În spatele armurii duble. Cum să configurați accesul la distanță prin autentificare RDP Rdp folosind un certificat personal

Cu siguranță, mulți dintre voi ați auzit și văzut deja această abreviere - se traduce literalmente prin Remote Desktop Protocol. Dacă cineva este interesat de detaliile tehnice ale modului în care funcționează acest protocol la nivel de aplicație, poate citi literatura, începând cu aceeași Wikipedia. Vom lua în considerare aspecte pur practice. Și anume, faptul că acest protocol vă permite să vă conectați de la distanță la computere sub Control Windows diferite versiuni folosind încorporat instrument Windows„Se conectează la un desktop la distanță.”

Care sunt avantajele și dezavantajele utilizării protocolului RDP?

Să începem cu plăcutul - cu profesioniștii. Avantajul este că acest instrument, care se numește mai corect RDP Client, este disponibil oricărui utilizator Windows, atât pe computerul de pe care va fi gestionată telecomanda, cât și celor care doresc să deschidă accesul de la distanță la computerul lor.

Printr-o conexiune la un desktop la distanță, este posibil nu numai să vedeți desktopul de la distanță și să utilizați resursele computerului de la distanță, ci și să vă conectați la acesta discuri locale, imprimante, carduri inteligente etc. Desigur, dacă doriți să vizionați un videoclip sau să ascultați muzică prin RDP, acest proces este puțin probabil să vă facă plăcere, deoarece... în cele mai multe cazuri, veți vedea o prezentare de diapozitive și sunetul va fi probabil întrerupt. Dar serviciul RDP nu a fost dezvoltat pentru aceste sarcini.

Un alt avantaj neîndoielnic este că conexiunea la computer se realizează fără programe suplimentare, care sunt în mare parte plătite, deși au avantajele lor. Timpul de acces la serverul RDP (care este computerul tău la distanță) este limitat doar de dorința ta.

Sunt doar două minusuri. Unul este semnificativ, celălalt nu atât de mult. Primul și esențial este că pentru a funcționa cu RDP, computerul la care se face conexiunea trebuie să aibă un IP alb (extern), sau trebuie să fie posibil să se „redirecționeze” un port către acest computer de la router, care din nou trebuie să aibă un IP extern. Nu contează dacă este static sau dinamic, dar trebuie să fie.

Al doilea dezavantaj nu este atât de semnificativ - cele mai recente versiuni ale clientului nu mai acceptă schema de culori de 16 culori. Minim - 15 biți. Acest lucru încetinește foarte mult RDP atunci când vă conectați printr-un internet nefuncțional, cu o viteză care nu depășește 64 de kilobiți pe secundă.

Pentru ce puteți folosi accesul la distanță prin RDP?

Organizațiile folosesc de obicei servere RDP pentru colaborareîn programul 1C. Și unii chiar implementează stații de lucru ale utilizatorilor pe ele. Astfel, utilizatorul, mai ales dacă are un loc de muncă de călătorie, poate, dacă are Internet 3G sau Wi-Fi la hotel/cafenea, să se conecteze la locul său de muncă de la distanță și să rezolve toate problemele.

În unele cazuri, utilizatorii casnici pot folosi accesul de la distanță computer de acasă pentru a obține niște date din resursele de acasă. În principiu, serviciul desktop la distanță vă permite să lucrați pe deplin cu text, inginerie și aplicatii grafice. Din motivele menționate mai sus, nu va funcționa cu procesarea video și audio, dar este totuși un plus foarte semnificativ. De asemenea, puteți vizualiza resursele care sunt închise de politica companiei la locul de muncă, conectându-vă la computerul dvs. de acasă fără anonimatoare, VPN-uri sau alte spirite rele.

Pregătirea internetului

În secțiunea anterioară, am vorbit despre faptul că pentru a permite accesul la distanță prin RDP, avem nevoie de o adresă IP externă. Acest serviciu poate fi furnizat de furnizor, așa că sunăm sau scriem, sau mergem la Zona Personalăși aranjați furnizarea acestei adrese. În mod ideal, ar trebui să fie static, dar, în principiu, poți trăi cu cele dinamice.

Dacă cineva nu înțelege terminologia, atunci o adresă statică este constantă, iar o adresă dinamică se schimbă din când în când. Pentru a funcționa pe deplin cu adrese IP dinamice, au fost inventate diverse servicii care asigură legarea dinamică a domeniilor. Ce și cum, va apărea un articol pe această temă în curând.

Pregătirea routerului

Dacă computerul dvs. nu este conectat direct la cablul ISP la Internet, ci printr-un router, va trebui să efectuăm și câteva manipulări cu acest dispozitiv. Și anume, redirecționați portul de serviciu - 3389. În caz contrar, NAT-ul routerului tău pur și simplu nu te va lăsa să intri. rețeaua de acasă. Același lucru este valabil și pentru configurarea unui server RDP într-o organizație. Dacă nu știți cum să redirecționați un port, citiți articolul despre Cum să redirecționați porturile pe un router (se deschide într-o filă nouă), apoi reveniți aici.

Pregătirea calculatorului

Pentru a crea posibilitatea de a vă conecta de la distanță la un computer, trebuie să faceți exact două lucruri:

Permite conexiunea în Proprietăți sistem;
- setați o parolă pentru utilizatorul curent (dacă acesta nu are o parolă), sau creați un utilizator nou cu o parolă special pentru conectarea prin RDP.

