Зад двоен оклоп. Како да поставите далечински пристап преку најава за RDP Rdp користејќи личен сертификат

Сигурно, многумина од вас веќе ја слушнале и виделе оваа кратенка - буквално се преведува како протокол за далечинска работна површина. Ако некој е заинтересиран за техничките сложености на работата на овој протокол за ниво на апликација, тие можат да ја прочитаат литературата, почнувајќи од истата Википедија. Ќе разгледаме чисто практични аспекти. Имено, фактот што овој протокол ви овозможува далечинско поврзување со компјутерите под Контрола на Windowsразлични верзии користејќи вграден Алатка за Windows„Се поврзува со оддалечена работна површина“.

Кои се добрите и лошите страни на користењето на протоколот RDP?

Да почнеме со пријатното - со добрите. Предноста е што оваа алатка, која е поправилно наречена RDP клиент, е достапна за секој корисник на Windows, и на компјутерот од кој ќе се управува со далечинскиот управувач и за оние кои сакаат да отворат далечински пристап до нивниот компјутер.

Преку врска со далечинска работна површина, можно е не само да се види оддалечената работна површина и да се користат ресурсите на оддалечениот компјутер, туку и да се поврзете со него локални дискови, печатачи, паметни картички итн. Секако, доколку сакате да гледате видео или да слушате музика преку RDP, овој процес тешко дека ќе ви донесе задоволство, бидејќи ... во повеќето случаи ќе видите слајд шоу и аудиото најверојатно ќе биде прекинато. Но, услугата RDP не беше развиена за овие задачи.

Друга несомнена предност е тоа што врската со компјутерот се спроведува без дополнителни програми, кои се претежно платени, иако тие ги имаат своите предности. Времето за пристап до серверот RDP (кој е вашиот оддалечен компјутер) е ограничено само од вашата желба.

Има само два минуси. Едниот е значаен, другиот не толку. Првиот и суштинскиот е дека за да се работи со RDP, компјутерот на кој се прави врската мора да има бела (надворешна) IP, или мора да биде можно да се „проследи“ порта од рутерот до овој компјутер, кој повторно мора да има надворешна IP адреса. Дали е статичен или динамичен не е важно, но мора да биде.

Вториот недостаток не е толку значаен - најновите верзии на клиентот повеќе не ја поддржуваат шемата на бои со 16 бои. Минимум - 15 бити. Ова во голема мера го успорува RDP кога се поврзувате преку закржлавен, мртов Интернет со брзина не поголема од 64 килобити во секунда.

За што можете да користите далечински пристап преку RDP?

Организациите обично користат RDP сервери за да соработкаво програмата 1C. А некои дури и распоредуваат кориснички работни станици на нив. Така, корисникот, особено ако има патувачка работа, може, доколку има 3G интернет или Wi-Fi во хотел/кафе, да се поврзе на своето работно место од далечина и да ги реши сите проблеми.

Во некои случаи, домашните корисници можат да користат далечински пристап до нивните домашен компјутерда добиете некои податоци од домашните ресурси. Во принцип, услугата за далечинска работна површина ви овозможува целосно да работите со текст, инженерство и графички апликации. Од причините наведени погоре, нема да работи со видео и аудио обработка, но сепак е многу значаен плус. Можете исто така да ги прегледате ресурсите што се затворени според политиката на компанијата на работа со поврзување со вашиот домашен компјутер без никакви анонимизатори, VPN или други зли духови.

Подготовка на Интернет

Во претходниот дел, зборувавме за фактот дека за да овозможиме далечински пристап преку RDP, потребна ни е надворешна IP адреса. Оваа услуга може да ја обезбеди давателот, затоа се јавуваме или пишуваме или одиме кај Лична области организирајте обезбедување на оваа адреса. Идеално, треба да биде статично, но во принцип, можете да живеете со динамични.

Ако некој не ја разбира терминологијата, тогаш статичната адреса е константна, а динамичната адреса се менува од време на време. Со цел целосно да се работи со динамични IP адреси, измислени се различни услуги кои обезбедуваат динамично поврзување на доменот. Што и како, наскоро ќе има статија на оваа тема.

Подготовка на рутерот

Ако вашиот компјутер не е директно поврзан со кабелот на интернет провајдерот на Интернет, туку преку рутер, ќе мора да извршиме и некои манипулации со овој уред. Имено, препратете ја сервисната порта - 3389. Во спротивно, NAT на вашиот рутер едноставно нема да ви дозволи да влезете. домашна мрежа. Истото важи и за поставување на RDP сервер во организација. Ако не знаете како да препраќате порта, прочитајте ја статијата за Како да препраќате порти на рутер (се отвора во нова картичка), а потоа вратете се овде.

Подготовка на компјутерот

За да создадете можност за далечинско поврзување со компјутер, треба да направите точно две работи:

Дозволете ја врската во Својства на системот;
- поставете лозинка за тековниот корисник (ако тој нема лозинка), или креирајте нов корисник со лозинка специјално за поврзување преку RDP.

Одлучете сами што да правите со корисникот. Сепак, имајте на ум дека оперативните системи кои не се сервери природно не поддржуваат повеќекратни најавувања. Оние. ако се најавите како сами локално (конзола), а потоа се најавите како ист корисник од далечина, локалниот екран ќе биде заклучен и сесијата на истото место ќе се отвори во прозорецот Remote Desktop Connection. Ако ја внесете лозинката локално без да излезете од RDP, ќе бидете исфрлени од далечинскиот пристап и ќе го видите тековниот екран на вашиот локален монитор. Истото ве чека ако се најавите на конзолата како еден корисник, а од далечина се обидете да се најавите како друг. Во овој случај, системот ќе ве поттикне да ја завршите сесијата на локалниот корисник, што можеби не е секогаш погодно.

