2FA Двухфакторная аутентификация от ESET (ESET Secure Authentication | Защита RDP | Защита входа)
ESET Secure Authentication (2FA Двухфакторная аутентификация) позволяет усилить защиту локальной и удаленных учетных записей, VPN доступ, веб-приложения Microsoft, доступ к 1С и многое другое. И в данном видео мы познакомимся с методом двухфакторной аутентификации, а также выполним настройку программы ESET Secure Authentication для защиты локального или удаленного входа в систему через протокол RDP.
2FA Двухфакторная аутентификация
Для всех нас уже стало привычно подтверждать определенные операции через SMS сообщения. Будь то бухгалтер в компании или рядовой пользователь, осуществляющий покупки через сеть интернет.
А что, если бы можно было реализовать подобную систему внутри компании?
Допустим злоумышленник узнал пароль от учетной записи пользователя и рассчитывает получить доступ к конфиденциальным данным этого пользователя или компании. Но, у него это не получится, так как система настроена таким образом, что при выполнение определенных операций требуется подтверждение через личный сотовый телефон сотрудника. И при попытке злоумышленником получить доступ, сотрудник сразу будет об этом оповещен.
Так вот решение Secure Authentication от компании ESET позволяет это сделать посредством двухфакторной аутентификации. Но кроме защиты локальной учетной записи пользователя она также позволяет защищать VPN доступ, веб-приложения Microsoft, доступ к 1С и многое другое.
А в формате данного видео мы рассмотрим настройку программы для защиты локального или удаленного входа в систему через протокол RDP.
Как работает двухфакторная аутентификация?
В результате данного видео мы получим следующую систему. Когда пользователь попытается выполнить вход на локальную машину или удаленно через протокол RDP, то ему на сотовый телефон будет отправлен код подтверждения. После ввода которого, пользователь получит доступ к локальному или удаленному компьютеру.
Процесс реализации двухфакторной аутентификации.
- Предварительные настройка
- Установка сервера аутентификации
- Обзор компонентов защиты ESET Secure Authentication
- Активация ESET Secure Authentication
- Настройка защиты
- Установка приложения на телефоне (iPhone Android)
- Проверка защиты при доступе к серверу через RDP
- Проверка защиты при локальном входе в систему
- Проверка защиты при разблокировке экрана
Предварительные настройка
Какие программы нам понадобятся?
Дистрибутив программы - https://eset.ru/it_skills_download_access
NET Framework - https://support.microsoft.com/ru-ru/help/4054530/microsoft-net-framework-4-7-2-offline-installer-for-windows
Также потребуется разрешить удаленное подключение через протокол RDP (Мой компьютер \ Свойства \ Дополнительные параметры \ Удаленный доступ \ Разрешить удаленное подключение)
После выполнения всех необходимых настроек желательно перезагрузить сервер, чтобы не возникало ошибок!
Установка сервера аутентификации
Запускаем скачанный файл \ Принимаем лицензионное соглашение \ Выбираем тип установки, так как у меня есть домен, то я выбираю Интеграция в Active Directory \ Установщик проверяет все необходимые условия для установки, все проблемы должны быть устранены до начала установки, чтобы все корректно встало и не вызывало ошибок.
Выбираем устанавливаемые компоненты. Давайте установим основные компоненты серверной части (Сервер аутентификации, Инструменты управления, Мастер отчетов – устанавливать не будем, так как в рамках данного видео он нам не понадобится), а также компоненты защиты входа пользователя в домен (login) и подключение к удаленному рабочему столу.
Помимо этого, есть еще следующие способы защиты:
- RADIUS Server for VPN Protection – защита VPN подключений
- Защита веб-приложений
- Microsoft Exchange Server
- Microsoft SharePoint Server
- Remote Desktop Web Access
- Microsoft Dynamics CRM
- Remote Web Access (Удаленный веб-доступ Microsoft)
- AD FS
Next \ Указываем номера портов (оставляем все по умолчанию) \ Вводим имя пользователя и пароль, для доступа к консоли управления \
После установки необходимо перезагрузить сервер.
Запускаем консоль Web Console управления и авторизируемся под созданным в процессе установки логином и паролем \ SUBMIT.
Активация программы
Теперь нам необходимо программу активировать, чтобы все работало как надо (ESA Web Console \ Settings \ License \ Enter a license key \ Вставляем лицензионный ключ)
Как его получить? Для этого вам потребуется оставить заявку на сайте ESET по данной ссылочке - https://eset.ru/it_skills_download . В ответ Вам отправят тестовый 30 дневный ключ с защитой 5 пользователей. Этого периода вполне достаточно, чтобы протестировать функционал.
