Объединение
логического
и физического доступа

Решение на основе Indeed AM реализует подход единой карты доступа сотрудника и обеспечивает логический доступ в ОС и приложения с помощью карты СКУД

Запланировать демонстрацию

Описание решения

Задача

На большинстве современных предприятий сотрудники используют бесконтактные карты (пропуска) для получения физического доступа - в бизнес-центр, в офис, на территорию завода и пр. Часто такие карты выполняют и роль служебного удостоверения - на них наносятся фото, ФИО и должность работника. Использование таких пропусков стало обыденной практикой и вполне логично распространить ее не только на физический, но и логический доступ в информационные системы компании.

Для использования пропусков для аутентификации сотрудников можно сформулировать такие задачи:

  • Необходимо обеспечить аутентификацию пользователей при доступе:
    • в ОС Windows (доменный ПК)
    • в целевые приложения

  • Решение должно поддерживать как однофакторный вариант аутентификации - только по карте, так и двухфакторный - по карте и PIN коду.
  • Должна быть возможность заблокировать сессию пользователя, если он убирает карту со считывателя (покидает рабочее место).
  • Возможность программной интеграции с системой контроля и управления физическим доступом (СКУД) для учета местоположения сотрудника в момент входа на ПК - не предоставлять доступ к ПК, если сотрудник не зарегистрирован в здании.

Решение

Для решения данной задачи используется программный комплекс Indeed Access Manager (Indeed AM). Комплекс позволяет реализовать необходимые сценарии аутентификации в ОС Windows и приложениях.

Доступ в операционную систему Windows с применением учетных данных домена Active Directory обеспечивается с помощью компонента Indeed AM Windows Logon. Данный компонент реализует Credential Provider - интерфейс доступа в операционную систему. Штатный интерфейс входа в ОС заменяется на интерфейс Indeed AM Windows Logon, где доступна возможность применения различных технологий аутентификации, в частности, с использованием RFID-карт. Интеграция с Windows выполняется по штатным протоколам, что позволяет обеспечить совместимость с подсистемой аутентификации Windows и применять Indeed AM Windows Logon в различных сценариях доступа: локальный вход на ПК, удаленный рабочий стол (RDP), аутентификация внутри ОС. Система является централизованной, что позволяет входить на один ПК с использованием своих пропусков разным сотрудникам (с использованием своих доменных учетных записей), также один сотрудник может выполнять вход на любой ПК домена.

Indeed AM Windows Logon может работать в режиме однофакторной аутентификации по бесконтактной карте, когда для аутентификации достаточно приложить карту к считывателю, и в режиме двухфакторной аутентификации, когда для входа требуется приложить карту и ввести PIN-код. Дополнительно по запросу бесконтактная карта может быть объединена с другими факторами, например, отпечатком пальца.

Indeed AM поддерживает следующие форматы бесконтактных карт:

  • Mifare
  • EM Marin
  • HID Prox
  • HID iClass

Indeed Access Manager не заменяет штатную систему аутентификации Active Directory, а автоматизирует управление паролями пользователей. В такой конфигурации парольная аутентификация становится внутренним механизмом, который используется только на программном уровне. В момент регистрации в Indeed Access Manager первого аутентификатора (RFID-карты и др.) пользователя его пароль автоматически меняется на случайное значение, которое не сообщается ни пользователю, ни администратору системы. Таким образом, доступ в домен становится возможным только с использованием технологии Indeed AM. В дальнейшем пароль пользователя меняется автоматически либо по требованию операционной системы, либо по заданному расписанию.

Indeed AM Windows Logon поддерживает штатную доменную политику “Поведение при извлечении смарт-карты”, которая может быть настроена на блокировку сессии Windows, когда пользователь убирает пропуск со считывателя. Таким образом можно усилить информационную безопасность, блокируя ПК при покидании пользователем своего рабочего места.

Для приложений, с которыми сотрудники работают на своих ПК (по схеме “толстый” или “тонкий” клиент), биометрическая аутентификация реализуется с помощью компонента Indeed AM Enterprise Single Sign-On (Indeed AM ESSO). Indeed AM ESSO позволяет интегрироваться с целевым приложением без необходимости программного вмешательства в работу приложений. Для этого используется перехват экранных форм входа, разблокировки и смены пароля в приложении, перехват осуществляется с помощью Indeed AM ESSO агента, устанавливаемого на рабочие станции пользователей. В момент, когда появляется форма входа в целевое приложение, экран блокируется и от пользователя требуется пройти процедуру аутентификации: приложить палец к сканеру отпечатков и другое; после чего агент Indeed AM ESSO автоматически заполняет форму входа и пользователь получает доступ в приложение.

Опционально для учета местоположения сотрудника при его аутентификации может быть выполнена интеграция с СКУД системой. Для этого потребуется разработка специализированного модуля, который позволит получать из СКУД данные о том, где сейчас зарегистрирован пропуск сотрудника (внутри какого помещения/периметра). Используя этот модуль, сервер Indeed Access Manager перед тем, как предоставить доступ к ПК, будет обращаться к СКУД и проверять местоположение сотрудника. Если окажется, что ПК, к которому происходит доступ, и пользователь зарегистрированы в разных помещениях/периметрах, пользователь не получит доступ, даже если предъявит верные аутентификационные данные.

