Объединение
логического
и физического доступа

Получить решение

Описание решения

Задача

На большинстве современных предприятий сотрудники используют бесконтактные карты (пропуска) для получения физического доступа - в бизнес центр, в офис, на территорию завода и пр. Часто такие карты выполняют и роль служебного удостоверения - на них наносятся фото, ФИО и должность работника. Использование таких пропусков стало обыденной практикой и вполне логично распространить ее не только на физический, но и логический доступ в информационные системы компании.

Для использования пропусков для аутентификации сотрудников можно сформулировать такие задачи:

  • Необходимо обеспечить аутентификацию пользователей при доступе:
    • в ОС Windows (доменный ПК)
    • в целевые приложения
  • Решение должно поддерживать как однофакторный вариант аутентификации - только по карте, так и двухфакторный - по карте и PIN коду.
  • Должна быть возможность заблокировать сессию пользователя, если он убирает карту со считывателя (покидает рабочее место).
  • Возможность программной интеграции с системой контроля и управления физическим доступом (СКУД) для учета местоположения сотрудника в момент входа на ПК - не предоставлять доступ к ПК, если сотрудник не зарегистрирован в здании.

Решение

Для решения данной задачи используется программный комплекс Indeed Access Manager (Indeed AM). Комплекс позволяет реализовать необходимые сценарии аутентификации в ОС Windows и приложениях.

Доступ в операционную систему Windows с применением учетных данных домена Active Directory обеспечивается с помощью компонента Indeed AM Windows Logon. Данный компонент реализует Credential Provider - интерфейс доступа в операционную систему. Штатный интерфейс входа в ОС заменяется на интерфейс Indeed AM Windows Logon, где доступна возможность применения различных технологий аутентификации, в частности, с использованием RFID-карт. Интеграция с Windows выполняется по штатным протоколам, что позволяет обеспечить совместимость с подсистемой аутентификации Windows и применять Indeed AM Windows Logon в различных сценариях доступа: локальный вход на ПК, удаленный рабочий стол (RDP), аутентификация внутри ОС. Система является централизованной, что позволяет входить на один ПК с использованием своих пропусков разным сотрудникам (с использованием своих доменных учетных записей), также, один сотрудник может выполнять вход на любой ПК домена.

Indeed AM Windows Logon может работать в режиме однофакторной аутентификации по бесконтактной карте, когда для аутентификации достаточно приложить карту к считывателю, и в режиме двухфакторной аутентификации, когда для входа требуется приложить карту и ввести PIN-код. Дополнительно по запросу бесконтактная карта может быть объединена с другими факторами, например отпечатком пальца.

Indeed AM поддерживает следующие форматы бесконтактных карт:

  • Mifare
  • EM Marin
  • HID Prox
  • HID iClass

Indeed Access Manager не заменяет штатную систему аутентификации Active Directory, а автоматизирует управление паролями пользователей. В такой конфигурации парольная аутентификация становится внутренним механизмом, который используется только на программном уровне. В момент регистрации в Indeed Access Manager первого аутентификатора (RFID-карты и др.) пользователя его пароль автоматически меняется на случайное значение, которое не сообщается ни пользователю, ни администратору системы. Таким образом, доступ в домен становится возможным только с использованием технологии Indeed AM. В дальнейшем пароль пользователя меняется автоматически либо по требованию операционной системы, либо по заданному расписанию.

Indeed AM Windows Logon поддерживает штатную доменную политику “Поведение при извлечении смарт-карты”, которая может быть настроена на блокировку сессии Windows, когда пользователь убирает пропуск со считывателя. Таким образом можно усилить информационную безопасность, блокирую ПК при покидании пользователем своего рабочего места.

Для приложений, с которыми сотрудники работают на своих ПК (по схеме “толстый” или “тонкий” клиент), биометрическая аутентификация реализуется с помощью компонента Indeed AM Enterprise Single Sign-On (Indeed AM ESSO). Indeed AM ESSO позволяет интегрироваться с целевым приложением без необходимости программного вмешательства в работу приложений. Для этого используется перехват экранных форм входа, разблокировки и смены пароля в приложении, перехват осуществляется с помощью Indeed AM ESSO агента, устанавливаемого на рабочие станции пользователей. В момент, когда появляется форма входа в целевое приложение, экран блокируется и от пользователя требуется пройти процедуру аутентификации: приложить палец к сканеру отпечатков и др.; после чего агент Indeed AM ESSO автоматически заполняет форму входа и пользователь получает доступ в приложение.

Опционально для учета местоположения сотрудника при его аутентификации может быть выполнена интеграция с СКУД системой. Для этого потребуется разработка специализированного модуля, который позволит получать из СКУД данные о том, где сейчас зарегистрирован пропуск сотрудника (внутри какого помещения/периметра). Используя этот модуль, сервер Indeed Access Manager перед тем, как предоставить доступ к ПК, будет обращаться к СКУД и проверять местоположение сотрудника. Если окажется, что ПК, к которому происходит доступ, и пользователь зарегистрированы в разных помещениях/периметрах, пользователь не получит доступ, даже если предъявит верные аутентификационные данные.

