Tölvuþrjótar fengu aðgang að aðalpóstþjóni alþjóðafyrirtækisins Deloitte. Stjórnandareikningur þessa netþjóns var aðeins varinn með lykilorði.
Óháði austurríski rannsóknarmaðurinn David Wind fékk 5 dala verðlaun fyrir að uppgötva veikleika á innskráningarsíðu Google innra netsins.
91% rússneskra fyrirtækja fela gagnaleka.
Slíkar fréttir má finna nánast á hverjum degi í fréttastraumum á netinu. Þetta er bein sönnun þess að innri þjónustu fyrirtækisins verði að vernda.
Og því stærra sem fyrirtækið er, því fleiri starfsmenn sem það hefur og því flóknari sem innri upplýsingatækniinnviðir þess eru, því brýnni er vandamálið varðandi upplýsingaleka fyrir það. Hvaða upplýsingar eru áhugaverðar fyrir árásarmenn og hvernig á að vernda þær?
Hvers konar upplýsingaleki gæti skaðað fyrirtækið?
- upplýsingar um viðskiptavini og viðskipti;
- tæknilegar upplýsingar um vöru og þekkingu;
- upplýsingar um samstarfsaðila og sértilboð;
- persónuupplýsingar og bókhald.
Og ef þú skilur að einhverjar upplýsingar af listanum hér að ofan eru aðgengilegar frá hvaða hluta netkerfisins sem er, aðeins gegn framvísun notandanafns og lykilorðs, þá ættir þú að hugsa um að auka gagnaöryggisstigið og vernda það gegn óviðkomandi aðgangi.
Tveggja þátta auðkenning með dulritunarmiðlum vélbúnaðar (tákn eða snjallkort) hefur getið sér orð fyrir að vera mjög áreiðanleg og á sama tíma frekar auðveld í notkun.
Við skrifum um kosti tveggja þátta auðkenningar í næstum hverri grein. Þú getur lesið meira um þetta í greinum um и .
Í þessari grein munum við sýna þér hvernig á að nota tvíþætta auðkenningu til að skrá þig inn á innri gáttir fyrirtækisins.
Sem dæmi munum við taka heppilegasta líkanið til fyrirtækjanotkunar, Rutoken - dulmáls USB-tákn .
Byrjum á uppsetningunni.
Skref 1 — Uppsetning netþjóns
Grunnur hvers netþjóns er stýrikerfið. Í okkar tilviki er þetta Windows Server 2016. Og ásamt því og öðrum stýrikerfum Windows fjölskyldunnar er IIS (Internet Information Services) dreift.
IIS er hópur netþjóna, þar á meðal vefþjónn og FTP netþjónn. IIS inniheldur forrit til að búa til og stjórna vefsíðum.
IIS er hannað til að byggja upp vefþjónustur með því að nota notendareikninga sem lén eða Active Directory býður upp á. Þetta gerir þér kleift að nota núverandi notendagagnagrunna.
В Við lýstum í smáatriðum hvernig á að setja upp og stilla vottunaryfirvöld á netþjóninum þínum. Nú munum við ekki staldra við þetta í smáatriðum, heldur gera ráð fyrir að allt sé nú þegar stillt. HTTPS vottorðið fyrir vefþjóninn verður að vera rétt gefið út. Það er betra að athuga þetta strax.
Windows Server 2016 kemur með IIS útgáfu 10.0 innbyggða.
Ef IIS er uppsett, þá er allt sem eftir er að stilla það rétt.
Við val á hlutverkaþjónustu höfum við hakað við reitinn Grunn auðkenning.
Síðan inn Internet upplýsingaþjónustustjóri kveikt á Grunn auðkenning.
Og gaf til kynna lénið þar sem vefþjónninn er staðsettur.
Síðan bættum við við síðutengli.
Og valið SSL valkostina.
Þetta lýkur uppsetningu netþjónsins.