Decideți singur ce să faceți cu utilizatorul. Cu toate acestea, rețineți că sistemele de operare non-server nu acceptă în mod nativ conectări multiple. Acestea. dacă vă conectați ca dvs. local (consolă) și apoi vă conectați ca același utilizator de la distanță, ecranul local va fi blocat și se va deschide sesiunea din același loc în fereastra Conexiune la desktop la distanță. Dacă introduceți parola local fără a ieși din RDP, veți fi exclus de la acces la distanță și veți vedea ecranul curent pe monitorul local. Același lucru vă așteaptă dacă vă conectați la consolă ca un utilizator și încercați de la distanță să vă conectați ca altul. În acest caz, sistemul vă va solicita să încheiați sesiunea de utilizator local, ceea ce poate să nu fie întotdeauna convenabil.

Deci, accesați Start, faceți clic dreapta pe meniul Computer și faceți clic pe Proprietăți.

În Proprietăți sistem, selectați Opțiuni suplimentare sisteme

În fereastra care se deschide, accesați fila Acces la distanță...

...faceți clic pe Mai mult...

Și bifați singura casetă de pe această pagină.

Acesta este „de casă” Versiunea Windows 7 - cei care au Pro și mai sus vor avea mai multe casete de selectare și este posibil să se diferențieze accesul.

Faceți clic pe OK peste tot.

Acum, puteți merge la Conexiune la desktop la distanță (Start>Toate programele>Accesorii), introduceți adresa IP sau numele computerului acolo dacă doriți să vă conectați la acesta din rețeaua de acasă și să utilizați toate resursele.

Ca aceasta. În principiu, totul este simplu. Dacă brusc aveți întrebări sau ceva rămâne neclar, bine ați venit la comentarii.

Pe scurt: vă permite să configurați autentificarea cu doi factori pentru accesul la serverul terminal. Folosind MS Remote Desktop Connection sau Remote Desktop Web Connection, vă puteți conecta cu ușurință la Remote Desktop folosind o cheie USB (token).

Cum funcționează Rohos Logon Key cu Remote Desktop.

Rohos Logon Key se integrează în procesul de autorizare Windows Terminal Services și adaugă un nivel de autentificare cu doi factori la infrastructura existentă de control al accesului la sistem. După configurarea Rohos Logon Key, utilizatorii se vor putea conecta la Remote Desktop fie folosind doar o cheie USB, fie folosind o cheie USB și o parolă.

Avantajele protecției Terminal Server.

• Metoda vă permite să restricționați accesul de la distanță pentru anumiți utilizatori sau o listă de utilizatori.
• Acești utilizatori trebuie să introducă o cheie USB sau să introducă un cod OTP de fiecare dată.
• Fiecare cheie este unică și nu poate fi falsificată
• Nu este nevoie să conectați cheia USB direct la server atunci când o configurați.
• Nu este nevoie să instalați programul pe fiecare computer de pe care accesați*.
• Administratorul trebuie doar să preconfigureze și să emită utilizatorului o cheie USB pentru acces.

Securitate sporită printr-o cheie USB electronică sau parole unice:

• Parola pentru cheia USB Windows+, cum ar fi SafeNet, eToken, iKey, ePass și altele cu suport PKCS#11.
• Parola Windows + blitz USB purtător.
• Parola Windows + codul OTP trimis prin SMS către telefon mobil utilizator.
• Parolă fereastră + cod OTP cu programe Google Autentificator instalat pe smartphone-ul utilizatorului.
• Doar parola criptată de pe cheia USB.
• cheie electronică USB + cod PIN cheie;
• Cheie USB electronică + PIN cheie + Parolă Windows;

Înainte de a începe să configurați cheia de conectare Rohos, trebuie să decideți:

• ce tip de cheie USB va fi folosită pentru autorizare;
• ce tip de autentificare doriți să utilizați:
  1) doi factori = cheie USB + parolă Windows,
  2) un singur factor = cheie USB (aceasta include și opțiunea cheie USB + cheie PIN, dacă este disponibilă),
  3) utilizați cheia USB numai pe computerul local. În acest caz, Terminal Server nu va verifica dacă clientul are o cheie USB.

Metoda de autentificare pentru serverul terminal	Tip cheie USB	Instalarea software-ului Rohos Logon Key pe client și server terminal
		Client Windows Vista/7/8	TS Server Windows Server 2008/2012
1) Autentificare cu doi factori (cheie USB și parolă Windows).	Jetoane USB (PKCS#11) Carduri inteligente Google Authenticator Yubikey Flash Drive USB*
2) Autentificare cu un singur factor (numai cheia USB)	Flash Drive USB Jetoane USB (PKCS#11) Carduri inteligente++3)
3) Cheia USB este folosită pentru confort. Serverul terminal nu verifică prezența unei chei USB.	Orice tip de cheie USB

* Dacă utilizați o unitate flash USB ca cheie de acces, trebuie să instalați unul dintre cele două programe pe computerul clientului: fie programul, fie . În timpul procesului de creare a unei chei pe server, aceasta va fi copiată pe unitatea USB, asigurând utilizarea unității USB ca cheie pentru conectarea la Desktop la distanță. Această componentă portabilă poate fi rulată pe alte stații de lucru utilizate pentru a se conecta la server de la distanță.

După ce v-ați decis asupra tipului de cheie USB și a metodei de autentificare cu doi factori, puteți începe să instalați Rohos Logon Key.

Tipuri de chei USB și tehnologii adecvate pentru autentificare prin desktop la distanță cu programul Rohos Logon Key:

Carduri inteligente, carduri Java (Mifare 1K)

Jetoane bazate pe PKCS11. De exemplu, SafeNet eToken, Securetoken ST3/4, senseLock trueToken, RuToken, uaToken, iKey.

