Pomocou systému Windows vytvoríme bezpečnostný kľúč USB. Hardvérová viacfaktorová autentifikácia

U2F - otvorený protokol, ktorý umožňuje univerzálnu 2-faktorovú autentifikáciu, je podporovaný Prehliadač Chrome 38 a novšie verzie. U2F vyvinula FIDO Alliance - aliancia Microsoft, Google, Lenovo, MasterCard, Visa, PayPal atď. Protokol funguje bez dodatočná inštalácia vodiči v operačné systémy ah Windows/Linux/MacOS. služby Wordpress, Google, LastPass podporujú protokol. Zvážte všetky výhody a nevýhody práce s .


S rastúcou popularitou dvojfaktorovej autentifikácie, ktorá sa vykonáva zavolaním alebo odoslaním SMS správy, existuje legitímna otázka- ako je to pohodlné a má tento spôsob autentifikácie úskalia?

Ako dodatočná overovacia metóda je samozrejme veľmi pohodlná autentifikácia volaním alebo odoslaním správy. Táto metóda sa navyše v mnohých prípadoch ukázala ako účinná – hodí sa teda rovnako dobre ako ochranné opatrenie proti phishingu, automatickým útokom, hádaniu hesiel, vírusovým útokom atď. Za pohodlnosťou sa však skrýva nebezpečenstvo – ak sa podvodníci pustia do veci, prepojenie na telefónne číslo môže hrať proti vám. Účet je najčastejšie prepojený so zadaným kontaktným číslom používateľa, ktorého prvú alebo poslednú číslicu môže rozpoznať ktokoľvek, ak sa pokúsi obnoviť prístup k účtu. Týmto spôsobom môžu podvodníci zistiť váš telefónne číslo a potom zistiť, komu sa vydáva. Po získaní informácií o majiteľovi ostávajú podvodníkom v salóne operátora falošné doklady celulárna komunikácia požiadať o opätovné vydanie SIM karty. Každý zamestnanec pobočky má oprávnenie znovu vydať karty, čo umožňuje podvodníkom, ktorí dostali SIM kartu s požadovaným číslom, zadať váš účet a vykonávať s ním akékoľvek manipulácie.


Niektoré spoločnosti, napríklad veľké banky, si ukladajú nielen telefónne číslo majiteľa, ale aj jedinečný identifikátor SIM karty IMSI, ak sa zmení, viazanie telefónneho čísla sa ruší a treba to urobiť znova osobne do klient banky. Tieto služby však nie sú dostatočne rozšírené. Ak chcete zistiť IMSI pre akékoľvek telefónne číslo, môžete odoslať špeciálnu požiadavku HLR na stránku smsc.ru/testhlr.


Moderné s podporou dvojstupňovej autentifikácie v prehliadači, ktorá zaručuje dodatočné zabezpečenie vášho účtu, si môžete zakúpiť v našom internetovom obchode.

Problémy s heslom vo veľkých kanceláriách.
Počítače prenikli a stále prenikajú do mnohých odvetví. Mnoho tovární a veľkých spoločností zavádza počítačové vybavenie a vytvára informačnú infraštruktúru. Veľa peňazí sa vynakladá na školenia zamestnancov a na proces prechodu z papierovej správy na elektronickú správu dokumentov. Kontrola prístupu k informačné zdroje sa stáva ťažkou úlohou.
Často sa stáva, že zamestnanci si heslá zapisujú na papieriky, ktoré ležia na stolných počítačoch alebo sú prilepené na monitoroch.

To zvyšuje pravdepodobnosť krádeže dôverných informácií, prípadne vytvára podmienky na narušenie prístupu k dôležitým údajom.
Ľudia sa venujú svojej práci a nikto si nechce lámať hlavu všelijakými hlúposťami typu „heslo do Windowsu“. V tomto prípade sa únik a slabosť hesiel stáva vážnym problémom pre správcov siete a osoby zodpovedné za bezpečnosť informácií.


Firmy sa snažia tento problém riešiť pomocou elektronických kľúčov – USB kľúčeniek, čipových kariet a iných hardvérových autentifikátorov. Za určitých podmienok je toto riešenie opodstatnené. menovite:
  • Keď proces prechodu z bežnej metódy autentifikácie (pomocou hesiel) na dvojfaktorovú metódu (s cez USB kľúče) je jasne naplánovaná;
  • Spoločnosť má kvalifikovaných pracovníkov na údržbu takéhoto systému,
  • Výrobca takýchto riešení poskytuje komplexnú podporu.

    Autentifikácia s usb flash riadiť.
    Problémy s heslami a bezpečnosťou, aj keď v menšej miere, sú pre bežných používateľov stále aktuálne. Na prihlásenie do systému Windows použite kľúč USB alebo čipovú kartu domáci počítač je viac osobnou preferenciou ako nevyhnutnosťou.

    Autentifikácia pomocou USB kľúčenky alebo čipovej karty je najvhodnejšia pre malé a stredné kancelárie, ako aj pre súkromné ​​podniky, na počítačoch vedúcich pracovníkov. Mať takýto kľúč k počítaču výrazne zjednodušuje autentifikáciu (prístup používateľa do systému Windows), hoci ochrana heslom je prítomná.


    Na overenie v Windows je lepší celkové využitie bežné USB disk (flash disk).
    Pomocou programu môžete vidieť, aké pohodlné je použitie USB disk ako prihlasovací kľúč systému Windows alebo na prístup k .

    S USB flash diskom?

    • „Do roku 2008 sa počet používaných USB kľúčov priblíži počtu iných spôsobov autentifikácie“
    IDC 2004

    Úvod

    V dnešnej dobe, vzhľadom na rozšírené používanie počítačov, je stále viac potrebné myslieť na bezpečnosť spracovávaných informácií. Prvým krokom v zabezpečení je overenie legitímneho používateľa.
    Najbežnejším spôsobom autentifikácie je heslo. Okrem toho viac ako 60% používateľov, ako ukazuje prax, najčastejšie používa rovnaké heslá pre rôzne systémy. Netreba dodávať, že to výrazne znižuje úroveň bezpečnosti. Čo robiť?
    Podľa môjho názoru by jedným z riešení problému bolo použitie hardvérových autentifikačných kľúčov. Pozrime sa podrobnejšie na ich aplikáciu na príklade USB kľúčov od Aladdina.

    Čo je eToken?

    eToken (obr. 1) je osobné zariadenie na autentifikáciu a ukladanie dát, hardvérovo podporované na prácu s digitálnymi certifikátmi a elektronickým digitálnym podpisom (EDS). eToken sa vydáva vo forme:

    • eToken PRO je USB kľúč, ktorý umožňuje dvojfaktorovú autentifikáciu. Dostupné vo verziách 32K a 64K.
    • eToken NG-OTP je hybrid USB kľúča a zariadenia, ktoré generuje jednorazové heslá (One Time Password, OTP). Dostupné vo verziách 32K a 64K.
    • Smart karta eToken PRO je zariadenie, ktoré plní rovnaké funkcie ako USB kľúč, no vo forme bežnej kreditnej karty. Dostupné vo verziách 32K a 64K.

    V budúcnosti si povieme konkrétne o USB kľúčoch, ktoré sa pripájajú priamo do USB portu počítača a na rozdiel od smart karty nevyžadujú špeciálnu čítačku.
    eToken má zabezpečenú energeticky nezávislú pamäť a používa sa na ukladanie hesiel, certifikátov a iných tajných údajov.

    Obrázok 1 eToken Pro 64k

    zariadenie eToken

    Komponenty technológie eToken PRO:

    • Čip čipovej karty Infineon SLE66CX322P alebo SLE66CX642P (EEPROM s kapacitou 32, resp. 64 KB);
    • OS Smart karty Siemens CardOS V4.2;
    • Hardvérovo implementované algoritmy: RSA 1024bit, DES, Triple-DES 168bit, SHA-1, MAC, Retail-MAC, HMAC-SHA1;
    • Hardvérový generátor náhodných čísel;
    • ovládač rozhrania USB;
    • Zdroj energie;
    • Kryt vyrobený z tvrdého plastu, ktorý nie je prístupný nezistiteľnému otvoreniu.

    V zariadení eToken NG-OTP sú navyše zahrnuté nasledujúce komponenty:

    • Generátor jednorazových hesiel;
    • Tlačidlo pre ich generáciu;
    • Displej LCD;

    Podpora rozhrania:

    • Microsoft Crypto API
    • PKCS#11.

    PIN kód

    Ak chcete získať prístup k údajom uloženým v pamäti eTokenu, musíte zadať PIN (Personal Identification Number). V PIN kóde sa neodporúča používať medzery a ruské písmená. Kód PIN však musí spĺňať kritériá kvality špecifikované v súbore %systemroot%\system32\etcpass.ini.
    Úprava tohto súboru obsahujúceho kritériá kvality PIN kódu sa vykonáva pomocou pomôcky eToken Properties.

