Active Directory Domain Services tvåfaktorsautentisering. Bindning av ytterligare engångslösenord till Windows-inloggningsfönstret

Om ditt lösenord är det enda hindret för att komma åt dina data, är du i stor risk. Passet kan slås av, avlyssnas, dras iväg av en trojan eller fiskas ut med hjälp av social ingenjörskonst. Att inte använda tvåfaktorsautentisering i den här situationen är nästan ett brott.

Vi har redan pratat om engångsnycklar mer än en gång. Innebörden är väldigt enkel. Om en angripare på något sätt lyckas få ditt användarnamn-lösenord, kan han enkelt ange din e-post eller ansluta till en fjärrserver. Men om det är en ytterligare faktor på väg, till exempel en engångsnyckel (även kallad OTP-nyckel), så blir det inget av det. Även om en sådan nyckel kommer till en angripare, kommer det inte längre att vara möjligt att använda den, eftersom den bara är giltig en gång. Som sådan kan en andra faktor vara ett extra samtal, en kod som tas emot via SMS, en nyckel som genereras på telefonen enligt vissa algoritmer baserat på aktuell tid (tid är ett sätt att synkronisera algoritmen på klienten och servern). Samma Google har länge rekommenderat sina användare att aktivera tvåfaktorsautentisering (ett par klick när man skapar ett konto). Nu är det dags att lägga till ett sådant lager av skydd för dina tjänster!

Vad erbjuder Duo Security?

Ett trivialt exempel. Min dator har en RDP-port öppen "utanför" för anslutning till fjärrskrivbord. Om inloggningslösenordet läcker kommer angriparen omedelbart att få full tillgång till maskinen. Därför var det inte fråga om att förbättra skyddet med ett OTP-lösenord – det var bara att göra. Det var dumt att uppfinna hjulet på nytt och försöka implementera allt på egen hand, så jag tittade bara på lösningarna som finns på marknaden. De flesta av dem visade sig vara kommersiella (se sidofältet för mer information), men för ett litet antal användare kan de användas gratis. För hemmet, precis vad du behöver. En av de mest framgångsrika tjänsterna som låter dig organisera tvåfaktorsautentisering för bokstavligen vad som helst (inklusive VPN, SSH och RDP) är Duo Security (www.duosecurity.com). Det faktum att utvecklaren och grundaren av projektet är John Oberhide, en välkänd informationssäkerhetsspecialist, bidrog till hans överklagande. Han, till exempel, knäckte upp kommunikationsprotokollet mellan Google och Android-smarttelefoner, med vilket du kan installera eller avinstallera godtyckliga applikationer. En sådan bas gör sig påmind: för att visa vikten av tvåfaktorsautentisering lanserade killarna tjänsten VPN Hunter (www.vpnhunter.com), som på nolltid kan hitta företagets dolda VPN-servrar (och samtidigt avgöra vilken typ av utrustning de kör på), tjänster för fjärråtkomst (OpenVPN, RDP, SSH) och andra infrastrukturelement som gör att en angripare kan ta sig in i det interna nätverket, bara att känna till användarnamnet och lösenordet. Det är roligt att ägarna på tjänstens officiella Twitter började publicera dagliga rapporter om genomsökning av välkända företag, varefter kontot förbjöds :). Tjänsten Duo Security syftar förstås främst till att införa tvåfaktorsautentisering i företag med ett stort antal användare. Lyckligtvis för oss är det möjligt att skapa ett gratis personligt konto som låter dig organisera tvåfaktorsautentisering för tio användare gratis.

Vad kan vara den andra faktorn?

Därefter kommer vi att titta på hur man stärker säkerheten för en fjärrskrivbordsanslutning, såväl som SSH på en server, på bokstavligen tio minuter. Men först vill jag prata om det ytterligare steget som Duo Security introducerar som den andra auktoriseringsfaktorn. Det finns flera alternativ: telefonsamtal, SMS med lösenord, Duo Mobile-lösenkoder, Duo Push, elektronisk nyckel. Lite mer om varje.

Hur länge kan jag använda gratis?

Som redan nämnts erbjuder Duo Security en speciell tariffplan "Personlig". Det är helt gratis, men antalet användare bör inte vara fler än tio. Stöder tillägg av obegränsade integrationer, alla tillgängliga autentiseringsmetoder. Ger tusen gratis krediter för telefonitjänster. Krediter är som en intern valuta som debiteras ditt konto varje gång du autentiseras med ett samtal eller SMS. I kontoinställningarna kan du ställa in det så att när angivet antal krediter uppnåtts får du ett meddelande på tvålen och du hinner fylla på ditt saldo. Tusen krediter kostar bara 30 spänn. Priserna för samtal och SMS är olika för olika länder. För Ryssland kommer ett samtal att kosta från 5 till 20 krediter, SMS - 5 krediter. Inget debiteras dock för ett samtal som inträffar vid autentisering på Duo Security-webbplatsen. Du kan helt glömma bort krediter om du använder Duo Mobile-appen för autentisering – ingenting debiteras för det.

