Как выбрать метод аутентификации пользователей в СУБД

Что такое active directory

Active Directory — это технология Microsoft, которая представляет собой распределенную базу данных, в которой хранятся объекты в иерархическом, структурированном и безопасном формате. Объекты AD обычно представляют пользователей, компьютеры, периферийные устройства и сетевые службы.

Домены Windows обычно используются в больших сетях — корпоративных сетях, школьных сетях и государственных сетях. Они не то, с чем вы столкнётесь дома, если у вас нет ноутбука, предоставленного вашим работодателем или учебным заведением.


Типичный домашний компьютер — обособленный объект. Вы управляете настройками и учётными записями пользователей на компьютере. Компьютер, присоединённый к домену, отличается — этими настройками управляет контроллер домена.

Что нужно для active directory

Active Directory можно включить на компьютерах с Windows Server. На не серверных компьютерах (например, с Windows 10), можно установить и включить Active Directory Lightweight Directory Services, то есть средства удалённого администрирования сервера: средства доменных служб Active Directory и служб облегчённого доступа к каталогам.

Они предоставляют сервер LDAP (Lightweight Directory Access Protocol, облегчённый протокол доступа к каталогам). Он работает как служба Windows и предоставляет каталог для аутентификации пользователей в сети. Это лёгкая альтернатива полноценному серверу Active Directory, которая будет полезна только в определённых бизнес-сетях.

Что такое домен?

Домены обычно состоят из компьютеров в одной локальной сети. Однако компьютеры, присоединённые к домену, могут продолжать обмениваться данными со своим контроллером домена через VPN или подключение к Интернету. Это позволяет предприятиям и учебным заведениям удалённо управлять ноутбуками, которые они предоставляют своим сотрудникам и учащимся.

Когда компьютер присоединён к домену, он не использует свои собственные локальные учётные записи пользователей. Учётные записи пользователей и пароли устанавливаются на контроллере домена. Когда вы входите в систему в этом домене, компьютер аутентифицирует имя вашей учётной записи и пароль с помощью контроллера домена.

Сетевые администраторы могут изменять параметры групповой политики на контроллере домена. Каждый компьютер в домене получит эти настройки от контроллера домена, и они переопределят любые локальные настройки, указанные пользователями на своих компьютерах.

Введение

Безопасность системы управления базами данных начинается с надёжного механизма аутентификации её пользователей. Аутентификация — установление подлинности получающего доступ к автоматизированной системе лица путём сопоставления сообщённого им идентификатора и предъявленного подтверждающего фактора.

Современные СУБД поддерживают множество механизмов аутентификации пользователей, различающихся сложностью, ценой реализации и, как следствие, уровнем безопасности. Что выбрать, если СУБД обслуживает задачи крупного и среднего бизнеса? Рассмотрим этот вопрос в статье на примере отечественной СУБД Jatoba.

Настройка кластера сервера 1С:Предприятие

Настройка и управление кластером сервера «1С:Предприятие» происходит с компьютера с ОС Windows, так что для управления сервером нужно использовать традиционную оснастку mmc для Windows «Администрирование серверов 1С:Предприятие», которую следует установить из дистрибутива технологической платформы для Windows (ссылка).

Обязательно нужно настроить «Параметры рабочего сервера», как показано ниже:

Если этого не сделать, то после входа N-го количества пользователей в 1С, будут появляться сообщения об ошибке:

Свойства кластера ‘Критический объем памяти процессов’, ‘Режим распределения нагрузки’ или свойства рабочего сервера ‘Критический объем памяти процессов’, ‘Временно допустимый объем памяти процессов’, ‘Интервал превышения допустимого объема памяти процессов’, ‘Безопасный расход памяти за один вызов’, ‘Количество ИБ на процесс’ содержат значения, отличные от значений по умолчанию.

Использование этих функций возможно только для лицензий на платформу уровня КОРП.

Это связано с тем, что «..начиная с версий платформы «1С:Предприятие» 8.3.12.1852, 8.3.13.1791 и 8.3.14.1592, вводятся ограничения на техническом уровне, не позволяющие использовать функциональность КОРП». Подробнее можно посмотреть здесь.

