Penggodam mendapat akses ke pelayan mel utama syarikat antarabangsa Deloitte. Akaun pentadbir untuk pelayan ini hanya dilindungi oleh kata laluan.
Penyelidik bebas Austria David Wind menerima ganjaran $5 kerana menemui kelemahan dalam halaman log masuk intranet Google.
91% syarikat Rusia menyembunyikan kebocoran data.
Berita sedemikian boleh didapati hampir setiap hari dalam suapan berita Internet. Ini adalah bukti langsung bahawa perkhidmatan dalaman syarikat mesti dilindungi.
Dan semakin besar syarikat itu, semakin ramai pekerjanya dan semakin kompleks infrastruktur IT dalamannya, semakin mendesak masalah kebocoran maklumat untuknya. Apakah maklumat yang menarik minat penyerang dan cara melindunginya?
Apakah jenis kebocoran maklumat yang boleh membahayakan syarikat?
- maklumat tentang pelanggan dan transaksi;
- maklumat produk teknikal dan pengetahuan;
- maklumat tentang rakan kongsi dan tawaran istimewa;
- data peribadi dan perakaunan.
Dan jika anda memahami bahawa beberapa maklumat daripada senarai di atas boleh diakses daripada mana-mana segmen rangkaian anda hanya selepas pembentangan log masuk dan kata laluan, maka anda harus memikirkan tentang meningkatkan tahap keselamatan data dan melindunginya daripada akses tanpa kebenaran.
Pengesahan dua faktor menggunakan media kriptografi perkakasan (token atau kad pintar) telah memperoleh reputasi sebagai sangat dipercayai dan pada masa yang sama agak mudah digunakan.
Kami menulis tentang faedah pengesahan dua faktor dalam hampir setiap artikel. Anda boleh membaca lebih lanjut tentang ini dalam artikel tentang ΠΈ .
Dalam artikel ini, kami akan menunjukkan kepada anda cara menggunakan pengesahan dua faktor untuk log masuk ke portal dalaman organisasi anda.
Sebagai contoh, kami akan mengambil model yang paling sesuai untuk kegunaan korporat, Rutoken - token USB kriptografi .
Mari mulakan dengan persediaan.
Langkah 1 β Persediaan Pelayan
Asas mana-mana pelayan adalah sistem pengendalian. Dalam kes kami, ini adalah Windows Server 2016. Dan bersama-sama dengannya dan sistem pengendalian lain keluarga Windows, IIS (Perkhidmatan Maklumat Internet) diedarkan.
IIS ialah sekumpulan pelayan Internet, termasuk pelayan web dan pelayan FTP. IIS termasuk aplikasi untuk mencipta dan mengurus tapak web.
IIS direka bentuk untuk membina perkhidmatan web menggunakan akaun pengguna yang disediakan oleh domain atau Active Directory. Ini membolehkan anda menggunakan pangkalan data pengguna sedia ada.
Π Kami menerangkan secara terperinci cara memasang dan mengkonfigurasi Pihak Berkuasa Pensijilan pada pelayan anda. Sekarang kita tidak akan memikirkan perkara ini secara terperinci, tetapi akan menganggap bahawa semuanya sudah dikonfigurasikan. Sijil HTTPS untuk pelayan web mesti dikeluarkan dengan betul. Adalah lebih baik untuk menyemak ini dengan segera.
Windows Server 2016 dilengkapi dengan IIS versi 10.0 terbina dalam.
Jika IIS dipasang, maka yang tinggal hanyalah mengkonfigurasinya dengan betul.
Pada peringkat memilih perkhidmatan peranan, kami menandakan kotak Pengesahan asas.
Kemudian masuk Pengurus Perkhidmatan Maklumat Internet terangsang Pengesahan asas.
Dan menunjukkan domain di mana pelayan web berada.
Kemudian kami menambah pautan tapak.
Dan memilih pilihan SSL.
Ini melengkapkan persediaan pelayan.
Selepas melengkapkan langkah ini, hanya pengguna yang mempunyai token dengan sijil dan PIN token akan dapat mengakses tapak.