Eftir að hafa lokið þessum skrefum mun aðeins notandi sem hefur auðkenni með vottorði og auðkenni PIN-númers geta opnað síðuna.
Við minnum enn og aftur á að skv , notandanum var áður gefið út tákn með lyklum og skírteini gefið út samkvæmt sniðmáti eins og Notandi með snjallkort.
Nú skulum við halda áfram að setja upp tölvu notandans. Hann ætti að stilla vafrana sem hann mun nota til að tengjast vernduðum vefsíðum.
Skref 2 — Uppsetning á tölvu notandans
Til einföldunar, við skulum gera ráð fyrir að notandi okkar sé með Windows 10.
Gerum líka ráð fyrir að hann hafi sett upp settið .
Að setja upp rekla er valfrjálst, þar sem líklegast stuðningur við táknið mun berast í gegnum Windows Update.
En ef þetta gerist skyndilega ekki, þá mun það leysa öll vandamálin að setja upp Rutoken Drivers fyrir Windows.
Tengjum táknið við tölvu notandans og opnum Rutoken stjórnborðið.
Í flipanum Vottorð Hakaðu í reitinn við hlið áskilins vottorðs ef ekki er hakað við það.
Þannig staðfestum við að táknið virki og inniheldur tilskilið vottorð.
Allir vafrar nema Firefox eru stilltir sjálfkrafa.
Þú þarft ekki að gera neitt sérstakt við þá.
Opnaðu nú hvaða vafra sem er og sláðu inn heimilisfang tilfangsins.
Áður en síðan hleðst upp opnast gluggi til að velja vottorð og síðan gluggi til að slá inn PIN-kóða.
Ef Aktiv ruToken CSP er valið sem sjálfgefinn dulritunaraðili fyrir tækið, þá opnast annar gluggi til að slá inn PIN-númerið.
Og aðeins eftir að hafa slegið það inn í vafranum mun vefsíðan okkar opnast.
Fyrir Firefox vafra þarf að gera fleiri stillingar.
Í stillingum vafrans skaltu velja Persónuvernd og öryggi. Í kafla Vottorð að ýta Verndarbúnaður... Þá opnast gluggi Tækjastjórnun.
Ýttu á Niðurhal, tilgreinið nafnið Rutoken EDS og slóðina C:windowssystem32rtpkcs11ecp.dll.
Það er það, Firefox veit nú hvernig á að meðhöndla táknið og gerir þér kleift að skrá þig inn á síðuna með því að nota það.
Við the vegur, innskráning með tákni á vefsíður virkar líka á Macs í Safari, Chrome og Firefox vafranum.
Þú þarft bara að setja upp Rutoken frá vefsíðunni og sjá vottorðið á tákninu í því.
Það er engin þörf á að stilla Safari, Chrome, Yandex og aðra vafra; þú þarft bara að opna síðuna í einhverjum af þessum vöfrum.
Firefox vafrinn er stilltur á nánast sama hátt og í Windows (Stillingar - Ítarlegt - Vottorð - Öryggistæki). Aðeins leiðin að bókasafninu er aðeins öðruvísi /Library/Akitv Co/Rutoken ECP/lib/librtpkcs11ecp.dylib.
Niðurstöður
Við sýndum þér hvernig á að setja upp tvíþætta auðkenningu á vefsíðum með því að nota dulkóðunartákn. Eins og alltaf þurftum við engan viðbótarhugbúnað fyrir þetta, nema Rutoken kerfissöfnin.
Þú getur framkvæmt þessa aðferð með hvaða innri auðlindum sem er og þú getur líka stillt notendahópa á sveigjanlegan hátt sem munu hafa aðgang að síðunni, alveg eins og annars staðar í Windows Server.
Ertu að nota annað stýrikerfi fyrir þjóninn?
Ef þú vilt að við skrifum um uppsetningu annarra stýrikerfa, skrifaðu þá um það í athugasemdum við greinina.
Heimild: www.habr.com