Enkel registrering

För att skydda din server med Duo Security måste du ladda ner och installera en speciell klient som interagerar med Duo Security-autentiseringsservern och ger ett andra skyddslager. Följaktligen kommer denna klient att vara olika i varje situation: beroende på exakt var det är nödvändigt att implementera tvåfaktorsauktorisering. Vi kommer att prata om detta nedan. Det första du ska göra är att registrera dig i systemet och skaffa ett konto. Därför öppnar vi sidans huvudsida, klickar på "Gratis provperiod", på sidan som öppnas klickar du på knappen "Sjung upp" under typen Personligt konto. Därefter uppmanas vi att ange förnamn, efternamn, mailadress och företagsnamn. Ett brev ska skickas till posten med en länk för att bekräfta registreringen. I det här fallet kommer systemet automatiskt att ringa det angivna telefonnumret: för att aktivera kontot måste du svara på samtalet och trycka på #-knappen på telefonen. Efter det kommer kontot att vara aktivt och du kan starta stridstester.

Säkra RDP

Ovan sa jag att jag började med en stark önskan att säkra fjärranslutningar till mitt skrivbord. Därför kommer jag som ett första exempel att beskriva hur man kan stärka säkerheten för RDP.

1. Varje implementering av tvåfaktorsautentisering börjar med ett enkelt steg: att skapa en så kallad integration i Duo Security-profilen. Gå till avsnittet "Integrationer  New Integration", ange namnet på integrationen (till exempel "Home RDP"), välj dess typ "Microsoft RDP" och klicka på "Add Integration".
2. Integrationsparametrar visas i fönstret som visas: Integrationsnyckel, Hemlig nyckel, API-värdnamn. Vi kommer att behöva dem senare när vi konfigurerar klientsidan. Det är viktigt att förstå: ingen ska känna till dem.
3. Därefter måste du installera en speciell klient på den skyddade maskinen, som installerar allt du behöver i Windows-systemet. Det kan laddas ner från den officiella webbplatsen eller hämtas från vår disk. All dess konfiguration kokar ner till det faktum att du under installationsprocessen måste ange ovan nämnda integrationsnyckel, hemlig nyckel, API-värdnamn.
4. Det är faktiskt allt. Nu, nästa gång du går in på servern via RDP, kommer skärmen att visa tre fält: användarnamn, lösenord och engångs Duo-nyckel. Följaktligen är det inte längre möjligt att logga in i systemet med endast ett användarnamn-lösenord.

Vid första försöket att logga in i systemet måste en ny användare gå igenom Duo Security-verifieringsproceduren en gång. Tjänsten kommer att ge honom en speciell länk, genom att klicka på vilken du behöver ange ditt telefonnummer och vänta på ett verifieringssamtal. För att få ytterligare nycklar (eller få dem för första gången) kan du ange nyckelordet "sms". Om du vill autentisera med ett telefonsamtal - ange "telefon", om du använder Duo Push - "push". Historiken för alla försök att ansluta (både framgångsrika och misslyckade) till servern kan ses i ditt konto på Duo Security-webbplatsen, efter att ha valt önskad integration och gått till dess "Autentiseringslogg".

Vi ansluter Duo Security var som helst!

Genom att använda tvåfaktorsautentisering kan du skydda inte bara RDP eller SSH, utan även VPN, RADIUS-servrar och alla webbtjänster. Till exempel finns det out-of-the-box-klienter som lägger till ett extra lager av autentisering till de populära Drupal- och WordPress-motorerna. Om det inte finns någon färdig klient bör du inte bli upprörd: du kan alltid lägga till tvåfaktorsautentisering för din applikation eller webbplats själv med hjälp av API:et som tillhandahålls av systemet. Logiken i att arbeta med API:t är enkel - du gör en begäran om URL:en för en specifik metod och analyserar det returnerade svaret, som kan komma i JSON-format (eller BSON, XML). Fullständig dokumentation för Duo REST API finns tillgänglig på den officiella webbplatsen. Jag ska bara säga att det finns metoder för ping, check, preauth, auth, status, från vilka det är lätt att gissa vad de är avsedda för.

Säkra SSH

Låt oss överväga en annan typ av integration - "UNIX Integration" för att implementera säker autentisering. Vi lägger till ytterligare en integration till vår Duo Security-profil och fortsätter med att installera klienten på systemet.

