Hacker verschafften sich Zugriff auf den Hauptmailserver des internationalen Unternehmens Deloitte. Das Administratorkonto für diesen Server war nur durch ein Passwort geschützt.
Der unabhängige österreichische Forscher David Wind erhielt eine Belohnung von 5 US-Dollar für die Entdeckung einer Schwachstelle auf der Anmeldeseite des Google-Intranets.
91 % der russischen Unternehmen verbergen Datenlecks.
Solche Nachrichten sind fast täglich in Internet-Newsfeeds zu finden. Dies ist ein direkter Beweis dafür, dass die internen Dienste des Unternehmens geschützt werden müssen.
Und je größer das Unternehmen, je mehr Mitarbeiter es hat und je komplexer die interne IT-Infrastruktur, desto drängender ist für das Unternehmen das Problem des Informationslecks. Welche Informationen sind für Angreifer von Interesse und wie können sie geschützt werden?
Welche Art von Informationsleck könnte dem Unternehmen schaden?
- Informationen über Kunden und Transaktionen;
- technische Produktinformationen und Know-how;
- Informationen zu Partnern und Sonderangeboten;
- Persönliche Daten und Buchhaltung.
Und wenn Sie verstehen, dass auf einige Informationen aus der obigen Liste von jedem Segment Ihres Netzwerks aus nur nach Vorlage eines Benutzernamens und eines Passworts zugegriffen werden kann, sollten Sie darüber nachdenken, die Datensicherheit zu erhöhen und sie vor unbefugtem Zugriff zu schützen.
Die Zwei-Faktor-Authentifizierung mit Hardware-Kryptografiemedien (Tokens oder Smartcards) hat sich den Ruf erworben, sehr zuverlässig und gleichzeitig recht einfach zu verwenden zu sein.
Wir schreiben in fast jedem Artikel über die Vorteile der Zwei-Faktor-Authentifizierung. Mehr dazu können Sie in Artikeln über lesen и .
In diesem Artikel zeigen wir Ihnen, wie Sie sich mithilfe der Zwei-Faktor-Authentifizierung bei den internen Portalen Ihrer Organisation anmelden.
Als Beispiel nehmen wir das für den Unternehmensgebrauch am besten geeignete Modell, Rutoken – einen kryptografischen USB-Token .
Beginnen wir mit der Einrichtung.
Schritt 1 – Server-Setup
Die Basis eines jeden Servers ist das Betriebssystem. In unserem Fall ist dies Windows Server 2016. Und zusammen mit ihm und anderen Betriebssystemen der Windows-Familie wird IIS (Internet Information Services) vertrieben.
IIS ist eine Gruppe von Internetservern, einschließlich eines Webservers und eines FTP-Servers. IIS umfasst Anwendungen zum Erstellen und Verwalten von Websites.
IIS dient zum Erstellen von Webdiensten unter Verwendung von Benutzerkonten, die von einer Domäne oder Active Directory bereitgestellt werden. Dadurch können Sie bestehende Benutzerdatenbanken nutzen.
В Wir haben ausführlich beschrieben, wie Sie die Zertifizierungsstelle auf Ihrem Server installieren und konfigurieren. Darauf gehen wir nun nicht näher ein, sondern gehen davon aus, dass bereits alles konfiguriert ist. Das HTTPS-Zertifikat für den Webserver muss korrekt ausgestellt sein. Es ist besser, dies sofort zu überprüfen.
Windows Server 2016 verfügt über integrierte IIS-Version 10.0.
Wenn IIS installiert ist, müssen Sie es nur noch richtig konfigurieren.
Bei der Auswahl der Rollendienste haben wir das Kästchen angekreuzt Basisauthentifizierung.
Dann in Manager für Internetinformationsdienste eingeschaltet Basisauthentifizierung.
Und gab die Domäne an, in der sich der Webserver befindet.
Dann haben wir einen Site-Link hinzugefügt.
Und wählte die SSL-Optionen aus.
Damit ist die Servereinrichtung abgeschlossen.
Nach Abschluss dieser Schritte kann nur ein Benutzer auf die Site zugreifen, der über ein Token mit Zertifikat und eine Token-PIN verfügt.