    Prístupové práva k eTokenu

    V závislosti od modelu eTokenu a možností vybratých počas formátovania existujú štyri typy prístupových práv k eTokenu:

    • hosť– schopnosť prezerať objekty v otvorenej oblasti pamäte; schopnosť získať všeobecné informácie týkajúce sa eTokenu z oblasti systémovej pamäte, vrátane názvu eTokenu, identifikátorov a niektorých ďalších parametrov. Pri prístupe pre hostí nie je potrebné poznať PIN;
    • zvykom– právo prezerať, upravovať a mazať objekty v uzavretých, otvorených a voľných pamäťových oblastiach; možnosť získať všeobecné informácie týkajúce sa eTokenu; právo na zmenu PIN kódu a premenovanie eTokenu; právo konfigurovať nastavenia pre ukladanie obsahu súkromnej pamäte do vyrovnávacej pamäte a dodatočnú ochranu súkromných kľúčov heslom (v prípade absencie hesla správcu alebo s povolením správcu), právo prezerať a mazať certifikáty v eTokene skladové a RSA kľúčové kontajnery;
    • administratívne– právo zmeniť PIN používateľa bez jeho znalosti; právo zmeniť heslo správcu; právo konfigurovať nastavenia pre ukladanie obsahu súkromnej pamäte do vyrovnávacej pamäte a dodatočnú ochranu súkromných kľúčov heslom, ako aj možnosť sprístupniť tieto nastavenia v užívateľskom režime;
    • inicializácia– právo na formátovanie eTokenu PRO.

    Len prvé dva typy práv sa vzťahujú na eToken R2, všetky štyri na eToken PRO a eToken NG-OTP.
    Administrátorský prístup k eToken PRO je možné vykonať až po zadaní správneho administrátorského hesla. Ak počas procesu formátovania nie je nastavené heslo správcu, nemôžete sa prihlásiť s právami správcu.

    Softvér pre eToken

    Všeobecné informácie

    eToken Run Time Environment 3.65
    eToken Run Time Environment (eToken RTE) je sada ovládačov eTokenu. Tento softvérový balík obsahuje pomôcku eToken Properties.
    Pomocou tohto nástroja môžete:

    • konfigurovať parametre eTokenu a jeho ovládačov;
    • zobraziť všeobecné informácie o eTokene;
    • importovať, prezerať a mazať certifikáty (okrem certifikátov z obchodu eTokenEx) a kontajnery kľúčov RSA;
    • formát eToken PRO a eToken NG-OTP;
    • konfigurovať kritériá kvality kódu PIN.

    Na inštaláciu tohto softvéru sú potrebné práva miestneho správcu. Malo by sa pamätať na to, že pred inštaláciou eTokenu RTE nemôžete pripojiť kľúč eToken.
    Softvér musí byť nainštalovaný v nasledujúcom poradí:

    • eToken RTE 3,65;
    • eToken RTE 3.65 RUI (rusifikácia rozhrania);
    • eToken RTX.

    Inštalácia a odstránenie na lokálnom počítači eToken RTE 3.65

    Inštalácia


    Obrázok 2 eToken Run Time Environment 3.65 Setup

    V okne (obr. 3) si treba prečítať licenčnú zmluvu a súhlasiť s ňou.


    Obrázok 3 Licenčná zmluva s koncovým používateľom

    Ak nesúhlasíte s podmienkami licenčnej zmluvy, kliknite na tlačidlo „Zrušiť“ a tým prerušte proces inštalácie.
    Ak súhlasíte s licenčnou zmluvou, vyberte možnosť „Súhlasím s licenčnou zmluvou“ a kliknite na tlačidlo „Ďalej“. Na obrazovke uvidíte nasledujúce okno (obr. 4):


    Obrázok 4 Pripravené na inštaláciu aplikácie

    Inštalácia bude nejaký čas trvať.
    Na konci procesu inštalácie (obr. 5) kliknite na tlačidlo „Dokončiť“.


    Obrázok 5 eToken Run Time Environment 3.65 bol úspešne nainštalovaný
    Na konci inštalácie možno budete musieť reštartovať počítač.

    eToken RTE 3,65 RUI

    Inštalácia
    Ak chcete nainštalovať eToken RTE 3.65 RUI, musíte spustiť inštalačný program.


    Obrázok 6 Inštalácia eTokenu 3.65 RUI
    V zobrazenom okne (obr. 6) kliknite na tlačidlo „Ďalej“.


    Obrázok 7 Dokončenie inštalácie ruského používateľského rozhrania

    Pomocou príkazového riadku

    Na inštaláciu a odinštalovanie eToken RTE 3.65, eToken RTE 3.65 RUI a eToken RTX môžete použiť príkazový riadok.
    Príklady príkazov:

    • msiexec /qn /i
    • msiexec /qb /i
    • /q– inštalácia eTokenu RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) v automatickom režime bez dialógových okien s predvolenými parametrami;
    • /qb– inštalácia eTokenu RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) v automatickom režime s predvolenými parametrami a zobrazením procesu inštalácie na obrazovke;
    • msiexec /qn /x– odstránenie eTokenu RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) v automatickom režime bez dialógových okien;
    • msiexec /qb /x– odstránenie eTokenu RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) v automatickom režime so zobrazením procesu odstránenia na obrazovke.

    Prvé pripojenie USB kľúča eToken k počítaču

    Ak máte v počítači nainštalovaný eToken RTE 3.65, pripojte eToken do USB portu alebo predlžovacieho kábla. Potom sa začne proces spracovania nového zariadenia, čo môže chvíľu trvať. Po dokončení procesu spracovania nového zariadenia sa na eTokene rozsvieti kontrolka.

    Nástroj Vlastnosti eTokenu


    Obrázok 8 Okno programu „Vlastnosti eTokenu“

    Nástroj „eToken Properties“ vám umožňuje vykonávať základné operácie správy tokenov, ako je zmena hesiel, prezeranie informácií a certifikátov umiestnených v pamäti eTokenu. Okrem toho pomocou pomôcky Vlastnosti eTokenu môžete rýchlo a jednoducho prenášať certifikáty medzi počítačom a eTokenom, ako aj importovať kľúče do pamäte eTokenu.
    Tlačidlo „Odblokovať“ je potrebné, ak používateľ zabudol svoj PIN kód a nemôže sa dostaviť k správcovi eTokenu (používateľ je napríklad na služobnej ceste). Kontaktovaním administrátora e-mailom bude môcť užívateľ od administrátora obdržať hexadecimálnu požiadavku na tento eToken, vygenerovanú na základe údajov uložených v databáze TMS, zadaním ktorej do poľa „odpoveď“ používateľ bude mať prístup k zmene PIN kódu.


    Obrázok 9 Karta Počítač

    Zmena PIN kódu sa vykonáva podľa obr. desať:


    Obrázok 10 Zmena PIN
    Pri zmene PIN kódu je potrebné, aby nový PIN kód spĺňal kvalitatívne požiadavky zadaného hesla. Kvalita hesla sa kontroluje podľa zadaných kritérií.
    Ak chcete skontrolovať, či heslo zodpovedá zvoleným kritériám, zadajte heslo do riadku. Pod týmto riadkom sa zobrazuje informácia o dôvodoch, prečo zadané heslo nespĺňa zvolené kritériá v percentách a kvalita zadaného hesla je podmienene zobrazená graficky a v percentách podľa zvolených kritérií.

    Zoznam kritérií

    V tabuľke sú uvedené kritériá kvality PIN a ich konfigurovateľné hodnoty. Ako hodnotu kritéria možno použiť zápornú hodnotu vyjadrenú v percentách. Táto hodnota sa nazýva pokuta.

    Kritérium

    Popis

    Možné hodnoty

    Predvolená hodnota

    PIN obsahuje postupnosť znakov v abecednom poradí

    dĺžka sekvencie znakov pre kritérium ABCOrder

    nové heslo sa rovná aktuálnemu

    heslo zo slovníka

    nové heslo sa rovná jednému z predchádzajúcich

    DefaultPassChange

    zmeniť predvolené heslo

    Žiadne (nie je potrebná zmena hesla);
    Varovanie (zobrazí sa varovné hlásenie);
    Vynútiť (predvolené heslo nie je k dispozícii)

    súbor so slovníkom

    absolútna cesta k súboru slovníka

    nie je nastavené

    heslo iba čísla

    má dva rovnaké znaky

    doba platnosti pred zobrazením upozornenia na zmenu (v dňoch)

    maximálna platnosť v dňoch

    0
    (nie je nainštalované)

    Blízkosť klávesnice

    s viacerými znakmi v rovnakom poradí ako na klávesnici

    KeyboardProximityBase

    dĺžka sekvencie znakov pre kritérium KeyboardProximity

    heslo je ako heslo zo slovníka

    minimálna doba platnosti v dňoch

    0
    (nie je nainštalované)

    minimálna dĺžka v znakoch

    minimálny odpor v percentách

    nedostatok čísel

    nedostatok malých písmen

    používanie písmen ruskej abecedy, netlačiteľné a niektoré služobné znaky

    nedostatok interpunkcie a špeciálnych znakov

    nedostatok veľkých písmen

    Telefóny a sériové čísla

    používanie telefónnych čísel v hesle, sériové čísla, atď.

    prítomnosť opakujúcich sa znakov

    počet predtým použitých hesiel uložených v pamäti eTokenu na overenie podľa kritéria CheckOld-Passes

    dĺžka hesla je menšia ako WarningLength

    ak je dĺžka hesla menšia ako WarningLength, pri kontrole kvality hesla sa zobrazí varovanie

    heslo obsahuje medzery

    Slovník

    Ak chcete nastaviť zoznam neplatných alebo nechcených hesiel, vytvorte textový súbor. Alebo môžete použiť takzvané frekvenčné slovníky, ktoré slúžia na hádanie hesiel. Súbory takýchto slovníkov možno nájsť na webovej stránke www.passwords.ru.
    Príklad takéhoto slovníka:
    Anna
    annette
    účet
    heslo
    William
    Priraďte kritériu "Slovník" cestu k vytvorenému súboru. V tomto prípade sa cesta k súboru slovníka na každom počítači musí zhodovať s hodnotou kritéria „Slovník“.

