Za dvojitým pancierom. Ako nastaviť vzdialený prístup cez RDP Rdp prihlásenie pomocou osobného certifikátu

Mnohí z vás už túto skratku určite počuli a videli – doslovne sa prekladá ako Protokol vzdialenej pracovnej plochy. Ak má niekto záujem o technické zložitosti fungovania tohto protokolu na aplikačnej úrovni, môže si prečítať literatúru, počnúc tou istou Wikipédiou. Budeme brať do úvahy čisto praktické aspekty. A to skutočnosť, že tento protokol umožňuje vzdialené pripojenie k počítačom pod Ovládanie Windows rôzne verzie pomocou vstavaného nástroj Windows"Pripojenie k vzdialenej ploche."

Aké sú výhody a nevýhody používania protokolu RDP?

Začnime tým príjemným – plusmi. Výhodou je, že tento nástroj, ktorý sa správnejšie nazýva RDP klient, je dostupný každému používateľovi Windows, a to ako na počítači, z ktorého bude diaľkové ovládanie spravované, tak aj tým, ktorí si chcú otvoriť vzdialený prístup k svojmu počítaču.

Prostredníctvom pripojenia k vzdialenej ploche je možné vzdialenú plochu nielen vidieť a využívať zdroje vzdialeného počítača, ale aj sa k nej pripojiť lokálne disky, tlačiarne, čipové karty atď. Samozrejme, ak chcete sledovať video alebo počúvať hudbu cez RDP, tento proces vám pravdepodobne neprinesie potešenie, pretože... vo väčšine prípadov uvidíte prezentáciu a zvuk bude pravdepodobne prerušený. Služba RDP však nebola vyvinutá pre tieto úlohy.

Ďalšou nepochybnou výhodou je, že pripojenie k počítaču prebieha bez akýchkoľvek dodatočných programov, ktoré sú väčšinou platené, aj keď majú svoje výhody. Čas prístupu k serveru RDP (čo je váš vzdialený počítač) je obmedzený iba vašou túžbou.

Mínusy sú len dve. Jedna je významná, druhá nie až taká. Prvým a podstatným je, že pre prácu s RDP musí mať počítač, ku ktorému sa pripájate, bielu (externú) IP, alebo musí byť možné „forward“ port z routera na tento počítač, ktorý opäť musí mať externú IP. Nezáleží na tom, či je statický alebo dynamický, ale musí byť.

Druhá nevýhoda nie je taká významná - najnovšie verzie klienta už nepodporujú 16-farebnú farebnú schému. Minimálne - 15 bitov. To výrazne spomaľuje RDP, keď sa pripájate cez zakrpatený, mŕtvy internet s rýchlosťou nepresahujúcou 64 kilobitov za sekundu.

Na čo môžete použiť vzdialený prístup cez RDP?

Organizácie zvyčajne používajú servery RDP na spolupráce v programe 1C. A niektorí na nich dokonca nasadzujú používateľské pracovné stanice. Používateľ, najmä ak má prácu na cestách, sa teda môže, ak má 3G internet alebo hotelovú/kaviarenskú Wi-Fi, pripojiť k svojmu pracovisku na diaľku a vyriešiť všetky problémy.

V niektorých prípadoch môžu domáci používatelia využiť vzdialený prístup k svojim domáci počítač získať nejaké údaje z domácich zdrojov. Služba vzdialenej plochy vám v princípe umožňuje plnohodnotne pracovať s textom, inžinierstvom a grafické aplikácie. Z vyššie uvedených dôvodov to nebude fungovať so spracovaním videa a zvuku, ale stále je to veľmi významné plus. Môžete si tiež prezerať zdroje, ktoré sú uzavreté firemnou politikou v práci, pripojením k domácemu počítaču bez akýchkoľvek anonymizátorov, VPN alebo iných zlých duchov.

Príprava internetu

V predchádzajúcej časti sme hovorili o tom, že na umožnenie vzdialeného prístupu cez RDP potrebujeme externú IP adresu. Túto službu môže poskytnúť poskytovateľ, preto zavoláme alebo napíšeme, prípadne zájdeme na Osobná oblasť a zabezpečiť poskytnutie tejto adresy. V ideálnom prípade by mal byť statický, ale v zásade sa dá žiť aj s dynamickými.

Ak niekto nerozumie terminológii, potom je statická adresa konštantná a dynamická adresa sa z času na čas mení. Aby bolo možné plne pracovať s dynamickými IP adresami, boli vynájdené rôzne služby, ktoré poskytujú dynamické viazanie domén. Čo a ako, na túto tému bude čoskoro článok.

Príprava smerovača

Ak váš počítač nie je pripojený priamo ku káblu ISP na internet, ale cez smerovač, budeme musieť s týmto zariadením vykonať aj nejaké manipulácie. Konkrétne pošlite servisný port - 3389. V opačnom prípade vás NAT vášho smerovača jednoducho nepustí dovnútra. domácej siete. To isté platí pre nastavenie servera RDP v organizácii. Ak neviete, ako presmerovať port, prečítajte si článok Ako presmerovať porty na smerovači (otvorí sa na novej karte) a potom sa vráťte sem.

Príprava počítača

Ak chcete vytvoriť možnosť vzdialeného pripojenia k počítaču, musíte urobiť presne dve veci:

Povoliť pripojenie vo vlastnostiach systému;
- nastaviť heslo pre aktuálneho používateľa (ak heslo nemá), alebo vytvoriť nového používateľa s heslom špeciálne pre pripojenie cez RDP.

Sami sa rozhodnite, čo s používateľom urobíte. Majte však na pamäti, že neserverové operačné systémy natívne nepodporujú viacnásobné prihlásenie. Tie. ak sa prihlásite lokálne (konzola) a potom sa vzdialene prihlásite ako rovnaký používateľ, lokálna obrazovka sa uzamkne a relácia na rovnakom mieste sa otvorí v okne Pripojenie vzdialenej pracovnej plochy. Ak zadáte heslo lokálne bez ukončenia RDP, budete vyhodení zo vzdialeného prístupu a na lokálnom monitore uvidíte aktuálnu obrazovku. To isté vás čaká, ak sa prihlásite do konzoly ako jeden používateľ a na diaľku sa pokúsite prihlásiť ako iný. V takom prípade vás systém vyzve na ukončenie relácie lokálneho používateľa, čo nemusí byť vždy vhodné.