Wir erinnern Sie noch einmal daran, dass gem Dem Benutzer wurde zuvor ein Token mit Schlüsseln und ein Zertifikat ausgestellt, das gemäß einer Vorlage wie folgt ausgestellt wurde Benutzer mit Smartcard.
Fahren wir nun mit der Einrichtung des Computers des Benutzers fort. Er sollte die Browser konfigurieren, mit denen er eine Verbindung zu geschützten Websites herstellt.
Schritt 2 – Einrichten des Computers des Benutzers
Nehmen wir der Einfachheit halber an, dass unser Benutzer Windows 10 hat.
Nehmen wir außerdem an, dass er das Kit installiert hat .
Die Installation eines Treibersatzes ist optional, da die Unterstützung für das Token höchstwahrscheinlich über Windows Update erfolgen wird.
Wenn dies jedoch plötzlich nicht der Fall ist, werden alle Probleme durch die Installation eines Satzes Rutoken-Treiber für Windows gelöst.
Verbinden wir den Token mit dem Computer des Benutzers und öffnen wir die Rutoken-Systemsteuerung.
Auf der Registerkarte Erweitert Zertifikate Aktivieren Sie das Kontrollkästchen neben dem erforderlichen Zertifikat, wenn es nicht aktiviert ist.
Somit haben wir überprüft, dass das Token funktioniert und das erforderliche Zertifikat enthält.
Alle Browser außer Firefox werden automatisch konfiguriert.
Sie müssen nichts Besonderes mit ihnen machen.
Öffnen Sie nun einen beliebigen Browser und geben Sie die Ressourcenadresse ein.
Bevor die Site geladen wird, öffnet sich ein Fenster zur Auswahl eines Zertifikats und anschließend ein Fenster zur Eingabe des Token-PIN-Codes.
Wenn Aktiv ruToken CSP als Standard-Kryptoanbieter für das Gerät ausgewählt ist, öffnet sich ein weiteres Fenster zur Eingabe des PIN-Codes.
Und erst nach erfolgreicher Eingabe im Browser öffnet sich unsere Website.
Für den Firefox-Browser müssen zusätzliche Einstellungen vorgenommen werden.
Wählen Sie in Ihren Browsereinstellungen Privatsphäre und Sicherheit. In der Sektion Zertifikate drücken Schutzgerät. Es öffnet sich ein Fenster Geräteverwaltung.
Klicken Sie auf HerunterladenGeben Sie den Namen Rutoken EDS und den Pfad C:windowssystem32rtpkcs11ecp.dll an.
Jetzt weiß Firefox, wie mit dem Token umzugehen ist, und ermöglicht Ihnen, sich damit auf der Website anzumelden.
Die Anmeldung per Token an Websites funktioniert übrigens auch auf Macs im Safari-, Chrome- und Firefox-Browser.
Sie müssen lediglich Rutoken von der Website installieren und sehen Sie sich das Zertifikat auf dem Token darin an.
Es ist nicht erforderlich, Safari, Chrome, Yandex und andere Browser zu konfigurieren; Sie müssen lediglich die Website in einem dieser Browser öffnen.
Der Firefox-Browser wird fast genauso konfiguriert wie in Windows (Einstellungen – Erweitert – Zertifikate – Sicherheitsgeräte). Nur der Pfad zur Bibliothek ist etwas anders: /Library/Akitv Co/Rutoken ECP/lib/librtpkcs11ecp.dylib.
Befund
Wir haben Ihnen gezeigt, wie Sie mithilfe kryptografischer Token eine Zwei-Faktor-Authentifizierung auf Websites einrichten. Wie immer benötigten wir hierfür außer den Rutoken-Systembibliotheken keine zusätzliche Software.
Sie können diesen Vorgang mit jeder Ihrer internen Ressourcen durchführen und außerdem flexibel Benutzergruppen konfigurieren, die Zugriff auf die Site haben, genau wie überall sonst in Windows Server.
Verwenden Sie ein anderes Betriebssystem für den Server?
Wenn Sie möchten, dass wir über die Einrichtung anderer Betriebssysteme schreiben, dann schreiben Sie darüber in den Kommentaren zum Artikel.
Source: habr.com