Настройка Kerberos-аутентификации

Для решения поставленной задачи настроим Kerberos-аутентификацию сервера «1С:Предприятие».

 а) Настройка контроллера домена

В командной строке запустим утилиту ktpass, которая «свяжет» доменного пользователя с пользователем, от имени которого работает сервер «1С:Предприятие»:

2.4. Настройка доменной авторизации

Для настройки авторизации по протоколу Kerberos необходимо:

Active directory domain services

Когда люди говорят «Active Directory», они обычно имеют в виду «доменные службы Active Directory» (Active Directory Domain Services, AD DS). Важно отметить, что существуют другие роли/продукты Active Directory, такие как службы сертификации, службы федерации, службы облегчённого доступа к каталогам, службы управления правами и так далее.

Доменные службы Active Directory — это сервер каталогов Microsoft. Он предоставляет механизмы аутентификации и авторизации, а также структуру, в которой могут быть развёрнуты другие связанные службы (службы сертификации AD, федеративные службы AD и так далее).

Это совместимая с LDAP база данных, содержащая объекты. Наиболее часто используемые объекты — это пользователи, компьютеры и группы. Эти объекты могут быть организованы в организационные единицы (OU) по любому количеству логических или бизнес-потребностей.

Аутентифицируйся и властвуй

Сегодня мы остановимся на варианте аутентификации через GSSAPI с использованием сервера Active Directory (AD), так как этот механизм удобен для применения в инфраструктуре продуктов компании Microsoft, когда управление учётными записями централизовано в домене, а решения класса IDM не используются.

Важно понимать, что это — весьма надёжный способ аутентификации, однако при его выборе некоторым пользователям приходится испытывать ряд неудобств, связанных со сложностью синхронизации учётных записей. Расскажем, как эти проблемы решены в СУБД Jatoba. Общая схема аутентификации представлена на рисунке 1.

Рисунок 1. Общая схема аутентификации

Клиент БД, запрашивая через драйвер аутентификацию, предоставляет на сервер БД параметры учётной записи. Если в СУБД будет указана настройка «Password authentication», то сервер будет сравнивать хеш пароля с тем, что лежит в системных таблицах БД. При аутентификации с использованием внешних средств, в том числе LDAP, сервер БД будет перенаправлять запрос на аутентификацию на указанный внешний сервер.

Виды классификация типов факторов аутентификации согласно ncsc-tg-017

Какие же существуют факторы аутентификации?

>  На основе знания чего-либо (Authentication by Knowledge):

»  пароль или парольная фраза;

»  PIN.

>  На основе обладания чем-либо (Authentication by Ownership):

»  физический ключ;

»  карта с магнитной полосой;

»  OTP-токен, генерирующий одноразовый пароль.

>  На основе биометрии (Authentication by Characteristic):

»  отпечаток пальца;

»  рисунок сетчатки глаза;

»  голос.

В некоторых компаниях организуется строгий контроль доступа в помещение, то есть в определенные помещения доступ предоставляется только ограниченному числу лиц. Например, в серверную комнату может войти только администратор. Если при этом установить для всех компьютеров, находящихся в этих помещениях, строго определенные IP-адреса, то появляется возможность усиления безопасности при доступе сотрудников к ресурсам компьютерной сети.

В этом случае иногда говорят об использовании четвертого типа фактора аутентификации – на основе места проведения процедуры, однако это не считается дополнительным типом факторов аутентификации, так как он не может использоваться отдельно от других.

В последнее время наметились тенденции интеграции логических средств аутентификации и средств контроля и управления доступом (СКУД). Смарт-карты, используемые для аутентификации пользователя при попытке доступа к ресурсам компьютерной системы, интегрируются с RFID (радио-частотной идентификацией).

В этом случае появляется возможность дополнительно использовать их для аутентификации человека при его доступе в различные помещения. По-прежнему в этом случае речь будет идти об использовании аутентификации «на основе обладания чем-либо». Это расширяет возможности использования смарт-карты, позволяя пользователю работать только с одним идентифицирующим предметом как для входа в систему, так и для доступа в помещения компании.

Все ли методы аутентификации одинаково безопасны?