Takže prejdite na Štart, kliknite pravým tlačidlom myši na ponuku Počítač a kliknite na položku Vlastnosti.

Vo vlastnostiach systému vyberte Extra možnosti systémov

V okne, ktoré sa otvorí, prejdite na kartu Vzdialený prístup...

...kliknite na Viac...

A začiarknite jediné políčko na tejto stránke.

Toto je "domáce" Verzia systému Windows 7 - kto má Pro a vyššie bude mať viac checkboxov a je možné odlíšiť prístup.

Všade kliknite na OK.

Teraz môžete prejsť na položku Pripojenie k vzdialenej ploche (Štart>Všetky programy>Príslušenstvo), zadať tam IP adresu alebo názov počítača, ak sa k nemu chcete pripojiť z domácej siete a využiť všetky prostriedky.

Páči sa ti to. V princípe je všetko jednoduché. Ak zrazu máte nejaké otázky alebo niečo nie je jasné, vitajte v komentároch.

Stručne: umožňuje vám nakonfigurovať dvojfaktorovú autentifikáciu pre prístup k terminálovému serveru. Pomocou nástroja MS Remote Desktop Connection alebo Remote Desktop Web Connection sa môžete jednoducho pripojiť k vzdialenej ploche pomocou USB kľúča (tokenu).

Ako funguje prihlasovací kľúč Rohos so vzdialenou pracovnou plochou.

Prihlasovací kľúč Rohos sa integruje do procesu autorizácie terminálových služieb Windows a pridáva k existujúcej infraštruktúre riadenia prístupu k systému dvojfaktorovú autentifikačnú vrstvu. Po nastavení prihlasovacieho kľúča Rohos sa používatelia budú môcť prihlásiť na vzdialenú plochu buď iba pomocou kľúča USB, alebo pomocou kľúča USB a hesla.

Výhody ochrany terminálového servera.

• Metóda vám umožňuje obmedziť vzdialený prístup pre určitých používateľov alebo zoznam používateľov.
• Od takýchto používateľov sa vyžaduje, aby zakaždým vložili USB kľúč alebo zadali OTP kód.
• Každý kľúč je jedinečný a nedá sa sfalšovať
• Pri nastavovaní nie je potrebné pripájať USB kľúč priamo k serveru.
• Nie je potrebné inštalovať program na každý počítač, z ktorého pristupujete*.
• Správca musí iba vopred nakonfigurovať a vydať používateľovi USB kľúč na prístup.

Zvýšená bezpečnosť prostredníctvom elektronického kľúča USB alebo jednorazových hesiel:

• Heslo USB kľúča Windows+, ako je SafeNet, eToken, iKey, ePass a ďalšie s podporou PKCS#11.
• Heslo systému Windows + USB flash dopravca.
• Heslo systému Windows + kód OTP odoslané prostredníctvom SMS na adresu mobilný telefón užívateľ.
• Heslo okna + kód OTP s programy Google Authenticator nainštalovaný na smartfóne používateľa.
• Len zašifrované heslo na USB kľúči.
• elektronický USB kľúč + PIN kód kľúča;
• elektronický kľúč USB + kľúč PIN + heslo systému Windows;

Skôr ako začnete nastavovať prihlasovací kľúč Rohos, musíte sa rozhodnúť:

• aký typ USB kľúča sa použije na autorizáciu;
• aký typ autentifikácie chcete použiť:
  1) dvojfaktorový = USB kľúč + heslo Windows,
  2) jednofaktorový = USB kľúč (zahŕňa aj možnosť USB kľúč + PIN kľúč, ak je k dispozícii),
  3) USB kľúč používajte iba na lokálnom PC. V tomto prípade nebude terminálový server kontrolovať, či má klient USB kľúč.

Spôsob overenia pre terminálový server	Typ USB kľúča	Inštalácia softvéru Rohos Logon Key na klientskom a terminálovom serveri
		Klient Windows Vista/7/8	TS Server Windows Server 2008/2012
1) Dvojfaktorové overenie (USB kľúč a heslo Windows).	USB tokeny (PKCS#11) Smart karty Google Authenticator Yubikey USB flash disk*
2) Jednofaktorové overenie (iba kľúč USB)	USB flash disk USB tokeny (PKCS#11) Smart karty++3)
3) Pre pohodlie sa používa USB kľúč. Terminálový server nekontroluje prítomnosť USB kľúča.	Akýkoľvek typ USB kľúča

* Ak používate USB flash disk ako prístupový kľúč, musíte do klientskeho počítača nainštalovať jeden z dvoch programov: buď program alebo . Počas procesu vytvárania kľúča na serveri sa skopíruje na jednotku USB, čím sa zabezpečí použitie jednotky USB ako kľúča na pripojenie k vzdialenej ploche. Tento prenosný komponent možno spustiť na iných pracovných staniciach používaných na vzdialené pripojenie k serveru.

Keď sa rozhodnete pre typ kľúča USB a metódu dvojfaktorovej autentifikácie, môžete začať inštalovať prihlasovací kľúč Rohos.

Typy USB kľúčov a technológie vhodné na autentifikáciu cez Vzdialenú plochu s programom Rohos Logon Key:

Smart karty, karty Java Card (Mifare 1K)

Tokeny založené na PKCS11. Napríklad SafeNet eToken, Securetoken ST3/4, senseLock trueToken, RuToken, uaToken, iKey.

Yubikey a tokeny OTP, ako napríklad Google Authenticator

USB flash disky. V tomto prípade sa po vytvorení kľúča skopíruje prenosný komponent programu na USB disk.