Значи, одете на Start, кликнете со десното копче на менито Computer и кликнете Properties.

Во Својства на системот изберете Дополнителни опциисистеми

Во прозорецот што се отвора, одете во табулаторот Remote Access...

...кликнете Повеќе...

И штиклирајте го единственото поле на оваа страница.

Ова е „домашно“ верзија на Windows 7 - оние кои имаат Pro и повисоки ќе имаат повеќе полиња за избор и можно е да се разликува пристапот.

Кликнете на ОК насекаде.

Сега, можете да отидете до Поврзување со далечинска работна површина (Почеток>Сите програми>Додатоци), внесете ја IP адресата или името на компјутерот таму ако сакате да се поврзете со него од вашата домашна мрежа и да ги користите сите ресурси.

Како ова. Во принцип, сè е едноставно. Ако одеднаш имате какви било прашања или нешто останува нејасно, добредојде во коментарите.

Накратко: ви овозможува да конфигурирате двофакторна автентикација за пристап до терминалниот сервер. Користејќи ја алатката за далечинска работна површина MS или алатка за далечинска работна површина, можете лесно да се поврзете со далечинската работна површина со користење на USB -копче (Token).

Како Rohos Logon Key работи со далечинска работна површина.

Клучот за најавување на Рохос се интегрира во процесот на овластување за терминални услуги на Виндоус и додава двофакторски слој за автентикација во постојната инфраструктура за контрола на пристапот на системот. По поставувањето на клучот за најавување на Rohos, корисниците ќе можат да се најават во далечинскиот управувач или да користат само USB -клуч, или користејќи USB -клуч и лозинка.

Предности на заштитата на терминалниот сервер.

• Методот ви овозможува да го ограничите далечинскиот пристап за одредени корисници или листа на корисници.
• Од таквите корисници се бара секој пат да вметнат USB-клуч или да внесат OTP-код.
• Секој клуч е уникатен и не може да се фалсификува
• Нема потреба да го поврзувате USB-клучот директно со серверот кога го поставувате.
• Нема потреба да ја инсталирате програмата на секој компјутер од кој пристапувате*.
• Администраторот треба само претходно да го конфигурира и да му издаде на корисникот USB клуч за пристап.

Зголемена безбедност преку електронски USB клуч или еднократни лозинки:

• Лозинка за клуч за Windows+ USB, како што се SafeNet, eToken, iKey, ePass и други со поддршка за PKCS#11.
• Лозинка за Windows + USB блицносител.
• Лозинка за Windows + OTP код испратен преку СМС до мобилен телефонкорисник.
• Лозинка за прозорец + OTP код со Google програми Authenticator инсталиран на паметниот телефон на корисникот.
• Само шифрирана лозинка на USB-клучот.
• електронски USB клуч + клуч PIN код;
• Електронски USB клуч + ПИН на клучот + лозинка за Windows;

Пред да започнете со поставување на клучот Rohos Logon, треба да одлучите:

• каков тип на USB клуч ќе се користи за авторизација;
• каков тип на автентикација сакате да го користите:
  1) двофактор = USB клуч + лозинка за Windows,
  2) еден фактор = USB клуч (ова ја вклучува и опцијата USB-клуч + PIN-клуч ако е достапна),
  3) користете го USB-клучот само на локалниот компјутер. Во овој случај, терминалниот сервер нема да провери дали клиентот има USB-клуч.

Метод за автентикација за терминален сервер	Тип на USB клуч	Инсталирање на софтверот Rohos Logon Key на клиентот и терминалниот сервер
		Клиент на Windows Vista/7/8	TS Server Windows Server 2008/2012
1) Двофакторна автентикација (USB клуч и лозинка за Windows).	USB токени (PKCS#11) Паметни картички Google Authenticator Јубики USB флеш драјв*
2) Еднофакторна автентикација (само USB клуч)	USB флеш-уред USB токени (PKCS#11) Паметни картички ++3)
3) USB клучот се користи за погодност. Терминалниот сервер не проверува за присуство на USB-клуч.	Било кој тип на USB клуч

* Ако користите USB флеш-уред како клуч за пристап, мора да инсталирате една од двете програми на компјутерот на клиентот: или програмата или . За време на процесот на креирање клуч на серверот, тој ќе се копира на USB-уредот, со што ќе се обезбеди користење на USB-уредот како клуч за поврзување со Remote Desktop. Оваа пренослива компонента може да се работи на други работни станици кои се користат за далечинско поврзување со серверот.

Откако ќе се одлучите за типот на USB клучот и методот за автентикација со два фактори, можете да започнете со инсталирање на Rohos Logon Key.

Видови USB клучеви и технологии погодни за автентикација преку далечинска работна површина со програмата Rohos Logon Key:

Паметни картички, Java картички (Mifare 1K)

Токени базирани на PKCS11. На пример SafeNet eToken, Securetoken ST3/4, senseLock trueToken, RuToken, uaToken, iKey.

Yubikey и OTP токени, како што е Google Authenticator

USB флеш драјвови. Во овој случај, по креирањето на клучот, преносливата компонента на програмата ќе се копира на USB-дискот.

