تمكن القراصنة من الوصول إلى خادم البريد الرئيسي للشركة الدولية Deloitte. حساب المسؤول لهذا الخادم محمي بكلمة مرور فقط.
حصل الباحث النمساوي المستقل ديفيد ويند على مكافأة قدرها 5 آلاف دولار للكشف عن نقاط الضعف على صفحة تسجيل الدخول إلى إنترانت جوجل.
91٪ من الشركات الروسية تخفي تسرب البيانات.
يمكن العثور على مثل هذه الأخبار كل يوم تقريبًا في موجز أخبار الإنترنت. هذا دليل مباشر على ضرورة حماية الخدمات الداخلية للشركة.
وكلما كانت الشركة أكبر ، كلما زاد عدد الموظفين فيها وكلما زادت تعقيد البنية التحتية الداخلية لتكنولوجيا المعلومات ، زادت مشكلة تسرب المعلومات إليها. ما هي المعلومات التي تهم المهاجمين وكيفية حمايتها؟
تسرب المعلومات التي يمكن أن تضر الشركة؟
- معلومات حول العملاء والمعاملات ؛
- المعلومات التقنية حول المنتجات والدراية ؛
- معلومات حول الشركاء والعروض الخاصة ؛
- البيانات الشخصية والمحاسبة.
وإذا فهمت أن بعض المعلومات الواردة في القائمة أعلاه لا يمكن الوصول إليها من أي جزء من شبكتك إلا من خلال تقديم اسم مستخدم وكلمة مرور ، فيجب التفكير في زيادة مستوى أمان البيانات وحمايتها من الوصول غير المصرح به.
اكتسبت المصادقة ذات العاملين على وسائط تشفير الأجهزة (الرموز المميزة أو البطاقات الذكية) سمعة بأنها موثوقة للغاية وفي نفس الوقت سهلة الاستخدام.
نكتب عن فوائد المصادقة الثنائية في كل مقال تقريبًا. اقرأ المزيد عن هذا في المقالات حول كيفية حماية حساب مجال Windows والبريد الإلكتروني .
في هذه المقالة ، سنوضح لك كيفية استخدام المصادقة ذات العاملين لتسجيل الدخول إلى البوابات الداخلية لمؤسستك.
كمثال ، سنأخذ الأنسب لاستخدام الشركات نموذج Rutoken - رمز USB المشفر Rutoken PKI EDS .
دعنا نبدأ مع الإعداد.
الخطوة 1 - إعداد الخادم
أساس أي خادم هو نظام التشغيل. في حالتنا ، هذا هو Windows Server 2016. وإلى جانبه وأنظمة تشغيل أخرى من عائلة Windows ، يتم توزيع IIS (خدمات معلومات الإنترنت).
IIS هي مجموعة من خوادم الإنترنت ، بما في ذلك خادم الويب وخادم FTP. يتضمن IIS تطبيقات لإنشاء مواقع الويب وإدارتها.
تم تصميم IIS لإنشاء خدمات ويب باستخدام حسابات المستخدمين التي يوفرها المجال أو Active Directory. هذا يسمح لك باستخدام قواعد بيانات المستخدم الموجودة.
في المقالة الأولى ، وصفنا بالتفصيل كيفية تثبيت وتهيئة مرجع مصدق على خادمك. الآن لن نتحدث عن هذا بالتفصيل ، لكننا سنفترض أن كل شيء قد تم إعداده بالفعل. يجب إصدار شهادة HTTPS لخادم الويب بشكل صحيح. من الأفضل التحقق من ذلك على الفور.
يحتوي Windows Server 2016 على إصدار IIS 10.0 متكامل.
إذا تم تثبيت IIS ، فإنه يبقى لتكوينه بشكل صحيح.
في مرحلة اختيار خدمات الدور ، قمنا بفحص مربع الاختيار المصادقة الأساسية .
بعد ذلك ، قام IIS بتمكين المصادقة الأساسية .
وأشار إلى المجال الذي يوجد فيه خادم الويب.
ثم أضفنا ربط موقع.
واخترت خيارات SSL.
هذا يكمل إعداد الخادم.
بعد تنفيذ هذه الخطوات ، يمكن فقط للمستخدم الذي لديه رمز مميز بشهادة ورمز PIN رمزي الدخول إلى الموقع.