Tokenuri Yubikey și OTP, cum ar fi Google Authenticator

Unități flash USB. În acest caz, după crearea cheii, componenta portabilă a programului va fi copiată pe discul USB.

Etapele pregătirii unei conexiuni folosind programul Rohos Logon Key:

1. Instalați programul Rohos Logon Key pe serverul terminal. În setările programului, specificați tipul de cheie USB.

2. Instalați pachetul Rohos Management Tools pe computerul de pe care veți accesa desktopul de la distanță pentru a crea chei.

3. Crearea cheilor pentru acces prin RDC:

Conectați-vă viitoarea cheie USB la computerul local. Conectați-vă la serverul terminal prin RDC. În setările programului Remote Desktop, specificați ce resurse locale ( unități USB sau carduri inteligente) ar trebui furnizate computerului de la distanță.

Rulați programul Rohos Logon Key pe serverul terminal. Utilizați comanda Setup a key command, specificați utilizatorul pentru care creați cheia și, dacă este necesar, introduceți parola acesteia.

Notă: Unele tipuri de USB Cheile pot fi create în programul de gestionare a cheilor USB din pachetul de instrumente Rohos Managment. Acest pachet este instalat pe computerul administratorului. După ce ați creat toate cheile în acest program, trebuie să exportați lista lor pe serverul terminal. . În același program există un buton care copiază în drive USB programe.

4. Configurarea cheii de conectare Rohos pe serverul terminal:

După ce ați creat toate cheile, puteți întări securitatea serverului interzicând anumitor utilizatori să îl acceseze fără o cheie USB. Deschideți setările programului Rohos Logon Key, Permiteți accesul numai folosind o listă de chei USB.

Opțiuni:

• Nici unul
  Toți utilizatorii se pot conecta folosind fie o parolă, fie folosind USB cheie Această configurație nu este recomandată pentru un server terminal.
• Pentru orice utilizator
  Această opțiune este similară cu vechea opțiune Permite autentificare numai prin cheie USB. Toți utilizatorii trebuie să folosească o cheie USB pentru a se conecta sau a debloca Windows.
• Pentru utilizatorii listați
  Numai utilizatorii din listă trebuie să folosească o cheie USB pentru a se conecta. Toți ceilalți utilizatori se pot conecta folosind o parolă. Lista este creată automat atunci când o cheie USB este creată pentru un utilizator. Numele de utilizator de pe cheia USB este adăugat la această listă. În plus, lista de utilizatori și chei pot fi importate de pe alt computer. Desigur, doar un administrator poate face acest lucru.
• Pentru grupul de utilizatori „rohos” din Active Directory
  Fiecare utilizator din grupul rohos trebuie să utilizeze o cheie USB.
  Atenție: grupul de utilizatori rohos trebuie creat de un administrator Active Directory.
• Pentru autentificare la desktop la distanță
  Utilizatorii locali se pot conecta cu sau fără o cheie USB. Conectarea de la distanță este posibilă numai cu o cheie USB. Această opțiune este ideală pentru consolidarea securității unui server terminal.
• Pentru autentificare pe desktop la distanță în afara rețelei LAN
  Utilizatorii în retea locala se poate conecta la serverul terminal fără cheie. Numai utilizatorii care se conectează prin dial-up, conexiuni DSL sau din alte rețele trebuie să utilizeze cheile USB.

Conexiune la desktop la distanță

Când vă conectați, vom vedea această casetă de dialog de identificare a rețelei.

Trebuie să selectați un nume de utilizator și să introduceți o parolă cont pe TS.

Dacă autentificarea prin parolă are succes, are loc o conexiune la Desktopul de la distanță. În această etapă, Rohos Logon Key verifică prezența cheii USB a utilizatorului.

Rohos Logon Key poate opri accesul dacă cheia USB nu este conectată:

Dacă se folosește un token cu o parolă unică, va apărea o fereastră pentru introducerea acestuia.

Cheie de conectare Rohos portabilă

Programul vă va ajuta dacă utilizați o unitate flash USB, dar nu puteți sau nu doriți să o instalați calculator local nici Rohos Logon Key și nici instrumentele de management Rohos. Această componentă este copiată automat pe unitatea flash USB în timpul creării cheii pe serverul terminal. Alternativ, poate fi obținut prin rulare program USB Licență key manager Pro - pentru acces prin desktop la distanță la un computer din rețea (nu un server terminal), precum și pentru utilizare într-un domeniu.

Licență server - concepută special pentru Terminal Server (Windows 2003, 2008,2012 cu acces prin Remote Desktop)

Încercați Rohos Logon Key gratuit timp de 15 zile. Cheie de conectare Rohos.

După această perioadă, programul va funcționa și el, dar vă va reaminti să vă înregistrați.

Dacă singura barieră în calea accesării datelor dvs. este parola, sunteți expus unui mare risc. Accesul poate fi piratat, interceptat, furat de un troian sau extras folosind inginerie socială. Neutilizarea autentificării cu doi factori în această situație este aproape o crimă.

Am vorbit deja de mai multe ori despre cheile unice. Sensul este foarte simplu. Dacă un atacator reușește cumva să obțină parola dvs. de conectare, el vă poate accesa cu ușurință e-mailul sau se poate conecta la server la distanta. Dar dacă există un factor suplimentar în cale, de exemplu o cheie unică (numită și cheie OTP), atunci nimic nu va funcționa. Chiar dacă o astfel de cheie ajunge în mâinile unui atacator, nu va mai fi posibilă utilizarea ei, deoarece este valabilă o singură dată. Acest al doilea factor ar putea fi un apel suplimentar, un cod primit prin SMS, o cheie generată pe telefon folosind anumiți algoritmi bazați pe ora curentă (ora este o modalitate de sincronizare a algoritmului pe client și server). Aceeași Google dejași-a recomandat de mult utilizatorilor să activeze autentificarea cu doi factori (câteva clicuri în setările contului). Acum este timpul să adăugați un astfel de strat de protecție pentru serviciile dvs.!

