การตรวจสอบสิทธิ์แบบสองปัจจัยบนไซต์โดยใช้โทเค็น USB จะทำให้การเข้าสู่ระบบพอร์ทัลบริการปลอดภัยได้อย่างไร?

แฮกเกอร์สามารถเข้าถึงเมลเซิร์ฟเวอร์หลักของบริษัทระหว่างประเทศ Deloitte ได้ บัญชีผู้ดูแลระบบสำหรับเซิร์ฟเวอร์นี้ได้รับการป้องกันด้วยรหัสผ่านเท่านั้น

David Wind นักวิจัยอิสระชาวออสเตรียได้รับรางวัล 5 ดอลลาร์จากการค้นพบช่องโหว่ในหน้าเข้าสู่ระบบอินทราเน็ตของ Google

91% ของบริษัทรัสเซียซ่อนข้อมูลรั่วไหล

ข่าวดังกล่าวสามารถพบได้เกือบทุกวันในฟีดข่าวทางอินเทอร์เน็ต นี่เป็นหลักฐานโดยตรงว่าบริการภายในของบริษัทต้องได้รับการคุ้มครอง

และยิ่งบริษัทมีขนาดใหญ่เท่าใด ยิ่งมีพนักงานมากขึ้นเท่านั้น และยิ่งโครงสร้างพื้นฐานด้านไอทีภายในมีความซับซ้อนมากขึ้นเท่าไร ปัญหาการรั่วไหลของข้อมูลก็ยิ่งกดดันมากขึ้นเท่านั้น ข้อมูลใดบ้างที่เป็นที่สนใจของผู้โจมตีและจะป้องกันข้อมูลดังกล่าวได้อย่างไร?

การรั่วไหลของข้อมูลประเภทใดที่อาจเป็นอันตรายต่อบริษัท?

• ข้อมูลเกี่ยวกับลูกค้าและธุรกรรม
• ข้อมูลทางเทคนิคของผลิตภัณฑ์และความรู้ความชำนาญ
• ข้อมูลเกี่ยวกับพันธมิตรและข้อเสนอพิเศษ
• ข้อมูลส่วนบุคคลและการบัญชี

และหากคุณเข้าใจว่าข้อมูลบางอย่างจากรายการด้านบนสามารถเข้าถึงได้จากส่วนใด ๆ ของเครือข่ายของคุณเมื่อมีการแสดงข้อมูลเข้าสู่ระบบและรหัสผ่านเท่านั้น คุณควรคิดถึงการเพิ่มระดับความปลอดภัยของข้อมูลและปกป้องจากการเข้าถึงโดยไม่ได้รับอนุญาต

การตรวจสอบสิทธิ์แบบสองปัจจัยโดยใช้สื่อการเข้ารหัสฮาร์ดแวร์ (โทเค็นหรือสมาร์ทการ์ด) ได้รับชื่อเสียงในด้านความน่าเชื่อถือสูงและในขณะเดียวกันก็ค่อนข้างใช้งานง่าย

เราเขียนเกี่ยวกับประโยชน์ของการรับรองความถูกต้องด้วยสองปัจจัยในเกือบทุกบทความ คุณสามารถอ่านเพิ่มเติมเกี่ยวกับสิ่งนี้ได้ในบทความเกี่ยวกับ วิธีปกป้องบัญชีในโดเมน Windows и อีเมล.

ในบทความนี้ เราจะแสดงวิธีใช้การรับรองความถูกต้องด้วยสองปัจจัยเพื่อเข้าสู่ระบบพอร์ทัลภายในองค์กรของคุณ

ตัวอย่างเช่น เราจะใช้โมเดลที่เหมาะสมที่สุดสำหรับการใช้งานในองค์กร Rutoken ซึ่งเป็นโทเค็น USB ที่เข้ารหัส รูโทเคน EDS PKI.

