Peretas memperoleh akses ke server surat utama perusahaan internasional Deloitte. Akun administrator untuk server ini hanya dilindungi kata sandi.
Peneliti independen Austria David Wind menerima hadiah sebesar $ 5 ribu untuk mendeteksi kerentanan pada halaman login intranet Google.
91% dari perusahaan Rusia menyembunyikan kebocoran data.
Berita semacam itu dapat ditemukan hampir setiap hari di feed berita internet. Ini adalah bukti langsung bahwa layanan internal perusahaan harus dilindungi.
Dan semakin besar perusahaan, semakin banyak karyawan di dalamnya dan semakin kompleks infrastruktur TI internal, semakin mendesak masalah kebocoran informasi untuknya. Informasi apa yang menarik bagi penyerang dan bagaimana melindunginya?
Kebocoran informasi apa yang dapat membahayakan perusahaan?
- informasi tentang pelanggan dan transaksi;
- informasi teknis tentang produk dan pengetahuan;
- informasi tentang mitra dan penawaran khusus;
- data pribadi dan akuntansi.
Dan jika Anda memahami bahwa beberapa informasi dari daftar di atas tersedia dari setiap segmen jaringan Anda hanya dengan menghadirkan nama pengguna dan kata sandi, maka Anda harus mempertimbangkan untuk meningkatkan tingkat keamanan data dan melindunginya dari akses yang tidak sah.
Otentikasi dua faktor pada media kriptografi perangkat keras (token atau kartu pintar) telah mendapatkan reputasi sebagai sangat andal dan pada saat yang sama cukup mudah digunakan.
Kami menulis tentang manfaat otentikasi dua faktor di hampir setiap artikel. Baca lebih lanjut tentang ini di artikel tentang cara melindungi akun domain Windows Anda dan email .
Dalam artikel ini, kami akan menunjukkan kepada Anda bagaimana menggunakan otentikasi dua faktor untuk masuk ke portal internal organisasi Anda.
Sebagai contoh, kami akan mengambil yang paling cocok untuk penggunaan korporat model Rutoken - token kriptografi USB Rutoken PKI EDS .
Mari kita mulai dengan pengaturan.
Langkah 1 - Pengaturan Server
Dasar dari server apa pun adalah sistem operasi. Dalam kasus kami, ini adalah Windows Server 2016. Dan bersama dengan itu dan sistem operasi lain dari keluarga Windows, IIS (Layanan Informasi Internet) didistribusikan.
IIS adalah sekelompok server Internet, termasuk server web dan server FTP. IIS mencakup aplikasi untuk membuat dan mengelola situs web.
IIS dirancang untuk membangun layanan web menggunakan akun pengguna yang disediakan oleh domain atau Direktori Aktif. Ini memungkinkan Anda untuk menggunakan basis data pengguna yang ada.
Pada artikel pertama, kami menjelaskan secara rinci cara menginstal dan mengkonfigurasi Otoritas Sertifikasi di server Anda. Sekarang kita tidak akan membahas hal ini secara rinci, tetapi kita akan menganggap bahwa semuanya sudah diatur. Sertifikat HTTPS untuk server web harus dikeluarkan dengan benar. Lebih baik memeriksanya segera.
Windows Server 2016 memiliki IIS versi 10.0 terintegrasi.
Jika IIS diinstal, maka masih harus mengkonfigurasinya dengan benar.
Pada tahap memilih layanan peran, kami memeriksa kotak centang otentikasi Dasar .
Kemudian , IIS mengaktifkan Otentikasi Dasar .
Dan ditunjukkan domain tempat server web berada.
Lalu kami menambahkan situs yang mengikat.
Dan memilih opsi SSL.
Ini menyelesaikan pengaturan server.
Setelah melakukan langkah-langkah ini, hanya pengguna yang memiliki token dengan sertifikat dan kode PIN token yang dapat memasuki situs.
Kami mengingatkan sekali lagi bahwa sesuai dengan artikel pertama , pengguna telah diterbitkan sebelumnya dengan token dengan kunci dan sertifikat yang dikeluarkan sesuai dengan templat tipe Pengguna dengan kartu pintar .
Sekarang kita lanjutkan untuk mengkonfigurasi komputer pengguna. Dia harus mengkonfigurasi browser yang akan dia gunakan untuk terhubung ke situs web yang dilindungi.
Langkah 2 - Memasang Komputer Anda
Untuk kesederhanaan, anggap pengguna kami memiliki Windows 10.
Juga anggap bahwa ia memiliki driver Rootoken untuk Windows diinstal.
Menginstal kit driver adalah opsional, karena kemungkinan besar dukungan token akan tiba melalui Pembaruan Windows.
Tetapi jika ini tidak terjadi secara tiba-tiba, maka menginstal Kit Driver Rootoken untuk Windows akan menyelesaikan semua masalah.
Hubungkan token ke komputer pengguna dan buka Panel Kontrol Rootoken.
Pada tab Sertifikat , centang kotak di sebelah sertifikat yang diperlukan, jika tidak layak.
Jadi, kami memeriksa bahwa token berfungsi dan berisi sertifikat yang diperlukan.
Semua browser kecuali Firefox dikonfigurasikan secara otomatis.
Apalagi dengan mereka Anda tidak perlu melakukan apa-apa.
Sekarang buka browser apa saja dan masukkan alamat sumber daya.
Sebelum situs dimuat, jendela untuk memilih sertifikat akan terbuka, dan kemudian jendela untuk memasukkan kode PIN token.
Jika Aktiv ruToken CSP dipilih sebagai penyedia kriptografi untuk perangkat secara default, jendela lain akan terbuka untuk memasukkan kode PIN.
Dan hanya setelah inputnya berhasil di browser, situs kami akan terbuka.
Untuk Firefox, pengaturan tambahan harus dibuat.
Di pengaturan browser, pilih Privasi dan Perlindungan . Di bagian Sertifikat , klik Perangkat Perlindungan . Jendela Kelola Perangkat terbuka.
Klik Unduh , tentukan nama Rootoken EDS dan jalur C: \ windows \ system32 \ rtpkcs11ecp.dll.
Itu saja, sekarang Firefox tahu cara menangani token dan memungkinkan Anda untuk masuk ke situs menggunakan itu.
Omong-omong, token masuk ke situs web juga berfungsi di Mac di Safari, Chrome, dan Firefox.
Anda hanya perlu menginstal modul dukungan Keychain dari situs Rutoken dan melihat sertifikat pada token di dalamnya.
Anda tidak perlu mengatur Safari, Chrome, Yandex, dan browser lain, Anda hanya perlu membuka situs di salah satu browser ini.
Browser Firefox dikonfigurasi hampir sama dengan di Windows (Pengaturan - Lanjutan - Sertifikat - Perangkat Keamanan). Hanya jalur pustaka yang sedikit berbeda / Library / Akitv Co / Rutoken ECP / lib / librtpkcs11ecp.dylib.
Kesimpulan
Kami menunjukkan kepada Anda cara mengkonfigurasi otentikasi dua faktor di situs menggunakan token kriptografi. Seperti biasa, kami tidak memerlukan perangkat lunak tambahan untuk ini, kecuali untuk pustaka sistem Rootoken.
Anda dapat melakukan prosedur ini dengan sumber daya internal apa pun, dan Anda dapat secara fleksibel mengkonfigurasi grup pengguna yang akan memiliki akses ke situs, namun, seperti di tempat lain di Windows Server.
Menggunakan OS yang berbeda untuk server?
Jika Anda ingin kami menulis tentang pengaturan OS lain, maka tulis tentang itu di komentar di artikel.