Hakkerit pääsivät kansainvälisen Deloitten pääpostipalvelimelle. Tämän palvelimen järjestelmänvalvojan tili oli suojattu vain salasanalla.
Riippumaton itävaltalainen tutkija David Wind sai 5 XNUMX dollarin palkinnon Googlen intranet-kirjautumissivun haavoittuvuuden löytämisestä.
91 % venäläisistä yrityksistä piilottaa tietovuodot.
Tällaisia uutisia löytyy lähes päivittäin Internetin uutissyötteistä. Tämä on suora todiste siitä, että yrityksen sisäisiä palveluita tulee suojata.
Ja mitä suurempi yritys, mitä enemmän sillä on työntekijöitä ja mitä monimutkaisempi on sen sisäinen IT-infrastruktuuri, sitä kiireellisempi tietovuodon ongelma sille on. Mitkä tiedot kiinnostavat hyökkääjiä ja miten niitä voidaan suojata?
Millainen tietovuoto voi vahingoittaa yritystä?
- tiedot asiakkaista ja liiketoimista;
- tekniset tuotetiedot ja taitotieto;
- tiedot kumppaneista ja erikoistarjouksista;
- henkilötiedot ja kirjanpito.
Ja jos ymmärrät, että osa yllä olevan luettelon tiedoista on käytettävissä mistä tahansa verkkosi segmentistä vain sisäänkirjautumisen ja salasanan avulla, sinun tulee harkita tietoturvatason nostamista ja suojaamista luvattomalta käytöltä.
Kaksivaiheinen todennus laitteiston salausvälineillä (tokenit tai älykortit) on ansainnut mainetta erittäin luotettavana ja samalla melko helppokäyttöisenä.
Kirjoitamme kaksivaiheisen todennuksen eduista melkein jokaisessa artikkelissa. Voit lukea lisää aiheesta artikkeleista и .
Tässä artikkelissa näytämme, kuinka voit käyttää kaksivaiheista todennusta organisaatiosi sisäisiin portaaleihin kirjautumiseen.
Esimerkkinä otamme yrityskäyttöön sopivimman mallin, Rutokenin - kryptografisen USB-tunnuksen .
Aloitetaan asetusten tekeminen.
Vaihe 1 – Palvelimen asennus
Minkä tahansa palvelimen perusta on käyttöjärjestelmä. Meidän tapauksessamme tämä on Windows Server 2016. Ja sen ja muiden Windows-perheen käyttöjärjestelmien kanssa jaetaan IIS (Internet Information Services).
IIS on ryhmä Internet-palvelimia, mukaan lukien web-palvelin ja FTP-palvelin. IIS sisältää sovelluksia verkkosivustojen luomiseen ja hallintaan.
IIS on suunniteltu rakentamaan verkkopalveluita käyttämällä verkkotunnuksen tai Active Directoryn tarjoamia käyttäjätilejä. Näin voit käyttää olemassa olevia käyttäjätietokantoja.
В Kuvasimme yksityiskohtaisesti, kuinka varmenneviranomainen asennetaan ja määritetään palvelimellesi. Nyt emme käsittele tätä yksityiskohtaisesti, vaan oletamme, että kaikki on jo määritetty. Web-palvelimen HTTPS-varmenne on annettava oikein. On parempi tarkistaa tämä heti.
Windows Server 2016:ssa on sisäänrakennettu IIS-versio 10.0.
Jos IIS on asennettu, ei tarvitse muuta kuin määrittää se oikein.
Valitsimme valintaruudun roolipalveluiden valintavaiheessa Perustodennus.
Sitten sisään Internet-tietopalvelupäällikkö kytketty päälle Perustodennus.
Ja ilmoitti verkkotunnuksen, jossa verkkopalvelin sijaitsee.
Sitten lisäsimme sivustolinkin.
Ja valitsi SSL-asetukset.
Tämä päättää palvelimen asennuksen.
Kun olet suorittanut nämä vaiheet, vain käyttäjä, jolla on varmenne ja tunnuksen PIN-koodi, voi käyttää sivustoa.