Du kan ladda ner källorna till den senare på bit.ly/IcGgk0 eller hämta den från vår disk. Jag använde den senaste versionen - 1.8. Förresten, klienten fungerar på de flesta nix-plattformar, så du kan enkelt installera den på FreeBSD, NetBSD, OpenBSD, Mac OS X, Solaris / Illumos, HP-UX och AIX. Byggprocessen är standard - konfigurera && make && sudo make install. Det enda jag skulle rekommendera är att använda konfigurera med alternativet --prefix = / usr, annars kanske klienten inte hittar de nödvändiga biblioteken vid start. Efter lyckad installation går vi till att redigera konfigurationsfilen /etc/duo/login_duo.conf. Detta måste göras från under roten. Alla ändringar som behöver göras för framgångsrik drift är att ställa in integrationsnyckeln, hemlig nyckel, API-värdnamnsvärden, som finns på integrationssidan.

; Duo integration keyikey = INTEGRATION_KEY; Duo hemlig nyckelnyckel = SECRET_KEY; Duo API hostnamehost = API_HOSTNAME

För att tvinga alla användare som loggar in på din server via SSH att använda tvåfaktorsautentisering, lägg helt enkelt till följande rad i filen / etc / ssh / sshd_config:

> ForceCommand / usr / local / sbin / login_duo

Det är också möjligt att organisera tvåfaktorsautentisering endast för enskilda användare genom att kombinera dem till en grupp och ange denna grupp i filen login_duo.conf:

> grupp = hjul

Allt som återstår är att starta om ssh-demonen för att ändringarna ska träda i kraft. Från och med detta ögonblick, efter att ha angett inloggningslösenordet, kommer användaren att uppmanas att genomgå ytterligare autentisering. En subtilitet i ssh-konfigurationen bör noteras separat - det rekommenderas starkt att inaktivera alternativen PermitTunnel och AllowTcpForwarding i konfigurationsfilen, eftersom demonen tillämpar dem innan det andra steget av autentisering påbörjas. Således, om en angripare anger lösenordet korrekt, kan han få tillgång till det interna nätverket innan han slutför det andra steget av autentisering genom portvidarebefordran. För att undvika denna effekt, lägg till följande alternativ till sshd_config:

PermitTunnel noAllowTcpForwarding no

Nu är din server bakom en dubbelvägg och det är mycket svårare för en angripare att ta sig in på den.

Ytterligare inställningar

Om du går till ditt Duo Security-konto och går till avsnittet "Inställningar", kan du justera vissa inställningar för dig själv. Det första viktiga avsnittet är "Telefonsamtal". Här anger du de parametrar som ska träda i kraft när ett telefonsamtal används för att bekräfta autentiseringen. Alternativet "Röståteruppringningsknappar" låter dig ställa in vilken knapp på telefonen som måste tryckas in för att bekräfta autentiseringen. Som standard finns värdet "Tryck på valfri tangent för att autentisera" - det vill säga du kan trycka på valfri. Om du ställer in värdet "Tryck på olika tangenter för att autentisera eller rapportera bedrägeri", måste du ställa in två nycklar: att klicka på den första bekräftar autentiseringen (Key to authenticate), att klicka på den andra (Key to report fraud) betyder att vi initierade inte autentiseringsprocessen , det vill säga någon fick vårt lösenord och försöker logga in på servern med det. Posten "SMS-lösenkoder" låter dig ställa in antalet lösenord, som kommer att innehålla ett SMS, och tiden för deras liv (giltighet). Parametern "Lockout och bedrägeri" låter dig ställa in e-postadressen som meddelandet ska skickas till vid ett visst antal misslyckade försök att logga in på servern.

Använd den!

Överraskande nog ignorerar många fortfarande tvåfaktorsautentisering. Förstår inte varför. Detta ökar verkligen säkerheten på allvar. Det kan implementeras för nästan vad som helst, och anständiga lösningar är tillgängliga gratis. Så varför? Från lättja eller slarv.

Analoga tjänster

• Betyda(www.signify.net) Tjänsten tillhandahåller tre alternativ för att organisera tvåfaktorsautentisering. Den första är användningen av elektroniska nycklar. Det andra sättet är användningen av lösenord, som skickas till användaren på telefonen via SMS eller skickas till e-post. Det tredje alternativet är en mobilapplikation för Android, iPhone, BlackBerry-telefoner som genererar engångslösenord (i själva verket en analog till Duo Mobile). Tjänsten riktar sig till stora företag, därför är den helt betald.
• SecurEnvoy(www.securenvoy.com) Gör det också möjligt att använda en mobiltelefon som ett andra skyddande lager. Nyckeln skickas till användaren via SMS eller e-post. Varje meddelande innehåller tre lösenord, det vill säga att användaren kan logga in tre gånger innan han begär en ny del. Tjänsten är också betald, men ger en gratis 30-dagarsperiod. Ett stort plus är det stora antalet både inbyggda och tredjepartsintegrationer.
• PhoneFactor(www.phonefactor.com) Denna tjänst låter dig organisera tvåfaktorsautentisering för upp till 25 användare gratis, vilket ger 500 gratis autentiseringar per månad. För att organisera skyddet måste du ladda ner och installera en speciell klient. Om du behöver lägga till tvåfaktorsautentisering till webbplatsen kan du använda den officiella SDK:n, som ger detaljerad dokumentation och exempel för följande programmeringsspråk: ASP.NET C #, ASP.NET VB, Java, Perl, Ruby, PHP .

