ハッカーは国際企業デロイトのメインメールサーバーにアクセスしました。 このサーバーの管理者アカウントはパスワードによってのみ保護されていました。
オーストリアの独立研究者 David Wind は、Google イントラネット ログイン ページの脆弱性を発見して 5 ドルの報奨金を受け取りました。
ロシア企業の91%はデータ漏洩を隠している。
このようなニュースは、インターネットのニュースフィードでほぼ毎日見つかります。 これは、企業の内部サービスを保護する必要があることの直接的な証拠です。
そして、企業が大きくなるほど、従業員の数が増え、社内の IT インフラストラクチャが複雑になるほど、情報漏洩の問題はより差し迫ったものになります。 攻撃者にとって興味のある情報は何ですか?またそれを保護する方法は何ですか?
どのような情報漏洩が会社に損害を与える可能性がありますか?
- 顧客と取引に関する情報。
- 製品の技術情報とノウハウ。
- パートナーと特別オファーに関する情報。
- 個人データと会計。
また、上記のリストの一部の情報は、ログイン名とパスワードを提示した場合にのみ、ネットワークのどのセグメントからもアクセスできることを理解している場合は、データ セキュリティのレベルを高め、不正アクセスから保護することを検討する必要があります。
ハードウェア暗号化メディア (トークンまたはスマート カード) を使用した XNUMX 要素認証は、非常に信頼性が高く、同時に非常に使いやすいという評判を得ています。
私たちはほぼすべての記事で XNUMX 要素認証の利点について書いています。 詳細については、次の記事を参照してください。 и .
この記事では、XNUMX 要素認証を使用して組織の内部ポータルにログインする方法を説明します。
例として、法人利用に最適な暗号化USBトークン「Rutoken」を取り上げます。 .
セットアップを始めましょう。
ステップ 1 — サーバーのセットアップ
サーバーの基礎となるのはオペレーティング システムです。 この例では、これは Windows Server 2016 です。また、Windows Server XNUMX および Windows ファミリの他のオペレーティング システムとともに、IIS (インターネット インフォメーション サービス) が配布されます。
IIS は、Web サーバーや FTP サーバーを含むインターネット サーバーのグループです。 IIS には、Web サイトを作成および管理するためのアプリケーションが含まれています。
IIS は、ドメインまたは Active Directory によって提供されるユーザー アカウントを使用して Web サービスを構築するように設計されています。 これにより、既存のユーザー データベースを使用できるようになります。
В サーバーに証明機関をインストールして構成する方法について詳しく説明しました。 ここでは、これについては詳しく説明しませんが、すべてがすでに構成されているものと仮定します。 Web サーバーの HTTPS 証明書が正しく発行されている必要があります。 これはすぐに確認した方が良いですよ。
Windows Server 2016 には、IIS バージョン 10.0 が組み込まれています。
IIS がインストールされている場合、あとはそれを正しく構成するだけです。
役割サービスを選択する段階で、チェックボックスをオンにしました 基本認証.
その後、 インターネット インフォメーション サービス マネージャー オンにしました 基本認証.
Web サーバーが配置されているドメインを示しました。
次に、サイトリンクを追加しました。
そしてSSLオプションを選択しました。
これでサーバーのセットアップは完了です。
これらの手順を完了すると、証明書とトークン PIN を持つトークンを持つユーザーのみがサイトにアクセスできるようになります。
によると、もう一度注意してください。 、ユーザーは以前に、次のようなテンプレートに従って発行されたキーと証明書を含むトークンを発行されていました。 スマートカードを持つユーザー.
次に、ユーザーのコンピュータのセットアップに進みましょう。 保護された Web サイトへの接続に使用するブラウザを設定する必要があります。
ステップ 2 — ユーザーのコンピュータをセットアップする
話を簡単にするために、ユーザーが Windows 10 を使用していると仮定します。
彼がキットをインストールしていると仮定しましょう .
トークンのサポートは Windows Update 経由で提供される可能性が高いため、ドライバーのセットのインストールはオプションです。
ただし、これが突然起こらない場合は、Windows 用の Rutoken ドライバーのセットをインストールすると、すべての問題が解決されます。
トークンをユーザーのコンピュータに接続し、Rutoken コントロール パネルを開きます。
タブ 証明書 必要な証明書の横にあるボックスがチェックされていない場合は、チェックを入れます。
したがって、トークンが機能し、必要な証明書が含まれていることを確認しました。
Firefox を除くすべてのブラウザは自動的に設定されます。
それらに対して特別なことをする必要はありません。
次に、任意のブラウザを開いてリソース アドレスを入力します。
サイトが読み込まれる前に、証明書を選択するためのウィンドウが開き、次にトークン PIN コードを入力するためのウィンドウが開きます。
Aktiv ruToken CSP がデバイスのデフォルト暗号プロバイダーとして選択されている場合は、PIN コードを入力するための別のウィンドウが開きます。
ブラウザに入力が成功した場合にのみ、当社の Web サイトが開きます。
Firefox ブラウザの場合は、追加の設定を行う必要があります。
ブラウザの設定で選択します プライバシーとセキュリティ。 セクション内 証明書 プッシュする 保護装置。 窓が開きます 端末管理.
を押す ダウンロード、名前 Rutoken EDS とパス C:windowssystem32rtpkcs11ecp.dll を示します。
これで、Firefox はトークンの処理方法を認識し、それを使用してサイトにログインできるようになりました。
ちなみに、トークンを使用した Web サイトへのログインは、Mac の Safari、Chrome、Firefox ブラウザーでも機能します。
Web サイトから Rutoken をインストールするだけです その中のトークンの証明書を確認します。
Safari、Chrome、Yandex などのブラウザを設定する必要はなく、これらのブラウザのいずれかでサイトを開くだけで済みます。
Firefox ブラウザは、Windows とほぼ同じ方法で設定されます ([設定] - [詳細設定] - [証明書] - [セキュリティ デバイス])。 ライブラリへのパスが少し異なるだけです /Library/Akitv Co/Rutoken ECP/lib/librtpkcs11ecp.dylib。
所見
暗号トークンを使用して Web サイトに XNUMX 要素認証を設定する方法を説明しました。 いつものように、Rutoken システム ライブラリを除いて、このために追加のソフトウェアは必要ありませんでした。
この手順は任意の内部リソースで実行でき、Windows Server の他の場所と同様に、サイトにアクセスできるユーザー グループを柔軟に構成することもできます。
サーバーに別のOSを使用していますか?
他のオペレーティング システムのセットアップについて書いてほしい場合は、記事のコメントに書いてください。
出所: habr.com