Фази на подготовка на врска со помош на програмата Rohos Logon Key:

1. Инсталирајте ја програмата Rohos Logon Key на терминалниот сервер. Во поставките на програмата, наведете го типот на USB-клучот.

2. Инсталирајте го пакетот Rohos Management Tools на компјутерот од кој ќе пристапите до далечинскиот десктоп за да креирате клучеви.

3. Креирање клучеви за пристап преку RDC:

Поврзете го вашиот иден USB-клуч со вашиот локален компјутер. Поврзете се со терминалниот сервер преку RDC. Во поставките на програмата Remote Desktop, наведете кои локални ресурси ( USB-дисковиили паметни картички) треба да се обезбедат на оддалечениот компјутер.

Извршете ја програмата Rohos Logon Key на терминалниот сервер. Користете ја командата Setup a key, наведете го корисникот за кого го креирате клучот и, доколку е потребно, внесете ја неговата лозинка.

Забелешка: Некои Типови на USBКопчињата може да се креираат во програмата за управување со клучеви USB од пакетот алатки за управување со Rohos. Овој пакет е инсталиран на компјутерот на администраторот. Откако ќе ги креирате сите клучеви во оваа програма, треба да ја извезете нивната листа на терминалниот сервер. . Во истата програма има копче на кое се копира УСБ-уредпрограми.

4. Поставување на клучот за најавување Rohos на терминалниот сервер:

Откако ќе ги креирате сите клучеви, можете да ја зајакнете безбедноста на серверот со забрана на одредени корисници да му пристапуваат без USB-клуч. Отворете ги поставките на програмата Rohos Logon Key, Дозволете пристап само преку список со клучеви со USB.

Опции:

• Никој
  Сите корисници можат да се логираат користејќи или лозинка или користејќи USBклуч Оваа конфигурација не се препорачува за терминален сервер.
• За секој корисник
  Оваа опција е слична на старата опција Дозволи најавување само преку USB-клуч. Од сите корисници се бара да користат USB клуч за да се најават или отклучат Windows.
• За наведените корисници
  Само од корисниците на списокот се бара да користат USB клуч за да се логираат. Сите други корисници можат да се логираат користејќи лозинка. Списокот се креира автоматски кога ќе се креира USB клуч за корисник. Корисничкото име од USB-клучот е додадено на оваа листа. Покрај тоа, списокот на корисници и клучеви може да се увезат од друг компјутер. Се разбира, само администратор може да го стори тоа.
• За корисничка група „rohos“ во Active Directory
  Секој корисник од групата rohos треба да користи USB клуч.
  Внимание: корисничката група rohos мора да биде креирана од администратор на Active Directory.
• За најава за далечинска работна површина
  Локалните корисници можат да се логираат со или без USB клуч. Далечинското најавување е можно само со USB клуч. Оваа опција е идеална за зајакнување на безбедноста на терминалниот сервер.
• За најавување на далечинска работна површина надвор од LAN
  Корисниците во локална мрежаможе да се најави на терминалниот сервер без клуч. Само корисниците што се најавуваат преку dial-up, DSL конекции или од други мрежи треба да користат USB клучеви.

Поврзување со далечинска работна површина

Кога ќе се поврзете, ќе го видиме овој дијалог прозорец за идентификација на мрежата.

Мора да изберете корисничко име и да внесете лозинка сметкана ТС.

Ако автентикацијата на лозинката е успешна, се јавува поврзување со оддалечената работна површина. Во оваа фаза, Rohos Logon Key проверува дали има присуство на USB-клучот на корисникот.

Rohos Logon Key може да го запре пристапот ако USB-клучот не е поврзан:

Ако се користи токен со еднократна лозинка, ќе се појави прозорец за негово внесување.

Пренослив клуч за најава на Rohos

Програмата ќе ви помогне ако користите USB флеш драјв, но не можете или не сакате да го инсталирате локален компјутерниту Rohos Logon Key ниту Rohos Management алатки. Оваа компонента автоматски се копира на USB флеш-уредот за време на креирањето на клучот на терминалниот сервер. Алтернативно, може да се добие со трчање USB програма key manager Pro лиценца - за пристап преку Remote desktop до мрежен компјутер (не терминален сервер), како и за употреба во домен.

Лиценца за сервер - специјално дизајнирана за терминален сервер (Windows 2003, 2008,2012 со пристап преку далечинска работна површина)

Пробајте го Rohos Logon Key бесплатно 15 дена. Rohos Logon Key.

По овој период, програмата исто така ќе работи, но ќе ве потсети да се регистрирате.

Ако единствената пречка за пристап до вашите податоци е лозинката, вие сте во голем ризик. Пропусницата може да биде хакирана, пресретната, украдена од тројанец или ловат со помош на социјален инженеринг. Некористењето автентикација со два фактори во оваа ситуација е речиси кривично дело.

Веќе разговаравме за еднократни клучеви повеќе од еднаш. Значењето е многу едноставно. Ако напаѓачот некако успее да ја добие вашата лозинка за најавување, тој лесно може да пристапи до вашата е-пошта или да се поврзе на оддалечен сервер. Но, ако има дополнителен фактор на својот пат, на пример еднократен клуч (исто така наречен клуч OTP), тогаш ништо нема да работи. Дури и ако таков клуч дојде во рацете на напаѓачот, веќе нема да може да се користи, бидејќи важи само еднаш. Овој втор фактор може да биде дополнителен повик, код добиен преку СМС, клуч генериран на телефонот користејќи одредени алгоритми засновани на тековното време (времето е начин за синхронизирање на алгоритмот на клиентот и серверот). Исто Google веќедолго време им препорачува на своите корисници да овозможат двофакторна автентикација (неколку кликнувања во поставките на сметката). Сега е време да додадете таков слој на заштита за вашите услуги!