نذكر مرة أخرى أنه وفقًا للمقالة الأولى ، تم إصدار المستخدم مسبقًا برمز مميز مع شهادة وصادرة وفقًا لنموذج من نوع المستخدم مع بطاقة ذكية .
ننتقل الآن لتكوين جهاز الكمبيوتر الخاص بالمستخدم. يجب عليه تكوين المتصفحات التي سيستخدمها للاتصال بالمواقع المحمية.
الخطوة 2 - إعداد جهاز الكمبيوتر الخاص بك
من أجل البساطة ، افترض أن مستخدمنا لديه Windows 10.
افترض أيضًا أن لديه برامج تشغيل Rootoken لـ Windows مثبتة.
يعد تثبيت مجموعة برامج التشغيل أمرًا اختياريًا ، حيث من المرجح أن يصل دعم الرمز المميز عبر Windows Update.
ولكن إذا لم يحدث ذلك فجأة ، فإن تثبيت Rootoken Driver Kit لنظام Windows سيحل جميع المشاكل.
قم بتوصيل الرمز المميز بجهاز الكمبيوتر الخاص بالمستخدم وافتح لوحة التحكم الجذر.
في علامة التبويب الشهادات ، حدد المربع المجاور للشهادة المطلوبة ، إذا لم تكن تستحق ذلك.
وبالتالي ، تحققنا من أن الرمز المميز يعمل ويحتوي على الشهادة اللازمة.
يتم تكوين جميع المتصفحات باستثناء Firefox تلقائيًا.
خاصة معهم لا تحتاج إلى القيام بأي شيء.
الآن افتح أي متصفح وأدخل عنوان المورد.
قبل تحميل الموقع ، سيتم فتح نافذة لاختيار شهادة ، ثم نافذة لإدخال رمز PIN المميز.
إذا تم اختيار Aktiv ruToken CSP كموفر التشفير للجهاز بشكل افتراضي ، فسيتم فتح نافذة أخرى لإدخال رمز PIN.
وفقط بعد إدخاله الناجح في المتصفح ، سيتم فتح موقعنا.
بالنسبة إلى Firefox ، يجب إجراء إعدادات إضافية.
في إعدادات المتصفح ، حدد الخصوصية والحماية . في قسم الشهادات ، انقر فوق جهاز الحماية . تفتح نافذة إدارة الأجهزة .
انقر فوق تنزيل ، وحدد اسم Rootoken EDS والمسار C: \ windows \ system32 \ rtpkcs11ecp.dll.
هذا كل شيء ، الآن يعرف Firefox كيفية التعامل مع الرمز المميز ويسمح لك بدخول الموقع باستخدامه.
بالمناسبة ، يعمل تسجيل الدخول إلى مواقع الويب أيضًا على أجهزة Mac في Safari و Chrome و Firefox.
تحتاج فقط إلى تثبيت وحدة دعم Keychain من موقع Rutoken ورؤية الشهادة على الرمز المميز فيه.
لا تحتاج إلى إعداد Safari و Chrome و Yandex ومتصفحات أخرى ، ما عليك سوى فتح الموقع في أي من هذه المتصفحات.
تم تكوين متصفح Firefox تقريبًا كما هو الحال في Windows (إعدادات - متقدم - شهادات - أجهزة أمان). يختلف مسار المكتبة فقط قليلاً / Library / Akitv Co / Rutoken ECP / lib / librtpkcs11ecp.dylib.
الاستنتاجات
أوضحنا لك كيفية تكوين المصادقة ذات العاملين على المواقع باستخدام الرموز المشفرة. كما هو الحال دائمًا ، لم نكن بحاجة إلى أي برامج إضافية لهذا ، باستثناء مكتبات نظام Rootoken.
يمكنك القيام بهذا الإجراء باستخدام أي من مواردك الداخلية ، ويمكنك تكوين مجموعات المستخدمين التي يمكنها الوصول إلى الموقع بمرونة ، كما هو الحال في أي مكان آخر في Windows Server.
استخدام نظام تشغيل مختلف للخادم؟
إذا كنت تريد أن نكتب عن إعداد أنظمة تشغيل أخرى ، فاكتب عنها في التعليقات على المقالة.