主持人 > 博客 > 管理 > 使用 USB 令牌在站點上進行兩因素身份驗證。 如何確保服務門戶登錄的安全?

使用 USB 令牌在站點上進行兩因素身份驗證。 如何確保服務門戶登錄的安全?

使用 USB 令牌在站點上進行兩因素身份驗證。 如何確保服務門戶登錄的安全?

駭客獲得了對德勤國際公司主郵件伺服器的存取權限。 此伺服器的管理員帳戶僅受密碼保護。

奧地利獨立研究員 David Wind 因發現 Google 內部網路登入頁面中的漏洞而獲得 5 美元的獎勵。

91% 的俄羅斯公司隱瞞資料外洩情況。

這類新聞幾乎每天都可以在網路動態消息中找到。 這是公司內部服務必須受到保護的直接證據。

而且公司規模越大、員工越多、內部IT基礎設施越複雜,資訊外洩問題就越緊迫。 攻擊者感興趣哪些資訊以及如何保護這些資訊?

什麼樣的資訊外洩會對公司造成損害?

  • 有關客戶和交易的資訊;
  • 產品技術資訊和專有技術;
  • 有關合作夥伴和特別優惠的資訊;
  • 個人資料和會計。

如果您了解只有在提供登入名稱和密碼後才能從網路的任何部分存取上述清單中的某些信息,那麼您應該考慮提高資料安全等級並保護其免受未經授權的存取。

使用硬體加密媒體(令牌或智慧卡)的雙重認證因其非常可靠且同時非常易於使用而贏得了聲譽。

我們幾乎在每篇文章中都介紹了雙重認證的好處。 您可以在以下文章中閱讀有關此內容的更多信息 如何保護 Windows 網域中的帳戶 и 電子郵件.

在本文中,我們將向您展示如何使用雙重認證登入組織的內部入口網站。

作為例子,我們將採用最適合企業使用的模型,Rutoken - 一種加密 USB 令牌 Rutoken EDS PKI.

使用 USB 令牌在站點上進行兩因素身份驗證。 如何確保服務門戶登錄的安全?

讓我們開始設定。

第 1 步 — 伺服器設定

任何伺服器的基礎都是作業系統。 在我們的例子中,這是 Windows Server 2016。與它和 Windows 系列的其他作業系統一起,IIS(Internet 資訊服務)是分散式的。

IIS 是一組 Internet 伺服器,包含 Web 伺服器和 FTP 伺服器。 IIS 包括用於建立和管理網站的應用程式。

IIS 旨在使用網域或 Active Directory 提供的使用者帳戶建立 Web 服務。 這允許您使用現有的用戶資料庫。

В 第一篇文章 我們詳細描述如何在您的伺服器上安裝和設定憑證授權單位。 現在我們不會詳細討論這一點,但會假設一切都已配置。 Web 伺服器的 HTTPS 憑證必須正確核發。 最好立即檢查一下。

Windows Server 2016 內建 IIS 版本 10.0。

如果安裝了 IIS,那麼剩下的就是正確配置它。

在選擇角色服務的階段,我們勾選了複選框 基本認證.

使用 USB 令牌在站點上進行兩因素身份驗證。 如何確保服務門戶登錄的安全?

然後在 網路資訊服務經理 打開 基本驗證.

使用 USB 令牌在站點上進行兩因素身份驗證。 如何確保服務門戶登錄的安全?

並指出Web伺服器所在的網域。

使用 USB 令牌在站點上進行兩因素身份驗證。 如何確保服務門戶登錄的安全?

使用 USB 令牌在站點上進行兩因素身份驗證。 如何確保服務門戶登錄的安全?

然後我們添加了一個網站連結。

使用 USB 令牌在站點上進行兩因素身份驗證。 如何確保服務門戶登錄的安全?

並選擇 SSL 選項。

使用 USB 令牌在站點上進行兩因素身份驗證。 如何確保服務門戶登錄的安全?

