Microsoft TechDays Леонид Шапиро MCT ЦКО «Специалист»

Содержание

Слайд 2

Двухфакторная аутентификация в Службе Каталога AD DS

Леонид Шапиро
MCT
ЦКО «Специалист»

Двухфакторная аутентификация в Службе Каталога AD DS Леонид Шапиро MCT ЦКО «Специалист»

Слайд 3

Обзор

Что такое аутентификация
Важность аутентификации
Виды аутентификации
Пароль, биометрия, смарт карта…
Проблемы аутентификации с помощью пароля
Сложно

Обзор Что такое аутентификация Важность аутентификации Виды аутентификации Пароль, биометрия, смарт карта…
ли внедрить двухфакторную аутентификацию?
Требования для внедрения
Демонстрация внедрения двухфакторной аутентификации.
Подведем итоги…

Слайд 4

Что такое аутентификация? Основные понятия.

Идентификация – это процедура распознавания пользователя по его

Что такое аутентификация? Основные понятия. Идентификация – это процедура распознавания пользователя по
идентификатору.
Аутентификация – процедура доказательства того, что пользователь на самом деле является тем, за кого он себя выдает.
Авторизация – процедура предоставления пользователю определенных прав доступа к ресурсам системы.

Процесс регистрации пользователя в системе состоит из трёх взаимосвязанных, последовательно выполняемых процедур: идентификации, аутентификации и авторизации.

Слайд 5

Важность аутентификации

Необходимо убедиться в том, что пользователь является тем, за кого он

Важность аутентификации Необходимо убедиться в том, что пользователь является тем, за кого
себя выдает.
Необходимо убедиться в том, что устройство на другой стороне канала является «своим».
Бессмысленно организовывать защищенный канал связи, если неизвестно кто находится с другой стороны канала.

Слайд 6

Факторы аутентификации

Для подтверждения свой подлинности, субъект должен предоставить некоторую секретную информацию, которая

Факторы аутентификации Для подтверждения свой подлинности, субъект должен предоставить некоторую секретную информацию,
должна быть доступна только ему одному. Он может предъявлять системе различные виды информации.
Фактор аутентификации — определенный вид информации, предоставляемый субъектом системе при его аутентификации.

Слайд 7

Комбинация факторов

Многофакторная аутентификация - аутентификация, в процессе которой используется несколько типов аутентификационных

Комбинация факторов Многофакторная аутентификация - аутентификация, в процессе которой используется несколько типов
факторов.
Метод аутентификации (метод регистрации) – специфика использования определенного типа аутентификационных факторов в процедуре аутентификации.
Комбинация нескольких методов аутентификации, например, если служба аутентификации использует для аутентификации лицо и голос пользователя, не является многофакторной аутентификацией, так как оба используемых фактора относятся к одному типу аутентификационных факторов — «на основе биометрических данных».

Слайд 8

Какие бывают факторы

Иметь нечто (дискету, токен,...)
Знать нечто (пароль, логин,...)
Обладать некой биологической особенностью

Какие бывают факторы Иметь нечто (дискету, токен,...) Знать нечто (пароль, логин,...) Обладать
(отпечаток пальца, структура ДНК,...)
Находиться в определённом месте (IP-адрес, данные от радио-метки)

Слайд 9

Аутентификация на основе пароля

Просто реализовать
Не требует инфраструктуры PKI
Можно использовать политики для защиты

Аутентификация на основе пароля Просто реализовать Не требует инфраструктуры PKI Можно использовать политики для защиты

Слайд 10

Некоторые методы взлома при использовании пароля

Атака со словарем
Угадывание пароля
Социотехника
Принуждение
Подглядывание из-за плеча
Троянский конь

Некоторые методы взлома при использовании пароля Атака со словарем Угадывание пароля Социотехника

Слайд 11

Возможности защиты при аутентификации с помощью пароля (политика паролей)

Возможности защиты при аутентификации с помощью пароля (политика паролей)

Слайд 12

Возможности защиты при аутентификации с помощью пароля (блокировки учетных записей)

Возможности защиты при аутентификации с помощью пароля (блокировки учетных записей)

Слайд 13

Когда не помогает сложный пароль?