Lösenord kan vara en stor säkerhetshuvudvärk och hanterbarhet för IT-administratörer i företag och organisationer. Användare skapar ofta enkla lösenord eller skriver ner lösenord så att de inte glömmer dem. Dessutom är endast ett fåtal av procedurerna för återställning av lösenord effektiva och säkra. Med tanke på dessa begränsningar, hur kan du mildra dessa typer av säkerhetsproblem när nätverksåtkomst utförs av fjärranvändare? Hur kan du göra ditt företags lösenordslösningar säkrare med vetskapen om att många användare skriver ner sina lösenord?

Det finns en lösning - detta är introduktionen i organisationen av ett extra åtkomstskyddssystem baserat på inmatning av engångslösenord (OTP - One Time Password), som genereras på din anställds mobila enhet. Övergången till engångslösenordsbaserad autentisering sker oftast när det kommer till förståelsen av att vanliga långtidslösenord är otillräckliga ur säkerhetssynpunkt och samtidigt begränsas användningen av smartkort, t.ex. i en situation med massiv användning av mobila klienter.

Vårt företag har utvecklat en teknisk lösning som gör att du kan få ytterligare skyddslinje för en terminalserver eller 1C-server baserat på engångslösenord som anställda ansluter till på distans.

Omfattning av arbetet med driftsättning och konfiguration av OTP-systemet

På din server är specialiserad programvara installerad och konfigurerad för att driva ett åtkomstautentiseringssystem baserat på engångslösenord (OTP) Alla anställda i organisationen som behöver åtkomst till servern läggs till OTP-systemet. För varje anställd utförs den initiala installationen av en mobiltelefon med installation av ett program för att generera ett engångslösenord

Kostnaden för att införa ett åtkomstautentiseringssystem i organisationen till en terminalserver eller 1C-server baserat på engångslösenord (OTP) börjar från 6 400 rubel.

I de fall där OTP-systemet kommer att distribueras i samband med uthyrning av infrastruktur i vårt säkra "moln", rabatten på implementeringen av skyddssystemet för engångslösenord (OTP) kan nå 50 %.

Engångslösenord - ett extra lager av datasäkerhet

Ett traditionellt, statiskt lösenord ändras vanligtvis bara när det behövs: antingen när det löper ut eller när användaren har glömt det och vill återställa det. Eftersom lösenord cachelagras på datorns hårddiskar och lagras på servern är de sårbara för hackning. Detta problem är särskilt akut för bärbara datorer, eftersom de lätt kan stjälas. Många företag ger anställda bärbara datorer och öppnar sina nätverk för fjärråtkomst. De anställer även tillfällig personal och leverantörer. I en sådan miljö blir en enkel statisk lösenordslösning en nackdel.
Till skillnad från ett statiskt lösenord ändras ett engångslösenord varje gång en användare loggar in på systemet och är endast giltigt under en kort tidsperiod (30 sekunder). Själva lösenorden skapas och krypteras med en komplex algoritm beroende på många variabler: tid, antal lyckade/misslyckade poster, slumpmässigt genererade siffror, etc. Detta till synes komplexa tillvägagångssätt kräver enkla åtgärder från användaren - Installera en speciell applikation på din telefon som synkroniseras en gång med servern och sedan genererar ett engångslösenord. Med varje ny lyckad inloggning synkroniseras klienten och servern automatiskt om oberoende av varandra med hjälp av en speciell algoritm. Räknaren ökar varje gång enheten måste ha ett OTP-värde och när användaren vill logga in anger han de OTP:er som för närvarande visas på sin mobila enhet.

Lösenordet är inte ett särskilt starkt skyddsmedel. Mycket ofta används enkla lösenord som är lätta att gissa, eller så övervakar användarna inte riktigt säkerheten för sina lösenord (de ger dem till kollegor, skriver på papper etc.). Microsoft har sedan länge implementerat en teknik som gör att du kan använda SmartCard för att logga in i systemet, d.v.s. autentisera i systemet med ett certifikat. Men det är inte nödvändigt att använda smarta kort direkt, eftersom de också behöver läsare, så det är lättare att ersätta dem med usb-tokens. De låter dig implementera tvåfaktorsautentisering: den första faktorn är lösenordet från token, den andra faktorn är certifikatet på token. Därefter, med hjälp av exemplet med JaCarta usb-token och Windows-domänen, kommer jag att berätta hur du implementerar denna autentiseringsmekanism.