Etapy prípravy pripojenia pomocou programu Rohos Logon Key:

1. Nainštalujte program Rohos Logon Key na terminálový server. V nastaveniach programu zadajte typ USB kľúča.

2. Nainštalujte balík Rohos Management Tools na počítač, z ktorého budete pristupovať na vzdialenú plochu na vytvorenie kľúčov.

3. Vytvorenie kľúčov pre prístup cez RDC:

Pripojte svoj budúci USB kľúč k vášmu lokálnemu počítaču. Pripojte sa k terminálovému serveru cez RDC. V nastaveniach programu Vzdialená plocha zadajte, ktoré miestne zdroje ( USB disky alebo čipové karty) by mali byť poskytnuté vzdialenému počítaču.

Spustite program Rohos Logon Key na terminálovom serveri. Použite príkaz Nastaviť kľúč, zadajte používateľa, pre ktorého kľúč vytvárate, a v prípade potreby zadajte jeho heslo.

Poznámka: Niektoré typy USB Kľúče je možné vytvoriť v programe USB key manager z balíka nástrojov Rohos Managment. Tento balík je nainštalovaný na počítači správcu. Po vytvorení všetkých kľúčov v tomto programe je potrebné exportovať ich zoznam na terminálový server. . V tom istom programe je tlačidlo, ktoré sa skopíruje do USB disk programy.

4. Nastavenie prihlasovacieho kľúča Rohos na terminálovom serveri:

Po vytvorení všetkých kľúčov môžete posilniť bezpečnosť servera tým, že niektorým používateľom zakážete prístup k nemu bez kľúča USB. Otvorte nastavenia programu Rohos Logon Key, Povoliť prístup iba pomocou zoznamu USB kľúčov.

Možnosti:

• žiadne
  Všetci používatelia sa môžu prihlásiť buď pomocou hesla, resp pomocou USB kľúč Táto konfigurácia sa neodporúča pre terminálový server.
• Pre každého užívateľa
  Táto možnosť je podobná starej možnosti Povoliť prihlásenie iba pomocou kľúča USB. Všetci používatelia musia na prihlásenie alebo odomknutie systému Windows použiť kľúč USB.
• Pre uvedených používateľov
  Iba používatelia zo zoznamu musia na prihlásenie použiť USB kľúč. Všetci ostatní používatelia sa môžu prihlásiť pomocou hesla. Zoznam sa vytvorí automaticky pri vytvorení USB kľúča pre používateľa. Do tohto zoznamu sa pridá používateľské meno z USB kľúča. Okrem toho je možné importovať zoznam používateľov a kľúčov z iného počítača. Toto môže samozrejme urobiť iba správca.
• Pre skupinu používateľov „rohos“ v službe Active Directory
  Každý používateľ zo skupiny rohos je povinný používať USB kľúč.
  Pozor: používateľskú skupinu rohos musí vytvoriť administrátor Active Directory.
• Pre prihlásenie na vzdialenú plochu
  Miestni používatelia sa môžu prihlásiť pomocou USB kľúča alebo bez neho. Vzdialené prihlásenie je možné len pomocou USB kľúča. Táto možnosť je ideálna na posilnenie bezpečnosti terminálového servera.
• Pre prihlásenie na vzdialenú plochu mimo LAN
  Používatelia v lokálna sieť sa môže prihlásiť na terminálový server bez kľúča. Iba používatelia, ktorí sa prihlasujú cez dial-up, DSL pripojenie alebo z iných sietí, musia používať USB kľúče.

Pripojenie vzdialenej pracovnej plochy

Po pripojení uvidíme toto dialógové okno identifikácie siete.

Musíte vybrať používateľské meno a zadať heslo účtu na TS.

Ak je overenie hesla úspešné, dôjde k pripojeniu k vzdialenej ploche. V tejto fáze prihlasovací kľúč Rohos skontroluje prítomnosť USB kľúča používateľa.

Prihlasovací kľúč Rohos môže zastaviť prístup, ak nie je pripojený kľúč USB:

Ak je použitý token s jednorazovým heslom, zobrazí sa okno na jeho zadanie.

Prenosný prihlasovací kľúč Rohos

Program vám pomôže, ak používate USB flash disk, ale nemôžete alebo nechcete ho nainštalovať lokálny počítač ani Rohos Logon Key ani Rohos Management nástroje. Tento komponent sa automaticky skopíruje na USB flash disk počas vytvárania kľúča na terminálovom serveri. Prípadne sa dá získať behom USB program Key manager Pro licencia - na prístup cez vzdialenú plochu k počítaču v sieti (nie k terminálovému serveru), ako aj na použitie v doméne.

Serverová licencia – špeciálne navrhnutá pre terminálový server (Windows 2003, 2008, 2012 s prístupom cez vzdialenú plochu)

Vyskúšajte prihlasovací kľúč Rohos zadarmo na 15 dní. Prihlasovací kľúč Rohos.

Po tomto období bude program tiež fungovať, ale pripomenie vám registráciu.

Ak je jedinou prekážkou prístupu k vašim údajom heslo, vystavujete sa veľkému riziku. Priechod môže byť hacknutý, zachytený, ukradnutý trójskym koňom alebo vylovený pomocou sociálneho inžinierstva. Nepoužitie dvojfaktorovej autentifikácie v tejto situácii je takmer zločin.

O jednorazových kľúčoch sme už hovorili viackrát. Význam je veľmi jednoduchý. Ak sa útočníkovi nejakým spôsobom podarí získať vaše prihlasovacie heslo, môže ľahko získať prístup k vášmu e-mailu alebo sa pripojiť na vzdialený server. Ale ak je v ceste ďalší faktor, napríklad jednorazový kľúč (nazývaný aj kľúč OTP), potom nebude fungovať nič. Aj keď sa takýto kľúč dostane do rúk útočníka, už ho nebude možné použiť, keďže je platný len raz. Týmto druhým faktorom môže byť dodatočný hovor, kód prijatý prostredníctvom SMS, kľúč vygenerovaný v telefóne pomocou určitých algoritmov založených na aktuálnom čase (čas je spôsob, ako synchronizovať algoritmus na klientovi a serveri). Rovnaký Google už už dlho odporúča svojim používateľom povoliť dvojfaktorové overenie (pár kliknutí v nastaveniach účtu). Teraz je čas pridať takúto vrstvu ochrany pre vaše služby!