Методов аутентификации существует множество, СУБД Jatoba поддерживает следующие:

Похожее:  Авторизация на PHP MySQL

Выбор механизма аутентификации часто обусловлен внешними требованиями или желанием упростить и облегчить эксплуатацию базы данных (БД) в сложной ИТ-инфраструктуре. Это особенно актуально, когда серверов баз данных много.

Для чего нужна active directory

Если в вашем офисе используется Active Directory, все машины будут подключены к домену, что означает, что вся информация хранится в централизованном месте, а не локально на жёстких дисках отдельных компьютеров. Домен управляется глобальным каталогом, который отслеживает все устройства, зарегистрированные в сети.

В глобальном каталоге хранятся IP-адреса, имена компьютеров и пользователей, поэтому глобальный администратор может контролировать всё, что происходит в домене. Чтобы управлять компьютерами, администратору просто понадобится имя этого компьютера, потому что всё уже связано с серверной частью.

Когда вы используете Active Directory, все разрешения устанавливаются контроллером домена. Это означает, что сетевой администратор уже сообщил контроллеру домена, какие разрешения назначить каждому пользователю. Это делает всю цифровую коммуникацию более эффективной.

Доменная аутентификация

Клиент аутентифицируется на сервере Active Directory и получает мандат безопасности. В терминах Kerberos-протокола это — «ticket granting ticket» (TGT). Далее этот мандат используется и передаётся для аутентификации на сервер СУБД, выступающий в роли сервиса и обладающий своим мандатом для аутентификации клиентов.

После успешной проверки сервер БД в соответствии с настройками в конфигурационных файлах «pg_ident.conf» и «pg_hba.conf» соотносит пользователя домена с пользователем БД. Для этого запись пользователя БД со всеми привилегиями должна быть создана до начала аутентификации, но во многих популярных СУБД, например Jatoba / PostgreSQL, не предполагается штатное создание учётных записей в БД средствами самой базы данных, так как это не является задачей СУБД и относится к инфраструктурным решениям. Часто для этого используют отдельные средства-утилиты.

Как расширение и веб-интерфейс могут упростить работу

В СУБД Jatoba для синхронизации учётных записей с Active Directory созданы специальное расширение (extension) под названием «pg_ldaprolesync» и графический веб-интерфейс для удобства использования этого расширения. «pg_ldaprolesync» поставляется в комплекте с СУБД Jatoba и обеспечивает её взаимодействие с Active Directory во время синхронизации.

При использовании механизма «LDAP authentication» наличие пользователя в БД на момент начала аутентификации обеспечивается синхронизацией учётных данных при помощи «pg_ldaprolesync». Такой подход позволяет штатными средствами безопасно и контролируемо производить манипуляции с учётными записями внутри СУБД, так как «pg_ldaprolesynс» является проверенным внутренним компонентом самой системы и выпускается её производителем.

Расширение предоставляет определённый набор функций, позволяющих настраивать подключения ко внешним LDAP-серверам (включая Active Directory) и правила синхронизации пользователей в определённых группах каталога и СУБД, а также выполнять саму синхронизацию.

Собственно синхронизацию учётных записей администратор может выполнять тремя способами:

  • Использовать API расширения и самостоятельно писать соответствующие SQL-запросы для вызова функций по настройке и синхронизации.
  • Использовать дополнительное расширение запуска запросов по расписанию (входит в состав СУБД Jatoba). Фактически этот способ автоматизирует предыдущий: администратор разово вносит все необходимые настройки синхронизации, а потом настраивает вызов функции по расписанию. Этот же способ работы возможен и с использованием инструментария операционных систем; тогда за расписание синхронизации отвечает некоторая системная служба управления фоновыми заданиями, а запуск задачи состоит в выполнении соответствующего SQL-запроса (классический пример — cron).
  • Использовать веб-портал управления СУБД Jatoba Data Safe и в интерактивном режиме выполнять настройку и синхронизацию учётных записей. Фактически этот способ тоже повторяет первый, но уже с использованием наглядного пользовательского интерфейса, что позволяет исключать ошибки при написании соответствующих SQL-запросов по настройке и синхронизации и значительно экономить время администратора.

Более подробно опишем третий способ (с использованием портала управления СУБД Jatoba Data Safe): эти действия максимально наглядно покажут удобство инструмента. Для осуществления настройки и проведения синхронизации используется вкладка «LDAP Sync» в веб-портале управления СУБД Jatoba Data Safe.