Ce oferă Duo Security?

Un exemplu banal. Computerul meu are un port RDP deschis „în exterior” pentru conexiunea de la distanță la desktop. Dacă parola de autentificare este scursă, atacatorul va primi imediat acces complet la mașină. Prin urmare, nu a existat nicio îndoială cu privire la consolidarea protecției prin parolă OTP - trebuia doar făcut. A fost o prostie să reinventez roata și să încerc să implementez totul pe cont propriu, așa că m-am uitat doar la soluțiile care sunt pe piață. Majoritatea s-au dovedit a fi comerciale (mai multe detalii în bara laterală), dar pentru un număr mic de utilizatori pot fi folosite gratuit. Exact ceea ce ai nevoie pentru casa ta. Unul dintre cele mai de succes servicii care vă permite să organizați autentificarea cu doi factori pentru orice (inclusiv VPN, SSH și RDP) sa dovedit a fi Duo Security (www.duosecurity.com). Ceea ce ia adăugat atractivității a fost faptul că dezvoltatorul și fondatorul proiectului este John Oberheid, un cunoscut specialist în securitatea informatiei. De exemplu, a desprins protocolul Comunicare Google cu smartphone-uri cu Android, cu care puteți instala sau elimina aplicații arbitrare. Această bază se face simțită: pentru a arăta importanța autentificării cu doi factori, au lansat băieții Serviciu VPN Hunter (www.vpnhunter.com), care poate găsi rapid serverele VPN neascunse ale unei companii (și, în același timp, poate determina tipul de echipamente pe care operează), serviciile de acces la distanță (OpenVPN, RDP, SSH) și alte elemente de infrastructură care permite unui atacator să obțină acces la rețeaua internă pur și simplu cunoscând autentificarea și parola. E amuzant că pe Twitter oficial al serviciului, proprietarii au început să publice rapoarte zilnice despre scanarea unor companii cunoscute, după care contul a fost interzis :). Serviciul Duo Security, desigur, vizează în primul rând introducerea autentificării cu doi factori în companiile cu un număr mare de utilizatori. Din fericire pentru noi, este posibil să creați un cont personal gratuit, care vă permite să organizați gratuit autentificarea cu doi factori pentru zece utilizatori.

Care ar putea fi al doilea factor?

În continuare, vom analiza cum să întăriți securitatea conexiunii desktop la distanță și SSH pe serverul dvs. în literalmente zece minute. Dar mai întâi vreau să vorbesc despre pasul suplimentar pe care Duo Security îl introduce ca al doilea factor de autorizare. Există mai multe opțiuni: apel telefonic, SMS cu coduri, coduri Duo Mobile, Duo Push, cheie electronică. Mai multe despre fiecare.

Cât timp îl pot folosi gratuit?

După cum am menționat deja, Duo Security oferă o specialitate plan tarifar"Personal". Este absolut gratuit, dar numărul de utilizatori nu trebuie să fie mai mare de zece. Acceptă adăugarea unui număr nelimitat de integrări, toate metodele de autentificare disponibile. Oferă mii de credite gratuite pentru serviciile de telefonie. Creditele sunt ca o monedă internă care este debitată din contul dvs. de fiecare dată când are loc autentificarea folosind un apel sau un SMS. În setările contului, îl puteți seta astfel încât, atunci când ajungeți la un anumit număr de credite, să primiți o notificare și să aveți timp să vă reîncărcați soldul. O mie de credite costă doar 30 de dolari. Pret pentru apeluri si SMS pt tari diferite e diferit. Pentru Rusia, un apel va costa de la 5 la 20 de credite, un SMS - 5 credite. Cu toate acestea, nu se taxează nimic pentru un apel care are loc în timpul autentificării pe site-ul web Duo Security. Puteți uita complet de credite dacă utilizați aplicația Duo Mobile pentru autentificare - nu se taxează nimic pentru aceasta.

Înregistrare ușoară

Pentru a vă proteja serverul utilizând Duo Security, trebuie să descărcați și să instalați un client special care va interacționa cu serverul de autentificare Duo Security și va oferi un al doilea nivel de protecție. În consecință, acest client va fi diferit în fiecare situație: în funcție de unde exact este necesar să se implementeze autentificarea cu doi factori. Despre asta vom vorbi mai jos. Primul lucru pe care trebuie să-l faceți este să vă înregistrați în sistem și să obțineți un cont. Prin urmare deschidem pagina principala site-ul web, faceți clic pe „Probă gratuită”, pe pagina care se deschide, faceți clic pe butonul „Înregistrați” sub tipul de cont personal. După care ni se cere să introducem numele, prenumele, adresa de e-mail și numele companiei. Ar trebui să primiți un e-mail care să conțină un link pentru a vă confirma înregistrarea. În acest caz, sistemul va forma automat numărul de telefon specificat: pentru a vă activa contul, trebuie să răspundeți la apel și să apăsați butonul # de pe telefon. După aceasta, contul va fi activ și puteți începe testarea luptei.

Protejarea RDP

Am spus mai sus că am început cu o mare dorință de a securiza conexiunile de la distanță la desktopul meu. Prin urmare, ca prim exemplu, voi descrie modul de consolidare a securității RDP.