Čo ponúka Duo Security?

Triviálny príklad. Môj počítač má port RDP otvorený „vonku“ na vzdialené pripojenie k pracovnej ploche. Ak dôjde k úniku prihlasovacieho hesla, útočník ho okamžite dostane plný prístup do auta. Preto nebolo pochýb o posilnení ochrany heslom OTP - jednoducho to bolo potrebné urobiť. Bolo hlúpe znovu vynájsť koleso a pokúsiť sa všetko implementovať svojpomocne, tak som sa len pozrel na riešenia, ktoré sú na trhu. Ukázalo sa, že väčšina z nich je komerčná (viac podrobností v bočnom paneli), no pre malý počet používateľov ich možno použiť zadarmo. Presne to, čo potrebujete pre váš domov. Jednou z najúspešnejších služieb, ktorá vám umožňuje organizovať dvojfaktorovú autentifikáciu doslova pre čokoľvek (vrátane VPN, SSH a RDP), sa ukázalo byť Duo Security (www.duosecurity.com). Na atraktivite mu pridal fakt, že developerom a zakladateľom projektu je John Oberheid, známy špecialista na informačná bezpečnosť. Napríklad rozobral protokol Komunikácia Google s smartfóny so systémom Android, pomocou ktorého môžete inštalovať alebo odstraňovať ľubovoľné aplikácie. Tento základ je cítiť: chlapci spustili, aby ukázali dôležitosť dvojfaktorovej autentifikácie služba VPN Hunter (www.vpnhunter.com), ktorý dokáže rýchlo nájsť neskryté VPN servery spoločnosti (a zároveň určiť typ zariadenia, na ktorom fungujú), služby vzdialeného prístupu (OpenVPN, RDP, SSH) a ďalšie prvky infraštruktúry, ktoré umožňujú útočníkovi získať prístup do internej siete jednoducho tým, že pozná prihlasovacie meno a heslo. Je vtipné, že na oficiálnom Twitteri služby začali majitelia denne zverejňovať správy o skenovaní známych spoločností, po ktorých bol účet zakázaný :). Služba Duo Security je samozrejme zameraná predovšetkým na zavedenie dvojfaktorovej autentifikácie vo firmách s veľkým počtom používateľov. Našťastie pre nás je možné vytvoriť si bezplatný Osobný účet, ktorý vám umožní bezplatne organizovať dvojfaktorovú autentifikáciu pre desať používateľov.

Čo môže byť tým druhým faktorom?

Ďalej sa pozrieme na to, ako posilniť bezpečnosť pripojenia k vzdialenej ploche a SSH na vašom serveri doslova za desať minút. Najprv však chcem hovoriť o ďalšom kroku, ktorý Duo Security predstavuje ako druhý autorizačný faktor. Existuje niekoľko možností: hovor, SMS s prístupovými kódmi, Duo Mobile prístupové kódy, Duo Push, elektronický kľúč. O každom trochu viac.

Ako dlho ho môžem používať zadarmo?

Ako už bolo spomenuté, Duo Security ponúka špeciál tarifný plán"Osobné". Je úplne zadarmo, ale počet používateľov by nemal byť vyšší ako desať. Podporuje pridávanie neobmedzeného počtu integrácií, všetkých dostupných metód autentifikácie. Poskytuje tisíce bezplatných kreditov na telefónne služby. Kredity sú ako interná mena, ktorá sa odpočítava z vášho účtu vždy, keď dôjde k overeniu pomocou hovoru alebo SMS. V nastaveniach účtu si to môžete nastaviť tak, že keď dosiahnete určený počet kreditov, dostanete upozornenie a stihnete si dobiť zostatok. Tisíc kreditov stojí iba 30 dolárov. Cena za hovory a SMS za rozdielne krajiny je iný. Pre Rusko bude hovor stáť 5 až 20 kreditov, SMS - 5 kreditov. Za hovor, ktorý sa uskutoční počas overovania na webovej stránke Duo Security, sa však nič neúčtuje. Na kredity môžete úplne zabudnúť, ak na autentifikáciu používate aplikáciu Duo Mobile – nič sa za ňu neplatí.

Jednoduchá registrácia

Ak chcete chrániť svoj server pomocou Duo Security, musíte si stiahnuť a nainštalovať špeciálneho klienta, ktorý bude spolupracovať s overovacím serverom Duo Security a poskytne druhú vrstvu ochrany. Podľa toho bude tento klient v každej situácii iný: v závislosti od toho, kde presne je potrebné implementovať dvojfaktorovú autentifikáciu. O tom si povieme nižšie. Prvá vec, ktorú musíte urobiť, je zaregistrovať sa v systéme a získať účet. Preto otvárame domovskej stránke kliknite na „Bezplatná skúšobná verzia“, na stránke, ktorá sa otvorí, kliknite na tlačidlo „Prihlásiť sa“ pod typom osobného účtu. Potom sme požiadaní o zadanie nášho mena, priezviska, e-mailovej adresy a názvu spoločnosti. Mali by ste dostať e-mail s odkazom na potvrdenie registrácie. V tomto prípade systém automaticky vytočí zadané telefónne číslo: na aktiváciu účtu musíte prijať hovor a stlačiť tlačidlo # na telefóne. Potom bude účet aktívny a môžete začať bojové testovanie.

Ochrana PRV

Vyššie som povedal, že som začal s veľkou túžbou zabezpečiť vzdialené pripojenia k mojej ploche. Preto ako prvý príklad opíšem, ako posilniť bezpečnosť PRV.

Akákoľvek implementácia dvojfaktorovej autentifikácie začína jednoduchou akciou: vytvorením takzvanej integrácie v bezpečnostnom profile Duo. Prejdite do časti „Integrácie  Nová integrácia“, zadajte názov integrácie (napríklad „Domáca RDP“), vyberte jej typ „Microsoft RDP“ a kliknite na „Pridať integráciu“.

