Hackers akiris aliron al la ĉefa poŝtservilo de la internacia kompanio Deloitte. La administranta konto por ĉi tiu servilo estis protektita nur per pasvorto.
Sendependa aŭstra esploristo David Wind ricevis rekompencon de 5 XNUMX USD pro malkovro de vundebleco en la ensalutpaĝo de Guglo-intranet.
91% de rusaj kompanioj kaŝas datumfluojn.
Tiaj novaĵoj troviĝas preskaŭ ĉiutage en Interretaj novaĵoj. Ĉi tio estas rekta indico, ke la internaj servoj de la kompanio devas esti protektitaj.
Kaj ju pli granda estas la kompanio, des pli da dungitoj ĝi havas kaj des pli kompleksa ĝia interna IT-infrastrukturo, des pli prema estas por ĝi la problemo de informfluado. Kiuj informoj interesas atakantojn kaj kiel protekti ĝin?
Kia informo-fuĝo povus damaĝi la kompanion?
- informoj pri klientoj kaj transakcioj;
- teknikaj produktaj informoj kaj scio;
- informoj pri partneroj kaj specialaj ofertoj;
- personaj datumoj kaj kontado.
Kaj se vi komprenas, ke iuj informoj el la supra listo estas alireblaj de iu ajn segmento de via reto nur post prezento de ensaluto kaj pasvorto, tiam vi devus pripensi pliigi la nivelon de sekureco de datumoj kaj protekti ĝin kontraŭ neaŭtorizita aliro.
Dufaktora aŭtentikigo uzanta aparatan kriptografajn rimedojn (ĵetonoj aŭ inteligentaj kartoj) gajnis reputacion por esti tre fidinda kaj samtempe sufiĉe facila por uzi.
Ni skribas pri la avantaĝoj de dufaktora aŭtentigo en preskaŭ ĉiu artikolo. Vi povas legi pli pri tio en artikoloj pri и .
En ĉi tiu artikolo, ni montros al vi kiel uzi dufaktoran aŭtentikigon por ensaluti en la internajn portalojn de via organizo.
Kiel ekzemplo, ni prenos la plej taŭgan modelon por kompania uzo, Rutoken - ĉifrika USB-ĵetono .
Ni komencu kun la agordo.
Paŝo 1 - Agordo de Servilo
La bazo de iu ajn servilo estas la operaciumo. En nia kazo, ĉi tio estas Windows Server 2016. Kaj kune kun ĝi kaj aliaj operaciumoj de la Vindoza familio, IIS (Interretaj Informaj Servoj) estas distribuita.
IIS estas grupo de interretaj serviloj, inkluzive de retservilo kaj FTP-servilo. IIS inkluzivas aplikojn por krei kaj administri retejojn.
IIS estas dizajnita por konstrui retservojn uzante uzantkontojn provizitajn de domajno aŭ Active Directory. Ĉi tio ebligas al vi uzi ekzistantajn uzantdatumbazon.
В Ni priskribis detale kiel instali kaj agordi la Atestantan Aŭtoritaton sur via servilo. Nun ni ne detale detale pri tio, sed supozos, ke ĉio jam estas agordita. La HTTPS-atestilo por la retservilo devas esti eldonita ĝuste. Estas pli bone kontroli ĉi tion tuj.
Windows Server 2016 venas kun IIS-versio 10.0 enkonstruita.
Se IIS estas instalita, tiam restas nur agordi ĝin ĝuste.
En la stadio de elektado de rolservoj, ni markis la skatolon Baza aŭtentigo.
Tiam en Administranto pri Interretaj Informa Servoj ŝaltita Baza aŭtentigo.
Kaj indikis la domajnon en kiu troviĝas la retservilo.
Poste ni aldonis retejan ligilon.
Kaj elektis la SSL-opciojn.
Ĉi tio kompletigas la agordon de la servilo.
Post plenumi ĉi tiujn paŝojn, nur uzanto, kiu havas ĵetonon kun atestilo kaj ĵetonan PIN, povos aliri la retejon.