Orice implementare a autentificării cu doi factori începe cu o acțiune simplă: crearea unei așa-numite integrări în profilul Duo Security. Accesați secțiunea „Integrații  Nouă integrare”, specificați numele integrării (de exemplu, „Home RDP”), selectați tipul acesteia „Microsoft RDP” și faceți clic pe „Add Integration”.

Fereastra care apare afișează parametrii de integrare: cheie de integrare, cheie secretă, nume de gazdă API. Vom avea nevoie de ele mai târziu când vom configura partea client. Este important să înțelegeți: nimeni nu ar trebui să le cunoască.

Apoi, trebuie să instalați un client special pe mașina protejată, care va instala tot ceea ce este necesar în sistemul Windows. Poate fi descărcat de pe site-ul oficial sau preluat de pe discul nostru. Întreaga sa configurație se rezumă la faptul că în timpul procesului de instalare va trebui să introduceți cheia de integrare menționată mai sus, cheia secretă, numele de gazdă API.

Asta e tot, de fapt. Acum, data viitoare când vă conectați la server prin RDP, ecranul va avea trei câmpuri: nume de utilizator, parolă și cheie unică Duo. În consecință, nu mai este posibil să vă conectați la sistem doar cu un login și o parolă.

Prima dată când un utilizator nou încearcă să se conecteze, i se va cere să treacă o dată prin procesul de verificare Duo Security. Serviciul îi va oferi un link special, în urma căruia trebuie să-și introducă numărul de telefon și să aștepte un apel de verificare. Pentru a obține chei suplimentare (sau pentru a le obține pentru prima dată), puteți introduce cuvântul cheie „sms”. Dacă doriți să vă autentificați folosind un apel telefonic, introduceți „telefon”, dacă utilizați Duo Push, introduceți „push”. Istoricul tuturor încercărilor de conectare (atât reușite, cât și nereușite) la server poate fi vizualizat în contul dvs. pe site-ul web Duo Security, selectând mai întâi integrarea dorită și accesând „Jurnalul de autentificare”.

Conectați Duo Security oriunde!

Folosind autentificarea cu doi factori, puteți proteja nu numai RDP sau SSH, ci și VPN-urile, serverele RADIUS și orice serviciu web. De exemplu, există clienți gata făcute care adaugă un strat suplimentar de autentificare la motoarele populare Drupal și WordPress. Dacă nu există un client gata făcut, nu vă supărați: puteți adăuga oricând autentificare cu doi factori pentru aplicația sau site-ul dvs., folosind API-ul furnizat de sistem. Logica de lucru cu API-ul este simplă - faceți o solicitare către adresa URL a unei anumite metode și analizați răspunsul returnat, care poate veni în format JSON (sau BSON, XML). Documentația completă pentru API-ul Duo REST este disponibilă pe site-ul oficial. Voi spune doar că există metode ping, check, preauth, auth, status, după numele cărora este ușor de ghicit pentru ce sunt destinate.

Protejarea SSH

Să luăm în considerare un alt tip de integrare - „Integrarea UNIX” pentru a implementa autentificarea securizată. Adăugăm o altă integrare la profilul nostru Duo Security și procedăm la instalarea clientului pe sistem.

Puteți descărca codul sursă al acestuia din urmă de la bit.ly/IcGgk0 sau îl puteți lua de pe disc. obisnuiam ultima versiune- 1,8. Apropo, clientul funcționează pe majoritatea platformelor nix, așa că poate fi instalat cu ușurință pe FreeBSD, NetBSD, OpenBSD, Mac OS X, Solaris/Illumos, HP-UX și AIX. Procesul de construire este standard - configurați && make && sudo make install. Singurul lucru pe care l-aș recomanda este să utilizați configure cu opțiunea --prefix=/usr, altfel clientul ar putea să nu găsească bibliotecile necesare la pornire. După instalarea cu succes, accesați fișierul de configurare /etc/duo/login_duo.conf. Acest lucru trebuie făcut de la rădăcină. Toate modificările care trebuie făcute pentru o funcționare cu succes sunt de a seta valorile cheii de integrare, cheii secrete, nume de gazdă API, care pot fi găsite pe pagina de integrare.

; Keyikey de integrare Duo = INTEGRATION_KEY; Tasta secretă Duo = SECRET_KEY; Duo API hostnamehost = API_HOSTNAME

Pentru a forța toți utilizatorii care se conectează la serverul dvs. prin SSH să utilizeze autentificarea cu doi factori, trebuie doar să adăugați următoarea linie în fișierul /etc/ssh/sshd_config:

> ForceCommand /usr/local/sbin/login_duo

De asemenea, este posibil să se organizeze autentificarea cu doi factori numai pentru utilizatorii individuali, combinându-i într-un grup și specificând acest grup în fișierul login_duo.conf:

> grup = roată

Pentru ca modificările să aibă efect, tot ce rămâne este să reporniți demonul ssh. De acum înainte, după introducerea cu succes a parolei de autentificare, utilizatorului i se va solicita să treacă printr-o autentificare suplimentară. O subtilitate trebuie remarcată separat setări ssh- Este recomandat să dezactivați opțiunile PermitTunnel și AllowTcpForwarding din fișierul de configurare, deoarece demonul le aplică înainte de a începe etapa a doua de autentificare. Astfel, dacă un atacator introduce corect parola, el poate obține acces la rețeaua internă înainte de finalizarea celei de-a doua etape de autentificare datorită redirecționării portului. Pentru a evita acest efect, adăugați următoarele opțiuni la sshd_config:

PermitTunnel noAllowTcpForwarding nr

Acum serverul tău se află în spatele unui perete dublu și este mult mai dificil pentru un atacator să intre în el.

