Hackere fikk tilgang til hovedpostserveren til det internasjonale selskapet Deloitte. Administratorkontoen for denne serveren ble kun beskyttet av et passord.
Den uavhengige østerrikske forsker David Wind mottok en belønning på $5 XNUMX for å ha oppdaget en sårbarhet på Googles intranett-påloggingsside.
91 % av russiske selskaper skjuler datalekkasjer.
Slike nyheter finner du nesten hver dag i nyhetsfeeds på Internett. Dette er et direkte bevis på at selskapets interne tjenester må beskyttes.
Og jo større bedriften er, jo flere ansatte den har og jo mer kompleks den interne IT-infrastrukturen er, jo mer presserende er problemet med informasjonslekkasje for det. Hvilken informasjon er av interesse for angripere, og hvordan kan den beskyttes?
Hva slags informasjonslekkasje kan skade selskapet?
- informasjon om kunder og transaksjoner;
- teknisk produktinformasjon og kunnskap;
- informasjon om partnere og spesialtilbud;
- personopplysninger og regnskap.
Og hvis du forstår at noe informasjon fra listen ovenfor er tilgjengelig fra et hvilket som helst segment av nettverket ditt bare ved presentasjon av pålogging og passord, bør du tenke på å øke nivået av datasikkerhet og beskytte det mot uautorisert tilgang.
To-faktor autentisering ved bruk av hardware kryptografiske medier (tokens eller smartkort) har fått et rykte for å være svært pålitelig og samtidig ganske enkel å bruke.
Vi skriver om fordelene med tofaktorautentisering i nesten hver artikkel. Du kan lese mer om dette i artikler om и .
I denne artikkelen viser vi deg hvordan du bruker tofaktorautentisering for å logge på organisasjonens interne portaler.
Som et eksempel vil vi ta den best egnede modellen for bedriftsbruk, Rutoken - et kryptografisk USB-token .
La oss komme i gang med oppsettet.
Trinn 1 — Serveroppsett
Grunnlaget for enhver server er operativsystemet. I vårt tilfelle er dette Windows Server 2016. Og sammen med den og andre operativsystemer i Windows-familien distribueres IIS (Internet Information Services).
IIS er en gruppe Internett-servere, inkludert en webserver og en FTP-server. IIS inkluderer applikasjoner for å lage og administrere nettsteder.
IIS er utviklet for å bygge webtjenester ved å bruke brukerkontoer levert av et domene eller Active Directory. Dette lar deg bruke eksisterende brukerdatabaser.
В Vi beskrev i detalj hvordan du installerer og konfigurerer sertifiseringsmyndigheten på serveren din. Nå skal vi ikke dvele ved dette i detalj, men vil anta at alt allerede er konfigurert. HTTPS-sertifikatet for webserveren må utstedes på riktig måte. Det er bedre å sjekke dette med en gang.
Windows Server 2016 kommer med IIS versjon 10.0 innebygd.
Hvis IIS er installert, gjenstår det bare å konfigurere den riktig.
På stadiet med valg av rolletjenester, merket vi av i boksen Grunnleggende autentisering.
Så inn Internet Information Services Manager skrudd på Grunnleggende autentisering.
Og indikerte domenet der webserveren er plassert.
Så la vi til en nettstedslenke.
Og valgte SSL-alternativene.
Dette fullfører serveroppsettet.
Etter å ha fullført disse trinnene, vil bare en bruker som har et token med et sertifikat og en token-PIN få tilgang til nettstedet.
Vi minner nok en gang om at iht , brukeren ble tidligere utstedt et token med nøkler og et sertifikat utstedt i henhold til en mal som Bruker med smartkort.
La oss nå gå videre til å sette opp brukerens datamaskin. Han bør konfigurere nettleserne han vil bruke for å koble til beskyttede nettsteder.
Trinn 2 — Sette opp brukerens datamaskin
For enkelhets skyld, la oss anta at brukeren vår har Windows 10.
La oss også anta at han har settet installert .
Installering av et sett med drivere er valgfritt, siden mest sannsynlig støtte for tokenet kommer via Windows Update.
Men hvis dette plutselig ikke skjer, vil installasjon av et sett med Rutoken-drivere for Windows løse alle problemene.
La oss koble tokenet til brukerens datamaskin og åpne Rutoken-kontrollpanelet.
I fanen Sertifikater Merk av i boksen ved siden av det nødvendige sertifikatet hvis det ikke er merket av.
Dermed bekreftet vi at tokenet fungerer og inneholder det nødvendige sertifikatet.
Alle nettlesere unntatt Firefox konfigureres automatisk.
Du trenger ikke gjøre noe spesielt med dem.
Åpne nå hvilken som helst nettleser og skriv inn ressursadressen.
Før siden lastes inn, åpnes et vindu for valg av sertifikat, og deretter et vindu for å angi token-PIN-koden.
Hvis Aktiv ruToken CSP er valgt som standard kryptoleverandør for enheten, åpnes et annet vindu for å angi PIN-koden.
Og først etter vellykket inntasting i nettleseren vil nettstedet vårt åpne.
For Firefox-nettleseren må flere innstillinger gjøres.
Velg i nettleserinnstillingene Personvern og sikkerhet. I seksjonen Sertifikater trykk Beskyttelsesenhet... Et vindu åpnes Enhetsadministrasjon.
trykk nedlasting, angi navnet Rutoken EDS og banen C:windowssystem32rtpkcs11ecp.dll.
Det er det, Firefox vet nå hvordan man håndterer tokenet og lar deg logge på nettstedet ved å bruke det.
Forresten, pålogging med token til nettsteder fungerer også på Mac-er i nettleseren Safari, Chrome og Firefox.
Du trenger bare å installere Rutoken fra nettstedet og se sertifikatet på tokenet i den.
Det er ikke nødvendig å konfigurere Safari, Chrome, Yandex og andre nettlesere; du trenger bare å åpne nettstedet i en av disse nettleserne.
Firefox-nettleseren er konfigurert på nesten samme måte som i Windows (Innstillinger - Avansert - Sertifikater - Sikkerhetsenheter). Bare banen til biblioteket er litt annerledes /Library/Akitv Co/Rutoken ECP/lib/librtpkcs11ecp.dylib.
Funn
Vi viste deg hvordan du setter opp tofaktorautentisering på nettsteder ved hjelp av kryptografiske tokens. Som alltid trengte vi ingen ekstra programvare for dette, bortsett fra Rutoken-systembibliotekene.
Du kan gjøre denne prosedyren med alle dine interne ressurser, og du kan også fleksibelt konfigurere brukergrupper som skal ha tilgang til nettstedet, akkurat som hvor som helst ellers i Windows Server.
Bruker du et annet OS for serveren?
Hvis du vil at vi skal skrive om å sette opp andre operativsystemer, så skriv om det i kommentarene til artikkelen.
Kilde: www.habr.com