    Prihláste sa do systému Windows pomocou eTokenu

    Všeobecné informácie

    eToken SecurLogon kombinuje efektívne zabezpečenie siete s pohodlím a mobilitou. Overenie systému Windows používa používateľské meno a heslo uložené v pamäti eTokenu. To umožňuje použiť silnú autentifikáciu založenú na tokenoch.
    Zároveň dodávam, že vo veľkých spoločnostiach využívajúcich doménovú štruktúru je potrebné myslieť na implementáciu PKI a centralizované používanie SmartCardLogon.
    Pri používaní eToken SecurLogon sa môžu použiť neznáme náhodné zložité heslá. Okrem toho môžete certifikáty uložené v pamäti eToken použiť na registráciu čipových kariet, čo zvyšuje bezpečnosť prihlasovania do Windows.
    Je to možné, pretože Windows 2000/XP umožňuje rôzne prístupové mechanizmy, ktoré nahrádzajú predvolenú metódu autentifikácie. Mechanizmy identifikácie a autentifikácie pre službu prihlasovania do systému Windows (winlogon), ktorá poskytuje interaktívne prihlasovanie, sú zabudované do vymeniteľnej dynamicky prepájanej knižnice (DLL) s názvom GINA (Graphical Identification and Authentication, Authentication Desktop). Keď systém potrebuje inú metódu autentifikácie, ktorá by nahradila mechanizmus používateľského mena/hesla (používa sa štandardne), štandardná msgina.dll sa nahradí nová knižnica.
    Inštalácia eToken SecurLogon nahradí knižnicu autentifikačnej pracovnej plochy a vytvorí nové nastavenia registra. GINA je zodpovedná za politiku interaktívneho pripojenia a vykonáva identifikáciu a dialóg s používateľom. Nahradením knižnice Desktop Authentication Library je eToken primárnym autentifikačným mechanizmom, ktorý rozširuje štandardnú autentifikáciu Windows 2000/XP na základe používateľského mena a hesla.
    Používatelia môžu zapisovať do pamäte eTokenu informácie potrebné na prihlásenie do systému Windows (profily), ak to povoľuje podniková bezpečnostná politika.
    Profily je možné vytvoriť pomocou Sprievodcu vytvorením profilu prihlásenia do systému Windows pre eToken.

    Začíname

    eToken SecurLogon overuje používateľa systému Windows 2000/XP/2003 pomocou eTokenu pomocou certifikátu čipovej karty používateľa alebo používateľského mena a hesla uloženého v pamäti eTokenu. eToken RTE zahŕňa všetko potrebné súbory a ovládače, ktoré poskytujú podporu pre eToken v eToken Windows Logon.

    Minimálne požiadavky

    Podmienky inštalácie eToken Windows Logon:

    • Na všetkých pracovných staniciach musí byť nainštalované eToken Runtime Environment (verzia 3.65 alebo 3.65);
    • eToken SecurLogon je nainštalovaný na počítači so systémom Windows 2000 (SP4), Windows XP (SP2) alebo Windows 2003 (SP1). eToken SecurLogon podporuje klasické uvítacie dialógové okno systému Windows (ale nie novú uvítaciu obrazovku systému Windows XP) a nepodporuje režim rýchlej zmeny používateľa v systéme Windows XP.

    Podporované tokeny

    eToken SecurLogon podporuje nasledujúce zariadenia eToken:

    • eToken PRO je USB kľúč, ktorý umožňuje dvojfaktorovú autentifikáciu. Dostupné vo verziách 32K a 64K;
    • eToken NG-OTP je hybrid USB kľúča a zariadenia, ktoré generuje jednorazové heslá. Dostupné vo verziách 32K a 64K;
    • Smart karta eToken PRO je zariadenie, ktoré plní rovnaké funkcie ako USB kľúč, má však podobu bežnej kreditnej karty. Dostupné vo verziách 32K a 64K.

    eToken Runtime Environment (RTE)

    eToken Runtime Environment (RTE) obsahuje všetky súbory a ovládače, ktoré poskytujú podporu pre eToken v eToken Windows Logon. Táto sada obsahuje aj pomôcku Vlastnosti eTokenu, ktorá umožňuje používateľovi jednoducho spravovať PIN a meno eTokenu.
    Všetky nové eTokeny majú pri výrobe štandardne nastavený rovnaký PIN. Tento PIN je 1234567890. Aby sa zabezpečila silná, dvojfaktorová autentifikácia a plná funkčnosť, používateľ si musí byť istý, že ihneď po prijatí nového eTokenu nahradí predvolený PIN vlastným PIN.
    Dôležité:PIN by sa nemal zamieňať s heslom používateľa Windows .

    Inštalácia

    Za účelom inštalácieeTokenWindowsPrihlásiť sa:

    • prihlásiť sa ako používateľ s právami správcu;
    • dvakrát kliknite na SecurLogon - 2.0.0.55.msi;
    • zobrazí sa okno sprievodcu inštaláciou eToken SecurLogon (obr. 11);
    • klikni " Ďalšie", zobrazí sa licenčná zmluva eToken Enterprise;
    • prečítajte si zmluvu, kliknite na „ jasúhlasiť"(Súhlasím) a potom tlačidlo „ Ďalšie";
    • reštartujte na konci inštalácie.


    Obrázok 11 Inštalácia SecurLogon


    Inštalácia pomocou príkazový riadok:
    eToken SecurLogon je možné nainštalovať pomocou príkazového riadka:
    msiexec /Option [voliteľné]
    Možnosti inštalácie:

    Oznámenie o produkte:

        • "m" – všetci používatelia;
        • „u“ – aktuálny používateľ;
    • – Zrušte inštaláciu produktu.

    Možnosti zobrazenia:

    • /quiet - tichý režim, bez interakcie používateľa;
    • /pasívny - automatický režim - iba indikátor priebehu;
    • /q – výber úrovne používateľského rozhrania;
        • n - žiadne rozhranie;
        • b – hlavné rozhranie;
        • r – skrátené rozhranie;
        • f- plné rozhranie(predvolené);
    • /help - Zobrazí pomoc pri používaní.

    Možnosti reštartu

    • /norestart - nereštartovať po dokončení inštalácie;
    • /promptrestart - výzva na preinštalovanie v prípade potreby;
    • /forcerestart - po dokončení inštalácie vždy reštartujte počítač.

    Možnosti protokolovania
    / l;

    • i – stavové správy;
    • w - správy o opraviteľných chybách;
    • e - všetky chybové hlásenia;
    • a – spustenie akcie;
    • r - záznamy špecifické pre danú akciu;
    • u – požiadavky používateľov;
    • c – počiatočné parametre používateľského rozhrania;
    • m - informácie o ukončení z dôvodu nedostatku pamäte alebo fatálnej chyby;
    • o – hlásenia o nedostatku miesta na disku;
    • p – vlastnosti terminálu;
    • v- podrobný výstup;
    • x – dodatočné informácie o ladení;
    • + - pripojiť k existujúcemu log súboru;
    • ! - uloženie každého riadku do denníka;
    • * - zapíšte všetky informácie okrem možností "v" a "x" /log je ekvivalentný s /l* .

    Možnosti aktualizácie:

    • /update [;Update2.msp] – použiť aktualizácie;
    • /uninstall [;Update2.msp] /package - Odinštalujte aktualizácie produktu.

    Možnosti obnovenia:
    /f
    Obnova produktu:

      • p - iba ak neexistuje žiadny súbor;
      • o - ak súbor chýba alebo je nainštalovaná stará verzia (štandardne);
      • e - ak súbor chýba alebo je nainštalovaná rovnaká alebo staršia verzia;
      • d - ak súbor chýba alebo je nainštalovaná iná verzia;;
      • c - ak súbor chýba resp kontrolná suma nezodpovedá vypočítanej hodnote;
      • a – spôsobí preinštalovanie všetkých súborov;
      • u – všetky požadované položky registra špecifické pre používateľa (predvolené);
      • m - všetky potrebné položky databázy Registry špecifické pre počítač (predvolené);
      • s - všetky existujúce skratky (predvolené);
      • v - spustiť zo zdroja s opätovným ukladaním lokálnych balíkov do vyrovnávacej pamäte;

    Nastavenie všeobecných vlastností:
    Pozrite si príručku vývojára inštalátora systému Windows(R). Ďalšie informácie pomocou príkazového riadku.

    Automatické generovanie hesla.

    Pri zápise užívateľského profilu do pamäte eTokenu je možné heslo vygenerovať automaticky alebo zadať manuálne. Počas automatického generovania sa vygeneruje náhodné heslo v dĺžke až 128 znakov. V takom prípade používateľ nepozná svoje heslo a bez kľúča eToken nebude môcť vstúpiť do siete. Požiadavku na používanie iba automaticky generovaných hesiel je možné nakonfigurovať ako povinnú.

    Používanie eToken SecurLogon

    eToken SecurLogon umožňuje používateľom prihlásiť sa do Windows 2000/XP/2003 pomocou eTokenu s uloženým heslom.

    Registrácia v systéme Windows

    Do systému Windows sa môžete prihlásiť pomocou eTokenu alebo zadaním používateľského mena a hesla systému Windows.