V zobrazenom okne sa zobrazia parametre integrácie: Integračný kľúč, Tajný kľúč, Názov hostiteľa API. Budeme ich potrebovať neskôr pri konfigurácii klientskej časti. Je dôležité pochopiť: nikto by ich nemal poznať.

Ďalej je potrebné na chránený stroj nainštalovať špeciálneho klienta, ktorý nainštaluje všetko potrebné do systému Windows. Dá sa stiahnuť z oficiálnej stránky alebo stiahnuť z nášho disku. Celé jeho nastavenie sa scvrkáva na skutočnosť, že počas procesu inštalácie budete musieť zadať vyššie uvedený integračný kľúč, tajný kľúč, názov hostiteľa API.

To je vlastne všetko. Teraz, keď sa nabudúce prihlásite na server cez RDP, obrazovka bude mať tri polia: používateľské meno, heslo a jednorazový kľúč Duo. V súlade s tým už nie je možné prihlásiť sa do systému iba pomocou prihlasovacieho mena a hesla.

Keď sa nový používateľ prvýkrát pokúsi prihlásiť, bude musieť raz prejsť procesom overenia Duo Security. Služba mu poskytne špeciálny odkaz, po ktorom musí zadať svoje telefónne číslo a počkať na overovací hovor. Ak chcete získať ďalšie kľúče (alebo ich získať prvýkrát), môžete zadať kľúčové slovo „sms“. Ak sa chcete overiť pomocou telefonického hovoru, zadajte „telefón“, ak používate Duo Push, zadajte „push“. Históriu všetkých pokusov o pripojenie (úspešných aj neúspešných) k serveru si môžete pozrieť vo svojom účte na webovej stránke Duo Security tak, že najprv vyberiete požadovanú integráciu a prejdete do jej „Denník overenia“.

Pripojte Duo Security kdekoľvek!

Pomocou dvojfaktorovej autentifikácie môžete chrániť nielen RDP alebo SSH, ale aj siete VPN, servery RADIUS a akékoľvek webové služby. Napríklad existujú hotoví klienti, ktorí pridávajú ďalšiu vrstvu autentifikácie k populárnym motorom Drupal a WordPress. Ak neexistuje žiadny hotový klient, nebuďte naštvaní: dvojfaktorové overenie pre svoju aplikáciu alebo webovú stránku môžete kedykoľvek pridať sami pomocou rozhrania API, ktoré poskytuje systém. Logika práce s API je jednoduchá – zadáte požiadavku na URL konkrétnej metódy a analyzujete vrátenú odpoveď, ktorá môže prísť vo formáte JSON (alebo BSON, XML). Kompletná dokumentácia pre Duo REST API je dostupná na oficiálnej stránke. Poviem len, že existujú metódy ping, check, preauth, auth, status, z názvu ktorých je ľahké uhádnuť, na čo sú určené.

Ochrana SSH

Uvažujme o inom type integrácie – „UNIX Integration“ na implementáciu bezpečnej autentifikácie. Do nášho bezpečnostného profilu Duo pridáme ďalšiu integráciu a pokračujeme v inštalácii klienta do systému.

Jeho zdrojový kód si môžete stiahnuť na bit.ly/IcGgk0 alebo si ho stiahnuť z nášho disku. použil som Najnovšia verzia- 1.8. Mimochodom, klient funguje na väčšine platforiem nix, takže ho možno jednoducho nainštalovať na FreeBSD, NetBSD, OpenBSD, Mac OS X, Solaris/Illumos, HP-UX a AIX. Proces zostavovania je štandardný - nakonfigurujte && make && sudo make install. Jediné, čo by som odporučil, je použiť configure s voľbou --prefix=/usr, inak sa môže stať, že klient pri štarte nenájde potrebné knižnice. Po úspešnej inštalácii prejdite na úpravu konfiguračného súboru /etc/duo/login_duo.conf. Toto musí byť vykonané z root. Všetky zmeny, ktoré je potrebné vykonať pre úspešnú prevádzku, sú nastavenie hodnôt Integration key, Secret key, API hostname, ktoré nájdete na integračnej stránke.

; Kľúč integrácie Duo = INTEGRATION_KEY; Tajný kľúč Duo = SECRET_KEY; Hostname API Duo = API_HOSTNAME

Ak chcete prinútiť všetkých používateľov, aby sa prihlásili na váš server cez SSH, aby používali dvojfaktorovú autentifikáciu, stačí pridať nasledujúci riadok do súboru /etc/ssh/sshd_config:

> ForceCommand /usr/local/sbin/login_duo

Je tiež možné organizovať dvojfaktorovú autentifikáciu len pre jednotlivých používateľov tak, že ich skombinujete do skupiny a špecifikujete túto skupinu v súbore login_duo.conf:

> skupina = koleso

Aby sa zmeny prejavili, všetko, čo musíte urobiť, je reštartovať démona ssh. Odteraz, po úspešnom zadaní prihlasovacieho hesla, bude používateľ vyzvaný na vykonanie dodatočnej autentifikácie. Osobitne treba poznamenať jednu jemnosť konfigurácie ssh - dôrazne sa odporúča vypnúť možnosti PermitTunnel a AllowTcpForwarding v konfiguračnom súbore, pretože démon ich aplikuje pred spustením druhej fázy autentifikácie. Ak teda útočník správne zadá heslo, môže vďaka presmerovaniu portov získať prístup do vnútornej siete ešte pred dokončením druhej fázy autentifikácie. Ak sa chcete tomuto efektu vyhnúť, pridajte do sshd_config nasledujúce možnosti:

PovolenieTunnel noAllowTcpForwarding č

Teraz je váš server za dvojitou stenou a pre útočníka je oveľa ťažšie sa do nej dostať.