Што нуди Duo Security?

Тривијален пример. Мојот компјутер има RDP порта отворена „надвор“ за далечинско поврзување со работната површина. Доколку протече лозинката за најава, напаѓачот веднаш ќе ја добие целосен пристапдо автомобилот. Затоа, немаше прашање за зајакнување на заштитата со лозинка за OTP - тоа само требаше да се направи. Беше глупаво повторно да го измислувам тркалото и да пробам се да имплементирам сам, па само ги погледнав решенијата што се на пазарот. Повеќето од нив се покажаа како комерцијални (повеќе детали во страничната лента), но за мал број корисници може да се користат бесплатно. Само она што ви треба за вашиот дом. Една од најуспешните услуги што ви овозможува да организирате автентикација со два фактори за буквално сè (вклучувајќи VPN, SSH и RDP) се покажа дека е Duo Security (www.duosecurity.com). Она што ја зголеми неговата атрактивност е фактот што развивач и основач на проектот е Џон Оберхајд, познат специјалист за безбедност на информации. На пример, тој го одбра протоколот Google комуникацијасо Андроид паметни телефони, со кој можете да инсталирате или отстраните произволни апликации. Оваа основа се чувствува: за да се покаже важноста на автентикацијата со два фактори, започнаа момците VPN услуга Hunter (www.vpnhunter.com), кој може брзо да ги пронајде нескриените VPN сервери на компанијата (и во исто време да го одреди типот на опремата на која работат), услугите за далечински пристап (OpenVPN, RDP, SSH) и други инфраструктурни елементи кои дозволувајте напаѓачот да добие пристап до внатрешната мрежа едноставно со познавање на најавувањето и лозинката. Смешно е што на официјалниот Твитер на услугата, сопствениците почнаа да објавуваат дневни извештаи за скенирање на познати компании, по што сметката беше забранета :). Услугата Duo Security, секако, е насочена првенствено кон воведување двофакторна автентикација во компаниите со голем број корисници. За среќа за нас, можно е да се создаде бесплатна лична сметка, која ви овозможува да организирате двофакторна автентикација за десет корисници бесплатно.

Кој би можел да биде вториот фактор?

Следно, ќе разгледаме како да ја зајакнеме безбедноста на врската со далечинска работна површина и SSH на вашиот сервер за буквално десет минути. Но, прво сакам да зборувам за дополнителниот чекор што го воведува Duo Security како втор фактор за авторизација. Постојат неколку опции: телефонски повик, SMS со шифри, Duo Mobile шифри, Duo Push, електронски клуч. Малку повеќе за секоја од нив.

Колку долго можам да го користам бесплатно?

Како што веќе споменавме, Duo Security нуди специјален тарифен план"Лично". Апсолутно е бесплатен, но бројот на корисници не треба да биде повеќе од десет. Поддржува додавање на неограничен број интеграции, сите достапни методи за автентикација. Обезбедува илјадници бесплатни кредити за телефонски услуги. Кредитите се како внатрешна валута што се дебитира од вашата сметка секогаш кога ќе се изврши автентикација преку повик или СМС. Во поставките за вашата сметка, можете да го поставите така што кога ќе достигнете одреден број на кредити, ќе добиете известување и ќе имате време да го надополнете вашиот биланс. Илјада кредити чинат само 30 долари. Цена за повици и СМС за различни земјие различен. За Русија, повикот ќе чини од 5 до 20 кредити, СМС - 5 кредити. Сепак, ништо не се наплаќа за повик што се случува при автентикација на веб-локацијата на Duo Security. Можете целосно да заборавите на кредитите ако ја користите апликацијата Duo Mobile за автентикација - ништо не се наплаќа за тоа.

Лесна регистрација

За да го заштитите вашиот сервер користејќи Duo Security, треба да преземете и инсталирате специјален клиент кој ќе комуницира со серверот за автентикација на Duo Security и ќе обезбеди втор слој на заштита. Соодветно на тоа, овој клиент ќе биде различен во секоја ситуација: во зависност од тоа каде точно е неопходно да се спроведе двофакторна автентикација. Ќе зборуваме за ова подолу. Првото нешто што треба да направите е да се регистрирате во системот и да добиете сметка. Затоа отвораме почетна страницавеб-локација, кликнете на „Бесплатен пробен период“, на страницата што се отвора, кликнете на копчето „Пеј“ под типот Лична сметка. После тоа од нас се бара да го внесеме нашето име, презиме, адреса на е-пошта и име на компанија. Треба да добиете е-пошта што содржи линк за да ја потврдите вашата регистрација. Во овој случај, системот автоматски ќе го бира наведениот телефонски број: за да ја активирате вашата сметка, мора да одговорите на повикот и да го притиснете копчето # на телефонот. После ова, сметката ќе биде активна и ќе можете да започнете со борбено тестирање.

Заштита на RDP

Реков погоре дека почнав со голема желба да обезбедам далечински врски со мојот десктоп. Затоа, како прв пример, ќе опишам како да се зајакне безбедноста на RDP.

Секоја имплементација на двофакторна автентикација започнува со едноставна акција: создавање таканаречена интеграција во профилот на Duo Security. Одете во делот „Интеграции  Нова интеграција“, наведете го името на интеграцијата (на пример, „Home RDP“), изберете го неговиот тип „Microsoft RDP“ и кликнете „Add Integration“.