Först och främst, i AD, skapa en grupp "g_EtokenAdmin" och ett konto. en "Enrollment Agent"-post i denna grupp. Den här gruppen och användaren kommer att köra certifieringsmyndigheten.

Dessutom kommer vi att installera webbtjänsten för att begära certifikat.

Därefter väljer vi alternativet för företaget. Välj rot-CA (om vi har detta den första CA i domänen)
Vi skapar en ny privat nyckel. Nyckellängden kan lämnas snävare, men hashalgoritmen är bättre att välja SHA2 (SHA256).

Låt oss ange CA-namnet och välja giltighetsperioden för huvudcertifikatet.
Lämna resten av parametrarna som standard och starta installationsprocessen.

Efter installationen, gå till certifikatutfärdarens snap-in och konfigurera rättigheterna till mallar.

Vi kommer att vara intresserade av två mallar: Enrollment Agent och Smartcard-inloggning.
Låt oss gå till egenskaperna för dessa mallar och på säkerhetsfliken lägg till gruppen "g_EtokenAdmin" med läs- och begäranbehörigheter.

Och de kommer att visas i vår allmänna lista.

Nästa steg är att konfigurera grupppolicyer:
Först och främst kommer vi att berätta för alla datorer i domänen om rotcertifieringsmyndigheten, för detta kommer vi att ändra standarddomänpolicyn.
Datorkonfiguration -> Policies -> Windows-konfiguration -> Säkerhetsinställningar -> Public Key Policies -> Betrodda rotcertifikatutfärdare -> Importera

Låt oss välja vårt rotcertifikat som ligger längs vägen: C: \ Windows \ System32 \ certsrv \ CertEnroll. Stäng standarddomänpolicyn.
I nästa steg kommer vi att skapa en policy för behållaren som kommer att innehålla datorer med token-autentisering (smartkort).

Längs vägen Datorkonfiguration -> Poliser -> Windows-konfiguration -> Säkerhetsinställningar -> Lokala policyer -> Säkerhetsinställningar. Vi kommer att konfigurera två parametrar "Interaktiv inloggning: kräver ett smartkort" och "Interaktiv inloggning: beteende när du tar bort ett smartkort".

Det är allt med inställningarna, nu kan du generera ett klientcertifikat och kontrollera autentisering med token.
Logga in på datorn under kontot "Enrollment Agent" och öppna webbläsaren genom att klicka på länken http: // Server_name_MS_CA / certsrv

Välj objektet Certificate Request -> Extended Certificate Request -> Skapa och utfärda en begäran till denna CA
Om du får ett felmeddelande som "För att slutföra ansökan om ett certifikat måste du konfigurera webbplatsen för att CA ska använda HTTPS-autentisering", måste du binda webbplatsen till https-protokollet på IIS-servern där MS CA är installerat.

Låt oss fortsätta att erhålla certifikatet, för detta, på sidan som öppnas, välj mallen: "Registreringsagent" och tryck på knappen för att utfärda och installera certifikatet.

Enrollment Agent-användaren kan nu utfärda certifikat för andra användare. Till exempel kommer vi att begära ett certifikat för testanvändaren. För att göra detta, öppna certifikathanteringskonsolen certmgr.msc, sedan via webbgränssnittet fungerar det inte att skriva ett certifikat till en usb-token.
I den här konsolen, i den personliga mappen, kommer vi att göra en begäran på uppdrag av en annan användare

Vi väljer det enda certifikatet "Enrollment Agent" som signatur och går till nästa steg, där vi väljer posten "Logga in med ett smartkort" och klickar på detaljerna för att välja krypteringsleverantör.
I mitt fall använder jag JaCarta-tokens, så "Athena ..."-krypteringsleverantören installerades tillsammans med drivrutinerna:

I nästa steg väljer du en domänanvändare som vi utfärdar ett certifikat för och klickar på knappen "Ansökan".

Vi sätter in token, anger pinkoden och genereringsprocessen börjar. Som ett resultat bör vi se en dialogruta märkt "Lyckad".
Om processen slutade misslyckat, kanske ärendet finns i mallen för att få ett certifikat, i mitt fall behövde det justeras något.

Låt oss börja testa, kontrollera funktionen av token på en dator som finns i en OU med en.
Om vi ​​försöker logga in med ett konto med lösenord bör vi få ett avslag. När vi försöker logga in med ett smartkort (token) får vi ett erbjudande om att ange en pinkod och måste logga in i systemet.

