Häkkerid pääsesid ligi rahvusvahelise ettevõtte Deloitte peamisele meiliserverile. Selle serveri administraatori konto oli kaitstud ainult parooliga.
Sõltumatu Austria teadlane David Wind sai Google'i siseveebi sisselogimislehel haavatavuse avastamise eest 5 dollari suuruse tasu.
91% Venemaa ettevõtetest varjab andmelekkeid.
Selliseid uudiseid võib Interneti uudistevoogudest leida peaaegu iga päev. See on otsene tõend selle kohta, et ettevõtte siseteenuseid tuleb kaitsta.
Ja mida suurem on ettevõte, mida rohkem töötajaid ja mida keerulisem on sisemine IT-infrastruktuur, seda pakilisem on tema jaoks infolekke probleem. Milline teave ründajatele huvi pakub ja kuidas seda kaitsta?
Milline infoleke võib ettevõtet kahjustada?
- teave klientide ja tehingute kohta;
- toote tehniline teave ja oskusteave;
- info partnerite ja eripakkumiste kohta;
- isikuandmed ja raamatupidamine.
Ja kui saate aru, et mõnele ülaltoodud loendist pärinevale teabele pääseb teie võrgu mis tahes segmendist juurde ainult sisselogimise ja parooli esitamisel, peaksite mõtlema andmete turvalisuse taseme tõstmisele ja nende kaitsmisele volitamata juurdepääsu eest.
Kahefaktoriline autentimine riistvaralise krüptograafilise andmekandja (märke või kiipkaarte) abil on pälvinud väga usaldusväärse ja samal ajal üsna hõlpsasti kasutatava maine.
Peaaegu igas artiklis kirjutame kahefaktorilise autentimise eelistest. Lisateavet selle kohta saate lugeda artiklitest и .
Selles artiklis näitame teile, kuidas kasutada kahefaktorilist autentimist oma organisatsiooni siseportaalidesse sisselogimiseks.
Näitena võtame ettevõttes kasutamiseks sobivaima mudeli Rutoken - krüptograafiline USB-märk .
Alustame seadistamisega.
1. samm – serveri seadistamine
Iga serveri aluseks on operatsioonisüsteem. Meie puhul on selleks Windows Server 2016. Ja koos sellega ja teiste Windowsi perekonna operatsioonisüsteemidega levitatakse ka IIS-i (Internet Information Services).
IIS on Interneti-serverite rühm, sealhulgas veebiserver ja FTP-server. IIS sisaldab rakendusi veebisaitide loomiseks ja haldamiseks.
IIS on loodud veebiteenuste loomiseks, kasutades domeeni või Active Directory pakutavaid kasutajakontosid. See võimaldab kasutada olemasolevaid kasutajate andmebaase.
В Kirjeldasime üksikasjalikult, kuidas installida ja konfigureerida sertifitseerimiskeskust teie serverisse. Nüüd me ei peatu sellel üksikasjalikult, vaid eeldame, et kõik on juba konfigureeritud. Veebiserveri HTTPS-sertifikaat peab olema õigesti väljastatud. Parem on seda kohe kontrollida.
Windows Server 2016 on sisseehitatud IIS-i versiooniga 10.0.
Kui IIS on installitud, jääb üle vaid see õigesti konfigureerida.
Rolliteenuste valimise etapis märkisime ruudu Põhiline autentimine.
Siis sisse Interneti teabeteenuste juht sisse lülitatud Põhiline autentimine.
Ja märkis domeeni, kus veebiserver asub.
Seejärel lisasime saidi lingi.
Ja valis SSL-i valikud.
See viib serveri seadistamise lõpule.
Pärast nende toimingute sooritamist pääseb saidile juurde ainult kasutaja, kellel on sertifikaadi ja loa PIN-kood.
Tuletame veel kord meelde, et vastavalt , väljastati kasutajale varem võtmetega žetoon ja sertifikaat, mis väljastati vastavalt mallile nagu Kiipkaardiga kasutaja.
Liigume nüüd edasi kasutaja arvuti seadistamise juurde. Ta peaks konfigureerima brauserid, mida ta kasutab kaitstud veebisaitidega ühenduse loomiseks.
2. samm – kasutaja arvuti seadistamine
Lihtsuse huvides oletame, et meie kasutajal on Windows 10.
Oletame ka, et tal on komplekt paigaldatud .
Draiverite komplekti installimine on valikuline, kuna tõenäoliselt saabub tokeni tugi Windows Update'i kaudu.
Kuid kui seda järsku ei juhtu, lahendab Windowsi jaoks mõeldud Rutokeni draiverite komplekti installimine kõik probleemid.
Ühendame märgi kasutaja arvutiga ja avame Rutokeni juhtpaneeli.
Vahekaardil Sertifikaadid Märkige nõutava sertifikaadi kõrval olev ruut, kui see pole märgitud.
Seega kontrollisime, et märk töötab ja sisaldab nõutavat sertifikaati.
Kõik brauserid peale Firefoxi konfigureeritakse automaatselt.
Sa ei pea nendega midagi erilist tegema.
Nüüd avage mis tahes brauser ja sisestage ressursi aadress.
Enne saidi laadimist avaneb aken sertifikaadi valimiseks ja seejärel token PIN-koodi sisestamise aken.
Kui seadme vaikimisi krüptoteenuse pakkujaks on valitud Aktiv ruToken CSP, siis avaneb teine aken PIN-koodi sisestamiseks.
Ja alles pärast selle edukat sisestamist brauserisse avaneb meie veebisait.
Firefoxi brauseri jaoks tuleb teha lisaseadeid.
Valige brauseri seadetes Privaatsus ja turvalisus. Jaos Sertifikaadid suruda Kaitseseade... Avaneb aken Seadmehaldus.
Klõpsake nuppu Lae alla, märkige nimi Rutoken EDS ja tee C:windowssystem32rtpkcs11ecp.dll.
See on kõik, Firefox teab nüüd, kuidas tokenit käsitleda ja võimaldab teil seda kasutades saidile sisse logida.
Muide, veebisaitidele loa abil sisselogimine töötab ka Mac-arvutites Safari, Chrome'i ja Firefoxi brauseris.
Peate lihtsalt Rutokeni veebisaidilt installima ja vaadake selles oleva märgi sertifikaati.
Safari, Chrome'i, Yandexi ja teisi brausereid pole vaja seadistada, peate lihtsalt avama saidi mõnes neist brauseritest.
Firefoxi brauser on konfigureeritud peaaegu samamoodi nagu Windowsis (Seaded - Täpsemalt - Sertifikaadid - Turvaseadmed). Ainult teeki tee on veidi erinev /Library/Akitv Co/Rutoken ECP/lib/librtpkcs11ecp.dylib.
Järeldused
Näitasime teile, kuidas seadistada kahefaktoriline autentimine veebisaitidel, kasutades krüptomärke. Nagu alati, ei vajanud me selleks lisatarkvara, välja arvatud Rutokeni süsteemiteegid.
Saate seda protseduuri teha mis tahes oma sisemiste ressurssidega ja samuti saate paindlikult konfigureerida kasutajarühmi, millel on juurdepääs saidile, nagu ka mujal Windows Serveris.
Kas kasutate serveri jaoks teist operatsioonisüsteemi?
Kui soovite, et kirjutaksime teiste operatsioonisüsteemide seadistamisest, siis kirjutage sellest artikli kommentaarides.
Allikas: www.habr.com