    Ak sa chcete zaregistrovať v systéme Windows pomocou eTokenu:

    1. Reštartujte počítač;
    2. Zobrazí sa uvítacia správa systému Windows;
    3. Ak je eToken už pripojený, kliknite na hypertextový odkaz Prihlásenie pomocou eTokenu. Ak eToken nebol pripojený, pripojte ho k portu USB alebo káblu. Pri každom spôsobe prihlásenia sa zobrazí okno „Prihlásiť sa do systému Windows“;
    4. Vyberte používateľa a zadajte PIN eTokenu;
    5. Kliknite na tlačidlo "OK". Otvorili ste reláciu používateľa pomocou poverení uložených v pamäti eTokenu.
    6. Ak používate eToken s užívateľským certifikátom čipovej karty, na pripojenie k počítaču stačí zadať PIN eTokenu.

    Registrácia vOkná bezeToken:

    1. reštartujte počítač, stlačte kombináciu klávesov CTRL + ALT + DEL, zobrazí sa okno „Prihlásenie do systému Windows / Prihlásenie do systému Windows“;
    2. kliknite na tlačidlo "OK" - ste prihlásení pomocou svojho používateľského mena a hesla.

    zmena hesla

    Heslo systému Windows si môžete zmeniť po prihlásení pomocou eTokenu.
    Ak chcete zmeniť heslo po prihlásení pomocou eTokenu:

    1. prihláste sa pomocou eTokenu;
    2. klikni " CTRL+ALT+DEL", objaví sa okno" BezpečnosťWindows/ WindowsBezpečnosť";
    3. Kliknite na " zmena hesla/ zmeniťheslo", ak bolo aktuálne heslo vytvorené ručne, zobrazí sa okno " zmena hesla/ zmeniťheslo", ale ak bolo aktuálne heslo vygenerované náhodne, prejdite na krok 5;
    4. Zadajte nové heslo do polí " Nové heslo/ Novýheslo"a" Potvrdenie/ PotvrďteNovýheslo"a stlačte tlačidlo" OK";
    5. Ak bolo aktuálne heslo vygenerované náhodne, nové heslo sa vygeneruje automaticky;
    6. v dialógovom okne, ktoré sa zobrazí, zadajte kód PIN eTokenu a kliknite na tlačidlo „ OK"
    7. zobrazí sa okno s potvrdením.

    Zabezpečenie relácie používateľa

    Na zabezpečenie pracovnej relácie môžete použiť eToken.

    Uzamknutie vašej pracovnej stanice

    Zamknutím počítača môžete zabezpečiť bezpečnosť svojho počítača bez odhlásenia. Po odpojení eTokenu z USB portu alebo kábla (po úspešnej registrácii) operačný systém automaticky uzamkne váš počítač.

    Ak chcete odomknúť počítač:

    Keď je váš počítač uzamknutý, zobrazí sa „ Zámok počítača počítačZamknuté". Pripojte eToken k USB portu alebo káblu. V zobrazenom okne zadajte PIN kód do " eTokenheslo"a stlačte tlačidlo" OK„Počítač je odomknutý.
    Poznámka: v prípade stlačenia " CTRL+ALT+DEL"a zadaním hesla sa počítač odomkne bez použitia eTokenu.

    Manuálne odstránenie

    V zriedkavých prípadoch, keď potrebujete odstrániť eToken SecurLogon manuálne, vykonajte nasledujúce kroky:

    • reštartujte počítač a spustite ho bezpečnostný mód;
    • zaregistrovať sa ako používateľ s právami správcu;
    • pomocou editora registra otvorte sekciu HKEY_LOCAL_MAODHINE\SOFTWARE\Microsoft\WindowsNT\Aktuálneverzia\Winlogon a odstráňte " GinaDLL";
    • reštartujte počítač, pri ďalšom prihlásení do systému Windows sa zobrazí okno Microsoft Windows prihlásiť sa.

    Všeobecné odstraňovanie problémov

    Na vyriešenie bežných problémov možno budete musieť vykonať nasledujúce kroky:

    Problém

    Riešenie

    eToken ste pripojili počas procesu registrácie (keď sa zobrazí „ Operačný systémWindows/ VitajtedoWindows") alebo keď je počítač uzamknutý (" Zámok počítača/ počítačZamknuté"). Okno eToken SecurLogon sa nezobrazí.

    1. Odpojte všetky pripojené čipové karty (nielen eToken) od počítača a znova pripojte eToken.
    2. Po nainštalovaní eTokenu RTE nemusí systém rozpoznať eToken. V takom prípade sa pokúste zaregistrovať manuálne kliknutím na „ CTRL+ALT+DEL Pripojte svoj eToken a počkajte, kým sa rozsvieti kontrolka.

    eToken ste pripojili ihneď po prebudení počítača z režimu spánku alebo pohotovostného režimu. Okno eToken SecurLogon sa nezobrazí .

    1. Počkajte, kým sa nerozsvieti kontrolka. Okno " Odomknite počítač/ Odomknúťpočítač".
    2. Vykonajte kroky popísané vyššie.

    Odpojili ste eToken po prebudení počítača z hibernácie alebo pohotovostného režimu a počítač sa okamžite nezablokuje.

    Počkajte maximálne 30 sekúnd, kým sa počítač uzamkne.

    V systéme Windows 2000 trvá odhlásenie alebo vypnutie počítača dlho.

    Nainštalujte najnovší balík Service Pack.

    Po zapnutí počítača ste pripojili čítačku čipových kariet alebo eToken a zariadenie nebolo rozpoznané.

    Po pripojení čítačky reštartujte počítač.
    Publikované dňa 3. februára 2009 bez komentárov

    Ak si chcete prečítať ďalšiu časť tejto série článkov, kliknite sem.

    Doteraz boli heslá často preferovaným/požadovaným mechanizmom autentifikácie na získanie prístupu k nezabezpečeným systémom a údajom. Rastúce požiadavky na vyššiu bezpečnosť a pohodlie bez zbytočnej zložitosti však poháňajú vývoj autentifikačných technológií. V tejto sérii článkov sa pozrieme na rôzne technológie viacfaktorovej autentifikácie, ktoré možno použiť v systéme Windows. V prvej časti začneme pohľadom na čipovú autentifikáciu.

    Keď heslo jednoducho nefunguje

    V roku 1956 napísal George A. Miller vynikajúcu prácu s názvom „Kúzelné číslo sedem, plus alebo mínus dva: Niektoré limity našej kapacity na spracovanie informácií“. Tento článok hovorí o obmedzeniach, ktoré ako ľudia zažívame, keď si chceme zapamätať určité informácie. Jedným zo záverov tejto práce je, že priemerný človek je schopný si zapamätať sedem (7) informácií naraz, plus/mínus dve (2). Iní vedci sa to neskôr pokúsili dokázať obyčajný človek je schopný si zapamätať iba päť (5) informácií naraz, plus/mínus dve (2). Nech je to akokoľvek, ak je táto teória považovaná za správnu, potom je v rozpore s radami o dĺžke a zložitosti hesiel, ktoré sa dajú prečítať v rôznych zdrojoch, alebo ktoré možno počuť z rôznych ľudí so zvýšenou citlivosťou na bezpečnosť.

    Často sa hovorí, že zložitosť je jednou z najväčších hrozieb pre bezpečnosť. Jednou z oblastí, kde môžete tento vzor vidieť, je situácia, keď sa od používateľov a administrátorov vyžaduje, aby presadzovali komplexné zásady hesiel. Kreativita a rôzne riešenia, s ktorými niekedy vidím, že používatelia a správcovia majú problémy so zapamätaním si hesiel, ma neprestávajú udivovať. Ale zároveň je tento problém takmer vždy v prvej päťke v tabuľke pomocníka. A teraz, keď Gartner a Forrester vypočítali, že každé volanie o strate hesla na helpdesk stojí približne 10 USD, je ľahké analyzovať nákladovú efektívnosť súčasných zásad organizácie týkajúcich sa hesiel.

    Heslá ako jediný autentifikačný mechanizmus sú v poriadku, ak má heslo viac ako 15 znakov a obsahuje aspoň jeden neanglický znak. Prístupové frázy sú príklady dlhých hesiel, ktoré si používatelia ľahšie zapamätajú. To zabezpečí, že väčšina dúhových útokov, vrátane 8-bitových, zlyhá práve kvôli pridanej zložitosti, ktorú poskytujú „cudzie“ postavy.

    Poznámka: Od čias Windows 2000 môže mať heslo až 127 znakov.

    Avšak dôvod, prečo heslá nie sú účinné ako jediný autentifikačný mechanizmus, je ten, že používatelia zle hádajú a pamätajú si dobré a silné heslá. Okrem toho heslá často nie sú správne chránené. Našťastie existujú bezpečnostné riešenia, ktoré zvyšujú bezpečnosť a pohodlie používaním krátkych, ľahko zapamätateľných hesiel.

    Autentifikácia založená na čipe

    Jedným z takýchto bezpečnostných riešení je čipová autentifikácia, často označovaná ako dvojfaktorová autentifikácia. Dvojfaktorová autentifikácia využíva kombináciu nasledujúcich prvkov:

    1. Niečo, čo máte, napríklad čipovú kartu alebo USB flash disk.
    2. Niečo, čo poznáte, napríklad osobné identifikačné číslo (PIN). PIN poskytuje používateľovi prístup k digitálnemu certifikátu uloženému na čipovej karte.