เริ่มต้นด้วยการตั้งค่า

ขั้นตอนที่ 1 — การตั้งค่าเซิร์ฟเวอร์

พื้นฐานของเซิร์ฟเวอร์คือระบบปฏิบัติการ ในกรณีของเรานี่คือ Windows Server 2016 และนอกเหนือจากนั้นและระบบปฏิบัติการอื่น ๆ ของตระกูล Windows แล้ว IIS (Internet Information Services) ก็ถูกเผยแพร่ด้วย

IIS คือกลุ่มของเซิร์ฟเวอร์อินเทอร์เน็ต รวมถึงเว็บเซิร์ฟเวอร์และเซิร์ฟเวอร์ FTP IIS มีแอปพลิเคชันสำหรับสร้างและจัดการเว็บไซต์

IIS ได้รับการออกแบบมาเพื่อสร้างบริการเว็บโดยใช้บัญชีผู้ใช้ที่ได้รับจากโดเมนหรือ Active Directory ซึ่งจะทำให้คุณสามารถใช้ฐานข้อมูลผู้ใช้ที่มีอยู่ได้

В บทความแรก เราได้อธิบายรายละเอียดวิธีการติดตั้งและกำหนดค่าผู้ออกใบรับรองบนเซิร์ฟเวอร์ของคุณ ตอนนี้เราจะไม่พูดถึงรายละเอียดนี้ แต่จะถือว่าทุกอย่างได้รับการกำหนดค่าแล้ว ต้องออกใบรับรอง HTTPS สำหรับเว็บเซิร์ฟเวอร์อย่างถูกต้อง ควรตรวจสอบเรื่องนี้ทันทีจะดีกว่า

Windows Server 2016 มาพร้อมกับ IIS เวอร์ชัน 10.0 ในตัว

หากติดตั้ง IIS ไว้ สิ่งที่เหลืออยู่คือการกำหนดค่าให้ถูกต้อง

ในขั้นตอนของการเลือกบริการตามบทบาท เราได้ทำเครื่องหมายในช่อง การรับรองความถูกต้องเบื้องต้น.

จากนั้นใน ผู้จัดการฝ่ายบริการข้อมูลทางอินเทอร์เน็ต เปิด การรับรองความถูกต้องขั้นพื้นฐาน.

และระบุโดเมนที่เว็บเซิร์ฟเวอร์ตั้งอยู่

จากนั้นเราก็เพิ่มลิงค์เว็บไซต์

และเลือกตัวเลือก SSL

เสร็จสิ้นการตั้งค่าเซิร์ฟเวอร์

หลังจากทำตามขั้นตอนเหล่านี้แล้ว เฉพาะผู้ใช้ที่มีโทเค็นที่มีใบรับรองและ PIN โทเค็นเท่านั้นที่จะสามารถเข้าถึงไซต์ได้

เราขอเตือนคุณอีกครั้งว่าตาม บทความแรกก่อนหน้านี้ผู้ใช้เคยออกโทเค็นพร้อมคีย์และใบรับรองที่ออกตามเทมเพลตดังกล่าว ผู้ใช้ที่มีสมาร์ทการ์ด.

ตอนนี้เรามาดูการตั้งค่าคอมพิวเตอร์ของผู้ใช้กันดีกว่า เขาควรกำหนดค่าเบราว์เซอร์ที่จะใช้เชื่อมต่อกับเว็บไซต์ที่ได้รับการป้องกัน

ขั้นตอนที่ 2 — การตั้งค่าคอมพิวเตอร์ของผู้ใช้

เพื่อความง่าย สมมติว่าผู้ใช้ของเรามี Windows 10

สมมติว่าเขาติดตั้งชุดอุปกรณ์แล้ว ไดรเวอร์ Rutoken สำหรับ Windows.

การติดตั้งชุดไดรเวอร์เป็นทางเลือก เนื่องจากมีแนวโน้มว่าโทเค็นส่วนใหญ่จะรองรับผ่านทาง Windows Update

แต่หากสิ่งนี้ไม่เกิดขึ้นกะทันหันการติดตั้งชุดไดรเวอร์ Rutoken สำหรับ Windows จะช่วยแก้ปัญหาทั้งหมดได้

มาเชื่อมต่อโทเค็นกับคอมพิวเตอร์ของผู้ใช้แล้วเปิดแผงควบคุม Rutoken

ในแท็บ การรับรอง ทำเครื่องหมายที่ช่องถัดจากใบรับรองที่จำเป็นหากไม่ได้ทำเครื่องหมายไว้