P.s.
1) Om den automatiska låsningen av datorn eller utloggningen inte fungerar, efter att ha dragit ut token, se om tjänsten "Smart Card Removal Policy" körs
2) Du kan bara skriva (generera ett certifikat) till token lokalt, det fungerar inte via RDP.
3) Om du inte kan starta processen att generera ett certifikat med standardmallen "Logga in med ett smartkort", skapa en kopia med följande parametrar.

Det är allt, om du har några frågor, fråga, jag ska försöka hjälpa.

Säkerhetsmetoder vid användning av lösenordsautentisering. För att skydda lösenord från hackning måste du konfigurera lämplig policy. För att göra detta, använd Start-> Administrativa verktyg-> Grupppolicyhantering-menyn för att starta GPMC Group Policy Management Console, välj önskad GPO under Datorkonfiguration-> Policies-> Säkerhetsinställningar-> Kontopolicyer-> Lösenordspolicy Se Fig. . 1 (Hantera lösenordsinställningar).

Ris. 1 Hantera lösenordsinställningar.

Du kan ställa in den lägsta lösenordslängden, vilket gör att vi kan undvika korta lösenord (Minimum Lösenord längd). För att användaren ska kunna ställa in komplexa lösenord bör komplexitetskravet vara aktiverat (Lösenord måste träffa komplexitet krav).

För att säkerställa regelbundna lösenordsändringar måste du ställa in dess maximala livslängd (Maximal Lösenord ålder).

För att användare inte ska upprepa gamla lösenord måste du konfigurera lagringen av lösenordshistorik (Förstärka Lösenord historia) .

Och slutligen, för att användaren inte ska ändra sitt lösenord till det gamla genom att upprepade gånger ändra lösenord, ställ in den minsta period under vilken lösenordet inte kan ändras. (Minimum Lösenord ålder).

För att skydda mot ordboksattacker kommer vi att konfigurera kontoblockeringen när lösenordet skrivs in felaktigt flera gånger. För att göra detta, välj önskad GPO-sektion i GPMC Dator Konfiguration-> Policyer-> säkerhet inställningar-> konto Policyer-> konto Lockout Politik ... Se fig. 2 (Hantera låsning av användarkonto).

Ris. 2 Hantera låsning av användarkonto.

För att konfigurera den slutliga blockeringen av ett konto (tills det avblockeras av administratören), ställ in ett nollvärde för parametern blockeringstid (konto lockout varaktighet).

I räknaren för antalet misslyckade försök att logga in på nätverket (konto lockout tröskel) du måste ange önskat värde. I de flesta fall är 3-5 inloggningsförsök acceptabla.

Slutligen bör du ställa in intervallet för att nollställa räknaren för misslyckade försök. (Återställa konto lockout disken efter).

För att skydda dig mot trojanska hästar bör du använda antivirusverktyg och blockera otillåten programvara.

För att begränsa användarnas förmåga att introducera virus i informationssystemet är det motiverat: att sätta ett förbud mot att arbeta med externa enheter (CD, DVD, Flash), strikt UAC-drift, använda fristående internetkiosker baserade på datorer som inte är del av arbetsnätverket. Och slutligen, införandet av strikta arbetsbestämmelser som definierar reglerna för användare i företagsnätverket (som förbjuder överföring av deras referenser till någon annan, förbudet att lämna sina referenser på tillgängliga platser, kravet att låsa arbetsstationen när de lämnar arbetsplatsen . NS.).

Som ett resultat kommer vi att kunna uppnå en minskning av riskerna förknippade med ett brott mot företagets säkerhet.

Låt oss anta att allt detta är gjort. Ändå är det för tidigt att säga att vi har lyckats tillhandahålla säker autentisering i vårt system.

Den mänskliga faktorn är det största hotet.

Det finns också hot som vi inte har kunnat hantera. En av de viktigaste är den mänskliga faktorn. Användare av våra informationssystem är inte alltid tillräckligt medvetna och, trots säkerhetsadministratörernas förklaringar, registrerar de sina referenser (användarnamn och lösenord) och bryr sig inte om sekretessen för denna konfidentiella information. Jag har sett klistermärken på monitorn mer än en gång, se bild. 3, eller under tangentbordet, se fig. 4 med användarnamn och lösenord.

Ris. 3. En underbar present till en inkräktare, eller hur?

Ris. 4. Ännu en present till inbrottstjuven.

Som vi kan se är långa och komplexa lösenord inbäddade i systemet och den associativa arrayen är inte tydligt synlig. Användare har dock hittat ett "effektivt" sätt att komma ihåg och lagra referenser ...

Således kan du se att i det här fallet fungerade funktionen som jag nämnde ovan exakt: Långa och komplexa lösenord registreras och kanske inte lagras korrekt.

Insider

Ett annat betydande säkerhetshot är möjligheten för en angripare att fysiskt komma åt en legitim användares arbetsstation och överföra konfidentiell information till tredje part. Det vill säga vi pratar om en situation då det finns en anställd inne på företaget som stjäl information från sina kollegor.