Muistutamme vielä kerran, että mukaan , käyttäjälle on aiemmin myönnetty avaimilla varustettu tunnus ja mallin mukaan myönnetty varmenne Käyttäjä älykortin kanssa.
Siirrytään nyt käyttäjän tietokoneen määrittämiseen. Hänen tulee määrittää selaimet, joita hän käyttää muodostaessaan yhteyden suojatuille verkkosivustoille.
Vaihe 2 – Määritä käyttäjän tietokone
Yksinkertaisuuden vuoksi oletetaan, että käyttäjällämme on Windows 10.
Oletetaan myös, että hänellä on sarja asennettuna .
Ohjainten asentaminen on valinnaista, koska todennäköisesti tuki tunnukselle saapuu Windows Updaten kautta.
Mutta jos näin ei yhtäkkiä tapahdu, Rutoken-ajureiden asentaminen Windowsille ratkaisee kaikki ongelmat.
Yhdistetään token käyttäjän tietokoneeseen ja avataan Rutoken-ohjauspaneeli.
Välilehdessä Sertifikaatit Valitse vaaditun varmenteen vieressä oleva valintaruutu, jos sitä ei ole valittu.
Näin ollen varmistimme, että tunnus toimii ja sisältää vaaditun varmenteen.
Kaikki selaimet paitsi Firefox määritetään automaattisesti.
Sinun ei tarvitse tehdä niiden kanssa mitään erityistä.
Avaa nyt mikä tahansa selain ja kirjoita resurssin osoite.
Ennen kuin sivusto latautuu, avautuu ikkuna, jossa valitaan varmenne, ja sitten ikkuna PIN-koodin syöttämistä varten.
Jos Aktiv ruToken CSP on valittu laitteen oletussalauspalveluntarjoajaksi, avautuu toinen ikkuna PIN-koodin syöttämistä varten.
Ja vasta sen jälkeen, kun se on syötetty onnistuneesti selaimeen, verkkosivustomme avautuu.
Firefox-selaimelle on tehtävä lisäasetuksia.
Valitse selaimesi asetuksista Yksityisyys ja turvallisuus. Kohdassa Sertifikaatit painaa Suojauslaite... Ikkuna avautuu Laitehallinta.
lehdistö Lataa, ilmoita nimi Rutoken EDS ja polku C:windowssystem32rtpkcs11ecp.dll.
Siinä kaikki, Firefox tietää nyt kuinka käsitellä tokenia ja antaa sinun kirjautua sivustolle sen avulla.
Muuten, kirjautuminen tunnuksella verkkosivustoille toimii myös Mac-tietokoneissa Safari-, Chrome- ja Firefox-selaimella.
Sinun tarvitsee vain asentaa Rutoken verkkosivustolta ja katso sertifikaatti siinä olevasta tunnuksesta.
Ei tarvitse määrittää Safari-, Chrome-, Yandex- ja muita selaimia; sinun tarvitsee vain avata sivusto missä tahansa näistä selaimista.
Firefox-selain on määritetty lähes samalla tavalla kuin Windowsissa (Asetukset - Lisäasetukset - Sertifikaatit - Suojauslaitteet). Vain polku kirjastoon on hieman erilainen /Library/Akitv Co/Rutoken ECP/lib/librtpkcs11ecp.dylib.
Tulokset
Näitimme sinulle, kuinka voit määrittää kaksivaiheisen todennuksen verkkosivustoille salaustunnuksilla. Kuten aina, emme tarvinneet tähän muita ohjelmistoja lukuun ottamatta Rutoken-järjestelmäkirjastoja.
Voit tehdä tämän toimenpiteen millä tahansa sisäisillä resursseillasi ja voit myös määrittää joustavasti käyttäjäryhmiä, joilla on pääsy sivustoon, aivan kuten missä tahansa muuallakin Windows Serverissä.
Käytätkö eri käyttöjärjestelmää palvelimelle?
Jos haluat meidän kirjoittavan muiden käyttöjärjestelmien määrittämisestä, kirjoita siitä artikkelin kommentteihin.
Lähde: will.com