Основные компоненты

В состав Indeed Access Manager входят следующие основные компоненты:

Indeed AM Server (Сервер) - серверный компонент инфраструктуры Indeed Access Manager. Сервер обеспечивает централизованное хранение и защиту данных пользователей, осуществляет процедуру аутентификации пользователя, прием и обработку запросов со стороны клиентских компонент и со стороны инструментов администратора. Наличие сервера гарантирует пользователю доступность данных с любого ПК. Сервер дает возможность администратору настраивать параметры доступа сотрудника (или группы сотрудников), вносить глобальные изменения в систему.

Indeed AM Windows Logon - клиентское ПО, устанавливаемое на рабочие места сотрудников. Windows Logon обеспечивает возможность доступа в Windows с помощью технологий строгой аутентификации пользователей.

Indeed AM ESSO агент - клиентское ПО, устанавливаемое на рабочие места сотрудников. ESSO агент выполняет перехват экранных форм приложений и обеспечивает возможность доступа в них с помощью технологий строгой аутентификации пользователей.

База данных Indeed Access Manager. В базе хранятся настройки системы и эталонные биометрические шаблоны, используемые сервером для аутентификации пользователей.

Журнал Indeed AM. Все события, возникающие в системе, сохраняются в журнале Indeed AM. Журнал фиксирует дату, время, имя пользователя, имя учетной записи Active Directory, имя учетной записи целевой системы, факт использования учетный данных, факт входа в целевые системы и т.п. В журнале фиксируется каким способом и с применением какой технологии аутентификации сотрудник получал доступ в систему.

Модуль интеграции со СКУД системой. Данный модуль обеспечивает взаимодействие со СКУД и получение данных о местоположении сотрудника.

Получить бюджетную оценку проекта

Получить опросный лист

отзывы клиентов

Александр Лавров

начальник службы безопасности «СТС Медиа»

Внедрение многофакторной аутентификации сотрудников и контроль действий администраторов, подрядчиков и тех, кто работает в удаленном формате, – это этапы комплексной работы над повышением уровня информационной безопасности компании. Сейчас мы закрыли парольную брешь линейных сотрудников и пользователей, имеющих привилегированные права, то есть многократно снизили количество потенциальных несанкционированных точек входа в нашу систему извне и тем самым защитили расширяющиеся границы периметра информационной безопасности.

Подробнее
Николай Чуприн

руководитель отдела информационных систем Группы компаний ЕПК

PAM имеет в своей структуре компоненты для контроля действий сотрудников – администраторов системы. Теперь мы можем в любой момент самостоятельно расследовать любой инцидент, произошедший в информационной системе компании. Эффект роста самодисциплины распространился не только на тех, кому предоставлена возможность административного управления системой.

Подробнее
Владимир Солонин

директор по информационной безопасности, «СДМ-Банк»

Внедрение было комплексным. Внедрялось сразу несколько систем, отвечающих за создание новых пользователей при заведении в кадровую систему, а также за автоматизированную смену паролей, управление сертификатами пользователей, ограничение доступа в случае отпуска или ухода из офиса. Важный критерий выбора вендора – российское происхождение. Простота внедрения, опыт успешных внедрений в банках, качественная поддержка и открытость к пожеланиям заказчика – тоже важные факторы. Мы несем ответственность перед клиентами за то, чтобы системы защиты работали, а новые внедряемые системы не усложняли существующие процессы.

Подробнее
Анатолий Скородумов

начальник отдела информационной безопасности ОАО «Банк «Санкт-Петербург»

Нам удалось убедить бизнес в экономической целесообразности внедрения системы биометрической аутентификации прежде всего из-за неотделимости аутентификаторов (пальцев) от пользователя. Передать аутентификатор физически нельзя, и подделать его при современном уровне сканеров отпечатков пальцев достаточно сложно. Ушли все риски, связанные с проблемами использования парольного доступа и компрометацией: с подбором пароля, с передачей пароля коллегам по работе, с записью паролей в блокнотах, на листочках календаря, на стикерах, приклеиваемых к монитору

Подробнее
Алексей Иванов

начальник управления информационной безопасности и контроля департамента информационной безопасности и охраны компании «КИТ Финанс»

Сотрудники теперь не записывают свои пароли где-нибудь, так как просто их не знают. Пароли генерируются с учетом сложности самой системой. Пользователь лишь идентифицирует себя по отпечатку пальца при необходимости ввода пароля в систему.

Подробнее
Иван Чернокнижников

руководитель отдела информационных технологий компании ООО «Газпром сера»

Важными критериями для нас были: наличие полноценной технической поддержки для оперативного решения вопросов, возникающих в ходе внедрения и эксплуатации системы, а также простота и удобство использования системы, поскольку пользователи обладают различным уровнем знаний в области информационных технологий.

Подробнее

Консультация эксперта

Опыт работы ключевых сотрудников компании в отрасли информационной безопасности составляет более 10 лет. Силами наших специалистов успешно реализованы сотни проектов для компаний из различных отраслей: банки, телекоммуникация, энергетика, транспорт, государственные и учебные заведения.

спросить эксперта

Антон Шлыков

Руководитель службы технической поддержки

Николай Ильин

Эксперт по продукту Indeed AM

Владислав Фомичев

Эксперт по продукту Indeed AМ

Денис Павлов

Эксперт по продукту Indeed AМ
спросить эксперта

другие решения

Биометрическая аутентификация сотрудников
Аутентификация по смарт-картам и цифровым сертификатам
Система централизованного управления доступом
Объединение логического и физического доступа
Защита удаленного доступа
Выполнение требований стандарта PCI DSS
Корпоративное удостоверение сотрудника
Выполнение требований Приказов ФСТЭК России