Det är ganska uppenbart att det är mycket svårt att säkerställa den "fysiska" säkerheten på användarens arbetsstation. Du kan enkelt ansluta en hårdvaru-keylogger till tangentbordsbrytaren, det är också möjligt att fånga upp en signal från trådlösa tangentbord. Sådana anordningar finns. Naturligtvis kommer den som bara inte kommer in på företagets kontor, men alla vet att den farligaste är den interna spionen. Han har redan fysisk tillgång till ditt system, och det kommer inte att vara svårt att placera en keylogger, särskilt eftersom dessa enheter är tillgängliga för ett brett spektrum av människor. Dessutom kan du inte rabattera keylogger-program. Trots allt, trots alla ansträngningar från administratörer, är möjligheten att installera sådan "spionprogram" inte utesluten. Låser användaren alltid sin arbetsstation när han lämnar sin arbetsstation? Klarar informationssystemadministratören att säkerställa att användaren inte tilldelas överdrivna privilegier, särskilt när det är nödvändigt att använda gamla mjukvaruprodukter? Är administratören alltid, särskilt i ett litet företag, kvalificerad att implementera rekommendationer från mjukvaru- och hårdvarutillverkare för att bygga säkra informationssystem?

Därför kan vi dra slutsatsen att lösenordsautentisering i allmänhet är opålitlig. Därför krävs multifaktorautentisering, och denna är av en sådan typ att användarens lösenord inte skrivs på tangentbordet.

Vad kan hjälpa oss?

Det är vettigt att överväga tvåfaktorsautentisering: den första faktorn är innehavet av lösenordet, den andra är kunskapen om PIN-koden. Domänlösenordet skrivs inte längre på tangentbordet, vilket betyder att det inte fångas upp av en keylogger. Avlyssning av ett domänlösenord är fyllt med möjligheten att logga in, avlyssning av en PIN-kod är inte så farlig, eftersom ett extra smartkort krävs.

Det kan hävdas att användaren mycket väl kan lämna sitt kort i läsaren, och skriva nålen på klistermärket, som tidigare. Det finns dock kontrollsystem som kan blockera ett övergivet kort eftersom det är implementerat i bankomater. Dessutom är det möjligt att lägga ett pass på kortet för att gå in/ut från kontoret, det vill säga att vi kan använda ett kort med en RFID-tagg, och därigenom kombinera autentiseringssystemet i katalogtjänsten med ett system för att differentiera fysisk åtkomst. I det här fallet, för att öppna dörren, kommer användaren att behöva sitt smartkort eller USB-token, så han måste alltid bära det med sig.

Dessutom innefattar moderna tvåfaktorsautentiseringslösningar mer än bara möjligheten att autentisera till AD eller AD DS. Användningen av smartkort och USB-nycklar hjälper också i många andra fall, till exempel vid åtkomst av offentlig e-post, nätbutiker där registrering krävs, applikationer som har en egen katalogtjänst etc. etc.

Således kan ett nästan universellt sätt för autentisering erhållas.

Implementering av tvåfaktorsautentisering baserad på asymmetrisk kryptografi i AD DS.

Active Directory har stödt smartkortsautentisering sedan Windows 2000.

Kärnan är autentisering av smartkort inbäddad i tillägget PKINIT (public key initialization) för Kerberos RFC 4556-protokollet. PKINIT-tillägget tillåter användning av publika nyckelcertifikat i Kerberos förautentiseringsfas.

Tack vare detta blir det möjligt att använda smarta kort. Det vill säga, vi kan prata om möjligheten till tvåfaktorsautentisering i Microsoft-system baserat på standardmetoder, från och med Windows 2000, eftersom Kerberos + PKINIT-schemat redan har implementerats.

Notera. FörautentiseringKerberos- en process som ger en extra säkerhetsnivå. Utförs före emissionTGT (Biljett Beviljande Biljett) från nyckeldistributionsservern (KDC). Används i protokolletKerberos v... 5 för att motverka offline-attacker med lösenordsgissning. Läs mer om hur protokollet fungerarKerberosfinns i RFC 4120.Cm

Naturligtvis pratar vi om datorer i domänen. Om det finns ett behov av att tillgripa tvåfaktorsautentisering när du arbetar i en arbetsgrupp, eller när du använder tidigare versioner av operativsystem, måste vi vända oss till programvara från tredje part, till exempel SafeNet (Aladdin) eToken Network Logon 5.1. Centimeter.

Inloggning till systemet kan göras med antingen domänkatalogtjänsten eller den lokala katalogtjänsten. I det här fallet skrivs inte användarens lösenord på tangentbordet, utan överförs från den säkra lagringen på smartkortet.