В соответствующем разделе присутствуют основные информационные блоки, изображённые на рисунке 2:

  1. раздел «Список профилей»;
  2. раздел «Маппинг»;
  3. раздел «Журнал».

Рисунок 2. Общий вид интерфейса LDAP Sync на портале Jatoba Data Safe

Для синхронизации требуется задать параметры подключения к Active Directory по протоколу LDAP. Обязательными параметрами должны быть: название профиля, имя пользователя и пароль для подключения, IP-адрес сервера домена. Совокупность этих параметров и правил соотнесения учётных записей пользователей AD и БД называется «Профиль».

Задать название «Профиля» и указать нужные параметры подключения к Active Directory можно в разделе «Список профилей», используя кнопку добавления / редактирования.

Рисунок 3. Добавление «Профиля»

Важной функцией, позволяющей реализовывать гибкие правила соотнесения пользователей из групп домена и пользователей с ролью в БД, является «Маппинг». На портале Jatoba Data Safe в разделе «LDAP Sync» под этим понимают набор правил соотнесения ролей в БД и правил поиска учётных записей в AD.

Рисунок 4. Создание правил маппинга

Ошибки и результаты выполнения синхронизации можно увидеть в информационном блоке «Журнал».

Рисунок 5. «Журнал» синхронизации

Нередко конфигурирование аутентификации делают таким образом, что несколько учётных записей пользователей домена соответствуют одной учётной записи пользователя БД. Делать это не рекомендуется, потому что такой подход хоть и упрощает управление ролями и привилегиями, но вместе с тем ухудшает аудит и уменьшает количество успешных расследований инцидентов на уровне БД, т. к. сложно выяснить, кто же конкретно был аутентифицирован под определённой учётной записью в конкретный момент времени. Для обеспечения должного уровня безопасности рекомендуется выстраивать цепочки событий.

Контроллер домена

Сервер, который хостит AD DS — это Контроллер домена (Domain Controller (DC)).

Особенности аутентификации по паролю. риски парольной аутентификации и методы борьбы с ними

Ну что же, мы разобрались с основной терминологией и теперь поговорим о практике применения. Какой вид аутентификации используется чаще всего? Для пользователей наиболее широко используется аутентификация по секретной информации, которая неизвестна непосвященным людям.

Чем длиннее пароль или идентификационная фраза, тем он более устойчив к взлому (сложнее поддается подбору, перебору или другим типам атак). Хорошим вариантом считается идентификационная фраза длиной от 25 до 100 символов. К сожалению, длинные пароли обладают другими недостатками:

>  Их сложнее запомнить, а стало быть, пользователи их будут записывать, и есть высокая вероятность, что будут развешивать в виде стикера на мониторах и в других легкодоступных местах, что, несомненно, снижает безопасность. Кроме того, внедрение рекомендаций регулярной смены паролей приводит к тому, что запоминать что-то новое надо будет часто, что также приводит к усложнению работы пользователей, с которым не все готовы согласиться.

>  Их медленнее набирают – соответственно их проще подсмотреть.

>  Стремясь упростить для себя процесс запоминания, пользователи часто используют в качестве кодового слова осмысленные фразы (фамилии, имена, адреса, памятные даты и т.д.).

Парольная аутентификация является наиболее простым методом аутентификации с точки зрения сложности реализации (не требуется внедрять инфраструктуру удостоверяющих центров) и по умолчанию присутствует в большинстве операционных систем

Типовые атаки на пароль

Давайте рассмотрим некоторые типовые виды взлома пароля, которые используются чаще всего.

Методы перебора паролей. Атака со словарем

Злоумышленник, перебирая пароли, производит в специальном файле поиск, используя слова из большого заранее подготовленного им словаря, а также зашифровывает каждое пробное значение с помощью того же алгоритма, что и программа регистрации.

Борьба с этим видом взлома не является слишком сложной, в этом случае следует использовать сложные длинные пароли, которые содержат различные типы символов вместо осмысленных фраз. Кроме этого, можно заблокировать учетную запись при неоднократном неправильном вводе пароля. И наконец, используя аудит, выявить источник атаки.