    Obrázok 1 zobrazuje dve rôzne riešenia, ktoré sú v podstate zástupcami rovnakej technológie. Úprimne povedané, hlavný rozdiel je v cene a forme, aj keď každé riešenie môže obsahovať ďalšie možnosti, ako uvidíme čoskoro.

    Príklad inteligentnej karty, ktorá sa používa na vzdialenú autentifikáciu, autentifikáciu systému Windows,

    fyzický prístup a platba Príklad USB flash disku s čipovou autentifikáciou a flash pamäťou na ukladanie informácií. Obrázok 1: Dva príklady zariadení s čipovou autentifikáciou

    Smart karty, podobne ako USB flash disky, majú zabudovaný čip. Čip je 32-bitový mikroprocesor a zvyčajne obsahuje 32 kB alebo 64 kb (EEPROM - Electrically Erasable Programmable Read Only Memory) (RAM - RAM) pamäťový čip zabudovaný v čipovej karte alebo USB flash disku. Dnes existujú čipové karty a USB kľúče s veľkosťou až 256 KB Náhodný vstup do pamäťe pre bezpečné ukladanie dát.

    Poznámka: Keď v tomto článku hovoríme o úložisku, hovoríme o úložisku na vstavanom zabezpečenom čipe, nie na samotnom zariadení.

    Tento čip má malý operačný systém a malú pamäť na uloženie certifikátov používaných na autentifikáciu. Tento operačný systém čipu je u každého výrobcu iný, preto musíte v systéme Windows použiť službu CSP (Cryptographic Service Provider), ktorá podporuje operačný systém čipu. Službe CSP sa budeme venovať v nasledujúcom článku. Čipové riešenie má určité výhody oproti iným riešeniam viacfaktorovej autentifikácie, keďže sa dá použiť na ukladanie autentifikačných, identifikačných a podpisových certifikátov. Ako už bolo spomenuté, všetko je chránené PIN kódom, ktorý používateľovi umožňuje prístup k údajom uloženým na čipe. Keďže organizácie často udržiavajú a vydávajú svoje vlastné smart karty a flash disky, môžu tiež určiť, ktorá politika bude priradená k tomuto riešeniu. Napríklad, či bude karta zablokovaná alebo z nej budú potom vymazané dáta X počet neúspešných pokusov. Keďže tieto zásady možno použiť v spojení s kódom PIN, kód PIN môže byť oveľa kratší a ľahšie zapamätateľný bez akéhokoľvek bezpečnostného rizika. Všetky tieto parametre sú uložené na čipovej karte od jej vydania. Čipové riešenie je tiež imúnne voči vonkajším zásahom, takže bez požadovaného PIN kódu nie je možné získať prístup k informáciám (certifikátom a osobným informáciám) uloženým na čipe, a preto ich nemožno použiť na žiadne účely.

    Smart karty alebo USB flash disky?

    Ako sme už povedali, jedným z rozdielov medzi smart kartami a USB flash diskmi je tvarový faktor. Obe riešenia spĺňajú všeobecnú výzvu dvojfaktorovej autentifikácie, no každé riešenie má svoje pre a proti. Čipovú kartu je možné použiť na identifikáciu fotografie, pretože si na ňu môžete vytlačiť svoju fotografiu a meno. USB flash disk môže obsahovať flash pamäť na ukladanie dokumentov a súborov. Obe zariadenia je možné použiť na ovládanie fyzického prístupu jedným alebo druhým spôsobom. Smart karta môže obsahovať čip, magnetický prúžok, čiarové kódy a bezkontaktné funkcie, zatiaľ čo flash disk môže mať pridanú bezkontaktnú funkciu alebo biometrickú podporu.

    Poznámka: Existujú aj iné tvarové faktory, ako napríklad mobilné telefóny, kde SIM karta (modul identity predplatiteľa) môže slúžiť na rovnaký účel ako čipová karta alebo USB flash disk.

    Čipová karta vyžaduje čítačku čipových kariet, zatiaľ čo USB flash disk možno použiť s existujúcou jednotkou v počítači. USB vstup a použiť ho na emuláciu čítačky čipových kariet. Čítačky čipových kariet dnes musia buď používať rozhrania ako PC Card, ExpressCard, USB, alebo byť vstavané, niektorí výrobcovia notebookov a klávesníc takéto čítačky kariet zabudovali do svojich modelov. Čítačky čipových kariet sa považujú za štandardné zariadenia so systémom Windows bez ohľadu na operačný systém čipu a majú bezpečnostný deskriptor a PnP ID. Čítačky kariet aj USB flash disky vyžadujú ovládač Zariadenia so systémom Windows pred ich použitím, preto sa uistite, že používate najnovšie ovládače z dôvodu výkonu počas dvojfaktorovej autentifikácie.

    Počiatočná cena každého zariadenia môže mať slovo pri výbere riešenia, no treba brať do úvahy aj iné rozdiely, ako napríklad psychologický faktor spojený s takýmito riešeniami overovania. Čipová karta a kreditná karta sú takmer to isté, mnohé kreditné karty majú dnes aj vložené čipy. Mnoho spoločností dnes používa čipové karty ako na fyzický prístup, tak aj na platenie stravy a podobne. To znamená, že karta je pohodlná a má aj peňažnú hodnotu, a preto sú ľudia nútení si takúto kartu chrániť a pamätať si, že ju musia mať stále pri sebe. Skvele sa hodí aj do peňaženky, čo môže mať aj dodatočný bezpečnostný efekt, podľa toho, ako sa na ňu pozeráte.

    Niektoré otázky na zváženie

    Pri výbere riešenia autentifikácie založeného na čipe existuje niekoľko otázok a úvah, ktoré by ste mali vziať do úvahy.

    1. Kompatibilita» Uistite sa, že operačný systém čipu je kompatibilný s CSP, ktorý chcete použiť. Ako sa dozviete v ďalšom článku, CSP je middleware medzi operačným systémom čipu a Windowsom a je tiež zodpovedný za bezpečnostnú politiku aplikovanú na čip.
    2. Kontrola» Ak potrebujete použiť čipovú kartu alebo flash disk na použitie veľkým počtom ľudí, uistite sa, že ste vybrali operačný systém s čipom, ktorý je kompatibilný so systémom správy kariet (CMS) podľa vášho výberu.
    3. Rozšíriteľnosť» Uistite sa, že operačný systém čipu môžu používať všetky potrebné aplikácie a potreby overovania, ktoré požadujete. V budúcnosti možno budete potrebovať ďalšie certifikáty na čipovej karte alebo flash disku, ako sú e-mailové podpisy alebo dokonca biometrické údaje. Technické podrobnosti nájdete na karte DoD Common Access Card (CAC), ktorá sa používa na ukladanie veľkého množstva informácií o používateľovi (pozri odkaz nižšie). Len sa uistite, že pri používaní informácií, ako sú biometrické údaje, beriete do úvahy otázky ochrany osobných údajov. Tomuto problému sa budeme venovať neskôr v tejto sérii článkov.
    4. Jednoduchosť použitia» Uistite sa, že ste si vybrali riešenie založené na čipe, ktoré je užívateľsky prívetivé a praktické. Hlavným problémom riešení viacfaktorovej autentifikácie je, že používatelia majú tendenciu zabúdať alebo strácať svoje smart karty alebo flash disky, prípadne zabúdajú svoj PIN, ak sa zariadenie často nepoužíva.

    Záver

    V ďalšom článku sa pozrieme na postup Príprava okien na podporu zariadení na viacfaktorovú autentifikáciu, ako aj na niekoľko tipov na prípravu a používanie kariet Smart Card a jednotiek flash v systéme Windows XP a Windows Server 2003 životné prostredie.

    Zdroj www.windowsecurity.com


    Pozri tiež:

    Komentáre čitateľov (bez komentárov)

    Áno, som muž! =)

    Výmena 2007

    Ak by ste si chceli prečítať predchádzajúce časti tejto série článkov, postupujte podľa odkazov: Monitor Exchange 2007 so správcom systému ...

    Úvod V tomto viacdielnom článku vám chcem ukázať proces, ktorý som nedávno použil pri prechode z existujúceho prostredia Exchange 2003...

    Ak ste zmeškali prvú časť tejto série, prečítajte si odkaz Používanie nástroja Exchange Server Remote Connectivity Analyzer Tool (časť...

    Bezpečnostné problémy informačná bezpečnosť treba riešiť systematicky a komplexne. Dôležitú úlohu v tom zohrávajú spoľahlivé mechanizmy pre bezpečný prístup,vrátane autentifikácie používateľaa ochranu prenášaných údajov.

    Bezpečnosť informácií je nemožná bez autentifikácie a prieniku do firemné prostredie mobilné zariadenia a cloudové technológie nemôžu neovplyvňovať princípy informačnej bezpečnosti. Autentifikácia - postup potvrdenia identity subjektu v informačnom systéme nejakým identifikátorom (pozri obrázok 1). Spoľahlivý a adekvátny systém autentifikácie používateľov je základnou súčasťou systému podnikovej informačnej bezpečnosti. Samozrejme, rôzne komunikačné kanály môžu a mali by využívať rôzne autentifikačné mechanizmy, z ktorých každý má svoje výhody a nevýhody, líši sa spoľahlivosťou a cenou riešení, jednoduchosťou použitia a administrácie. Preto je pri ich výbere potrebné analyzovať riziká a zhodnotiť ekonomickú realizovateľnosť implementácie.