這樣就完成了伺服器設定。

完成這些步驟後,只有擁有帶有憑證和令牌 PIN 的令牌的使用者才能存取該網站。

我們再次提醒您,根據 第一篇文章,之前向用戶頒發了帶有密鑰的令牌以及根據類似模板頒發的證書 擁有智慧卡的用戶.

現在讓我們繼續設定使用者的電腦。 他應該配置用於連接受保護網站的瀏覽器。

步驟 2 — 設定使用者的計算機

為簡單起見,我們假設我們的使用者使用 Windows 10。

我們還假設他已經安裝了該套件 適用於 Windows 的 Rutoken 驅動程式.

安裝一組驅動程式是可選的,因為最有可能透過 Windows 更新提供對令牌的支援。

但如果這種情況突然沒有發生,那麼安裝一套適用於 Windows 的 Rutoken 驅動程式將解決所有問題。

讓我們將令牌連接到使用者的電腦並開啟 Rutoken 控制面板。

在選項卡中 認證 如果未選中,請選中所需證書旁的方塊。

因此,我們驗證了該令牌正在運行並且包含所需的憑證。

使用 USB 令牌在站點上進行兩因素身份驗證。 如何確保服務門戶登錄的安全?

除 Firefox 之外的所有瀏覽器都會自動設定。

 

您不需要對它們做任何特別的事情。

現在打開任意瀏覽器並輸入資源地址。

在載入網站之前,將開啟一個視窗以選擇證書,然後開啟一個視窗用於輸入令牌 PIN 碼。

使用 USB 令牌在站點上進行兩因素身份驗證。 如何確保服務門戶登錄的安全?

使用 USB 令牌在站點上進行兩因素身份驗證。 如何確保服務門戶登錄的安全?

如果選擇 Aktiv ruToken CSP 作為裝置的預設加密供應商,則會開啟另一個視窗以輸入 PIN 碼。

使用 USB 令牌在站點上進行兩因素身份驗證。 如何確保服務門戶登錄的安全?

只有在瀏覽器中成功輸入後,我們的網站才會開啟。

使用 USB 令牌在站點上進行兩因素身份驗證。 如何確保服務門戶登錄的安全?

對於 Firefox 瀏覽器,必須進行其他設定。

在瀏覽器設定中選擇 隱私和安全。 在該部分 認證 推動 保護裝置。 將會開啟一個視窗 設備管理.

按 下載,指示名稱 Rutoken EDS 和路徑 C:windowssystem32rtpkcs11ecp.dll。

使用 USB 令牌在站點上進行兩因素身份驗證。 如何確保服務門戶登錄的安全?

就是這樣,Firefox 現在知道如何處理代幣並允許您使用它登入網站。

使用 USB 令牌在站點上進行兩因素身份驗證。 如何確保服務門戶登錄的安全?

順便說一句,使用令牌登入網站也適用於 Mac 上的 Safari、Chrome 和 Firefox 瀏覽器。

您只需從網站安裝 Rutoken 鑰匙串支援模組 並查看其中令牌上的憑證。

使用 USB 令牌在站點上進行兩因素身份驗證。 如何確保服務門戶登錄的安全?

無需配置 Safari、Chrome、Yandex 等瀏覽器;您只需在這些瀏覽器中開啟網站即可。

使用 USB 令牌在站點上進行兩因素身份驗證。 如何確保服務門戶登錄的安全?

Firefox 瀏覽器的設定方式與 Windows 幾乎相同(設定 - 進階 - 憑證 - 安全設備)。 只是函式庫的路徑略有不同 /Library/Akitv Co/Rutoken ECP/lib/librtpkcs11ecp.dylib。

發現

我們向您展示如何使用加密令牌在網站上設定雙重認證。 一如既往,除了 Rutoken 系統庫之外,我們不需要任何額外的軟體。

您可以使用任何內部資源執行此程序,並且還可以靈活配置有權存取該網站的使用者群組,就像 Windows Server 中的其他任何地方一樣。

您的伺服器使用不同的作業系統嗎?

如果您希望我們撰寫有關設定其他作業系統的文章,請在文章的評論中寫下。

來源: www.habr.com

添加評論