Похожее:  Двухфакторная аутентификация на сайте с использованием USB-токена. Теперь и для Linux — MAILSGUN.RU

Социотехника, угадывание, подглядывание

Злоумышленник представляется администратором и вынуждает пользователя или открыть свой пароль, или сменить его на указанный взломщиком. Я думаю, многие из вас получали такие письма по электронной почте.

Здесь метод борьбы также понятен, пользователи должны быть проинформированы о недопущении разглашения своих учетных данных кому бы то ни было. В организации должны быть разработаны административные процедуры, запрещающие разглашение паролей другим лицам при любых обстоятельствах. Следует также извещать пользователей о том, что администратор никогда не обратится к ним с таким требованием.

Более изощренный вариант такой атаки нацелен на администраторов, а не на пользователей. Злоумышленник представляется законным пользователем и просит администратора заменить пароль. Также он может представиться одним из руководителей и попросить заменить пароль, расширить полномочия и т.п.

Решение этой проблемы тоже лежит в организационной плоскости. Должна действовать корпоративная политика, согласно которой администратор меняет пароль пользователя только при условии, что он может установить его личность и передать новый вариант пользователю безопасным способом. Средства самостоятельного управления паролями могут удовлетворять обоим критериям.

Есть и другие варианты атак, например, попробовать навести справки в отделе кадров, посмотреть на столе, покопаться в мусоре. И собрав информацию о личности жертвы, попробовать угадать пароль. Иногда девичьей фамилии жены вполне достаточно для доступа к почте, размещенной на бесплатном почтовом сервере.

А дальше, проанализировав переписку пользователя, взломщик может получить достаточно информации и для получения доступа к внутрикорпоративным данным. То есть злоумышленник, исходя из знаний личных данных жертвы, пытается войти в систему с помощью имени пользователя и одного или нескольких паролей, которые могли бы быть использованы.

Этот способ атаки, как ни удивительно, часто оказывается эффективным и против административных учетных записей. Пароли P@ssw0rd, QWERTY123 и т.д. по-прежнему еще можно встретить у пользователей, чьей задачей как раз и является недопущение подобного в информационных системах.

Для защиты от такой атаки следует использовать идентификационные фразы, не содержащие очевидных ассоциаций, например, RQ12#lm25 гораздо лучше, чем Margo200576. Ну и опять нам на помощь приходит блокировка учетной записи при неоднократном неверном вводе пароля.

Что касается подглядывания при вводе пароля, то здесь нам отчасти могут помочь административные процедуры, запрещающие вводить свои учетные данные в присутствии других лиц, и регулярная смена пароля пользователем, требования обязательной блокировки рабочей станции и т.п.

«Троянский конь»

Злоумышленник скрытно устанавливает ПО, имитирующее обычную регистрационную программу и собирающее имена пользователей и пароли при попытках пользователей войти в систему. Впрочем, такое программное обеспечение может быть установлено не только злоумышленником.

На компьютере подобные программы могут появиться и в результате заражения вирусами, или могут быть установлены самим пользователем, когда он пытается использовать какой-либо продукт нелегально, скачивая генератор серийных номеров и т.д., что в своем коде может содержать нежелательную функциональность.

Для защиты от этого вида атак следует использовать антивирусное программное обеспечение, программное обеспечение по оценке целостности файлов, ограничение на запуск несанкционированных приложений.

Принуждение

В этом случае чтобы заставить пользователя открыть свой пароль, злоумышленник использует угрозы или физическое воздействие. В некоторых системах предусматривается возможность для пользователя подать сигнал о том, что вход осуществляется под принуждением.

Мы рассмотрели основные виды уязвимостей парольной аутентификации и теперь посмотрим некоторые средства защиты, которые доступны посредством политик.

Человеческий фактор – самая большая угроза

Существуют еще угрозы, справиться с которыми нам не удалось. Одна из наиболее существенных – человеческий фактор. Пользователи наших информационных систем не всегда достаточно сознательны и, несмотря на разъяснения администраторов безопасности, записывают свои учетные данные (имя пользователя и пароль) и не заботятся о секретности этой конфиденциальной информации. Мне не раз доводилось обнаруживать стикеры на мониторе или под клавиатурой с именем пользователя и паролем.

