黑客可以访问国际公司德勤的主要邮件服务器。 该服务器的管理员帐户仅受密码保护。
奥地利独立研究人员David Wind因在Google Intranet登录页面上检测到漏洞而获得了5,000美元的奖励。
91%的俄罗斯公司掩盖了数据泄漏。
此类新闻几乎每天都可以在Internet新闻源中找到。 这是必须保护公司内部服务的直接证据。
公司越大,员工越多,内部IT基础架构越复杂,信息泄漏的问题就越紧迫。 攻击者需要什么信息,以及如何保护它?
哪些信息泄漏可能会损害公司?
- 有关客户和交易的信息;
- 有关产品和专有技术的技术信息;
- 有关合作伙伴和特别优惠的信息;
- 个人数据和会计。
并且,如果您了解仅通过提供用户名和密码,即可从网络的任何部分访问上述列表中的某些信息,那么您应该考虑提高数据安全性并保护其免受未经授权的访问。
硬件加密介质(令牌或智能卡)上的两因素身份验证赢得了非常可靠的声誉,同时也非常易于使用。
我们几乎在每篇文章中都提到了两因素身份验证的好处。 在有关如何保护Windows域帐户和电子邮件的文章中阅读有关此内容的更多信息。
在本文中,我们将向您展示如何使用双重身份验证来登录组织的内部门户。
例如,我们将采用最适合企业使用的Rutoken模型-加密USB令牌Rutoken PKI EDS 。
让我们开始设置。
第1步-服务器设置
任何服务器的基础都是操作系统。 在我们的案例中,这是Windows Server2016。并且与它以及Windows家族的其他操作系统一起发布了IIS(Internet信息服务)。
IIS是一组Internet服务器,包括Web服务器和FTP服务器。 IIS包括用于创建和管理网站的应用程序。
IIS旨在使用域或Active Directory提供的用户帐户来构建Web服务。 这使您可以使用现有的用户数据库。
在第一篇文章中,我们详细描述了如何在服务器上安装和配置证书颁发机构。 现在,我们将不再详细介绍这一点,但我们将假定一切都已设置好。 Web服务器的HTTPS证书必须正确颁发。 最好立即检查一下。
Windows Server 2016集成了IIS 10.0版本。
如果安装了IIS,则可以正确配置它。
在选择角色服务的阶段,我们选中了基本身份验证复选框。
然后,IIS启用了基本身份验证 。
并指出了Web服务器所在的域。
然后,我们添加了站点绑定。
并选择了SSL选项。
这样就完成了服务器设置。
执行完这些步骤后,只有拥有带有证书的令牌和令牌PIN码的用户才能进入该站点。
我们再次提醒您,根据第一篇文章 ,将为用户预发行带有密钥的令牌和根据类型为“具有智能卡的用户”模板的证书。
现在,我们继续配置用户的计算机。 他应该配置用于连接受保护网站的浏览器。
第2步-设置您的计算机
为简单起见,假设我们的用户使用Windows 10。
还要假设他已经安装了Windows的Rootoken驱动程序。
安装驱动程序工具包是可选的,因为令牌支持很可能会通过Windows Update到达。
但是,如果这不是突然发生的,那么安装适用于Windows的Rootoken驱动程序套件将解决所有问题。
将令牌连接到用户的计算机,然后打开Rootoken控制面板。
如果不值得,请在“ 证书”选项卡上,选中所需证书旁边的框。
因此,我们检查了令牌是否正常工作并包含必要的证书。
除Firefox外的所有浏览器均已自动配置。
特别是对他们来说,您不需要做任何事情。
现在打开任何浏览器,然后输入资源的地址。
在站点加载之前,将打开一个用于选择证书的窗口,然后一个用于输入令牌PIN码的窗口。
如果默认情况下选择Aktiv ruToken CSP作为设备的密码提供程序,则将打开另一个窗口以输入PIN码。
只有在浏览器中成功输入后,我们的网站才会打开。
对于Firefox,应进行其他设置。
在浏览器设置中,选择隐私和保护 。 在“ 证书”部分中,单击“ 保护设备” 。 将打开“ 管理设备”窗口。
单击下载 ,指定Rootoken EDS的名称和路径C:\ windows \ system32 \ rtpkcs11ecp.dll。
仅此而已,现在Firefox知道如何处理令牌,并允许您使用令牌进入站点。
顺便说一下,令牌登录网站也可以在Safari,Chrome和Firefox的Mac上使用。
您只需要从Rutoken站点安装Keychain 支持模块 ,并在其中的令牌上查看证书。
您无需设置Safari,Chrome,Yandex和其他浏览器,只需在任何一种浏览器中打开网站即可。
Firefox浏览器的配置与Windows中的配置几乎相同(设置-高级-证书-安全设备)。 仅库路径略有不同/ Library / Akitv Co / Rutoken ECP / lib / librtpkcs11ecp.dylib。
结论
我们向您展示了如何使用加密令牌在网站上配置两因素身份验证。 与往常一样,除了Rootoken系统库外,我们不需要任何其他软件。
您可以使用任何内部资源来执行此过程,并且可以像Windows Server中的其他位置一样灵活地配置可以访问该站点的用户组。
为服务器使用其他操作系统?
如果您想让我们撰写有关设置其他操作系统的文章,请在本文的评论中撰写。