Прозорецот што се појавува ги прикажува параметрите за интеграција: Интеграциски клуч, Таен клуч, име на домаќин на API. Ќе ни требаат подоцна кога ќе го конфигурираме клиентскиот дел. Важно е да се разбере: никој не треба да ги знае.

Следно, треба да инсталирате специјален клиент на заштитената машина, која ќе инсталира сè што е потребно во системот Windows. Може да се преземе од официјалната веб-страница или да се преземе од нашиот диск. Целото негово поставување се сведува на фактот дека за време на процесот на инсталација ќе треба да го внесете горенаведениот клуч за интеграција, Таен клуч, име на домаќин на API.

Тоа е се, всушност. Сега, следниот пат кога ќе се најавите на серверот преку RDP, на екранот ќе има три полиња: корисничко име, лозинка и еднократен клуч Duo. Според тоа, веќе не е можно да се најавите на системот само со најава и лозинка.

Првиот пат кога нов корисник ќе се обиде да се најави, од него ќе се бара еднаш да помине низ процесот на потврда на Duo Security. Услугата ќе му даде посебна врска, по која тој мора да го внесе својот телефонски број и да чека повик за потврда. За да добиете дополнителни клучеви (или да ги добиете за прв пат), можете да го внесете клучниот збор „sms“. Ако сакате да се автентицирате користејќи телефонски повик, внесете „phone“, ако користите Duo Push, внесете „push“. Историјата на сите обиди за поврзување (и успешни и неуспешни) со серверот може да се прегледа во вашата сметка на веб-локацијата на Duo Security со прво избирање на саканата интеграција и одење во неговиот „Дневник за автентикација“.

Поврзете го Duo Security насекаде!

Користејќи двофакторна автентикација, можете да заштитите не само RDP или SSH, туку и VPN, сервери RADIUS и сите веб-услуги. На пример, има готови клиенти кои додаваат дополнителен слој на автентикација на популарните мотори Drupal и WordPress. Ако нема готов клиент, не се вознемирувајте: секогаш можете сами да додадете двофакторна автентикација за вашата апликација или веб-локација користејќи го API обезбеден од системот. Логиката на работа со API е едноставна - правите барање до URL-то на одреден метод и го анализирате вратениот одговор, кој може да дојде во JSON формат (или BSON, XML). Целосната документација за Duo REST API е достапна на официјалната веб-страница. Само ќе кажам дека постојат методи ping, check, preauth, auth, status, од чие име лесно може да се погоди за што се наменети.

Заштита на SSH

Ајде да разгледаме друг тип на интеграција - „UNIX Integration“ за имплементација на сигурна автентикација. Додаваме уште една интеграција на нашиот Duo Security профил и продолжуваме со инсталирање на клиентот на системот.

Изворниот код на вториот можете да го преземете на bit.ly/IcGgk0 или да го преземете од нашиот диск. користев Најновата верзија- 1,8. Патем, клиентот работи на повеќето платформи nix, така што може лесно да се инсталира на FreeBSD, NetBSD, OpenBSD, Mac OS X, Solaris/Illumos, HP-UX и AIX. Процесот на градење е стандарден - конфигурирајте && направете && sudo make install. Единствено што би препорачал е да користите конфигурација со опцијата --prefix=/usr, инаку клиентот може да не ги најде потребните библиотеки при стартување. По успешната инсталација, одете да ја уредите конфигурациската датотека /etc/duo/login_duo.conf. Ова мора да се направи од корен. Сите промени што треба да се направат за успешно работење се да се постават вредностите на клучот за интеграција, тајниот клуч, името на домаќинот на API, кои може да се најдат на страницата за интеграција.

; Duo клуч за интеграција = INTEGRATION_KEY; Таен клуч Duo = SECRET_KEY; Duo API hostnamehost = API_HOSTNAME

За да ги принудите сите корисници кои се најавуваат на вашиот сервер преку SSH да користат двофакторна автентикација, само додадете ја следнава линија во датотеката /etc/ssh/sshd_config:

> ForceCommand /usr/local/sbin/login_duo

Исто така, можно е да се организира двофакторна автентикација само за поединечни корисници со нивно комбинирање во група и специфицирање на оваа група во датотеката login_duo.conf:

> група = тркало

За промените да стапат на сила, се што треба да направите е да го рестартирате ssh демонот. Отсега, по успешното внесување на лозинката за најава, од корисникот ќе биде побарано да се подложи на дополнителна автентикација. Треба посебно да се забележи една суптилност во конфигурирањето на ssh - силно се препорачува да се оневозможат опциите PermitTunnel и AllowTcpForwarding во конфигурациската датотека, бидејќи демонот ги применува пред да започне втората фаза на автентикација. Така, ако напаѓачот ја внесе лозинката правилно, тој може да добие пристап до внатрешната мрежа пред да заврши втората фаза на автентикација благодарение на препраќањето на портата. За да го избегнете овој ефект, додајте ги следниве опции на sshd_config:

PermitTunnel noAllowTcpForwarding бр

Сега вашиот сервер е зад двоен ѕид и на напаѓачот му е многу потешко да влезе во него.