Setari aditionale

Dacă vă conectați la contul dvs. Duo Security și accesați secțiunea „Setări”, puteți modifica unele dintre setări pentru a vă potrivi. Prima secțiune importantă este „Apeluri telefonice”. Aceasta specifică parametrii care vor fi în vigoare atunci când un apel telefonic este utilizat pentru a confirma autentificarea. Elementul „Taste pentru apel invers vocal” vă permite să specificați ce tastă a telefonului va trebui apăsată pentru a confirma autentificarea. În mod implicit, valoarea este „Apăsați orice tastă pentru a vă autentifica” - adică puteți apăsa pe oricare. Dacă setați valoarea „Apăsați taste diferite pentru autentificare sau raportare fraudă”, atunci va trebui să setați două chei: făcând clic pe prima confirmă autentificarea (Cheie pentru autentificare), făcând clic pe a doua (Cheie pentru a raporta frauda) înseamnă că noi nu a inițiat procesul de autentificare, adică cineva a primit parola noastră și încearcă să se autentifice pe server folosind-o. Elementul „Coduri SMS” vă permite să setați numărul de coduri pe care le va conține un SMS și durata lor de viață (validitatea). Parametrul „Blocare și fraudă” vă permite să setați adresa de e-mail la care va fi trimisă o notificare în cazul unui anumit număr de încercări nereușite de autentificare la server.

Foloseste-l!

În mod surprinzător, mulți oameni încă ignoră autentificarea cu doi factori. Nu inteleg de ce. Acest lucru sporește foarte mult securitatea. Poate fi implementat pentru aproape orice, iar soluțiile decente sunt disponibile gratuit. Deci de ce? Din lene sau nepăsare.

Servicii analogice

• Signify (www.signify.net) Serviciul oferă trei opțiuni pentru organizarea autentificării cu doi factori. Prima este utilizarea cheilor electronice. A doua metodă este de a folosi cheile de acces, care sunt trimise la telefonul utilizatorului prin SMS sau trimise către e-mail. A treia varianta - aplicatie mobila Pentru telefoane cu Android, iPhone, BlackBerry, care generează parole unice (în esență, un analog al Duo Mobile). Serviciul este destinat companii mari, deci complet plătit.
• SecurEnvoy (www.securenvoy.com) De asemenea, vă permite să utilizați telefonul mobil ca un al doilea nivel de securitate. Cheile de acces sunt trimise utilizatorului prin SMS sau e-mail. Fiecare mesaj conține trei chei de acces, adică utilizatorul se poate autentifica de trei ori înainte de a solicita o nouă porțiune. Serviciul este și cu plată, dar oferă o perioadă gratuită de 30 de zile. Un avantaj semnificativ este numărul mare de integrări native și terțe.
• PhoneFactor (www.phonefactor.com) Acest serviciu vă permite să organizați o autentificare gratuită în doi factori pentru până la 25 de utilizatori, oferind 500 de autentificări gratuite pe lună. Pentru a organiza protecția, va trebui să descărcați și să instalați un client special. Dacă trebuie să adăugați autentificare cu doi factori pe site-ul dvs., puteți utiliza SDK-ul oficial, care oferă documentație detaliată și exemple pentru următoarele limbaje de programare: ASP.NET C#, ASP.NET VB, Java, Perl, Ruby, PHP.

În versiunile de server ale sistemului de operare Windows, există o oportunitate minunată de a utiliza pentru conexiuni acreditările introduse de utilizator mai devreme când se conectează la computer. În acest fel, ei nu trebuie să-și introducă numele de utilizator și parola de fiecare dată când lansează o aplicație publicată sau doar un desktop la distanță. Acest lucru se numește Single Sign On folosind tehnologie CredSSP(Furnizorul de servicii de securitate a acreditărilor).

Descriere

Pentru ca aceasta să funcționeze, trebuie îndeplinite următoarele condiții:

• Serverul terminal și clientul care se conectează la acesta trebuie să fie în domeniu.
• Serverul terminal trebuie configurat pe sistemul de operare Windows Server 2008, Windows Server 2008 R2 sau o versiune ulterioară.
• Computerul client trebuie să aibă instalat următorul sistem de operare: Windows XP SP3, Windows Vista, Windows Server 2008, Windows 7, Windows 8 sau Windows Server 2008 R2.

Pentru Windows XP SP3, vor fi necesari pași suplimentari. Este necesar să instalați o remediere care vă va permite să configurați setările pentru Windows XP SP3 prin politici de grup.
Această remediere (MicrosoftFixit50588.msi) poate fi descărcată atât de pe site-ul nostru, cât și de pe site-ul nostru:

Mai întâi, setați nivelul de securitate pe serverul terminal la modul „Negociere”:

În el configuram 2 parametri: Permite transmiterea acreditărilor implicite și Permite delegarea acreditărilor implicite cu autentificare pe server „numai NTLM”

Permiteți delegarea implicită a acreditărilor cu autentificarea doar pe server NTLM - trebuie configurat doar dacă serverul terminal nu este autentificat folosind Kerberos sau un certificat SSL.

Introducem acolo serverele la care dorim să le permitem utilizatorilor fără a reintroduce datele de conectare și parola. Le puteți introduce cu mască, sau individual. Ajutorul este scris în detaliu.

După aceasta, aplicăm politica pe computerul(e) dorit(e) și verificăm dacă utilizatorii au permisiunea de a accesa serverele terminale specificate în politicile de mai sus fără a introduce un login și o parolă.

Alexandru Antipov

Articolul oferă o prezentare generală a algoritmului de operare al tehnologiei de autorizare transparentă Single Sign-On și al furnizorului de servicii de securitate Credential Security Service Provider (CredSSP). Este luată în considerare metoda de configurare a părților client și server.

