Microsoft TechDayshttp:// Леонид Шапиро MCT ЦКО «Специалист»

Microsoft TechDayshttp:// Что такое аутентификация Важность аутентификации Виды аутентификации Пароль, биометрия, смарт карта… Проблемы аутентификации с помощью пароля Сложно ли внедрить двухфакторную аутентификацию? Требования для внедрения Демонстрация внедрения двухфакторной аутентификации. Подведем итоги…

Microsoft TechDayshttp:// Идентификация – это процедура распознавания пользователя по его идентификатору. Аутентификация – процедура доказательства того, что пользователь на самом деле является тем, за кого он себя выдает. Авторизация – процедура предоставления пользователю определенных прав доступа к ресурсам системы.

Microsoft TechDayshttp:// Необходимо убедиться в том, что пользователь является тем, за кого он себя выдает. Необходимо убедиться в том, что устройство на другой стороне канала является «своим». Бессмысленно организовывать защищенный канал связи, если неизвестно кто находится с другой стороны канала.

Microsoft TechDayshttp:// Для подтверждения свой подлинности, субъект должен предоставить некоторую секретную информацию, которая должна быть доступна только ему одному. Он может предъявлять системе различные виды информации. Фактор аутентификации определенный вид информации, предоставляемый субъектом системе при его аутентификации.

Microsoft TechDayshttp:// Многофакторная аутентификация - аутентификация, в процессе которой используется несколько типов аутентификационных факторов. Метод аутентификации (метод регистрации) – специфика использования определенного типа аутентификационных факторов в процедуре аутентификации. Комбинация нескольких методов аутентификации, например, если служба аутентификации использует для аутентификации лицо и голос пользователя, не является многофакторной аутентификацией, так как оба используемых фактора относятся к одному типу аутентификационных факторов «на основе биометрических данных».

Microsoft TechDayshttp:// Иметь нечто (дискету, токен,...) Знать нечто (пароль, логин,...) Обладать некой биологической особенностью (отпечаток пальца, структура ДНК,...) Находиться в определённом месте (IP-адрес, данные от радио-метки)

Microsoft TechDayshttp:// Просто реализовать Не требует инфраструктуры PKI Можно использовать политики для защиты

Microsoft TechDayshttp:// Атака со словарем Угадывание пароля Социотехника Принуждение Подглядывание из-за плеча Троянский конь

Microsoft TechDayshttp://

!AWZ!123yjgaX15 12ghVXG790Sy

Microsoft TechDayshttp:// !AWZ!123yjgaX15 12ghVXG790Sy

Microsoft TechDayshttp:// Двухфакторная аутентификация на основе смарт карт и USB – ключей RFID метки для разграничения физического доступа

Microsoft TechDayshttp:// Использование с AD DS Смарт карты и протокол Kerberos

Microsoft TechDayshttp:// Доверие корневому УЦ CN=NTAuthCertificates, CN=Public Key Services, CN=Services,CN=Configuration,DC=nwtraders, DC=msft Smart Card Logon OID Client Authentication OID UPN Private key в защищенном хранилище Сертификат Domain Controller

Microsoft TechDayshttp:// CRL Extension Certificate storage Manual mapping supported EKU extension

Microsoft TechDayshttp:// Ctrl+Alt+Delete Выбор сертификата для использования Lsass.exe

Microsoft TechDayshttp:// Аутентификация – это важно Аутентификация с использованием пароля, потенциально опасна Двухфакторная аутентификация - повышает безопасность Работает c AD и AD DS Какие произошли изменения

Microsoft TechDayshttp:// Как это будет работать с протоколом Kerberos? Как настроить Удостоверяющий Центр? А что у нас есть в групповых политиках?

Microsoft TechDayshttp:// Леонид Шапиро MCT ЦКО «Специалист»

Microsoft TechDayshttp:// Аутентификация и авторизация Надежная аутентификация – это важно Один или два фактора аутентификации Смарт карты и USB ключи – хорошее решение Внедрение для аутентификации в AD DS

Microsoft TechDayshttp:// Designing and Managing a Windows Public Key Infrastructure 2823 Implementing and Administering Security in a Microsoft Windows Server 2003 Network 2001B Построение структуры аутентификации в информационных системах на основе продуктов Aladdin 3001A Развертывание инфраструктуры открытых ключей. Использование смарт-карт и USB-ключей eToken. Microsoft Press Brian Komar «Windows Server 2008 PKI and Certificate Security»

Microsoft TechDayshttp:// © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.