Дополнителни поставки

Ако се најавите на вашата сметка на Duo Security и отидете во делот „Поставки“, можете да измените некои од поставките за да ви одговараат. Првиот важен дел е „Телефонски повици“. Ова ги одредува параметрите што ќе важат кога се користи телефонски повик за да се потврди автентикацијата. Ставката „Гласовни копчиња за повратен повик“ ви овозможува да одредите кое телефонско копче ќе треба да се притисне за да се потврди автентикацијата. Стандардно, вредноста е „Притиснете кое било копче за автентикација“ - односно, можете да притиснете кое било. Ако ја поставите вредноста „Притиснете различни копчиња за автентикација или пријавите измама“, тогаш ќе треба да поставите две копчиња: кликнувањето на првото потврдува автентикација (Клуч за автентикација), кликнувањето на второто (Клуч за пријавување измама) значи дека ние не го иницираше процесот на автентикација, односно некој ја доби нашата лозинка и се обидува да се најави на серверот користејќи ја. Ставката „СМС шифри“ ви овозможува да го поставите бројот на шифри што ќе ги содржи една СМС-порака и нивниот животен век (валидност). Параметарот „Заклучување и измама“ ви овозможува да ја поставите адресата на е-пошта на која ќе се испраќа известување во случај на одреден број неуспешни обиди за најавување на серверот.

Користи го!

Изненадувачки, многу луѓе сè уште ја игнорираат автентикацијата со два фактори. Не разбирам зошто. Ова навистина во голема мера ја подобрува безбедноста. Може да се имплементира речиси за се, а пристојните решенија се достапни бесплатно. Па зошто? Од мрзеливост или невнимание.

Аналогни услуги

• Signify (www.signify.net) Услугата обезбедува три опции за организирање на двофакторна автентикација. Првата е употребата на електронски клучеви. Вториот метод е да се користат клучеви за пристап, кои се испраќаат до телефонот на корисникот преку СМС или се испраќаат до е-пошта. Трета опција - мобилна апликацијаЗа Андроид телефони, iPhone, BlackBerry, кој генерира еднократни лозинки (во суштина аналог на Duo Mobile). Услугата е насочена кон големи компании, затоа целосно платено.
• SecurEnvoy (www.securenvoy.com) Исто така ви овозможува да го користите вашиот мобилен телефон како втор слој на безбедност. Лозинките се испраќаат до корисникот преку СМС или е-пошта. Секоја порака содржи три клучеви за пристап, односно корисникот може да се најави три пати пред да побара нов дел. Услугата исто така се плаќа, но обезбедува бесплатен период од 30 дена. Значајна предност е големиот број на интеграции и на мајчин и на трети лица.
• PhoneFactor (www.phonefactor.com) Оваа услуга ви овозможува да организирате бесплатна двофакторна автентикација за најмногу 25 корисници, обезбедувајќи 500 бесплатни автентикации месечно. За да организирате заштита, ќе треба да преземете и инсталирате специјален клиент. Ако треба да додадете двофакторна автентикација на вашата страница, можете да ја користите официјалната SDK, која обезбедува детална документација и примери за следните програмски јазици: ASP.NET C#, ASP.NET VB, Java, Perl, Ruby, PHP.

Во серверските верзии на Windows OS, постои прекрасна можност да се користат за поврзување ингеренциите што ги внесе корисникот порано кога се најавувате на вашиот компјутер. На овој начин, тие не мора да ги внесуваат своето корисничко име и лозинка секогаш кога ќе стартуваат објавена апликација или само далечинска работна површина. Ова нешто се нарекува Single Sign On со помош на технологија CredSSP(Давател на услуги за безбедност на акредитиви).

Опис

За да функционира ова, мора да се исполнат следниве услови:

• Терминалниот сервер и клиентот што се поврзува со него мора да бидат во доменот.
• Терминалниот сервер мора да биде конфигуриран на ОС Виндоус сервер 2008 година, Windows Server 2008 R2 или понова верзија.
• Клиентскиот компјутер мора да го има инсталирано следниот ОС: Windows XP SP3, Windows Vista, Windows Server 2008, Windows 7, Windows 8 или Windows Server 2008 R2.

За Windows XP SP3, ќе бидат потребни дополнителни чекори. Неопходно е да инсталирате поправка што ќе ви овозможи да ги конфигурирате поставките за Windows XP SP3 преку групни политики.
Оваа поправка (MicrosoftFixit50588.msi) може да се преземе и од и од нашата веб-локација:

Прво, поставете го нивото на безбедност на терминалниот сервер во режим „Преговори“:

Во него конфигурираме 2 параметри: Дозволи пренос на стандардни ингеренции и Дозволи делегирање на стандардните ингеренции со автентикација на серверот „само NTLM“.

Дозволете стандардно делегирање на акредитиви со автентикација на серверот само NTLM - треба да се конфигурира само ако терминалниот сервер не е автентициран со помош на Kerberos или SSL сертификат.

Таму ги внесуваме серверите на кои сакаме да им дозволиме на корисниците без повторно внесување на нивниот најава и лозинка. Можете да ги внесете со маска, или поединечно. Помошта детално кажува.

По ова, ја применуваме политиката на саканиот(и) компјутер(и) и проверуваме дали на корисниците им е дозволен пристап до терминалните сервери наведени во горенаведените правила без да внесуваат најава и лозинка.

Александар Антипов

Статијата дава преглед на оперативниот алгоритам на технологијата за транспарентно овластување за единечно пријавување и давателот на безбедносна услуга Добавувач на акредитивни безбедносни услуги (CredSSP). Се разгледува методот на поставување на деловите на клиентот и серверот.