Unul dintre principalele inconveniente pentru utilizator atunci când lansează un desktop la distanță sau o aplicație publicată pe un server terminal este necesitatea introducerii acreditărilor. Anterior, un mecanism de salvare a acreditărilor în setările clientului Remote Desktop a fost folosit pentru a rezolva această problemă. in orice caz aceasta metoda are mai multe dezavantaje semnificative. De exemplu, la schimbarea periodică a parolei, a fost necesar să o schimbi manual în setările clientului terminalului.

În acest sens, pentru a simplifica lucrul cu un desktop la distanță în Windows Server 2008, a devenit posibilă utilizarea tehnologiei de autorizare transparentă Single Sign-on (SSO). Datorită acesteia, utilizatorul, atunci când se conectează la serverul terminal, poate folosi acreditările pe care le-a introdus atunci când se conectează la computerul său local, de pe care este lansat clientul desktop la distanță.

Articolul oferă o prezentare generală a algoritmului de operare al tehnologiei de autorizare transparentă Single Sign-On și al furnizorului de servicii de securitate Credential Security Service Provider (CredSSP). Este luată în considerare metoda de configurare a părților client și server. Sunt acoperite și o serie de aspecte practice legate de autorizarea transparentă pentru serviciile desktop la distanță.

Informații teoretice

Tehnologia SSO vă permite să salvați acreditările utilizatorului și să le transferați automat atunci când vă conectați la un server terminal. Folosind politicile de grup, puteți defini serverele pentru care va fi utilizată această metodă de autorizare. În acest caz, pentru toate celelalte servere terminale, autentificarea se va face în mod tradițional: prin introducerea unui login și a unei parole.

Mecanismele de autorizare transparente au apărut pentru prima dată în Windows Server 2008 și Windows Vista. datorită noului furnizor de securitate CredSSP. A permis transmiterea acreditărilor din cache pe un canal securizat (folosind Transport Layer Security (TLS)). Microsoft a lansat ulterior actualizările corespunzătoare pentru Windows XP SP3.

Să ne uităm la asta mai detaliat. CredSSP poate fi utilizat în următoarele scenarii:

• Pentru stratul de rețea autentificare (NLA), permițând utilizatorului să fie recunoscut înainte instalarea completă conexiuni;
• pentru SSO, stocarea acreditărilor utilizatorului și transmiterea acestora către terminal.

Când restabiliți o sesiune într-o fermă, CredSSP accelerează procesul de stabilire a conexiunii, deoarece serverul terminal determină utilizatorul fără a stabili o conexiune completă (similar cu NLA).

Procesul de autentificare urmează următorul algoritm:

Clientul inițiază stabilirea unui canal securizat cu serverul folosind TLS. Serverul îi oferă certificatul său care conține numele, autoritatea de certificare și cheia publică. Certificatul de server poate fi autosemnat.

Se stabilește o sesiune între server și client. Pentru aceasta este creată o cheie corespunzătoare, care va participa ulterior la criptare. CredSSP utilizează protocolul SPNEGO (Simple and Protected Negotiate) pentru a se autentifica reciproc serverul și clientul, astfel încât fiecare să aibă încredere unul în celălalt. Acest mecanism permite clientului și serverului să aleagă un mecanism de autentificare (cum ar fi Kerberos sau NTLM).

Pentru a proteja împotriva interceptării, clientul și serverul criptează alternativ certificatul de server folosind cheia de sesiune și îl transmit unul altuia.

Dacă rezultatele schimbului și certificatul original se potrivesc, CredSSP de pe client trimite acreditările utilizatorului către server.

Astfel, transmiterea acreditărilor are loc pe un canal criptat cu protecție împotriva interceptării.

Setări

Furnizorul de servicii de securitate CredSSP face parte din sistemul de operare și este inclus în Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2. În plus, poate fi instalat ca o actualizare separată pe Windows XP SP3. Acest proces este descris în detaliu în articolul „Descrierea furnizorului de asistență pentru securitatea acreditărilor (CredSSP) în Windows XP Service Pack 3" Pentru a instala și activa CredSSP pe Windows XP SP3, trebuie să urmați acești pași.

1. Rulați editorul de registry regedit și mergeți la ramura: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.

2. Adăugați valoarea tspkg la cheia Pachete de securitate

3. Accesați ramura de registry: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders.

4. Adăugați valoarea credssp.dll la cheia SecurityProviders (valorile rămase ale acestei chei ar trebui lăsate neschimbate).

După ce CredSSP este activat, trebuie să configurați utilizarea acestuia folosind politicile de grup sau cheile de registry corespunzătoare. Pentru a configura SSO pe computerele client, utilizați politicile de grup din secțiunea:

Computer Configuration\Administrative Templates\System\Credentials Delegation .

În versiunile în limba rusă ale sistemelor de operare arată astfel (Fig. 1).

Orez. 1. Gestionarea transferului de acreditări folosind politici de grup

Pentru a utiliza SSO, trebuie să activați politica:

Permiteți transmiterea acreditărilor implicite.

În plus, după activare, ar trebui să determinați pentru ce servere va fi utilizată această metodă de autorizare. Pentru a face acest lucru, trebuie să efectuați următorii pași.

În fereastra de editare a politicii (Fig. 2), faceți clic pe butonul „Afișați”.

Orez. 2. Fereastra de editare a politicii de grup

Adăugați o listă de servere terminale (Fig. 3).

Orez. 3. Adăugarea unui server terminal pentru autorizare transparentă

Linia de adăugare a serverului are următorul format:

TERMSRV/nume_server .