Как мы можем видеть, в системе внедрены длинные и сложные пароли, и ассоциативный ряд явно не просматривается. Тем не менее пользователи нашли «эффективный» способ запоминания и хранения учетных данных… Вы видите, что в этом случае как раз и сработала особенность, о которой я говорил выше: длинные и сложные пароли записываются и могут храниться ненадлежащим образом.

Инсайдинг

Еще одна существенная угроза безопасности заключается в потенциальной возможности физического доступа злоумышленника к рабочей станции легального пользователя и передача конфиденциальной информации третьим лицам. Речь идет о ситуации, когда внутри компании существует сотрудник, похищающий информацию у своих коллег.

Вполне очевидно, что «физическую» безопасность рабочей станции пользователя обеспечить очень трудно. В разрыв клавиатуры можно без труда подключить аппаратный клавиатурный шпион (keylogger), перехват сигнала от беспроводных клавиатур тоже возможен.

Такие устройства существуют. Разумеется, кто попало не пройдет в офис компании, однако всем известно, что самым опасным является внутренний шпион. У него уже есть физический доступ к вашей системе, и разместить клавиатурный шпион не составит труда, тем более эти устройства доступны широкому кругу лиц.

Всегда ли пользователь блокирует свою рабочую станцию, покидая свое рабочее место? Удается ли администратору информационной системы добиться, чтобы пользователю не назначались избыточные полномочия, особенно при необходимости использования старых программных продуктов?

Таким образом, можно сделать вывод о ненадежности парольной аутентификации в принципе. Следовательно, требуется аутентификация многофакторная, при этом такого вида, чтобы пароль пользователя не набирался на клавиатуре.

Что нам может помочь?

Имеет смысл рассмотреть двухфакторную аутентификацию: 1-й фактор – обладание паролем, 2-й – знание PIN-кода. Доменный пароль больше не набирается на клавиатуре, значит, не перехватывается клавиатурным шпионом. Перехват доменного пароля чреват возможностью входа, перехват PIN-кода не так опасен, так как дополнительно требуется смарт-карта.

На это можно возразить, что пользователь вполне может оставить свою карту в считывателе, а PIN-код написать на стикере, как и раньше. Однако существуют системы контроля, которые могут заблокировать оставленную карту так, как это реализовано в банкоматах.

Дополнительно существует возможность разместить на карте пропуск для входа/выхода из офиса, то есть мы можем использовать карточку с RFID-меткой, объединив тем самым систему аутентификации в службе каталога с системой разграничения физического доступа.

Кроме того, современные решения для двухфакторной аутентификации предполагают не только возможность аутентификации в AD или AD DS. Использование смарт-карт и USB-ключей помогает и во многих других случаях, например, при доступе к публичной электронной почте, в интернет-магазины, где требуется регистрация, к приложениям, имеющим свою собственную службу каталога и т.д.

Таким образом можно получить практически универсальное средство аутентификации.

Внедрение двухфакторной аутентификации на основе асимметричной криптографии в AD DS

Служба каталога Active Directory поддерживает возможность аутентификации с помощью смарт-карт, начиная с Windows 2000.

По сути своей возможность аутентификации с помощью смарт-карт заложена в расширении PKINIT (public key initialization – инициализация открытого ключа) для протокола Kerberos RFC 4556 [1]. Расширение PKINIT позволяет использовать сертификаты открытого ключа на этапе предаутентификации Kerberos.

Благодаря чему и появляется возможность использования смарт-карт. То есть мы можем говорить о возможности двухфакторной аутентификации в системах Microsoft на основе штатных средств, начиная с ОС Windows 2000, так как уже реализована схема Kerberos PKINIT.

Примечание: предаутентификация Kerberos – процесс, обеспечивающий дополнительный уровень безопасности. Выполняется до выдачи TGT (Ticket Granting Ticket) от сервера распространения ключей (KDC). Используется в протоколе Kerberos v. 5 для противодействия офлайн-атакам на угадывание пароля. Подробнее о принципах работы протокола Kerberos можно узнать в RFC 4120 [2].