    Používa sa na overovanie používateľov rôzne technológie- od hesiel, čipových kariet, tokenov až po biometriu (pozri bočný panel "Metódy biometrickej autentifikácie") na základe takých osobných vlastností osoby, ako je odtlačok prsta, štruktúra sietnice atď. Silné autentifikačné systémy kontrolujú dva alebo viac faktorov.

    Metódy biometrickej autentifikácie

    Dvojfaktorové autentifikačné systémy sa používajú v oblastiach, ako je elektronický obchod vrátane internetového bankovníctva a overovanie vzdialeného prístupu z nedôveryhodného pracoviska. Biometrické metódy poskytujú silnejšiu autentifikáciu. Takéto systémy implementujú prístup odtlačkom prsta, geometriou tváre, odtlačkom alebo vzorom žily dlane, štruktúrou sietnice, vzorom dúhovky a hlasom atď. Biometrické metódy sa neustále zdokonaľujú – náklady na vhodné riešenia sa znižujú a zvyšuje sa ich spoľahlivosť. Najpopulárnejšie a najspoľahlivejšie technológie sú biometrické overovanie pomocou odtlačku prsta a dúhovky. Systémy snímania odtlačkov prstov a rozpoznávania geometrie tváre sa používajú aj v spotrebiteľských zariadeniach – smartfónoch a notebookoch.

    Autentifikácia pomocou biometrie vám umožňuje zvýšiť úroveň zabezpečenia pre kritické veci dôležité operácie. Poskytnutie prístupu osobe, ktorá na to nemá právo, je takmer nemožné, no chybne odmietnutý prístup je celkom bežný jav. Aby sa predišlo takýmto nedorozumeniam Je možné použiť viacfaktorové autentifikačné systémy, keď je osoba identifikovaná napríklad odtlačkom prsta a geometriou tváre. Celková miera spoľahlivosti systému rastie úmerne s množstvom použitých faktorov.

    Pri použití biometrie na prístup ku kľúčom a certifikátom na čipovej karte sa navyše zjednoduší práca s nimi a proces autentifikácie: namiesto zadávania zložitého hesla sa stačí dotknúť skenera prstom.

    Za osvedčený postup sa považuje obojsmerná silná autentifikácia založená na technológii elektronického digitálneho podpisu (EDS). Ak je použitie tejto technológie nemožné alebo nepraktické, odporúča sa použiť jednorazové heslá a pri minimálnej miere rizika opakovane použiteľné heslá.

    „Bez autentifikácie nie je možné hovoriť o bezpečnosti v informačnom systéme,“ vysvetľuje Aleksey Alexandrov, vedúci technologických partnerov spoločnosti Aladdin R.D. - Existujú rôzne spôsoby - napríklad pomocou opakovane použiteľných alebo jednorazových hesiel. Spoľahlivejšia je však viacfaktorová autentifikácia, keď je bezpečnosť založená nielen na znalosti určitého tajomstva (hesla), ale aj na vlastnení špeciálneho zariadenia a jedného alebo viacerých biometrické charakteristiky užívateľ. Heslo je možné ukradnúť alebo uhádnuť, ale bez autentifikačného zariadenia - USB tokenu, smart karty alebo SIM karty - sa útočník nedostane do systému. Používanie zariadení, ktoré sú podporované nielen na pracovných staniciach, ale aj na mobilných platformách, umožňuje aplikovať viacfaktorovú autentifikáciu na majiteľov mobilných telefónov či tabletov. To platí aj pre model Bring Your Own Device (BYOD).

    “Dnes zaznamenávame nárast záujmu o tokeny – generátory jednorazových hesiel (jednorazové heslo, OTP) rôznych výrobcov. Zavedenie takýchto systémov sa už stalo de facto štandardom internetového bankovníctva a je čoraz viac žiadané pri organizovaní vzdialený prístup z mobilných zariadení, - hovorí Yury Sergeev, vedúci skupiny projektovania centra informačnej bezpečnosti spoločnosti Jet Infosystems. - Sú pohodlné a ľahko sa používajú, čo umožňuje ich použitie všade. Špecialisti prejavujú záujem o technológie, ktoré nevyžadujú inštaláciu a správu „extra“ softvéru na strane klienta. Riešenie ako CryptoPro DSS sa integruje s rôznymi webovými službami, nepotrebuje stranu klienta a podporuje ruské krypto-algoritmy.

    Tento softvérový a hardvérový komplex je určený na centralizované bezpečné ukladanie súkromných kľúčov používateľov, ako aj na vzdialené vykonávanie operácií na vytváranie elektronický podpis. Podporuje rôzne metódy autentifikácie: jednofaktorové - pomocou prihlasovacieho mena a hesla; dvojfaktorové - pomocou digitálnych certifikátov a USB tokenov alebo čipových kariet; dvojfaktorové - s dodatočným zadaním jednorazového hesla doručeného prostredníctvom SMS.

    Jeden z kľúčových trendov v oblasti informačnej bezpečnosti súvisí s nárastom počtu mobilných zariadení, ktoré pracovníci v kanceláriách alebo vzdialení pracovníci využívajú na prácu s dôvernými informáciami. firemné informácie: email, úložiská dokumentov, rôzne obchodné aplikácie a pod. Zároveň sa v Rusku aj v zahraničí stáva čoraz populárnejším model BYOD, kedy je povolené používať pri práci osobné zariadenia. Boj proti súčasne vznikajúcim hrozbám - jeden z najaktuálnejších a najzložitejších problémov kybernetickej bezpečnosti, ktorý by sa mal vyriešiť v najbližších piatich až siedmich rokoch, zdôrazňujú v spoločnosti Avanpost.

    Pochopenie zo strany účastníkov trhu o potrebe zaviesť spoľahlivé systémy autentifikácie a digitálneho podpisu (EDS), zmena legislatívy v oblasti ochrany osobných údajov, prijatie certifikačných požiadaviek (FSB a FSTEC Ruska), implementácia projektov ako „Elektronická vláda“ a „ Portál verejných služieb“, rozvoj vzdialeného bankovníctva a internetového bankovníctva, hľadanie príležitostí na určenie zodpovednosti v kybernetickom priestore – to všetko prispieva k zvýšenému záujmu o softvérové ​​a hardvérové ​​riešenia, ktoré kombinujú jednoduchosť použitia a zvýšenú ochranu.

    DIGITÁLNY PODPIS

    Obrázok 2 Autentifikačné zariadenie môže byť vyrobené v rôznych formách: USB token, smart karta, vhodné na použitie na mobilných zariadeniach microSD kartu(Secure MicroSD token) a dokonca aj SIM karta podporovaná takmer všetkými mobilné telefóny a smartfóny. Môže byť vybavený aj ďalšími funkciami - napríklad čipová karta môže slúžiť ako banková platobná karta, elektronická vstupenka do priestorov, prostriedok biometrickej autentifikácie.

    Aplikované na čipové karty a tokeny (pozri obrázok 2) sú technológie autentifikácie odosielateľov stále vyspelejšie, praktickejšie a pohodlnejšie. Môžu byť napríklad použité ako autentifikačný mechanizmus pre webové zdroje, elektronické služby a aplikácie na platby digitálnym podpisom. Digitálny podpis spája konkrétneho používateľa so súkromným asymetrickým šifrovacím kľúčom. Priložená k elektronickej správe umožňuje príjemcovi overiť si, že odosielateľ je tým, za koho sa vydáva. Šifrovacie formy môžu byť rôzne.

    Súkromný kľúč, ktorý má len jedného vlastníka, slúži na digitálne podpisovanie a šifrovanie prenosu dát. Samotnú správu si môže prečítať ktokoľvek s verejným kľúčom. Elektronický digitálny podpis môže byť generovaný USB tokenom, hardvérovým zariadením, ktoré generuje pár kľúčov. Niekedy sa kombinujú rôzne spôsoby autentifikácie - napríklad čipová karta je doplnená o token s kryptografickým kľúčom a pre prístup k poslednému varovaniu Zobrazuje sa zadanie PIN kódu (dvojfaktorové overenie). Pri používaní tokenov a čipových kariet súkromný podpisový kľúč neopúšťa token. Tým je vylúčená možnosť kľúčového kompromisu.

    Využitie EDS zabezpečujú špeciálne nástroje a technológie, ktoré tvoria infraštruktúru verejného kľúča (Public Key Infrastructure, PKI). Hlavnou zložkou PKI je CA, ktorá je zodpovedná za vydávanie kľúčov a zaručuje pravosť certifikátov, ktoré potvrdzujú zhodu medzi verejným kľúčom a informáciou, ktorá identifikuje vlastníka kľúča.

    Vývojári poskytujú rôzne komponenty na vkladanie kryptografických funkcií do webových aplikácií, ako sú SDK a zásuvné moduly pre prehliadače s kryptografickým API. S ich pomocou môžete implementovať funkcie šifrovania, autentifikácie a digitálneho podpisu s vysokou úrovňou bezpečnosti. Nástroje digitálneho podpisu sú poskytované aj vo forme online služieb (pozri bočný panel „EDS ako služba“).