ดังนั้นเราจึงตรวจสอบแล้วว่าโทเค็นใช้งานได้และมีใบรับรองที่จำเป็น

เบราว์เซอร์ทั้งหมดยกเว้น Firefox ได้รับการกำหนดค่าโดยอัตโนมัติ

 

คุณไม่จำเป็นต้องทำอะไรเป็นพิเศษกับพวกเขา

ตอนนี้เปิดเบราว์เซอร์ใดก็ได้แล้วป้อนที่อยู่ของทรัพยากร

ก่อนที่ไซต์จะโหลด หน้าต่างจะเปิดขึ้นสำหรับเลือกใบรับรอง จากนั้นหน้าต่างสำหรับป้อนรหัส PIN โทเค็น

หากเลือก Aktiv ruToken CSP เป็นผู้ให้บริการ crypto เริ่มต้นสำหรับอุปกรณ์ หน้าต่างอื่นจะเปิดขึ้นเพื่อป้อนรหัส PIN

และหลังจากเข้าสู่เบราว์เซอร์สำเร็จแล้วเท่านั้นเว็บไซต์ของเราจึงจะเปิดขึ้น

สำหรับเบราว์เซอร์ Firefox ต้องทำการตั้งค่าเพิ่มเติม

ในการตั้งค่าเบราว์เซอร์ของคุณ ให้เลือก ความเป็นส่วนตัวและความปลอดภัย. ในส่วน การรับรอง เพื่อกด อุปกรณ์ป้องกัน... หน้าต่างจะเปิดขึ้น การจัดการอุปกรณ์.

กด ดาวน์โหลดระบุชื่อ Rutoken EDS และเส้นทาง C:windowssystem32rtpkcs11ecp.dll

เพียงเท่านี้ Firefox ก็รู้วิธีจัดการโทเค็นและอนุญาตให้คุณลงชื่อเข้าใช้ไซต์โดยใช้โทเค็นได้

อย่างไรก็ตาม การเข้าสู่ระบบโดยใช้โทเค็นไปยังเว็บไซต์ยังใช้งานได้บน Mac ในเบราว์เซอร์ Safari, Chrome และ Firefox

คุณเพียงแค่ต้องติดตั้ง Rutoken จากเว็บไซต์ โมดูลสนับสนุนพวงกุญแจ และดูใบรับรองบนโทเค็นในนั้น

ไม่จำเป็นต้องกำหนดค่าเบราว์เซอร์ Safari, Chrome, Yandex และเบราว์เซอร์อื่น ๆ คุณเพียงแค่ต้องเปิดไซต์ในเบราว์เซอร์เหล่านี้

เบราว์เซอร์ Firefox ได้รับการกำหนดค่าในลักษณะเดียวกับใน Windows (การตั้งค่า - ขั้นสูง - ใบรับรอง - อุปกรณ์ความปลอดภัย) เฉพาะเส้นทางไปยังไลบรารีเท่านั้นที่แตกต่างกันเล็กน้อย /Library/Akitv Co/Rutoken ECP/lib/librtpkcs11ecp.dylib

ผลการวิจัย

เราแสดงให้คุณเห็นวิธีตั้งค่าการตรวจสอบสิทธิ์แบบสองปัจจัยบนเว็บไซต์โดยใช้โทเค็นการเข้ารหัส เช่นเคย เราไม่ต้องการซอฟต์แวร์เพิ่มเติมใดๆ ยกเว้นไลบรารีระบบ Rutoken

คุณสามารถทำตามขั้นตอนนี้กับทรัพยากรภายในของคุณ และคุณยังสามารถกำหนดค่ากลุ่มผู้ใช้ที่จะสามารถเข้าถึงไซต์ได้อย่างยืดหยุ่น เช่นเดียวกับที่อื่นๆ ใน Windows Server

คุณใช้ระบบปฏิบัติการอื่นสำหรับเซิร์ฟเวอร์หรือไม่

หากคุณต้องการให้เราเขียนเกี่ยวกับการตั้งค่าระบบปฏิบัติการอื่น ๆ ให้เขียนเกี่ยวกับเรื่องนี้ในความคิดเห็นของบทความ

ที่มา: will.com