Похожее:  MY.GAMES Store: возможные проблемы - LOST ARK — официальный сайт Action-MMORPG

Разумеется, речь идет о компьютерах в составе домена. Если же есть необходимость прибегнуть к двухфакторной аутентификации при работе в рабочей группе или при использовании более ранних версий операционных систем, то нам придется обратиться к программному обеспечению третьих фирм. Например, к SafeNet (Aladdin) eToken Network Logon 5.1 [3].

Вход в систему может быть обеспечен как при использовании службы каталога домена, так и локальной службы каталога. При этом пароль пользователя не набирается на клавиатуре, а передается из защищенного хранилища на смарт-карте.

Аутентификация с помощью смарт-карт реализуется посредством расширения Kerberos PKINIT, это расширение обеспечивает возможность использования асимметричных криптографических алгоритмов.

Что касается требований для внедрения использования смарт-карт в связке с PKINIT, то для операционных систем семейства Windows они следующие:

>  все контроллеры доменов и все клиентские компьютеры в рамках леса, где осуществляется внедрение нашего решения, обязательно должны доверять корневому удостоверяющему центру (Центру Сертификации, ЦС);

>  удостоверяющий центр, выдающий сертификаты для использования смарт-карт, должен быть помещен в хранилище NT Authority;

>  сертификат должен содержать идентификаторы Smart Card Logon и Client Authentication;

>  сертификат для смарт-карт должен содержать UPN пользователя;

>  сертификат и частный ключ должны быть помещены в соответствующие разделы смарт-карты, при этом частный ключ должен находиться в защищенной области памяти смарт-карты;

>  в сертификате должен быть указан путь к списку отзыва сертификатов CRL distribution point;

>  все контроллеры доменов должны иметь установленный сертификат Domain Controller Authentication, или Kerberos Authentication, так как реализуется процесс взаимной аутентификации клиента и сервера.

Целый ряд изменений в требованиях произошел в операционных системах, начиная с Windows Vista:

>  больше не требуется CRL extension в сертификатах smart card logon;

>  теперь поддерживается возможность установки взаимосвязи между учетной записью пользователя и сертификатом;

>  запись сертификата возможна в любой доступный раздел смарт-карты;

>  расширение EKU не обязано включать Smart Card Logon OID, при этом справедливости ради надо отметить, что если вы планируете использовать единственный шаблон сертификата для клиентов всех операционных систем, то, разумеется, Smart Card Logon OID должен быть включен.

Несколько слов о самой процедуре входа клиента. Если говорить об операционных системах от Windows Vista и выше, то следует отметить, что и тут произошел ряд изменений:

>  во-первых, процедура входа в систему по смарт-карте больше не инициируется автоматически, когда вы вставили смарт-карту в картридер или подключили ваш USB-ключ к USB-порту, то есть вам придется нажать ;

>  во-вторых, появившаяся возможность использования любого слота смарт-карты для хранения сертификатов предоставляет пользователю выбор из множества идентификационных объектов, хранящихся на карте, при этом необходимый в данный момент сертификат отображается как доступный к использованию.

Итак, мы разобрали несколько основных аспектов, касающихся теоретической части двухфакторной аутентификации в Active Directory Domain Services, и можно подвести итоги.

Обеспечение безопасности процесса аутентификации в системе критически важно. Существующие виды взломов паролей формируют потребность в мультифакторной аутентификации.

Для небольшой компании можно просто ограничиться строгой политикой защиты учетных данных, внедрением антивирусного программного обеспечения, лишить пользователей возможности работы с внешними носителями информации, блокировать запуск несанкционированного программного обеспечения, внедрить регламенты работы пользователей.

Когда речь идет о крупной компании или о компании, в которой заинтересованы злоумышленники, этих средств недостаточно. Ошибки и инсайдинг могут свести на нет усилия по построению системы защиты, поэтому надо выбрать другой путь. Здесь уже имеет смысл говорить о внедрении безопасной аутентификации.

Использование двухфакторной аутентификации – хорошее решение с точки зрения безопасности. У нас появляется второй фактор аутентификации, помимо PIN-кода, пользователю надо обладать еще и смарт-картой или USB-ключом. Использование смарт-карт или USB-ключей дает нам возможность обеспечить двухфакторную аутентификацию как в среде AD, так и в AD DS.