Ďalšie nastavenia

Ak sa prihlásite do svojho účtu Duo Security a prejdete do časti „Nastavenia“, môžete si niektoré nastavenia upraviť tak, aby vám vyhovovali. Prvá dôležitá časť je „Telefónne hovory“. Toto špecifikuje parametre, ktoré budú účinné, keď sa na potvrdenie autentifikácie použije telefonický hovor. Položka „Voice callback keys“ vám umožňuje určiť, ktoré telefónne tlačidlo bude potrebné stlačiť na potvrdenie overenia. V predvolenom nastavení je hodnota „Pre overenie stlačte ľubovoľný kláves“ – to znamená, že môžete stlačiť ľubovoľný. Ak nastavíte hodnotu „Stlačte rôzne klávesy na overenie alebo nahlásenie podvodu“, potom budete musieť nastaviť dva kľúče: kliknutím na prvý potvrdíte autentifikáciu (Kľúč na overenie), kliknutím na druhý (Kľúč na nahlásenie podvodu) znamená, že neinicioval proces overenia , to znamená, že niekto dostal naše heslo a pokúša sa pomocou neho prihlásiť na server. Položka “SMS prístupové kódy” umožňuje nastaviť počet prístupových kódov, ktoré bude obsahovať jedna SMS a ich životnosť (platnosť). Parameter „Uzamknutie a podvod“ vám umožňuje nastaviť e-mailovú adresu, na ktorú bude zaslané upozornenie v prípade určitého počtu neúspešných pokusov o prihlásenie na server.

Použi to!

Prekvapivo veľa ľudí stále ignoruje dvojfaktorovú autentifikáciu. Nechápem prečo. To skutočne výrazne zvyšuje bezpečnosť. Dá sa implementovať takmer na čokoľvek a slušné riešenia sú dostupné zadarmo. Tak prečo? Z lenivosti alebo neopatrnosti.

Analógové služby

• Signify (www.signify.net) Služba poskytuje tri možnosti organizácie dvojfaktorovej autentifikácie. Prvým je použitie elektronických kľúčov. Druhým spôsobom je použitie prístupových kľúčov, ktoré sa odosielajú na telefón používateľa prostredníctvom SMS alebo odosielajú na email. Tretia možnosť - mobilná aplikácia Pre telefóny so systémom Android, iPhone, BlackBerry, ktorý generuje jednorazové heslá (v podstate analóg Duo Mobile). Služba je zameraná na veľké spoločnosti, teda úplne zaplatené.
• SecurEnvoy (www.securenvoy.com) Tiež vám umožňuje používať váš mobilný telefón ako druhú vrstvu zabezpečenia. Prístupové kľúče sú odosielané používateľovi prostredníctvom SMS alebo e-mailu. Každá správa obsahuje tri prístupové kľúče, to znamená, že používateľ sa môže prihlásiť trikrát, kým požiada o novú časť. Služba je tiež platená, ale poskytuje bezplatné 30-dňové obdobie. Významnou výhodou je veľký počet natívnych integrácií aj integrácií tretích strán.
• PhoneFactor (www.phonefactor.com) Táto služba vám umožňuje organizovať bezplatnú dvojfaktorovú autentifikáciu až pre 25 používateľov, pričom poskytuje 500 bezplatných overení mesačne. Ak chcete zorganizovať ochranu, budete si musieť stiahnuť a nainštalovať špeciálneho klienta. Ak potrebujete na svoje stránky pridať dvojfaktorové overenie, môžete použiť oficiálnu súpravu SDK, ktorá poskytuje podrobnú dokumentáciu a príklady pre nasledujúce programovacie jazyky: ASP.NET C#, ASP.NET VB, Java, Perl, Ruby, PHP.

V serverových verziách operačného systému Windows je skvelá príležitosť použiť na pripojenie poverenia zadané používateľom skôr pri prihlásení do počítača. Týmto spôsobom nemusia zadávať svoje používateľské meno a heslo pri každom spustení publikovanej aplikácie alebo len vzdialenej pracovnej plochy. Táto vec sa nazýva Single Sign On pomocou technológie CredSSP(Poskytovateľ bezpečnostných služieb).

Popis

Aby to fungovalo, musia byť splnené nasledujúce podmienky:

• Terminálový server a klient, ktorý sa k nemu pripája, musia byť v doméne.
• Terminálový server musí byť nakonfigurovaný v OS Windows Server 2008, Windows Server 2008 R2 alebo vyšší.
• Klientsky počítač musí mať nainštalovaný nasledujúci operačný systém: Windows XP SP3, Windows Vista, Windows Server 2008, Windows 7, Windows 8 alebo Windows Server 2008 R2.

V prípade systému Windows XP SP3 budú potrebné ďalšie kroky. Je potrebné nainštalovať opravu, ktorá vám umožní konfigurovať nastavenia pre Windows XP SP3 prostredníctvom skupinových zásad.
Túto opravu (MicrosoftFixit50588.msi) si môžete stiahnuť z našej webovej stránky aj z nej:

Najprv nastavte úroveň zabezpečenia na terminálovom serveri na režim „Negotiation“:

V ňom konfigurujeme 2 parametre: Povoliť prenos predvolených poverení a Povoliť delegovanie predvolených poverení s overením servera „len NTLM“

Povoliť predvolené delegovanie poverení s overením servera iba NTLM – je potrebné ho nakonfigurovať iba v prípade, že terminálový server nie je overený pomocou protokolu Kerberos alebo certifikátu SSL.

Zadáme tam server(y), na ktorý chceme povoliť používateľov bez opätovného zadávania ich prihlasovacieho mena a hesla. Môžete ich zadať maskou alebo jednotlivo. Pomocník to hovorí podrobne.

Potom aplikujeme politiku na požadovaný počítač (počítače) a skontrolujeme, či majú používatelia povolený prístup k terminálovým serverom uvedeným v pravidlách vyššie bez zadania prihlasovacieho mena a hesla.

Alexander Antipov

Článok poskytuje prehľad operačného algoritmu technológie transparentnej autorizácie Single Sign-On a poskytovateľa bezpečnostných služieb Credential Security Service Provider (CredSSP). Zvažuje sa spôsob nastavenia klientskej a serverovej časti.