De asemenea, puteți specifica servere după masca de domeniu. În acest caz, linia ia forma:

TERMSRV/*.nume_domeniu .

Dacă nu este posibilă utilizarea politicilor de grup, setările corespunzătoare pot fi setate utilizând Editorul de registru. De exemplu, pentru Setări Windows XP Sp3 puteți utiliza următorul fișier de registry:

Windows Registry Editor versiunea 5.00

„Pachete de securitate”=hex (7):6b,00,65,00,72,00,62,00,65,00,72,00,6f,00,73,00,00,\

00,6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,73,00,63,00,68,00,61,00,6e,00, \

6e,00,65,00,6c,00,00,00,77,00,64,00,69,00,67,00,65,00,73,00,74,00,00,00,74, \

00,73,00,70,00,6b,00,67,00,00,00,00,00

„SecurityProviders”="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, credssp.dll"

„AllowDefaultCredentials”=dword:00000001

„ConcatenateDefaults_AllowDefault”=dword:00000001

"1"="termsrv/*.mydomain.com"

Aici, în loc de mydomain.com, ar trebui să înlocuiți numele domeniului. În acest caz, atunci când vă conectați la servere terminale, numele domeniului(de exemplu, termsserver1.mydomain.com) va fi utilizată autorizarea transparentă.

Pentru a utiliza tehnologia Single Sign-On pe un server terminal, trebuie să efectuați următorii pași.

Deschideți Consola de configurare a serviciilor terminale (tsconfig.msc).

În secțiunea de conectare, accesați proprietățile RDP-Tcp.

În fila „General”, setați nivelul de securitate la „Negociare” sau „SSL (TLS 1.0)” (Fig. 4).

Orez. 4. Setarea nivelului de securitate pe serverul terminal

În acest moment, configurarea părților client și server poate fi considerată completă.

Informație practică

În această secțiune, vom lua în considerare limitările privind utilizarea tehnologiei de autorizare transparente și problemele care pot apărea la utilizarea acesteia.

• Tehnologia Single Sign-On funcționează numai atunci când vă conectați de la computere care rulează alte sisteme de operare decât Windows XP SP3 și versiuni mai vechi. Calculatoare cu sistem de operare Windows Vista, Windows Server 2008, Windows 7 și Windows Server 2008 R2.
• Dacă serverul terminal la care se realizează conexiunea nu poate fi autentificat prin Kerberos sau un certificat SSL, SSO nu va funcționa. Această limitare poate fi ocolită utilizând următoarea politică:
  Permiteți delegarea acreditărilor setate la autentificarea implicită a serverului „numai NTLM”.
• Algoritmul pentru activarea și configurarea acestei politici de grup este similar cu cel prezentat mai sus. Fișierul de registry corespunzător acestei setări arată astfel.

„AllowDefCredentialsWhenNTLMOnly”=dword:00000001

„ConcatenateDefaults_AllowDefNTLMOnly”=dword:00000001

"1"="termsrv/*.mydomain.com"

Autentificarea folosind această metodă este mai puțin sigură decât utilizarea certificatelor sau Kerberos.

• Dacă acreditările pentru un server sunt salvate în setările clientului terminal, acestea au o prioritate mai mare decât acreditările curente.
• Single Sign-On funcționează numai atunci când utilizați conturi de domeniu.
• Dacă conexiunea la serverul terminal se face prin TS Gateway, în unele cazuri setările serverului TS Gateway pot avea prioritate față de setările SSO ale clientului terminal.
• Dacă serverul terminal este configurat să solicite acreditările utilizatorului de fiecare dată, SSO nu va funcționa.
• Tehnologia de autorizare transparentă funcționează numai cu parole. Dacă utilizați carduri inteligente, nu va funcționa.

Pentru ca SSO să funcționeze corect pe Windows XP SP, se recomandă să instalați două corecții din KB953760: „Când activați SSO pentru un server terminal de pe un computer client bazat pe Windows XP SP3, vi se solicită în continuare acreditările de utilizator când vă conectați. la serverul terminal ».

În unele cazuri, este posibil ca tehnologia de autorizare transparentă să funcționeze sau să nu funcționeze pe același client terminal, în funcție de profilul utilizatorului care se conectează. Problema este rezolvată prin recrearea profilului de utilizator. Dacă aceasta este o sarcină care necesită prea mult timp, puteți încerca să utilizați sfaturile din discuție: „RemoteApp Single Sign On (SSO) de la un client Windows 7» Forumuri Microsoft Technet. În special, este recomandat să resetați setările Internet Explorer sau aprobați suplimentul corespunzător pentru acesta.

O altă limitare majoră a tehnologiei SSO este că nu funcționează atunci când rulează aplicații publicate prin TS Web Access. În acest caz, utilizatorul este forțat să introducă acreditările de două ori: la conectarea la interfața web și la autorizarea pe serverul terminal.

În Windows Server 2008 R2 situația s-a schimbat în bine. Mai mult informatii detaliate acest lucru poate fi găsit în articolul: „Prezentarea autentificarea unică web pentru conexiunile RemoteApp și desktop” ».

Concluzie

Articolul discută despre tehnologia autorizării transparente pe serverele terminale Single Sign-On. Utilizarea acestuia vă permite să reduceți timpul petrecut de utilizator pentru a se conecta la serverul terminal și a lansa aplicații de la distanță. În plus, cu ajutorul acestuia, este suficient să vă introduceți acreditările o dată când vă conectați la computerul local și apoi să le utilizați atunci când vă conectați la servere terminale domeniu. Mecanismul de transfer al acreditărilor este destul de sigur, iar configurarea părților server și client este extrem de simplă.