Една од главните непријатности за корисникот при стартување на далечинска работна површина или апликација објавена на терминален сервер е потребата да ги внесе нивните ингеренции. Претходно, за да се реши овој проблем се користеше механизам за зачувување на ингеренциите во поставките на клиентот за далечинска работна површина. Сепак овој методима неколку значајни недостатоци. На пример, при периодично менување на лозинката, неопходно беше рачно да се смени во поставките на клиентот на терминалот.

Во овој поглед, за да се поедностави работата со оддалечена работна површина во Windows Server 2008, стана возможно да се користи технологија за транспарентна авторизација за еднократно најавување (SSO). Благодарение на него, корисникот, кога се најавува на терминалниот сервер, може да ги користи ингеренциите што ги внел при најавувањето на неговиот локален компјутер, од кој се стартува клиентот за далечинска работна површина.

Статијата дава преглед на оперативниот алгоритам на технологијата за транспарентно овластување за единечно пријавување и давателот на безбедносна услуга Добавувач на акредитивни безбедносни услуги (CredSSP). Се разгледува методот на поставување на деловите на клиентот и серверот. Опфатени се и голем број практични прашања поврзани со транспарентно овластување за услуги на далечинска работна површина.

Теоретски информации

SSO технологијата ви овозможува да ги зачувате корисничките акредитиви и автоматски да ги пренесувате кога се поврзувате со терминален сервер. Користејќи групни политики, можете да ги дефинирате серверите за кои ќе се користи овој метод за авторизација. Во овој случај, за сите други терминални сервери, најавувањето ќе се изврши на традиционален начин: со внесување најава и лозинка.

Транспарентните механизми за авторизација првпат се појавија во Windows Server 2008 и Windows Vista. благодарение на новиот безбедносен провајдер CredSSP. Дозволи кешираните акредитиви да се пренесуваат преку безбеден канал (со користење на безбедноста на транспортниот слој (TLS)). Мајкрософт последователно ги објави соодветните ажурирања за Windows XP SP3.

Ајде да го разгледаме ова подетално. CredSSP може да се користи во следниве сценарија:

• За мрежен слојавтентикација (NLA), овозможувајќи му на корисникот да биде препознаен претходно целосна инсталацијаврски;
• за ДЗС, складирање на кориснички акредитиви и нивно предавање на терминалот.

При враќање на сесија во фарма, CredSSP го забрзува процесот на воспоставување врска, бидејќи терминалниот сервер го одредува корисникот без да воспостави целосна врска (слично на ОНА).

Процесот на автентикација го следи следниот алгоритам:

Клиентот иницира воспоставување безбеден канал со серверот користејќи TLS. Серверот му го дава својот сертификат кој го содржи името, органот за сертификација и јавниот клуч. Сертификатот на серверот може да се потпише самостојно.

Се воспоставува сесија помеѓу серверот и клиентот. За него е креиран соодветен клуч, кој последователно ќе учествува во шифрирањето. CredSSP го користи протоколот Simple and Protected Negotiate (SPNEGO) за меѓусебна автентикација на серверот и клиентот, така што секој може да си верува еден на друг. Овој механизам им овозможува на клиентот и серверот да изберат механизам за автентикација (како Kerberos или NTLM).

За да се заштитат од пресретнување, клиентот и серверот наизменично го шифрираат сертификатот на серверот користејќи го клучот за сесија и го пренесуваат еден на друг.

Ако резултатите од размената и оригиналниот сертификат се совпаѓаат, CredSSP на клиентот ги испраќа ингеренциите на корисникот до серверот.

Така, преносот на ингеренциите се случува преку шифриран канал со заштита од пресретнување.

Поставки

Давателот на безбедносни услуги CredSSP е дел од оперативниот систем и е вклучен во Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2. Дополнително, може да се инсталира како посебно ажурирање на Windows XP SP3. Овој процес е детално опишан во написот „Опис на давателот на поддршка за безбедност на акредитиви (CredSSP) во Windows XP Service Pack 3" За да инсталирате и овозможите CredSSP на Windows XP SP3, мора да ги следите овие чекори.

1. Стартувајте го уредникот на регистарот regedit и одете во гранката: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.

2. Додадете вредност tspkg на клучот за безбедносни пакети

3. Одете во гранката на регистарот: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders.

4. Додадете ја вредноста на credssp.dll на клучот SecurityProviders (преостанатите вредности на овој клуч треба да останат непроменети).

Откако ќе се овозможи CredSSP, треба да ја конфигурирате неговата употреба користејќи групни политики или соодветните клучеви во регистарот. За да го конфигурирате SSO на клиентските компјутери, користете групни политики од делот:

Компјутерска конфигурација\Административни шаблони\Систем\Делегирање акредитиви .

Во верзии на оперативни системи на руски јазик изгледа вака (сл. 1).

Ориз. 1. Управување со преносот на ингеренциите користејќи групни политики

За да користите SSO, мора да ја овозможите политиката:

Дозволете да се пренесат стандардните ингеренции.

Дополнително, по овозможувањето, треба да одредите за кои сервери ќе се користи овој метод за авторизација. За да го направите ова, мора да ги извршите следните чекори.

Во прозорецот за уредување политики (сл. 2), кликнете на копчето „Прикажи“.

Ориз. 2. Прозорец за уредување на групна политика

Додадете листа на терминални сервери (сл. 3).

Ориз. 3. Додавање терминален сервер за транспарентно овластување

Линијата за додавање сервер го има следниов формат:

TERMSRV/име на серверот.