!AWZ!123yjgaX15
12ghVXG790Sy

Когда не помогает сложный пароль? !AWZ!123yjgaX15 12ghVXG790Sy

Слайд 14

Когда не помогает сложный пароль?

!AWZ!123yjgaX15
12ghVXG790Sy

Когда не помогает сложный пароль? !AWZ!123yjgaX15 12ghVXG790Sy

Слайд 15

Что будем использовать?

Двухфакторная аутентификация на основе смарт карт и USB – ключей
RFID

Что будем использовать? Двухфакторная аутентификация на основе смарт карт и USB –
метки для разграничения физического доступа

Слайд 16

Внедрение аутентификации на основе смарт карт

Использование с AD DS
Смарт карты и протокол

Внедрение аутентификации на основе смарт карт Использование с AD DS Смарт карты и протокол Kerberos
Kerberos

Слайд 17

Требования до ОС Windows Vista

Доверие корневому УЦ
CN=NTAuthCertificates, CN=Public Key Services, CN=Services,CN=Configuration,DC=nwtraders, DC=msft
Smart

Требования до ОС Windows Vista Доверие корневому УЦ CN=NTAuthCertificates, CN=Public Key Services,
Card Logon OID
Client Authentication OID
UPN
Private key в защищенном хранилище
Сертификат Domain Controller

Слайд 18

Требования для Windows Vista и выше

CRL Extension
Certificate storage
Manual mapping supported
EKU extension

Требования для Windows Vista и выше CRL Extension Certificate storage Manual mapping supported EKU extension

Слайд 19

Изменения в поведении системы при входе клиента

Ctrl+Alt+Delete
Выбор сертификата для использования
Lsass.exe

Изменения в поведении системы при входе клиента Ctrl+Alt+Delete Выбор сертификата для использования Lsass.exe

Слайд 20

Подведем итоги…

Аутентификация – это важно
Аутентификация с использованием пароля, потенциально опасна
Двухфакторная аутентификация -

Подведем итоги… Аутентификация – это важно Аутентификация с использованием пароля, потенциально опасна
повышает безопасность
Работает c AD и AD DS
Какие произошли изменения

Слайд 21

Сложно ли внедрить аутентификацию с помощью смарт карт и / или USB

Сложно ли внедрить аутентификацию с помощью смарт карт и / или USB
ключей в AD DS?

Как это будет работать с протоколом Kerberos?
Как настроить Удостоверяющий Центр?
А что у нас есть в групповых политиках?

Слайд 22

Настройка двухфакторной аутентификации в AD DS с помощью смарт карт и USB

Настройка двухфакторной аутентификации в AD DS с помощью смарт карт и USB
ключей

Леонид Шапиро
MCT
ЦКО «Специалист»

Демонстрация

Слайд 23

Подведем итоги…

Аутентификация и авторизация
Надежная аутентификация – это важно
Один или два фактора аутентификации
Смарт

Подведем итоги… Аутентификация и авторизация Надежная аутентификация – это важно Один или
карты и USB ключи – хорошее решение
Внедрение для аутентификации в AD DS

Слайд 24

Полезные материалы:

2821 Designing and Managing a Windows Public Key Infrastructure
2823 Implementing and

Полезные материалы: 2821 Designing and Managing a Windows Public Key Infrastructure 2823
Administering Security in a Microsoft Windows Server 2003 Network
2001B Построение структуры аутентификации в информационных системах на основе продуктов Aladdin
3001A Развертывание инфраструктуры открытых ключей. Использование смарт-карт и USB-ключей eToken.
Microsoft Press Brian Komar «Windows Server 2008 PKI and Certificate Security»
http://technet.microsoft.com/en-us/library/dd277386.aspx
http://technet.microsoft.com/en-us/library/dd367851(WS.10).aspx
http://technet.microsoft.com/en-us/library/cc721959(WS.10).aspx
http://www.specialist.ru/Security/#s112

Слайд 25

© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and

© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and
other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Имя файла: Microsoft-TechDays-Леонид-Шапиро-MCT-ЦКО-«Специалист».pptx
Количество просмотров: 225
Количество скачиваний: 0