Основные компоненты

В состав Indeed Access Manager входят следующие основные компоненты:

Indeed AM Server (Сервер) - серверный компонент инфраструктуры Indeed Access Manager. Сервер обеспечивает централизованное хранение и защиту данных пользователей, осуществляет процедуру аутентификации пользователя, прием и обработку запросов со стороны клиентских компонент и со стороны инструментов администратора. Наличие сервера гарантирует пользователю доступность данных с любого ПК. Сервер дает возможность администратору настраивать параметры доступа сотрудника (или группы сотрудников), вносить глобальные изменения в систему.

Indeed AM Windows Logon - клиентское ПО, устанавливаемое на рабочие места сотрудников. Windows Logon обеспечивает возможность доступа в Windows с помощью технологий строгой аутентификации пользователей.

Indeed AM ESSO агент - клиентское ПО, устанавливаемое на рабочие места сотрудников. ESSO агент выполняет перехват экранных форм приложений и обеспечивает возможность доступа в них с помощью технологий строгой аутентификации пользователей.

База данных Indeed Access Manager. В базе хранятся настройки системы и эталонные биометрические шаблоны, используемые сервером для аутентификации пользователей.

Журнал Indeed AM. Все события, возникающие в системе сохраняются в журнале Indeed AM. Журнал фиксирует дату, время, имя пользователя, имя учетной записи Active Directory, имя учетной записи целевой системы, факт использования учетный данных, факт входа в целевые системы и т.п. В журнале фиксируется каким способом и с применением какой технологии аутентификации сотрудник получал доступ в систему.

Модуль интеграции со СКУД системой. Данный модуль обеспечивает взаимодействие со СКУД и получение данных о местоположении сотрудника.

отзывы клиентов

Александр Лавров

начальник службы безопасности «СТС Медиа»

Внедрение многофакторной аутентификации сотрудников и контроль действий администраторов, подрядчиков и тех, кто работает в удаленном формате, – это этапы комплексной работы над повышением уровня информационной безопасности компании. Сейчас мы закрыли парольную брешь линейных сотрудников и пользователей, имеющих привилегированные права, то есть многократно снизили количество потенциальных несанкционированных точек входа в нашу систему извне и тем самым защитили расширяющиеся границы периметра информационной безопасности.

Подробнее
Николай Чуприн

руководитель отдела информационных систем Группы компаний ЕПК

PAM имеет в своей структуре компоненты для контроля действий сотрудников – администраторов системы. Теперь мы можем в любой момент самостоятельно расследовать любой инцидент, произошедший в информационной системе компании. Эффект роста самодисциплины распространился не только на тех, кому предоставлена возможность административного управления системой.

Подробнее
Владимир Солонин

директор по информационной безопасности, «СДМ-Банк»

Внедрение было комплексным. Внедрялось сразу несколько систем, отвечающих за создание новых пользователей при заведении в кадровую систему, а также за автоматизированную смену паролей, управление сертификатами пользователей, ограничение доступа в случае отпуска или ухода из офиса. Важный критерий выбора вендора – российское происхождение. Простота внедрения, опыт успешных внедрений в банках, качественная поддержка и открытость к пожеланиям заказчика – тоже важные факторы. Мы несем ответственность перед клиентами за то, чтобы системы защиты работали, а новые внедряемые системы не усложняли существующие процессы.

Подробнее
Анатолий Скородумов

начальник отдела информационной безопасности ОАО «Банк «Санкт-Петербург»

Нам удалось убедить бизнес в экономической целесообразности внедрения системы биометрической аутентификации прежде всего из-за неотделимости аутентификаторов (пальцев) от пользователя. Передать аутентификатор физически нельзя, и подделать его при современном уровне сканеров отпечатков пальцев достаточно сложно. Ушли все риски, связанные с проблемами использования парольного доступа и компрометацией: с подбором пароля, с передачей пароля коллегам по работе, с записью паролей в блокнотах, на листочках календаря, на стикерах, приклеиваемых к монитору

Подробнее
Алексей Иванов

начальник управления информационной безопасности и контроля департамента информационной безопасности и охраны компании «КИТ Финанс»

Сотрудники теперь не записывают свои пароли где-нибудь, так как просто их не знают. Пароли генерируются с учетом сложности самой системой. Пользователь лишь идентифицирует себя по отпечатку пальца при необходимости ввода пароля в систему.

Подробнее
Иван Чернокнижников

руководитель отдела информационных технологий компании ООО «Газпром сера»

Важными критериями для нас были: наличие полноценной технической поддержки для оперативного решения вопросов, возникающих в ходе внедрения и эксплуатации системы, а также простота и удобство использования системы, поскольку пользователи обладают различным уровнем знаний в области информационных технологий.

Подробнее

Получить консультацию

Опыт работы ключевых сотрудников компании в отрасли информационной безопасности составляет более 10 лет. Силами наших специалистов успешно реализованы сотни проектов для компаний из различных отраслей: банки, телекоммуникация, энергетика, транспорт, государственные и учебные заведения.

связаться с нами

Антон Шлыков

Руководитель службы технической поддержки

Николай Ильин

Эксперт по аутентификации пользователей

Николай Лазицкий

Эксперт по управлению цифровыми сертификатами

Максим Кузьмов

Эксперт по управлению привилегированными учетными записями
связаться с нами

другие решения

Биометрическая аутентификация сотрудников
Внедрение двухфакторной аутентификации и ЭЦП
Система централизованного управления доступом
Объединение логического и физического доступа
Защита удаленного доступа
Выполнение требований стандарта PCI DSS
Корпоративное удостоверение сотрудника
Выполнение требований Приказов ФСТЭК России