Можете исто така да наведете сервери по маска на домен. Во овој случај, линијата има форма:

TERMSRV/*.име_домен .

Ако не е можно да се користат групни политики, соодветните поставки може да се постават со помош на Уредувачот на регистарот. На пример, за Поставки за Windows XP Sp3 можете да ја користите следната регистарска датотека:

Windows Registry Editor верзија 5.00

„Безбедносни пакети“=хекс (7):6б,00,65,00,72,00,62,00,65,00,72,00,6f,00,73,00,00,\

00,6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,73,00,63,00,68,00,61,00,6e,00, \

6e,00,65,00,6c,00,00,00,77,00,64,00,69,00,67,00,65,00,73,00,74,00,00,00,74, \

00,73,00,70,00,6b,00,67,00,00,00,00,00

"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, credssp.dll"

"AllowDefaultCredentials"=dword:00000001

"ConcatenateDefaults_AllowDefault"=dword:00000001

"1"="termsrv/*.mydomain.com"

Тука, наместо mydomain.com, треба да го замените името на доменот. Во овој случај, кога се поврзувате со терминални сервери, име на домен(на пример, termserver1.mydomain.com) ќе се користи транспарентно овластување.

За да ја користите технологијата Single Sign-On на терминален сервер, мора да ги извршите следните чекори.

Отворете ја конзолата за конфигурација на Terminal Services (tsconfig.msc).

Во делот за поврзување, одете во својствата RDP-Tcp.

На картичката „Општо“, поставете го нивото на безбедност на „Преговори“ или „SSL (TLS 1.0)“ (сл. 4).

Ориз. 4. Поставување на нивото на безбедност на терминалниот сервер

Во овој момент, поставувањето на деловите на клиентот и серверот може да се смета за завршено.

Практични информации

Во овој дел, ќе ги разгледаме ограничувањата за користење на транспарентна технологија за авторизација и проблемите што може да се појават при нејзиното користење.

• Технологијата за еднократно најавување работи само кога се поврзувате од компјутери со оперативни системи различни од Windows XP SP3 и постари верзии. Компјутери со операционен систем Windows Vista, Windows Server 2008, Windows 7 и Windows Server 2008 R2.
• Ако терминалниот сервер со кој се поврзува поврзувањето не може да се автентицира преку Kerberos или SSL сертификат, SSO нема да работи. Ова ограничување може да се заобиколи со користење на следнава политика:
  Дозволете делегирање на ингеренциите поставено на стандардната автентикација на серверот „само NTLM“.
• Алгоритмот за овозможување и конфигурирање на оваа групна политика е сличен на оној претставен погоре. Регистарската датотека што одговара на оваа поставка изгледа вака.

"AllowDefCredentialsWhenNTLMONly"=dword:00000001

"ConcatenateDefaults_AllowDefNTLMONly"=dword:00000001

"1"="termsrv/*.mydomain.com"

Автентикацијата со овој метод е помалку безбедна отколку користењето сертификати или Kerberos.

• Ако ингеренциите за серверот се зачувани во поставките на клиентот на терминалот, тие имаат повисок приоритет од тековните акредитиви.
• Единечното најавување работи само кога користите сметки на домен.
• Ако поврзувањето со терминалниот сервер е преку TS Gateway, во некои случаи поставките на серверот TS Gateway може да имаат предност пред поставките на SSO на терминалниот клиент.
• Ако терминалниот сервер е конфигуриран да бара кориснички акредитиви секој пат, SSO нема да работи.
• Транспарентната технологија за авторизација работи само со лозинки. Ако користите паметни картички, тоа нема да работи.

За SSO да работи правилно на Windows XP SP, се препорачува да инсталирате две поправки од KB953760: „Кога ќе овозможите SSO за терминален сервер од клиентски компјутер базиран на Windows XP SP3, сè уште ќе ви се бара кориснички акредитиви кога се најавувате до терминалниот сервер ».

Во некои случаи, можно е транспарентната технологија за овластување да работи или да не работи на истиот терминален клиент, во зависност од профилот на корисникот што се поврзува. Проблемот се решава со повторно креирање на корисничкиот профил. Ако оваа задача одзема премногу време, можете да се обидете да ги користите советите од дискусијата: „RemoteApp Single Sign On (SSO) од клиент на Windows 7» Форуми на Microsoft Technet. Особено, се препорачува да ги ресетирате поставките Internet Explorerили да го одобри соодветниот додаток за него.

Друго големо ограничување на SSO технологијата е тоа што не работи кога се извршуваат објавени апликации преку TS Web Access. Во овој случај, корисникот е принуден двапати да ги внесе ингеренциите: кога се најавува на веб-интерфејсот и кога овластува на терминалниот сервер.

Во Windows Server 2008 R2 ситуацијата се промени на подобро. Повеќе детални информацииова може да се најде во написот: „Воведување на Web Single Sign-On за RemoteApp и Desktop Connections“ ».

Заклучок

Написот ја разгледува технологијата на транспарентно овластување на терминалните сервери за еднократно најавување. Неговата употреба ви овозможува да го намалите времето поминато од страна на корисникот за да се најави на терминалниот сервер и да стартува далечински апликации. Дополнително, со негова помош, доволно е еднаш да ги внесете вашите ингеренции кога се најавувате на вашиот локален компјутер и потоа да ги користите кога се поврзувате со терминални серверидомен. Механизмот за пренос на ингеренциите е прилично безбеден, а поставувањето на деловите на серверот и клиентот е исклучително едноставно.