Jednou z hlavných nepríjemností pre používateľa pri spúšťaní vzdialenej pracovnej plochy alebo aplikácie zverejnenej na terminálovom serveri je potreba zadávať svoje prihlasovacie údaje. Predtým sa na vyriešenie tohto problému používal mechanizmus na ukladanie poverení v nastaveniach klienta vzdialenej pracovnej plochy. Avšak túto metódu má niekoľko významných nevýhod. Napríklad pri periodickej zmene hesla bolo potrebné zmeniť ho manuálne v nastaveniach terminálového klienta.

V tomto ohľade bolo na zjednodušenie práce so vzdialenou plochou v systéme Windows Server 2008 možné použiť technológiu transparentnej autorizácie Single Sign-on (SSO). Vďaka nemu môže používateľ pri prihlásení na terminálový server použiť prihlasovacie údaje, ktoré zadal pri prihlásení do svojho lokálneho počítača, z ktorého sa klient vzdialenej plochy spúšťa.

Článok poskytuje prehľad operačného algoritmu technológie transparentnej autorizácie Single Sign-On a poskytovateľa bezpečnostných služieb Credential Security Service Provider (CredSSP). Zvažuje sa spôsob nastavenia klientskej a serverovej časti. Rieši sa aj množstvo praktických otázok súvisiacich s transparentnou autorizáciou služieb vzdialenej pracovnej plochy.

Teoretické informácie

Technológia SSO vám umožňuje uložiť prihlasovacie údaje používateľa a automaticky ich preniesť pri pripojení k terminálovému serveru. Pomocou skupinových politík môžete definovať servery, pre ktoré sa použije táto metóda autorizácie. V tomto prípade pre všetky ostatné terminálové servery sa prihlásenie vykoná tradičným spôsobom: zadaním prihlasovacieho mena a hesla.

Transparentné autorizačné mechanizmy sa prvýkrát objavili v systémoch Windows Server 2008 a Windows Vista. vďaka novému poskytovateľovi zabezpečenia CredSSP. Umožnil prenos poverení uložených vo vyrovnávacej pamäti cez zabezpečený kanál (pomocou Transport Layer Security (TLS)). Microsoft následne vydal zodpovedajúce aktualizácie pre Windows XP SP3.

Pozrime sa na to podrobnejšie. CredSSP možno použiť v nasledujúcich scenároch:

• Pre sieťová vrstva autentifikácia (NLA), ktorá umožňuje, aby bol používateľ predtým rozpoznaný kompletná inštalácia spojenia;
• pre SSO, ukladanie používateľských poverení a ich odovzdanie do terminálu.

Pri obnove relácie v rámci farmy CredSSP urýchľuje proces vytvárania pripojenia, pretože terminálový server určí užívateľa bez vytvorenia úplného spojenia (podobne ako NLA).

Proces autentifikácie sa riadi nasledujúcim algoritmom:

Klient iniciuje vytvorenie zabezpečeného kanála so serverom pomocou TLS. Server mu odovzdá svoj certifikát obsahujúci názov, certifikačnú autoritu a verejný kľúč. Certifikát servera môže byť podpísaný sám sebou.

Medzi serverom a klientom sa vytvorí relácia. Je preň vytvorený zodpovedajúci kľúč, ktorý sa následne bude podieľať na šifrovaní. CredSSP používa protokol Simple and Protected Negotiate (SPNEGO) na vzájomnú autentifikáciu servera a klienta, aby si každý mohol navzájom dôverovať. Tento mechanizmus umožňuje klientovi a serveru vybrať si mechanizmus autentifikácie (napríklad Kerberos alebo NTLM).

Na ochranu pred odpočúvaním klient a server striedavo šifrujú certifikát servera pomocou kľúča relácie a navzájom si ho prenášajú.

Ak sa výsledky výmeny a pôvodný certifikát zhodujú, CredSSP na klientovi odošle poverenia používateľa na server.

K prenosu poverení teda dochádza cez šifrovaný kanál s ochranou proti odpočúvaniu.

nastavenie

Poskytovateľ bezpečnostných služieb CredSSP je súčasťou operačného systému a je súčasťou systému Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2. Okrem toho ho možno nainštalovať ako samostatnú aktualizáciu na Windows XP SP3. Tento proces je podrobne popísaný v článku „Popis poskytovateľa podpory zabezpečenia poverení (CredSSP) v systéme Windows XP Service Pack 3" Ak chcete nainštalovať a povoliť CredSSP v systéme Windows XP SP3, musíte postupovať podľa týchto krokov.

1. Spustite editor registra regedit a prejdite do pobočky: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.

2. Pridajte hodnotu tspkg do kľúča Security Packages

3. Prejdite do vetvy registra: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders.

4. Pridajte hodnotu credssp.dll do kľúča SecurityProviders (zvyšné hodnoty tohto kľúča by mali zostať nezmenené).

Po povolení CredSSP musíte nakonfigurovať jeho používanie pomocou skupinových zásad alebo príslušných kľúčov databázy Registry. Ak chcete nakonfigurovať jednotné prihlásenie na klientskych počítačoch, použite skupinové politiky z časti:

Konfigurácia počítača\Šablóny pre správu\Systém\Delegovanie poverení .

V ruskojazyčných verziách operačných systémov to vyzerá takto (obr. 1).

Ryža. 1. Riadenie prenosu poverení pomocou skupinových zásad

Ak chcete používať jednotné prihlásenie, musíte povoliť politiku:

Povoliť odovzdávanie predvolených poverení.

Okrem toho by ste po povolení mali určiť, pre ktoré servery sa táto metóda autorizácie použije. Ak to chcete urobiť, musíte vykonať nasledujúce kroky.

V okne úpravy politiky (obr. 2) kliknite na tlačidlo „Zobraziť“.

Ryža. 2. Okno na úpravu zásad skupiny

Pridajte zoznam terminálových serverov (obr. 3).

Ryža. 3. Pridanie terminálového servera pre transparentnú autorizáciu

Riadok na pridanie servera má nasledujúci formát:

TERMSRV/názov_servera .