В одной из следующих статей я расскажу, как осуществляется внедрение двухфакторной аутентификации на практике. Мы рассмотрим развертывание и настройку инфраструктуры удостоверяющих центров (PKI) на основе Windows Server 2008 Enterprise R2.

Автор выражает искреннюю признательность директору по продуктам компании Aladdin Антону Крячкову за советы и консультации.

Чем рабочие группы отличаются от доменов

Рабочая группа — это термин Microsoft для компьютеров Windows, подключённых через одноранговую сеть. Рабочие группы — это ещё одна организационная единица для компьютеров Windows в сети. Рабочие группы позволяют этим машинам обмениваться файлами, доступом в Интернет, принтерами и другими ресурсами по сети. Одноранговая сеть устраняет необходимость в сервере для аутентификации.

Каждый компьютер Windows, не присоединённый к домену, является частью рабочей группы. Рабочая группа — это группа компьютеров в одной локальной сети. В отличие от домена, ни один компьютер в рабочей группе не контролирует другие компьютеры — все они объединены на равных. Для рабочей группы пароль также не требуется.

Рабочие группы использовались для общего доступа к домашним файлам и принтерам в предыдущих версиях Windows. Теперь вы можете использовать домашнюю группу чтобы легко обмениваться файлами и принтерами между домашними ПК. Рабочие группы теперь переведены в фоновый режим, поэтому вам не нужно о них беспокоиться — просто оставьте имя рабочей группы по умолчанию WORKGROUP и настройте общий доступ к файлам домашней группы.

Есть несколько различий между доменами и рабочими группами:

Является ли мой компьютер частью домена?

Если у вас есть домашний компьютер, он почти наверняка не является частью домена. Вы можете настроить контроллер домена дома, но нет причин для этого, если вам действительно это не нужно для чего-то. Если вы используете компьютер на работе или в школе, скорее всего, ваш компьютер является частью домена. Если у вас есть портативный компьютер, предоставленный вам на работе или в школе, он также может быть частью домена.


Вы можете быстро проверить, является ли ваш компьютер частью домена. Откройте приложение «Параметры» (Win x).

Нажмите «Система».

Перейдите на вкладку «О программе» и найдите пункт «Переименовать этот ПК (для опытных пользователей)»:


Если вы видите «Домен»: за которым следует имя домена, ваш компьютер присоединён к домену.

Если вы видите «Рабочая группа»: за которым следует имя рабочей группы, ваш компьютер присоединён к рабочей группе, а не к домену.

В англоязычной версии это соответственно «Settings» → «System» → «About» → «Rename this PC (advanced)».

Используя командную строку (PowerShell) вы также можете узнать, прикреплён ли компьютер к домену или входит в рабочую группу.


Для этого выполните команду (можно за один раз всё скопировать-вставить в окно терминала):

$ComputerSystem = Get-CimInstance -Class Win32_ComputerSystem;
$ComputerName = $ComputerSystem.DNSHostName
if ($ComputerName -eq $null) {
    $ComputerName = $ComputerSystem.Name
}

$fqdn = ([System.Net.Dns]::GetHostByName($ComputerName)).HostName

$ComputerSystem | Microsoft.PowerShell.UtilitySelect-Object `
@{ Name = "ComputerName"; Expression = { $ComputerName }},
@{ Name = "Domain"; Expression = { if ($_.PartOfDomain) { $_.Domain } else { $null } }},
@{ Name = "DomainJoined"; Expression = { $_.PartOfDomain }},
@{ Name = "FullComputerName"; Expression = { $fqdn }},
@{ Name = "Workgroup"; Expression = { if ($_.PartOfDomain) { $null } else { $_.Workgroup } }}

Подробности смотрите в статье: Как в PowerShell узнать, прикреплён ли компьютер к домену или к рабочей группе

Связанные статьи:

Выводы

Вы можете выбирать любой из способов аутентификации для вашей базы данных, однако специалисты «Газинформсервиса» рекомендуют учитывать, что надёжный способ аутентификации уменьшает вероятность ошибок интеграции и снижает риск несанкционированного доступа к данным, а следовательно, повышает уровень вашей информационной безопасности.

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (1 оценок, среднее: 5,00 из 5)
Загрузка...

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector