sich ein Fenster Geräteverwaltung.
Klicken Sie auf Hochladen, geben Sie den Namen des RuToken-EZP und den Pfad C:windowssystem32rtpkcs11ecp.dll an.

Das war's, jetzt weiß Firefox, wie er mit dem Token umzugehen hat und ermöglicht den Zugang zur Website unter Verwendung dessen.

Übrigens funktioniert der Zugang mit dem Token zu Websites auch auf Macs im Safari, Chrome und Firefox Browser.
Es muss lediglich das Modul zur Unterstützung von Schlüsselbund von der RuToken-Website installiert werden. und sehen Sie das Zertifikat auf dem Token.

Sie müssen die Browser Safari, Chrome, Yandex und andere nicht konfigurieren; es reicht aus, die Website in einem dieser Browser zu öffnen.

Der Firefox-Browser wird fast wie unter Windows konfiguriert (Einstellungen — Erweiterte Einstellungen — Zertifikate — Sicherheitsgeräte). Nur der Pfad zur Bibliothek ist etwas anders /Library/Akitv Co/Rutoken ECP/lib/librtpkcs11ecp.dylib.
Fazit
Wir haben Ihnen gezeigt, wie Sie die Zwei-Faktor-Authentifizierung auf Websites mit kryptografischen Tokens einrichten. Wie immer benötigten wir dafür keine zusätzliche Software außer den Systembibliotheken von Rutoken.
Ein solches Verfahren können Sie für jede Ihrer internen Ressourcen durchführen, und Sie können auch flexibel Benutzergruppen konfigurieren, die Zugriff auf die Website haben, genau wie überall in Windows Server.
Verwenden Sie ein anderes Betriebssystem für den Server?
Wenn Sie möchten, dass wir über die Konfiguration anderer Betriebssysteme schreiben, teilen Sie uns dies bitte in den Kommentaren zum Artikel mit.
Quelle: habr.com