    EDS ako služba

    Na automatizáciu podpisovania, výmeny a ukladania elektronických dokumentov môžete použiť online službu eSign-PRO (www.esign-pro.ru). Všetci sú v ňom zaregistrovaní elektronické dokumenty sú chránené digitálnym podpisom a vytváranie a overovanie digitálneho podpisu prebieha na strane klienta pomocou kryptografického modulu eSign Krypto pluginy pre prehliadač nainštalovaný pri prvom vstupe na portál. Pracovné stanice interagujú s portálovým webovým serverom pomocou protokolu TLS v režime jednosmernej serverovej autentifikácie. Autentifikácia používateľa je založená na osobných identifikátoroch a heslách prenášaných na server po vytvorení zabezpečeného spojenia.

    Služba eSign-PRO je podporovaná infraštruktúrou verejného kľúča založenou na certifikačnom centre e-Notary akreditovanom Federálnou daňovou službou Ruska a vo vlastníctve spoločnosti Signal-COM, ale môžu byť akceptované aj certifikáty vydané iným certifikačným centrom.

    Ako zdôrazňujú vývojári, táto služba je v súlade s požiadavkami federálneho zákona č. 63-FZ „O elektronickom podpise“ a využíva nástroje certifikované FSB Ruska. kryptografická ochrana"Crypto-COM 3.2". Kľúčové informácie môžu byť uložené na rôznych médiách vrátane tokenov USB.

    „Infraštruktúra PKI je najlepšia schéma bezpečné overenie používatelia, - uvažuje Kirill Meshcheryakov, vedúci odboru pre prácu s technologickými partnermi spoločnosti Aktiv. - V tejto oblasti ešte nebolo vynájdené nič spoľahlivejšie ako digitálne certifikáty. Môžu to byť osvedčenia vydané vládou jednotlivcov na použitie v cloudovej službe alebo podnikových digitálnych certifikátoch na implementáciu modelu BYOD. Navyše, prvé by sa dali využiť na prístup k vnútropodnikovým zdrojom, ak by komerčné spoločnosti mali možnosť napojiť sa na štátne certifikačné centrá. Keď sa digitálne certifikáty použijú všade tam, kde sa vyžaduje overenie používateľa, život bežných občanov sa výrazne zjednoduší. Spoľahlivé a bezpečné ukladanie digitálnych certifikátov je v súčasnosti zabezpečené iba jedným spôsobom – pomocou čipových kariet a tokenov.

    Vzhľadom na zvýšenú pozornosť štátu na oblasti ako digitálny podpis a čipové karty, ako aj na dôležitosť spoľahlivej a pohodlnej viacfaktorovej autentifikácie v rôznych informačných systémoch a na rozvoj elektronických platobných systémov a právne významnú správu elektronických dokumentov, domáci vývojári pokračujú v zlepšovaní svojich riešení a rozširovaní produktových radov.

    USB TOKENY A SMART KARTY

    Obrázok 3 Využitie čipových kariet ako prostriedku autentifikácie pri práci s informačnými systémami, webovými portálmi a cloudovými službami je možné pri prístupe k nim nielen z osobných pracovných staníc, ale aj z mobilných zariadení, vyžaduje si to však špeciálnu čítačku, preto sa niekedy obráti byť pohodlnejší token vo formáte MicroSD.

    Smart karty a USB tokeny môžu slúžiť ako osobný prostriedok autentifikácie a elektronického podpisu na organizáciu bezpečného a právne významného dokumentu. obratu (pozri obrázok 3). Ich použitie navyše umožňuje zjednotiť autentifikačné prostriedky - od operačných systémov cez systémy kontroly prístupu do priestorov.

    Ruskí vývojári softvéru a hardvéru na bezpečnosť informácií nazbierali solídne skúsenosti s vytváraním elektronických kľúčov (tokenov) a identifikátorov. Napríklad spoločnosť Aktiv (www.rutoken.ru) vydáva rad USB tokenov Rutoken, ktorý už obsahuje viac ako tucet takýchto produktov (pozri obrázok 4). Od roku 1995 pôsobí na rovnakom trhu Aladdin R.D.

    Obrázok 4 Rutoken EDS spoločnosti Aktiv je elektronický identifikátor s hardvérovou implementáciou ruského štandardu pre elektronický podpis, šifrovanie a hašovanie, ktorý zaisťuje bezpečné uloženie kľúčov elektronického podpisu vo vstavanej zabezpečenej pamäti. Produkt má certifikát FSB o zhode s požiadavkami na ochranu kryptografických informácií v nástrojoch triedy KS2 a ES v súlade s federálnym zákonom č. 63-FZ „O elektronickom podpise“, ako aj certifikát FSTEC o súlade s požiadavkami na štvrtá úroveň kontroly absencie nedeklarovaných spôsobilostí.

    Produkty Rutoken s dvojfaktorovou autentifikáciou (zariadenie a PIN kód) využívajú 32-bitové mikroprocesory ARM na generovanie párov kľúčov, generovanie a overovanie elektronického podpisu (algoritmus GOST R 34.10-2001), ako aj bezpečné mikrokontroléry s energeticky nezávislou pamäťou pre ukladanie užívateľských údajov. Na rozdiel od riešení vyvinutých v Jave je firmvér v Rutokene implementovaný v kompilovanom jazyku. Podľa vývojárov to dáva viac príležitostí na optimalizáciu softvéru. Rutoken nevyžaduje inštaláciu ovládača a je definovaný ako HID zariadenie.

    Pri tvorbe EDS sa používa kryptografia eliptických kriviek. Navrhovaný zásuvný modul pre prehliadače (nevyžaduje na inštaláciu administrátorské práva) dokáže pracovať s USB tokenom a má programovacie rozhranie pre prístup k kryptografickým funkciám. Plugin vám umožňuje integrovať Rutoken so vzdialeným bankovníctvom a systémami elektronickej správy dokumentov.

    Zariadenie Rutoken PINPad (Rutoken EDS s obrazovkou) vám umožňuje vizualizovať podpisovaný dokument pred použitím elektronického podpisu a chrániť sa tak pred útokmi vykonanými pomocou nástrojov diaľkového ovládania na nahradenie obsahu dokumentu pri prenose na podpis.

    Ruská spoločnosť Aladdin R.D. uvádza na trh širokú škálu čipových kariet, JaCarta USB a tokenov Secure MicroSD pre silnú autentifikáciu, elektronický podpis a bezpečné ukladanie kľúčov a digitálnych certifikátov (pozri obrázok 5). Zahŕňa produkty radu JaCarta PKI, určené pre použitie v podnikových a vládnych systémoch, a JaCarta GOST - na zabezpečenie právneho významu úkonov užívateľa pri práci v rôznych elektronických službách. V JaCarta podporované na všetkých moderných mobilných platformách ( Apple iOS, Android, Linux, Mac OS a Windows) používajú silnú dvoj- a trojfaktorovú autentifikáciu, vylepšený kvalifikovaný elektronický podpis a ochranu pred hrozbami z nedôveryhodného prostredia.

    Zariadenia rodiny JaCarta GOST implementujú ruské kryptografické algoritmy v hardvéri a sú certifikované Federálnou bezpečnostnou službou Ruskej federácie ako nástroje osobného elektronického podpisu pre KC1 a KS2, hovorí Alexej Alexandrov. Možno ich teda použiť na autentifikáciu pomocou mechanizmov elektronického podpisu, na generovanie elektronického podpisu na dokumentoch či potvrdzovanie rôznych operácií v informačných systémoch, ako aj pri práci s cloudovými službami.

    V zariadeniach rodiny JaCarta GOST sú kryptoalgoritmy implementované na úrovni mikroprocesora a okrem toho sa používa schéma pre prácu s neprístupným súkromným podpisovým kľúčom. Tento prístup eliminuje možnosť odcudzenia súkromného kľúča podpisu a vytvorenie EDS pomocou neho sa vykonáva vo vnútri zariadenia. Kľúče a certifikáty obsiahnuté v JaCarta GOST možno použiť na silnú dvojfaktorovú autentifikáciu a vytvorenie vylepšeného kvalifikovaného elektronického podpisu vo viacerých informačných systémoch fungujúcich v rámci jednej alebo viacerých infraštruktúr PKI naraz.

    Autentizačné zariadenia JaCarta sú dostupné v rôznych formách, ale majú rovnakú funkcionalitu, čo umožňuje využívať rovnaké autentifikačné mechanizmy v mnohých informačných systémoch, webových portáloch, cloudových službách a mobilných aplikáciách.

    Obrázok 6 Hardvérová implementácia ruských kryptoalgoritmov certifikovaných Federálnou bezpečnostnou službou Ruskej federácie v JaCarta GOST umožňuje využitie elektronickej identity zamestnanca ako nástroja EDS na prísnu autentifikáciu v informačných systémoch a zabezpečenie právneho významu jeho konania.

    Prístup, pri ktorom sa na riešenie množstva problémov používajú rovnaké zariadenia (pozri obrázok 6), sa v poslednej dobe stáva čoraz populárnejším. Vďaka prítomnosti jedného alebo dvoch RFID tagov v čipovej karte a integrácii s ACS je možné ju použiť na kontrolu prístupu do priestorov. A podpora zahraničných kryptografických algoritmov (RSA) a integrácia s väčšinou produktov svetových predajcov (Microsoft, Citrix, VMware, Wyse atď.) umožňujú použiť smart kartu ako prostriedok silnej autentifikácie v infraštruktúrnych podnikových riešeniach, vrátane používateľských prihlásiť sa do Microsoft Windows, pracovať s VDI a inými populárnymi scenármi. softvér nevyžaduje sa žiadna úprava – podpora je povolená podaním žiadosti určité nastavenia a politikom.