Ni rememorigas vin, ke laŭ , la uzanto antaŭe ricevis ĵetonon kun ŝlosiloj kaj atestilo eldonita laŭ ŝablono kiel Uzanto kun inteligenta karto.
Nun ni pluiru al agordo de la komputilo de la uzanto. Li agordu la retumiloj, kiujn li uzos por konekti al protektitaj retejoj.
Paŝo 2 — Agordi la komputilon de la uzanto
Por simpleco, ni supozu, ke nia uzanto havas Vindozon 10.
Ni ankaŭ supozu, ke li havas la ilaron instalitan .
Instali aron da ŝoforoj estas laŭvola, ĉar plej verŝajne subteno por la ĵetono alvenos per Windows Update.
Sed se ĉi tio subite ne okazas, tiam instali aron de Rutoken Drivers por Vindozo solvos ĉiujn problemojn.
Ni konektu la ĵetonon al la komputilo de la uzanto kaj malfermu la Rutoken-Kontrolpanelon.
En la langeto Atestiloj Marku la skatolon apud la bezonata atestilo se ĝi ne estas markita.
Tiel, ni kontrolis, ke la ĵetono funkcias kaj enhavas la bezonatan atestilon.
Ĉiuj retumiloj krom Firefox estas agorditaj aŭtomate.
Vi ne bezonas fari ion specialan kun ili.
Nun malfermu ajnan retumilon kaj enigu la rimedan adreson.
Antaŭ ol la retejo ŝargas, fenestro malfermiĝos por elekti atestilon, kaj poste fenestro por enigi la ĵetonan PIN-kodon.
Se Aktiv ruToken CSP estas elektita kiel la defaŭlta kripta provizanto por la aparato, alia fenestro malfermiĝos por enigi la PIN-kodon.
Kaj nur post sukcese enigi ĝin en la retumilo malfermiĝos nia retejo.
Por la retumilo Firefox, aldonaj agordoj devas esti faritaj.
En via retumila agordo elektu Privateco kaj Sekureco. En la sekcio Atestiloj premi Protekta Aparato... Fenestro malfermiĝos Mastrumado de aparatoj.
Alklaku Elŝutu, indiku la nomon Rutoken EDS kaj la vojon C:windowssystem32rtpkcs11ecp.dll.
Jen ĝi, Firefox nun scias kiel manipuli la ĵetonon kaj permesas vin ensaluti en la retejon uzante ĝin.
Cetere, ensalutu per ĵetono al retejoj ankaŭ funkcias ĉe Mac-oj en la retumilo Safari, Chrome kaj Firefox.
Vi nur bezonas instali Rutoken de la retejo kaj vidu la atestilon sur la ĵetono en ĝi.
Ne necesas agordi Safari, Chrome, Yandex kaj aliaj retumiloj; vi nur bezonas malfermi la retejon en iu ajn el ĉi tiuj retumiloj.
La retumilo Firefox estas agordita preskaŭ same kiel en Vindozo (Agordoj - Altnivelaj - Atestiloj - Sekurecaj aparatoj). Nur la vojo al la biblioteko estas iomete malsama /Library/Akitv Co/Rutoken ECP/lib/librtpkcs11ecp.dylib.
trovoj
Ni montris al vi kiel agordi dufaktoran aŭtentikigon en retejoj uzante kriptajn ĵetonojn. Kiel ĉiam, ni ne bezonis aldonan programaron por tio, krom la Rutoken-sistemaj bibliotekoj.
Vi povas fari ĉi tiun proceduron per iu ajn el viaj internaj rimedoj, kaj vi ankaŭ povas flekseble agordi uzantgrupojn, kiuj havos aliron al la retejo, same kiel ie ajn en Windows Server.
Ĉu vi uzas alian OS por la servilo?
Se vi volas, ke ni skribu pri agordo de aliaj operaciumoj, tiam skribu pri ĝi en la komentoj al la artikolo.
fonto: www.habr.com