Kami mengingatkan anda sekali lagi bahawa mengikut , pengguna sebelum ini telah mengeluarkan token dengan kunci dan sijil yang dikeluarkan mengikut templat seperti Pengguna dengan kad pintar.
Sekarang mari kita beralih kepada menyediakan komputer pengguna. Dia harus mengkonfigurasi penyemak imbas yang akan digunakannya untuk menyambung ke tapak web yang dilindungi.
Langkah 2 β Menyediakan komputer pengguna
Untuk kesederhanaan, mari kita anggap bahawa pengguna kita mempunyai Windows 10.
Anggap juga dia telah memasang kit itu .
Memasang set pemacu adalah pilihan, kerana kemungkinan besar sokongan untuk token akan tiba melalui Kemas Kini Windows.
Tetapi jika ini tiba-tiba tidak berlaku, maka memasang satu set Pemacu Rutoken untuk Windows akan menyelesaikan semua masalah.
Mari sambungkan token ke komputer pengguna dan buka Panel Kawalan Rutoken.
Di tab Sijil Tandai kotak di sebelah sijil yang diperlukan jika ia tidak ditandakan.
Oleh itu, kami mengesahkan bahawa token itu berfungsi dan mengandungi sijil yang diperlukan.
Semua pelayar kecuali Firefox dikonfigurasikan secara automatik.
Anda tidak perlu melakukan sesuatu yang istimewa dengan mereka.
Sekarang buka mana-mana penyemak imbas dan masukkan alamat sumber.
Sebelum tapak dimuatkan, tetingkap akan dibuka untuk memilih sijil, dan kemudian tetingkap untuk memasukkan kod PIN token.
Jika Aktiv ruToken CSP dipilih sebagai pembekal kripto lalai untuk peranti, tetingkap lain akan dibuka untuk memasukkan kod PIN.
Dan hanya selepas berjaya memasukkannya dalam pelayar laman web kami akan dibuka.
Untuk pelayar Firefox, tetapan tambahan mesti dibuat.
Dalam tetapan penyemak imbas anda pilih Privasi dan Keselamatan. Dalam bahagian ini Sijil untuk menekan Peranti Perlindungan. Satu tetingkap akan dibuka Pengurusan peranti.
Klik Turun, nyatakan nama Rutoken EDS dan laluan C:windowssystem32rtpkcs11ecp.dll.
Itu sahaja, Firefox kini tahu cara mengendalikan token dan membolehkan anda log masuk ke tapak menggunakannya.
Dengan cara ini, log masuk menggunakan token ke tapak web juga berfungsi pada Mac dalam penyemak imbas Safari, Chrome dan Firefox.
Anda hanya perlu memasang Rutoken dari tapak web dan lihat sijil pada token di dalamnya.
Tidak perlu mengkonfigurasi Safari, Chrome, Yandex dan penyemak imbas lain; anda hanya perlu membuka tapak dalam mana-mana penyemak imbas ini.
Pelayar Firefox dikonfigurasikan dengan cara yang hampir sama seperti dalam Windows (Tetapan - Lanjutan - Sijil - Peranti keselamatan). Hanya laluan ke perpustakaan berbeza sedikit /Library/Akitv Co/Rutoken ECP/lib/librtpkcs11ecp.dylib.
Penemuan
Kami menunjukkan kepada anda cara untuk menyediakan pengesahan dua faktor di tapak web menggunakan token kriptografi. Seperti biasa, kami tidak memerlukan sebarang perisian tambahan untuk ini, kecuali untuk perpustakaan sistem Rutoken.
Anda boleh melakukan prosedur ini dengan mana-mana sumber dalaman anda, dan anda juga boleh mengkonfigurasi kumpulan pengguna secara fleksibel yang akan mempunyai akses kepada tapak, sama seperti mana-mana tempat lain dalam Pelayan Windows.
Adakah anda menggunakan OS yang berbeza untuk pelayan?
Jika anda mahu kami menulis tentang menyediakan sistem pengendalian lain, kemudian tulis mengenainya dalam ulasan artikel.
Sumber: www.habr.com