    SYSTÉMY RIADENIA PRE IDENTIFIKÁCIU A PRÍSTUP K INFORMAČNÝM ZDROJOM

    Automatizujte prácu bezpečnostného správcu a rýchlo reagujte na zmeny politiky bez K bezpečnosti napomáhajú systémy centralizovaného riadenia životného cyklu autentifikačných nástrojov a digitálnych podpisov. Napríklad systém JaСarta Management System (JMS) od Aladdina R.D. navrhnutý na zaznamenávanie a registráciu všetkého hardvéru a softvérové ​​nástroje overenie a uloženie kľúčové informácie používané zamestnancami v celom podniku.

    Jeho úlohou je riadiť životný cyklus týchto nástrojov, auditovať ich používanie, pripravovať reporty, aktualizovať autentifikačné údaje, udeľovať alebo rušiť prístup k aplikáciám pri zmene zamestnania alebo prepustení zamestnanca, vymieňať zariadenie v prípade straty alebo poškodenia a vyraďovať z prevádzky. zariadení. Na účely auditu autentifikačných nástrojov sa zaznamenávajú všetky skutočnosti používania zariadenia na podnikovom počítači a zmeny údajov uložených v jeho pamäti.

    S pomocou JMS je implementovaná aj technická podpora a užívateľská podpora: výmena zabudnutého PIN kódu, synchronizácia generátora jednorazových hesiel, riešenie typických situácií straty alebo rozbitia tokenu. A vďaka softvérovému virtuálnemu tokenu môže používateľ, ktorý nie je v kancelárii, aj v prípade straty eTokenu pokračovať v práci s počítačom alebo získať bezpečný prístup k zdrojom bez toho, aby to ohrozilo úroveň zabezpečenia.

    Podľa Aladdina R.D., JMS (pozri obrázok 7), ktorý je certifikovaný FSTEC Ruska, zlepšuje firemnú bezpečnosť používaním certifikátov verejného kľúča X.509 a ukladaním súkromných kľúčov do bezpečnej pamäte čipových kariet a USB tokenov. Zjednodušuje implementáciu a prevádzku riešení PKI pomocou USB tokenov a čipových kariet automatizáciou bežných administratívnych a audítorských postupov.
    Obrázok 7 Systém JMS Aladdina R.D. podporuje všetky typy a modely eTokenov, integruje sa s Microsoft Active Directory a otvorená architektúra vám umožňuje pridať podporu pre nové aplikácie a hardvérové ​​zariadenia (prostredníctvom mechanizmu konektorov).

    V súčasnosti sú čoraz dôležitejšie identifikačné systémy a riadenie prístupu k podnikovým informačným zdrojom (IDM). Avanpost nedávno vydal štvrtú verziu svojho produktu, softvérový balík Avanpost (pozri obrázok 8). Podľa vývojárov, na rozdiel od zahraničných riešení, implementácia IDM Avanpost 4.0 prebieha v krátkom čase a vyžaduje menšie náklady a jeho integrácia s ostatnými prvkami informačných systémov je najkompletnejšia. Navrhnuté ruská spoločnosť, produkt je v súlade s domácim regulačným rámcom v oblasti informačnej bezpečnosti, podporuje domáce certifikačné centrá, smart karty a tokeny, poskytuje technologickú nezávislosť v takej dôležitej oblasti, akou je komplexná kontrola prístupu k dôverným informáciám.

    Obrázok 8 Softvér Avanpost obsahuje tri hlavné moduly – IDM, PKI a SSO, ktoré je možné implementovať samostatne alebo v ľubovoľnej kombinácii. Produkt je doplnený o nástroje, ktoré vám umožňujú vytvárať a udržiavať vzory rolí, organizovať pracovný tok súvisiaci s riadením prístupu, vyvíjať konektory pre rôzne systémy a prispôsobovať správy.

    Avanpost 4.0 rieši problém integrovanej kontroly prístupu: IDM sa používa ako centrálny prvok podnikového informačného bezpečnostného systému, s ktorým sú integrované infraštruktúry PKI a Single Sign On (SSO). Softvér poskytuje podporu pre technológie dvoj- a trojfaktorovej autentifikácie a biometrickej identifikácie, implementáciu SSO pre mobilné platformy Android a iOS, ako aj konektory (moduly rozhrania) s rôzne aplikácie(Pozri obrázok 9).
    Obrázok 9 Architektúra Avanpost 4.0 zjednodušuje vytváranie konektorov, umožňuje pridávať nové autentifikačné mechanizmy a implementovať rôzne možnosti N-faktorovej autentifikácie (napríklad prostredníctvom interakcie s biometriou, systémami kontroly prístupu atď.).

    Ako zdôraznila spoločnosť Avanpost, popularita integrovaných systémov vrátane IDM, ACS a biometrického autentifikačného hardvéru bude na ruskom trhu postupne rásť, ale ešte väčší dopyt budú softvérové ​​technológie a riešenia, ktoré zahŕňajú mobilné zariadenia: smartfóny a tablety. Preto je v roku 2014 naplánované vydanie viacerých aktualizácií softvéru Avanpost 4.0.

    Na základe Avanpost 4.0 môžete vytvárať komplexné riadenie prístupu pre systémy, ktoré kombinujú tradičné aplikácie a privátne cloudy pracujúce na modeloch IaaS, PaaS a SaaS (druhý vyžaduje API cloudovej aplikácie). Avanpost hovorí, že jeho riešenie pre privátne cloudy a hybridné systémy je už plne vyvinuté a jeho komerčná propagácia sa začne hneď, ako bude na ruskom trhu stabilný dopyt po takýchto produktoch.

    Modul SSO obsahuje funkcie Avanpost Mobile, ktoré podporujú populárne mobilné platformy Android a iOS. Tento modul poskytuje bezpečný prístup cez prehliadač z mobilných zariadení k interným firemným portálom a intranetovým aplikáciám (portál, firemná pošta Microsoft Outlook Web App atď.). Verzia pre OS Android obsahuje vstavaný plnohodnotný systém SSO, ktorý podporuje VoIP telefóniu, video a videokonferencie (Skype, SIP), ako aj ľubovoľné Android aplikácie (napríklad klientov podnikové systémy: účtovníctvo, CRM, ERP, HR atď.) a cloudové webové služby.

    To eliminuje potrebu používateľov zapamätať si viacero párov identít (prihlasovacie heslo) a umožňuje organizácii presadzovať bezpečnostné politiky, ktoré vyžadujú silné, často menené heslá, ktoré sa v jednotlivých aplikáciách líšia.

    Pokračujúce posilňovanie štátnej regulácie v oblasti informačnej bezpečnosti v Rusku prispieva k rastu domáceho trhu nástrojov informačnej bezpečnosti. Podľa IDC tak v roku 2013 celkové tržby za riešenia bezpečnostného softvéru dosiahli viac ako 412 miliónov USD, čím prekročili rovnaké obdobie predchádzajúceho obdobia o viac ako 9 %. A teraz, po očakávanom poklese, sú prognózy optimistické: v najbližších troch rokoch môže priemerná ročná miera rastu presiahnuť 6 %. Najväčšie objemy predaja pripadajú na softvérové ​​riešenia na ochranu koncových zariadení (viac ako 50 % trhu informačnej bezpečnosti), monitorovanie zraniteľností a kontrolu bezpečnosti v firemné siete, ako aj o prostriedkoch identifikácie a kontroly prístupu.

    „Domáce kryptoalgoritmy nie sú horšie ako západné štandardy a dokonca podľa mnohých sú lepšie,“ hovorí Jurij Sergeev. - Pokiaľ ide o integráciu ruského vývoja v oblasti autentifikácie a EDS so zahraničnými produktmi, bolo by užitočné vytvoriť knižnice s otvoreným zdrojom a poskytovateľov kryptomien pre rôzne riešenia s ich kontrolou kvality zo strany FSB Ruska a certifikáciou jednotlivých stabilné verzie. V tomto prípade by ich výrobcovia mohli vložiť do navrhovaných produktov, ktoré by boli naopak certifikované ako nástroje na ochranu kryptografických informácií s prihliadnutím na správne používanie už overenej knižnice. Stojí za zmienku, že určitý úspech sa už dosiahol: dobrý príklad vyvíja záplaty na podporu GOST v openssl. Stojí však za to premýšľať o organizácii tohto procesu na štátnej úrovni.“

    „Ruský IT priemysel ide cestou vkladania domácich certifikovaných komponentov do zahraničných Informačné systémy. Táto cesta je v súčasnosti optimálna, pretože vývoj úplne ruských informačných a operačných systémov od nuly bude neprimerane zložitý a drahý, - poznamenáva Kirill Meshcheryakov. - Spolu s organizačnými a finančnými problémami, ako aj nedostatočne vypracovanými zákonmi, nízka úroveň vzdelania obyvateľstva v oblasti informačnej bezpečnosti a chýbajúca štátna informačná podpora pre domácich poskytovateľov bezpečnostných riešení bráni širokému využívaniu autentifikačných nástrojov a digitálnych podpisy. Hnacou silou trhu sú samozrejme obchodné platformy, systémy daňového výkazníctva, podnikové a vládne systémy pracovný tok. Za posledných päť rokov je pokrok vo vývoji tohto odvetvia obrovský.“

    Sergej Orlov- Vedúci redaktor časopisu Journal of Network Solutions / LAN. Možno ho kontaktovať na: