آموزش تنظیم OTP در ویندوز سرور {فعال کردن رمز یکبار مصرف}

وقتی برای اولین بار موضوع رمز دوم پویا مطرح شد، اکثر مردم تمایلی به استفاده از آن نداشتند و آن را یک راهکار بی فایده می دانستند. ولی وقتی بحث امنیت است، استفاده از رمزهای دوم یک بار مصرف یک ایده بسیار کارسازی است که مایکروسافت هم به خوبی متوجه این قضیه است و ادمین ها می توانند با تنظیم OTP در ویندوز سرور به سطح جدیدی از امنیت دست پیدا کنند.

مایکروسافت با ادغام تکنولوژی DirectAccess و RRAS در یک نقش واحد، روش احراز هویت OTP (رمز یکبار مصرف) را وارد عمل کرد تا دسترسی ریموت به ویندوز سرور طی یک پروسه کاملاً امن و شفاف انجام شود.

اگر شما هم به عنوان یک ادمین حرفه ای اولین قدم خود را با خرید سرور مجازی ویندوز برداشته اید و دوست دارید که اقداماتی در زمینه امنیت هر چه تمام تر سرور خود انجام دهید، با ادامه مقاله همراه باشید:

کل سناریو تنظیم OTP در ویندوز سرور از چه قرار است؟

سرورهای ویندوز که به صورت ریموت قابل دسترسی هستند، نیاز به امنیت دارند. مایکروسافت هم به این موضوع اهمیت زیادی می دهد و به همین خاطر با ادغام ویژگی های جدید، تمام تلاش خود را می کند که تمام دسترسی های ریموت قابل کنترل و امن باشند.

احراز هویت دو مرحله ای با تنظیم OTP از تکنیک های امنیتی جدید مایکروسافت است که برای سرورهای مجهز به DirectAccess قابل پیاده سازی است. البته، این احراز هویت در کنار مرحله ورود با اعتبارنامه (نام کاربری و رمز) قرار می گیرد تا درجه امنیت دسترسی ها به حد ایده آل برسد.

در کل، این ویژگی برای ویندوز سرورهای محبوب 2012، 2016، 2019  و 2022 قابل پیاده سازی است. به این صورت که این سرورها DirectAccess و RRAS را تحت یک نقش قابل دسترسی ریموت ادغام می کنند. اگر با این اصطلاحات آشنا نیستید، اصلاً جای نگرانی نیست چون در ادامه در مورد هر کدام از آنها توضیحات لازم را ارائه می دهیم.

ولی، مهم این است که بدانید استفاده از رمز عبور یک بار مصرف برای احراز هویت توسط پیکربندی حاصل از ادغام DirectAccess و RRAS یک ایده عالی برای افزایش امنیت و جلوگیری از دسترسی های ریموت غیرمجاز است.

DirectAccess چیست؟

اتصال DirectAccess این امکان را به کاربران ریموت می دهد که بدون نیاز به یک شبکه خصوصی سازمانی بتوانند به منابع و سرور متصل شوند. با این نوع اتصالات، کامپیوترهای ریموت همیشه می توانند به شبکه سازمان متصل باشند و نیازی به پروسه شروع و توقف اتصالات توسط کاربران ریموت نیست.

در واقع، اتصالات DirectAccess طوری طراحی شده اند که با اتصال سیستم ریموت به اینترنت، پروسه اتصال به سرور هم به طور خودکار انجام می شود و احراز هویت هم از طریق اعتبارنامه هایی که در Active Directory وجود دارد، انجام می شود.

DirectAccess برای برقراری اتصال بین سرور و کاربر ریموت به پروتکل IPv6 متکی است و برای دسترسی به منابع اینترانت و سایر کلاینت های DirectAccess از IPv6 استفاده می کند. بعد از اینکه رمزگذاری ترافیک و بسته بندی انجام شد، کلاینت از فناوری تونل زنی موردنظر خود مثل 6TO4 استفاده می کند و بعد اتصالات و مدیریت دسترسی های ریموت انجام می شود.

در حالت کلی، قابلیت پیاده سازی برای چند وبسایت، افزایش امنیت دسترسی های ریموت و قابل کنترل بودن از طریق Group Policy ها از مهم ترین مزایای این نوع اتصالات هستند.

RRAS چیست؟

حتماً تا الان متوجه نقش شبکه خصوصی مجازی در حفظ امنیت و حریم خصوصی شبکه های خصوصی و عمومی چقدر مهم است. این بستگی به شما دارد که در این زمینه چقدر هزینه کنید و چه راهکارهایی را وارد عمل کنید ولی مایکروسافت با ارائه RRAS کارها را برای ادمین های ویندوز سرورها راحت تر کرده است و با استفاده درست از آن می توانید عملکرد شبکه خود را بالا ببرید.

RRAS (Routing and Remote Access service) نرم افزار API سرور مایکروسافت است که امکان ایجاد برنامه مسیریابی و سرویس دسترسی ریموت را فراهم می کند تا به عنوان روتر شبکه عمل کند. البته، خدمات مسیریابی و دسترسی ریموت این نرم افزار به صورت جداگانه کار می کنند و هر کدام پروتکل های مخصوص خود را دارند.

ولی چون موضوع بحث ما امنیت اتصالات ریموت است بهتر است روی سرویس دسترسی ریموت این API تمرکز کنیم. RRAS دسترسی کاربران ریموت را از طریق شبکه خصوصی فراهم می کند و این اتصال را می توان بر اساس IP پیاده سازی کرد یا مثل ISP ها کاری کنیم که برای اتصال ریموت به شبکه، احراز هویت را انجام دهند. همچنین، RRAS از اتصال مستقیم یا سایت به سایت رو سرور مختلف ریموت هم پشتیبانی می کند.

در کل، از مهم ترین خدمات RRAS می توان به موارد زیر اشاره کرد:

• دسترسی ریموت
• خدمات ترجمه آدرس شبکه
• سرور دسترسی ریموت Dial-up
•  مسیریابی
• سایر خدمات مربوط به روترها

پیش نیاز های تنظیم OTP در ویندوز سرور

قبل از اینکه نحوه راه اندازی این ویژگی امنیتی را بررسی کنیم، بهتر است پیش نیازهای آن را مرور کنیم:

• قبل از تنظیم OTP باید یک سرور DirectAccess دیپلوی کنید.
• کلاینت های ویندوز 7 برای پشتیبانی از OTP باید از DCA 2.0 استفاده کنند.
• OTP از تغییر پین پشتیبانی نمی کند.
• باید از یک زیرساخت کلید عمومی استفاده کنید.
• از خط مشی های خارج از کنسول مدیریتی DirectAccess یا  cmdlet های Windows PowerShell پشتیبانی می شود.

نیازهای سخت افزاری

• سیستم مجهز به قدرت سخت افزاری لازم برای ویندوز سرور 2012 یا 2016
• حداقل یک سیستم دارای ویندوز 7، 8 یا 10 به عنوان کلاینت DirectAccess
• سرور OTP با پشتیبانی PAP روی RADIUS
• یک توکن سخت افزاری یا نرم افزاری OTP

نیازهای نرم افزاری

برای اجرای این سناریو، نیاز به یک سری الزامات نرم افزاری دارید که در ادامه توضیح می دهیم:

– یک سیستم OTP برای احراز هویت IPsec  نیاز به مرجع صدور گواهینامه دارد که با استفاده از گواهی نامه های صادر شده توسط آن دیپلوی شود. در حالت کلی، IPsec در سیستم ریموت اکسس به عنوان یک پراکسی Kerberos پشتیبانی نمی شود به همین خاطر به یک CA داخلی نیاز است.

– برای صدور اعتبرنامه های OTP نیاز به یک Microsoft Enterprise CA است که روی سیستم عامل های 2003 به بالا اجرا می شود. البته می توان از همان CA که برای احراز هویت IPsec استفاده می شود هم استفاده کرد. سرور CA باید از طریق اولین تونل زیرساخت در دسترس باشد.

– برخی از کاربران خاص مثل ادمین ها از این مرحله احراز هویت با OTP معاف می شوند و به همین خاطر بهتر است یک گروه امنیتی Active Directory حاوی این کاربران خاص وجود داشته باشد.

– سیستم های ویندوز 8 و 10 از سرویس NCA برای بررسی نیاز به اعتبارنامه OTP استفاده می کنند و NCA هم در خود سیستم عامل وجود دارد و نیازی به نصب آن نیست. ولی اگر کلاینت مجهز به سیستم عامل 7 باشد، حتماً باید DCA 2.0 نصب شود.

نحوه احراز هویت با تنظیم OTP ویندوز سرور

سناریوی احراز هویت OTP شامل مراحل زیر است:

1. توسعه یک سرور DirectAccess با تنظیمات پیشرفته

قبل از تنظیم OTP در ویندوز سرور باید به فکر دیپلوی یک سرور remote access باشید. این پروسه شامل طراحی و پیکربندی یک توپولوژی شبکه، تنظیم و توسعه گواهینامه ها، راه اندازی DNS و Active Directory، پیکربندی تنظیمات سرور ریموت اکسس، دیپلوی کلاینت های DirectAccess و آماده سازی سرورهای اینترانت است.

در کل، اگر تمام مراحل دیپلوی سرور remote desktop را به درستی انجام دهید، کلاینت های directAccess که دارای سیستم عامل ویندوز 7، 8، 8.1  یا 10 هستند را از طریق DirectAccess به طور مستقیم و بدون نیاز به اتصالات اضافی، به منابع داخلی شبکه متصل کنند. در کل، با این کار سهولت دسترسی و مدیریتی که ادمین ها ویندوز سرور به دنبال آن هستند، فراهم می شود.

2. تنظیم دسترسی ریموت با روش احراز هویت OTP

علاوه بر اینکه باید به فکر تنظیم یک سرور واحد باشید، تنظیم OTP در ویندوز سرور نیاز به یک مرجع صدور گواهینامه مایکروسافت (CA)، الگوهای اعتبارنامه برای OTP و یک سرور OTP مجهز به RADIUS دارد.

همچنین، اقداماتی مثل استفاده از Group Policy برای جلوگیری از احراز هویت OTP برای برخی از کاربران خاص نیز جزو این پروسه تنظیم هستند.

پس بعد اینکه سرور DirectAccess را با تنظیمات پیشرفته توسعه دادید، نوبت به تنظیم سرور RADIUS می رسد. توجه داشته باشید که مرحله دیپلوی سرور RADIUS  نیاز پیکربندی مواردی مثل پورت دارد که حتماً باید آن را یادداشت کنید چون در مرحله پیکربندی سرور ریموت اکسس به آنها نیاز خواهید داشت.

درست بعد از اینکه گواهی OTP را هم وارد عمل کردید، نوبت به آن می رسد که سرور ریموت اکسس را برای OTP تنظیم کنید.

اگر این مراحل را به درستی طی کنید، مراحل زیر با موفقیت طی خواهند شد:

• کلاینت DirectAccess یک رمز یکبار مصرف درخواست می کند.
• سرور ریموت اکسس این درخواست را دریافت می کند و اعتبار این درخواست را بررسی می کند.
• در صورت معتبر بودن، سرور به عنوان یک مرجع وارد عمل می شود و یک گواهی OTP را صادر می کند.
• این OTP به کلاینت DirectAccess ارسال می شود.
• کلاینت این گواهی OTP که توسط سرور ریموت اکسس امضا و ارسال شده است را ثبت می کند.

3. پیکربندی DirectAccess با احراز هویت OTP

در این مرحله باید یک سری مراحل مهم مثل آماده سازی زیرساخت احراز هویت OTP، پیکربندی سرور OTP، پیکربندی تنظیمات OTP روی سرور ریموت اکسس و بروزرسانی تنظیمات کلاینت DirectAccess را اجرا کنید.

4. عیب یابی ساختار OTP

در این مرحله باید خطاهای رایج مربوط به احراز هویت یا نحوه فعال سازی OTP را شناسایی و رفع کنید.

نقش ها و ویژگی های مربوط به سناریو تنظیم OTP در ویندوز سرور

نقش: Remote Access Management

این نقش یا role که توسط کنسول Server Manager نصب و حذف می شود، دو سرویس DirectAccess و RRAS که قبلاً مربوط به ویژگی ها و نقش ها دیگر بودند را شامل می شود.

این role به چند مورد از ویژگی های سرور وابسته است:

وب سرور IIS – این وب سرور برای کارهایی مثل پیکربندی NLC جهت شناسایی لوکیشن کلاینت های DirectAccess، استفاده از روش احراز هویت OTP و … ضروری است.

پایگاه داده داخلی ویندوز – این پایگاه داده برای حسابداری محلی سرور ریموت اکسس استفاده می شود.

ویژگی : Remote Access Management Tools

این ویژگی، طی مراحل زیر نصب می شود:

– این ویژگی بعد از نصب نقش ریموت اکسس به طور پیش فرض توسط سرور نصب می شود و از رابط کاربری کنسول ریموت اکسس پشتیبانی می کند.

– در صورت تمایل می توان این ویژگی را روی هر سروری که نقش ریموت اکسس را اجرا نمی کند هم نصب کرد که برای مدیریت سیستم ریموتی که در حال اجرای RRAS و DirectAccess است، استفاده کرد.

ویژگی های این ابزار شامل موارد زیر است:

• ابزارهای دسترسی ریموت گرافیکی و مبتنی بر خط فرمان
• ماژول دسترسی ریموت برای Windows PowerShell

البته این ویژگی وابستگی های مخصوص به خود را دارد که شامل موارد زیر است:

• کنسول مدیریت Group Policy
• کیت مدیریت اتصال RAS (CMAK)
• Windows PowerShell 3.0
• ابزارها و زیرساخت مدیریت گرافیکی

تاثیر OTP در امینت ویندوز سرور

استفاده از فناوری OTP در اتصالات DirectAccess، امنیت ویندوز سرور و در کل شبکه را بالا می برد چون یک کاربر برای دسترسی به شبکه نیاز به اعتبارنامه OTP دارد که این اعتبارنامه ها هم توسط اتصالات Workplace سیستم های ویندوز 8 و 10 یا DCA سیستم های ویندوز 7 ارائه می شود.

کافیست مراحل زیر را بررسی کنید تا متوجه شوید چرا تنظیم OTP در ویندوز سرور باعث افزایش امنیت می شود:

1. کلاینت DirectAccess برای دسترسی به سرورهای زیرساخت DirectAccess از طریق تونل زیرساخت اعتبارنامه دامنه را وارد می کند. اگر اتصال انجام نشود، Workplace، نقص اعتبارنامه و اختلال در اتصال را به کاربر اطلاع می دهد. بعد یک پاپ-آپ باز می شود و اطلاعات اعتبارنامه کارت هوشمند یا SMART CARD درخواست می شود.
2. بعد از اینکه اعتبارنامه OTP وارد شد، این اطلاعات همراه درخواست گواهی ورود به کارت هوشمند از طریق SSL به سرور ریموت اکسس ارسال می شود.
3. سرور ریموت اکسس پروسه تایید اعتبار OTP را شروع می کند و این کار را توسط سرور OTP مبتنی بر RADIUS انجام می دهد.
4. در صورت موفقیت آمیز بودن، سرور ریموت اکسس با استفاده از CA درخواست گواهی را امضا می کند و آن را به کلاینت DirectAccess کاربر ارسال می کند.
5. کلاینت DirectAccess این گواهی امضاشده را به CA ارسال می کند و آن را توسط Kerberos SSP/AP ذخیره می کند.
6. بعد از این مراحل، کاربر با استفاده از گواهی به طور کاملاً امن و شفاف احراز هویت می کند و به شبکه متصل می شود.

نکات مهمی که باید موقع تنظیم OTP در ویندوز سرور بدانید!

• احراز هویت OTP همزمان و موازی با احراز هویت مبتنی بر Smart Card و TPM قابل استفاده است.
• فعال کردن OTP در کنسول Remote Access Management، استفاده از روش احراز هویت کارت هوشمند را هم امکان پذیر می کند.
• با ایجاد یک گروه امنیتی می توانید بعضی از کاربران را از احراز هویت دو مرحله ای معاف کنید تا فقط با نام کاربری و رمز احراز هویت کنند.
• امکان استفاده از روش احراز هویت OTP برای چند سایت با دسترسی ریموت وجود دارد و برای همه نقاط ورودی اعمال می شود.
• کاربرانی که از توکن KEY FOB OTP استفاده می کنند، باید پین و بعد کد رمز را در دیالوگ DirectAccess OTP وارد کنند.
• کاربرانی که از توکن PIN PAD OTP استفاده می کنند، فقط باید کد رمز را در دیالوگ DirectAccess OTP وارد کنند.
• وقتی WEBDAV فعال است، OTP نباید فعال شود.

کلام آخر

امنیت یکی از عناصر مهم در دنیای شبکه و سرور است و تمام تلاش خود را کردیم که نحوه تنظیم OTP در ویندوز سرور برای شما قابل درک باشد و با استفاده از این اطلاعات بتوانید سطح امنیت سرور خود را در برابر دسترسی های ریموت به حداکثر برساند. اگر در این زمینه نیاز به اطلاعات بیشتری دارید، می توانید از بخش یادگیری مایکروسافت کمک بگیرید و علامت سوال های خود را دنبال کنید.

از اینکه تا انتهای مقاله با ما همراه بودید، از شما متشکریم. امیدواریم که مطالعه این مقاله برای شما مفید واقع شده باشد. در صورت داشتن هرگونه سوال، درخواست و نیاز به راهنمایی، می توانید با ثبت نظر خود، با ما وارد ارتباط شوید تا هر چه زودتر به شما پاسخ دهیم.