После активации появятся сведения о лицензии, это лицензия на 5 пользователей.
Настройка защиты
Давайте изменим стандартное имя защищаемой компании (Settings \ Mobile Applications \ Account Name \ IT-Skills)
Весь основной процесс настройки защиты построен на настройке учетных записей пользователей домена в консоли управления. (Users \ AD \ office.loc \Users)
Выбираем учетную запись пользователя, которую требуется защитить (Администратор) и вводим номер телефона, через который будет выполняться подтверждение выполнения операций (Mobile Number +7983_______)
Далее требуется выбрать метод подтверждения. Существуют следующие способы:
SMS-based OTPs - SMS уведомления в базовой лицензии не предусматриваются, данный функционал нужно докупать.
Mobile Application OTP - одноразовый пароль или пин-код, генерируемый в мобильном приложении:
Event-based (HOTP) - когда пароль не имеет срока действия, т.е. он будет сгенерирован каждый раз при запросе
Time-based (TOTP) - генерируется каждый раз новый, по истечении определенного промежутка времени, т.е обновляется каждые 30 секунд.
Mobile Application Push – всплывающие уведомления в мобильном приложении. У нас запрашивается разрешить определенное действие и мы можем либо разрешить, либо запретить. Нет необходимости вводить пароль. Собственно то, о чем я показывал в самом начале.
Hard Token – физические ключи
FIDO - получение ключа через сайт
Выбираем Mobile Application Push и нажимаем на SAVE. На указанный вами номер телефона придет СМС с ссылкой на установку приложения для телефона. Переходим по ссылке (ADD ACCOUNT \ OPEN \ Открыть в App Store \ Установить \ Открыть \ Принимаем лицензионное соглашение \ Можно защитить запуск приложения PIN кодом \ Нет \ Разрешить отправку уведомлений \ Закрываем программу).
По умолчанию компонент Windows Login защищает систему при первом входе. Предлагаю добавить еще защиту входа в систему после блокировки экрана. (Components \ Windows Login \ Settings \ Protect access with 2FA n Windows Lock Screen)
Проверка работоспособности
Давайте проверим подключение к серверу через RDP с клиентского компьютера (Удаленное подключение к рабочему столу \ server \ office\администратор \ пароль \ подтверждение входе через телефон) и вход после блокировка рабочего стола (Пуск \ Пользователь \ Заблокировать \ Ctrl+Alt+Del \ Вводим пароль \ Подтверждаем с мобильного телефона)
Стоит учесть, что данная защита будет работать только на тех машинах, на которых установлены компоненты защиты. Т.е. если мы попытаемся выполнить вход под администратором домена на рабочую станцию, то запрос не будет отправлен, так как на этой машине компоненты защиты не установлены!
Чтобы обеспечить максимальный уровень защиты вашей компании, требуется установить компоненты на все рабочие станции. Для автоматизации данного процесса можно использовать групповую политику, слава богу данная программа поддерживает подобный способ установки. Но, это уже тема для отдельного видео.
Давайте подведем некий итог проделанной работе.
Из данного видео вы узнали, что такое двухфакторная аутентификация, установили и настроили решение Eset Secure Authentication, а также проверили ее в боевых условиях. Как вы убедились, процесс настройки довольно простой и не занимает много времени.
Могу сказать, что рассмотренные примеры, это далеко не все, что умеет данная программа. Взять допустим защиту доступа пользователей к 1С через API. Данный функционал серьезно усилит защиту самой главной финансовой программы компании.
Да, программа не бесплатная, но ее возможности позволяют максимально усилить уровень информационной безопасность компании. Да и в конечном итоге вы же её покупаете не для личного пользования, а для повышения защищенности.
Все необходимые ссылки вы найдете в описании к данному видео.
Если у вас остались какие-то вопросы или пожелания пишите их в комментариях.
В описании данного видео, есть временные метки, по которым вы сможете сразу перейти к моменту в видео, который вас больше всего интересует.
Список временных меток:
- 00:01 - Что такое двухфакторная аутентификация?
- 01:17 - Демонстрация ESET Secure Authentication на практике
- 02:40 – Этапы внедрения ESA
- 02:50 - Предварительные настройка
- 03:54 - Установка сервера аутентификации
- 05:16 – Обзор компонентов защиты ESET Secure Authentication
- 08:58 - Активация ESET Secure Authentication
- 10:15 - Настройка защиты
- 15:00 – Установка приложения на телефоне (iPhone Android)
- 16:18 - Проверка работоспособности
- 16:30 – Проверка защиты при доступе к серверу через RDP
- 17:28 – Проверка защиты при локальном входе в систему
- 18:34 – Проверка защиты при разблокировке экрана
- 20:03 - Вывод