Servery môžete určiť aj podľa masky domény. V tomto prípade má riadok tvar:

TERMSRV/*.názov_domény .

Ak nie je možné použiť skupinové politiky, príslušné nastavenia je možné nastaviť pomocou Editora databázy Registry. Napríklad pre nastavenia systému Windows XP Sp3 môžete použiť nasledujúci súbor databázy Registry:

Editor databázy Registry systému Windows, verzia 5.00

"Bezpečnostné balíčky"=hex (7):6b,00,65,00,72,00,62,00,65,00,72,00,6f,00,73,00,00,\

00,6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,73,00,63,00,68,00,61,00,6e,00, \

6e,00,65,00,6c,00,00,00,77,00,64,00,69,00,67,00,65,00,73,00,74,00,00,00,74, \

00,73,00,70,00,6b,00,67,00,00,00,00,00

"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, credssp.dll"

"AllowDefaultCredentials"=dword:00000001

"ConcatenateDefaults_AllowDefault"=dword:00000001

"1"="termsrv/*.mydomain.com"

Tu by ste namiesto mydomain.com mali nahradiť názov domény. V tomto prípade pri pripájaní k terminálovým serverom doménové meno(napríklad termsserver1.mydomain.com) použije sa transparentná autorizácia.

Ak chcete použiť technológiu Single Sign-On na terminálovom serveri, musíte vykonať nasledujúce kroky.

Otvorte konzolu konfigurácie terminálových služieb (tsconfig.msc).

V časti pripojenia prejdite na vlastnosti RDP-Tcp.

Na karte „Všeobecné“ nastavte úroveň zabezpečenia na „Negotiation“ alebo „SSL (TLS 1.0)“ (obr. 4).

Ryža. 4. Nastavenie úrovne zabezpečenia na terminálovom serveri

V tomto bode možno považovať nastavenie klientskej a serverovej časti za dokončené.

Praktické informácie

V tejto časti sa budeme zaoberať obmedzeniami používania transparentnej autorizačnej technológie a problémami, ktoré môžu pri jej používaní vzniknúť.

• Technológia Single Sign-On funguje iba pri pripájaní z počítačov s operačnými systémami inými ako Windows XP SP3 a staršími verziami. Počítače s operačný systém Windows Vista, Windows Server 2008, Windows 7 a Windows Server 2008 R2.
• Ak terminálový server, ku ktorému sa pripájate, nemôže byť overený prostredníctvom Kerberos alebo certifikátu SSL, SSO nebude fungovať. Toto obmedzenie je možné obísť pomocou nasledujúcej politiky:
  Povoliť delegovanie poverení nastavených na predvolené overenie servera „iba NTLM“.
• Algoritmus aktivácie a konfigurácie tejto skupinovej politiky je podobný tomu, ktorý je uvedený vyššie. Súbor databázy Registry zodpovedajúci tomuto nastaveniu vyzerá takto:

"AllowDefCredentialsWhenNTLMOnly"=dword:00000001

"ConcatenateDefaults_AllowDefNTLMOnly"=dword:00000001

"1"="termsrv/*.mydomain.com"

Autentifikácia pomocou tejto metódy je menej bezpečná ako používanie certifikátov alebo Kerberos.

• Ak sú poverenia pre server uložené v nastaveniach terminálového klienta, majú vyššiu prioritu ako aktuálne poverenia.
• Jednotné prihlásenie funguje iba pri používaní doménových účtov.
• Ak je pripojenie k terminálovému serveru cez TS Gateway, v niektorých prípadoch môžu mať nastavenia servera TS Gateway prednosť pred nastaveniami SSO terminálového klienta.
• Ak je terminálový server nakonfigurovaný tak, aby zakaždým požadoval zadanie poverení používateľa, jednotné prihlásenie nebude fungovať.
• Technológia transparentnej autorizácie funguje iba s heslami. Ak používate čipové karty, nebude to fungovať.

Aby jednotné prihlásenie fungovalo správne v systéme Windows XP SP, odporúča sa nainštalovať dve opravy z KB953760: „Keď povolíte jednotné prihlásenie pre terminálový server z klientskeho počítača so systémom Windows XP SP3, budete pri prihlásení stále vyzvaní na zadanie poverení používateľa. na terminálový server ».

V niektorých prípadoch je možné, že transparentná autorizačná technológia môže alebo nemusí fungovať na rovnakom koncovom klientovi, v závislosti od profilu pripájajúceho sa užívateľa. Problém je vyriešený opätovným vytvorením užívateľského profilu. Ak je to príliš časovo náročná úloha, môžete skúsiť použiť tipy z diskusie: „RemoteApp Single Sign On (SSO) z klienta Windows 7» Fóra Microsoft Technet. Predovšetkým sa odporúča obnoviť nastavenia internet Explorer alebo k nemu schváľte príslušný doplnok.

Ďalším veľkým obmedzením technológie SSO je, že nefunguje pri spúšťaní publikovaných aplikácií cez TS Web Access. V tomto prípade je používateľ nútený zadať prihlasovacie údaje dvakrát: pri prihlásení do webového rozhrania a pri autorizácii na terminálovom serveri.

V systéme Windows Server 2008 R2 sa situácia zmenila k lepšiemu. Viac detailné informácie to možno nájsť v článku: „Predstavenie jednotného webového prihlásenia pre pripojenia RemoteApp a Desktop“ ».

Záver

Článok pojednáva o technológii transparentnej autorizácie na terminálových serveroch Single Sign-On. Jeho použitie vám umožňuje skrátiť čas, ktorý používateľ strávi prihlásením sa na terminálový server a spúšťaním vzdialených aplikácií. Navyše s jeho pomocou stačí zadať prihlasovacie údaje raz pri prihlásení do lokálneho počítača a následne ich použiť pri pripájaní terminálové servery domény. Mechanizmus prenosu poverení je celkom bezpečný a nastavenie serverovej a klientskej časti je mimoriadne jednoduché.