Os hackers obtiveram acesso ao principal servidor de correio da empresa internacional Deloitte. A conta de administrador para este servidor foi protegida apenas por senha.
O pesquisador austríaco independente David Wind recebeu uma recompensa de US $ 5 mil pela detecção de vulnerabilidades na página ao entrar no login da intranet do Google.
91% das empresas russas ocultam vazamento de dados.
Essas notícias podem ser encontradas quase todos os dias nos feeds de notícias da Internet. Isso é uma evidência direta de que os serviços internos da empresa devem ser protegidos.
E quanto maior a empresa, mais funcionários nela e mais complexa a infraestrutura interna de TI, mais urgente é o problema de vazamento de informações. Quais informações são de interesse dos atacantes e como protegê-las?
Vazamento de quais informações podem prejudicar a empresa?
- informações sobre clientes e transações;
- informações técnicas sobre produtos e know-how;
- informações sobre parceiros e ofertas especiais;
- dados pessoais e contabilidade.
E se você entende que algumas informações da lista acima estão disponíveis em qualquer segmento da sua rede apenas apresentando um nome de usuário e senha, pense em aumentar o nível de segurança dos dados e protegê-los contra acesso não autorizado.
A autenticação de dois fatores na mídia criptográfica de hardware (tokens ou cartões inteligentes) ganhou uma reputação de muito confiável e ao mesmo tempo bastante fácil de usar.
Escrevemos sobre os benefícios da autenticação de dois fatores em quase todos os artigos. Leia mais sobre isso nos artigos sobre como proteger sua conta de domínio e email do Windows .
Neste artigo, mostraremos como usar a autenticação de dois fatores para fazer login nos portais internos da sua organização.
Como exemplo, usaremos o modelo Rutoken mais adequado para uso corporativo - o token criptográfico USB Rutoken PKI EDS .
Vamos começar com a instalação.
Etapa 1 - Configuração do servidor
A base de qualquer servidor é o sistema operacional. No nosso caso, esse é o Windows Server 2016. E, juntamente com ele e outros sistemas operacionais da família Windows, o IIS (Internet Information Services) é distribuído.
O IIS é um grupo de servidores da Internet, incluindo um servidor Web e um servidor FTP. O IIS inclui aplicativos para criar e gerenciar sites.
O IIS foi projetado para criar serviços da Web usando contas de usuário fornecidas por um domínio ou Active Directory. Isso permite que você use bancos de dados de usuários existentes.
No primeiro artigo, descrevemos em detalhes como instalar e configurar uma Autoridade de Certificação em seu servidor. Agora, não vamos nos deter sobre isso em detalhes, mas assumiremos que tudo já está configurado. O certificado HTTPS para o servidor da web deve ser emitido corretamente. É melhor dar uma olhada imediatamente.
O Windows Server 2016 possui o IIS versão 10.0 integrado.
Se o IIS estiver instalado, resta configurá-lo corretamente.
Na fase de seleção dos serviços de função, marcamos a caixa de seleção Autenticação básica .
Em seguida , o IIS ativou a autenticação básica .
E indicou o domínio em que o servidor da web está localizado.
Em seguida, adicionamos uma ligação ao site.
E escolheu as opções de SSL.
Isso completa a configuração do servidor.
Após executar essas etapas, apenas um usuário que possua um token com um certificado e um código PIN de token poderá entrar no site.
Lembramos mais uma vez que, de acordo com o primeiro artigo , o usuário foi pré-emitido com um token com chaves e um certificado emitido de acordo com um modelo do tipo Usuário com um cartão inteligente .
Agora, prosseguimos para configurar o computador do usuário. Ele deve configurar os navegadores que ele usará para se conectar a sites protegidos.
Etapa 2 - Configurando o seu computador
Para simplificar, suponha que nosso usuário tenha o Windows 10.
Suponha também que ele tenha os drivers Rootoken para Windows instalados.
A instalação do kit do driver é opcional, pois o suporte ao token provavelmente chegará pelo Windows Update.
Mas se isso não acontecer repentinamente, a instalação do Rootoken Driver Kit para Windows resolverá todos os problemas.
Conecte o token ao computador do usuário e abra o Painel de controle Rootoken.
Na guia Certificados , marque a caixa ao lado do certificado necessário, se não valer a pena.
Portanto, verificamos que o token está funcionando e contém o certificado necessário.
Todos os navegadores, exceto o Firefox, são configurados automaticamente.
Especialmente com eles, você não precisa fazer nada.
Agora abra qualquer navegador e digite o endereço do recurso.
Antes do site ser carregado, uma janela para escolher um certificado será aberta e, em seguida, uma janela para inserir o código PIN do token.
Se o Aktiv ruToken CSP for selecionado como o provedor de criptografia para o dispositivo por padrão, outra janela será aberta para inserir o código PIN.
E somente após a entrada bem-sucedida no navegador, nosso site será aberto.
Para o Firefox, configurações adicionais devem ser feitas.
Nas configurações do navegador, selecione Privacidade e proteção . Na seção Certificados , clique em Dispositivo de proteção . A janela Gerenciar dispositivos é aberta.
Clique em Download , especifique o nome do Rootoken EDS e o caminho C: \ windows \ system32 \ rtpkcs11ecp.dll.
Isso é tudo, agora o Firefox sabe como lidar com o token e permite que você entre no site usando-o.
A propósito, o login de token em sites também funciona em Macs no Safari, Chrome e Firefox.
Você só precisa instalar o módulo de suporte de Keychain no site Rutoken e ver o certificado no token nele.
Você não precisa configurar o Safari, Chrome, Yandex e outros navegadores, basta abrir o site em qualquer um desses navegadores.
O navegador Firefox está configurado quase da mesma forma que no Windows (Configurações - Avançado - Certificados - Dispositivos de segurança). Somente o caminho da biblioteca é um pouco diferente / Library / Akitv Co / Rutoken ECP / lib / librtpkcs11ecp.dylib.
Conclusões
Mostramos como configurar a autenticação de dois fatores em sites usando tokens criptográficos. Como sempre, não precisamos de nenhum software adicional para isso, exceto as bibliotecas do sistema Rootoken.
Você pode executar este procedimento com qualquer um dos seus recursos internos e, de maneira flexível, pode configurar grupos de usuários que terão acesso ao site, como em qualquer outro local do Windows Server.
Usando um sistema operacional diferente para o servidor?
Se você quiser escrever sobre a configuração de outros sistemas operacionais, escreva sobre isso nos comentários do artigo.