Smartkortautentisering implementeras genom Kerberos PKINIT-tillägget, detta tillägg ger möjlighet att använda asymmetriska kryptografiska algoritmer.

När det gäller kraven för implementering av användningen av smarta kort i samband med PKINIT, för operativsystemen Windows 2000, Windows 2003 Server, är de följande:

· Alla domänkontrollanter och alla klientdatorer i skogen där vår lösning distribueras måste lita på rotcertifikatutfärdaren (Certificate Authority).

Certifieringsmyndigheten som utfärdar certifikat för användning av smartkort måste placeras i NT Authority-butiken

Certifikatet måste innehålla identifierare för smartkortsinloggning och klientautentisering

· Certifikatet för smartkort måste innehålla användarens UPN.

· Certifikatet och den privata nyckeln måste placeras i lämpliga delar av smartkortet, och den privata nyckeln måste finnas i ett säkert område på smartkortet.

Certifikatet måste innehålla sökvägen till CRL-distributionspunkten

· Alla domänkontrollanter måste ha certifikatet Domain Controller Authentication, eller Kerberos Authentication, installerat, eftersom processen för ömsesidig autentisering av klienten och servern är implementerad.

Ett antal förändringar i kraven har skett i operativsystem sedan Windows Server 2008:

Krävs inte längre CRL-förlängning i smartkortsinloggningscertifikat

Möjligheten att upprätta en relation mellan ett användarkonto och ett certifikat stöds nu

Att skriva certifikatet är möjligt i alla tillgängliga delar av smartkortet

· EKU-tillägget krävs inte för att inkludera Smart Card Logon OID, men i ärlighetens namn bör det noteras att om du planerar att använda en enda certifikatmall för klienter i alla operativsystem, så måste naturligtvis Smart Card Logon OID vara aktiverat .

Några ord om själva klientinloggningsproceduren. Om vi ​​talar om operativsystem från Windows Vista och högre, bör det noteras att ett antal förändringar också har skett här:

För det första, inloggningsproceduren för smartkort initieras inte längre automatiskt när du sätter in smartkortet i kortläsaren, eller ansluter din USB-nyckel till USB-porten, det vill säga du måste trycka på Ctrl + Alt + Delete.

· För det andra ger den nya möjligheten att använda vilken smartkortsplats som helst för att lagra certifikat användaren att välja mellan en mängd olika identifieringsobjekt lagrade på kortet, medan det aktuella certifikatet visas som tillgängligt för användning.

Slutsatser

Så vi har sorterat ut flera huvudaspekter angående den teoretiska delen av tvåfaktorsautentisering i Active Directory Domain Services, och vi kan sammanfatta.

Att säkra autentiseringsprocessen på systemet är avgörande. De typer av lösenordsknäckning som finns idag skapar behov av multifaktorautentisering.

För ett litet företag kan du begränsa oss till en strikt policy för att skydda referenser, införandet av antivirusprogram, beröva användare möjligheten att arbeta med externa lagringsmedia, blockera lanseringen av obehörig programvara, implementera användarens arbetsföreskrifter, etc. etc.

När det gäller ett stort företag, eller ett företag där det finns ett tydligt intresse från cyberkriminella, räcker inte dessa medel. Fel och insiderinformation kan undergräva ansträngningarna att bygga ett säkerhetssystem, så en annan väg måste tas. Det är redan vettigt att prata om implementeringen av säker autentisering.

Att använda tvåfaktorsautentisering är en bra säkerhetslösning.

Vi har en andra autentiseringsfaktor, förutom pinkoden måste användaren även ha ett smartkort, eller USB-nyckel.

Att använda smarta kort eller USB-nycklar ger oss möjligheten att tillhandahålla tvåfaktorsautentisering i både AD- och AD DS-miljöer.

I en av följande artiklar kommer jag att visa dig hur du implementerar tvåfaktorsautentisering i praktiken. Vi kommer att titta på att distribuera och konfigurera en Certificate Authority Infrastructure (PKI) baserad på Windows Server 2008 Enterprise R2.

Bibliografi.

Http://www.rfc-archive.org/getrfc.php?rfc=4556

Http://www.rfc-archive.org/getrfc.php?rfc=4120

Http://www.aladdin.ru/catalog/etoken_products/logon

NCSC-TG-017 - "A Guide to Understanding Identification and Authentication in Trusted Systems", publicerad av U.S. Nationellt datorsäkerhetscenter.

RFC4120 - Kerberos Network Authentication Service (V5)

RFC4556 - Public Key Cryptography for Initial Authentication in Kerberos (PKINIT)

Brian Komar Windows Server 2008 PKI och certifikatsäkerhet

Leonid Shapiro,
MCT, MCSE: S, MCSE: M, MCITP EA, TMS Certified Trainer