Выбор средств двухфакторной аутентификации для Active Directory Domain Services

Построения двухфакторной аутентификации в корпоративной среде – ответственная задача. На что следует обратить внимание, чтобы реализовать адекватное потребностям рынка решение?

Введение

В «Системном Администраторе» а также в других изданиях, посвященных ИТ технологиям и вопросам информационной безопасности, неоднократно упоминалось о принципиальной ненадежности парольной аутентификации, а также крайней нежелательности использования запоминаемых паролей. Это особенно актуально в эпоху облачной эры, на пороге которой мы находимся. Вероятность компрометации конфиденциальной информации будет только возрастать. Разумным решением будет переход к более надежным методам доступа, а именно к двухфакторной аутентификации, причем вариантов технологических решений, как мы имели возможность убедиться в предыдущих материалах, множество. Здесь мы говорим и о технологиях асимметричной криптографии, о биометрическом доступе, использовании одноразовых паролей и т. д. На что же следует обратить внимания при выборе варианта двухфакторной аутентификации при том многообразии вендоров, которые существуют сегодня на рынке ИБ? Разумеется, я не буду рекомендовать конкретного поставщика решений.
Целью этой статьи является сделать обзор необходимых для корпоративного заказчика набора технологий, базируясь на которых можно выбрать конкретное решение для реализации в рамках службы каталога Active Directory. Рассмотрим аутентификацию на основе смарт карт и USB ключей.

Читать дальше →

Двухфакторная аутентификация. Теоретические основы. Часть №2.

Внедрение двухфакторной аутентификации на основе асимметричной криптографии в AD DS


Служба каталога Active Directory поддерживает возможность аутентификации с помощью смарт карт, начиная с Windows 2000.
По сути своей, возможность аутентификации с помощью смарт карт заложена в расширении PKINIT (public key initialization — инициализация открытого ключа) для протокола Kerberos RFC 4556. См. [1]. Расширение PKINIT позволяет использовать сертификаты открытого ключа на этапе предаутентификации Kerberos.
Благодаря чему и появляется возможность использования смарт карт. Т. е. мы можем говорить о возможности двухфакторной аутентификации в системах Microsoft на основе штатных средств, начиная с ОС Windows 2000, т. к. уже реализована схема Kerberos + PKINIT.

Читать дальше →

Двухфакторная аутентификация. Теоретические основы. Часть 1.

Введение. Знакомство с терминологией.

Когда идет речь о защите информации, одним из важнейших аспектов является защита от несанкционированного доступа. Разумеется, крайне важным вопросом является обеспечение процедуры безопасной аутентификации. Совершенно очевидно, что любое разграничение полномочий, настройка прав доступа на ресурсы системы имеет смысл только в том случае, если мы уверены в том, что тот, кто пытается получить доступ, является легальным пользователем.

Читать дальше →