主持人 > 博客 > 管理 > 使用 USB 令牌在站点上进行两因素身份验证。 如何保证服务门户登录的安全?

使用 USB 令牌在站点上进行两因素身份验证。 如何保证服务门户登录的安全?

使用 USB 令牌在站点上进行两因素身份验证。 如何保证服务门户登录的安全?

黑客获得了对德勤国际公司主邮件服务器的访问权限。 该服务器的管理员帐户仅受密码保护。

奥地利独立研究员 David Wind 因发现 Google 内联网登录页面中的漏洞而获得 5 美元的奖励。

91% 的俄罗斯公司隐瞒数据泄露情况。

此类新闻几乎每天都可以在互联网新闻源中找到。 这是公司内部服务必须受到保护的直接证据。

而且公司规模越大、员工越多、内部IT基础设施越复杂,信息泄露问题就越紧迫。 攻击者感兴趣哪些信息以及如何保护这些信息?

什么样的信息泄露会对公司造成损害?

  • 有关客户和交易的信息;
  • 产品技术信息和专有技术;
  • 有关合作伙伴和特别优惠的信息;
  • 个人数据和会计。

如果您了解只有在提供登录名和密码后才能从网络的任何部分访问上述列表中的某些信息,那么您应该考虑提高数据安全级别并保护其免受未经授权的访问。

使用硬件加密介质(令牌或智能卡)的双因素身份验证因其非常可靠且同时非常易于使用而赢得了声誉。

我们几乎在每篇文章中都介绍了双因素身份验证的好处。 您可以在以下文章中阅读有关此内容的更多信息 如何保护 Windows 域中的帐户 и 电子邮件.

在本文中,我们将向您展示如何使用双因素身份验证登录组织的内部门户。

作为例子,我们将采用最适合企业使用的模型,Rutoken - 一种加密 USB 令牌 Rutoken EDS PKI.

使用 USB 令牌在站点上进行两因素身份验证。 如何保证服务门户登录的安全?

让我们开始设置。

第 1 步 — 服务器设置

任何服务器的基础都是操作系统。 在我们的例子中,这是 Windows Server 2016。与它和 Windows 系列的其他操作系统一起,IIS(Internet 信息服务)是分布式的。

IIS 是一组 Internet 服务器,包括 Web 服务器和 FTP 服务器。 IIS 包括用于创建和管理网站的应用程序。

IIS 旨在使用域或 Active Directory 提供的用户帐户构建 Web 服务。 这允许您使用现有的用户数据库。

В 第一篇文章 我们详细描述了如何在您的服务器上安装和配置证书颁发机构。 现在我们不会详细讨论这一点,但会假设一切都已配置。 Web 服务器的 HTTPS 证书必须正确颁发。 最好立即检查一下。

Windows Server 2016 内置 IIS 版本 10.0。

如果安装了 IIS,那么剩下的就是正确配置它。

在选择角色服务的阶段,我们勾选了复选框 基本认证.

使用 USB 令牌在站点上进行两因素身份验证。 如何保证服务门户登录的安全?

然后在 互联网信息服务经理 打开了 基本身份验证.

使用 USB 令牌在站点上进行两因素身份验证。 如何保证服务门户登录的安全?

并指出Web服务器所在的域。

使用 USB 令牌在站点上进行两因素身份验证。 如何保证服务门户登录的安全?

使用 USB 令牌在站点上进行两因素身份验证。 如何保证服务门户登录的安全?

然后我们添加了一个站点链接。

使用 USB 令牌在站点上进行两因素身份验证。 如何保证服务门户登录的安全?

并选择 SSL 选项。

使用 USB 令牌在站点上进行两因素身份验证。 如何保证服务门户登录的安全?

这样就完成了服务器设置。

完成这些步骤后,只有拥有带有证书和令牌 PIN 的令牌的用户才能访问该站点。

我们再次提醒您,根据 第一篇文章,之前向用户颁发了带有密钥的令牌以及根据类似模板颁发的证书 拥有智能卡的用户.

现在让我们继续设置用户的计算机。 他应该配置用于连接受保护网站的浏览器。

第 2 步 — 设置用户的计算机

为简单起见,我们假设我们的用户使用 Windows 10。

我们还假设他已经安装了该套件 适用于 Windows 的 Rutoken 驱动程序.

安装一组驱动程序是可选的,因为最有可能通过 Windows 更新提供对令牌的支持。

但如果这种情况突然没有发生,那么安装一套适用于 Windows 的 Rutoken 驱动程序将解决所有问题。

让我们将令牌连接到用户的计算机并打开 Rutoken 控制面板。

标签 证书 如果未选中,请选中所需证书旁边的框。

因此,我们验证了该令牌正在运行并且包含所需的证书。

使用 USB 令牌在站点上进行两因素身份验证。 如何保证服务门户登录的安全?

除 Firefox 之外的所有浏览器都会自动配置。

 

您不需要对它们做任何特别的事情。

现在打开任意浏览器并输入资源地址。

在加载站点之前,将打开一个窗口用于选择证书,然后打开一个窗口用于输入令牌 PIN 码。

使用 USB 令牌在站点上进行两因素身份验证。 如何保证服务门户登录的安全?

使用 USB 令牌在站点上进行两因素身份验证。 如何保证服务门户登录的安全?

如果选择 Aktiv ruToken CSP 作为设备的默认加密提供商,则会打开另一个窗口以输入 PIN 码。

使用 USB 令牌在站点上进行两因素身份验证。 如何保证服务门户登录的安全?

只有在浏览器中成功输入后,我们的网站才会打开。

使用 USB 令牌在站点上进行两因素身份验证。 如何保证服务门户登录的安全?

对于 Firefox 浏览器,必须进行其他设置。

在浏览器设置中选择 隐私和安全... 在本章 证书 推动 保护装置... 将打开一个窗口 设备管理.

按 下载,指示名称 Rutoken EDS 和路径 C:windowssystem32rtpkcs11ecp.dll。

使用 USB 令牌在站点上进行两因素身份验证。 如何保证服务门户登录的安全?

就是这样,Firefox 现在知道如何处理令牌并允许您使用它登录网站。

使用 USB 令牌在站点上进行两因素身份验证。 如何保证服务门户登录的安全?

顺便说一句,使用令牌登录网站也适用于 Mac 上的 Safari、Chrome 和 Firefox 浏览器。

您只需从网站安装 Rutoken 钥匙串支持模块 并查看其中令牌上的证书。

使用 USB 令牌在站点上进行两因素身份验证。 如何保证服务门户登录的安全?

无需配置 Safari、Chrome、Yandex 等浏览器;您只需在这些浏览器中打开该网站即可。

使用 USB 令牌在站点上进行两因素身份验证。 如何保证服务门户登录的安全?

Firefox 浏览器的配置方式与 Windows 几乎相同(设置 - 高级 - 证书 - 安全设备)。 只是库的路径略有不同 /Library/Akitv Co/Rutoken ECP/lib/librtpkcs11ecp.dylib。

发现

我们向您展示了如何使用加密令牌在网站上设置双因素身份验证。 一如既往,除了 Rutoken 系统库之外,我们不需要任何额外的软件。

您可以使用任何内部资源执行此过程,并且还可以灵活配置有权访问该站点的用户组,就像 Windows Server 中的其他任何地方一样。

您的服务器使用不同的操作系统吗?

如果您希望我们撰写有关设置其他操作系统的文章,请在文章的评论中写下。

来源: habr.com

添加评论