Двухфакторная аутентификация по смарт-картам в ОС и приложениях

Замена паролей на двухфакторную аутентификацию по цифровым сертификатам на смарт-картах и USB-ключах для Windows и приложений в среде Active Directory

Certificate Manager

Классическая парольная аутентификация не обеспечивает уровень безопасности, приемлемый для современных компаний. К проблемам использования паролей можно отнести такие риски информационной безопасности:

Подбор паролей

Пользователи не применяют сложные или длинные пароли, так как их трудно придумывать и запоминать. Это позволяет злоумышленником выполнять подбор паролей учетных записей сотрудников. Часто сотрудники применяют один пароль для всех приложений и сервисов, что усугубляет проблему - подобрав пароль к одной из систем, злоумышленник получает доступ ко всем доступным сотруднику ресурсам.

Раскрытие и передача паролей

Рядовые сотрудники не придают важности сохранению паролей в секрете и часто записывают их прямо на рабочем месте. Кроме того, они часто сообщают свой пароль коллегам с просьбой выполнить какие-либо действия в их отсутствии (отправить отчет, просмотреть почту и пр.). Такая ситуация упрощают злоумышленнику задачу получения чужих паролей и не требует от него использования сложных технических решений.

Забытые пароли

Даже если сотрудник добросовестно выполняет регламенты информационной безопасности по использованию паролей, он может создавать дополнительную нагрузку на службу ИТ. Сложные пароли трудно запомнить и их чаще забывают, что приводит к заблокированным учетным записям и необходимости сброса паролей в известное значение.

Использование паролей уволенными сотрудниками

Если при увольнении сотрудника служба ИТ не успела или забыла заблокировать его учетную запись, сотрудник может получить доступ к конфиденциальной информации и передать ее конкурентам.

Одним из решений проблемы является применение для аутентификации пользователей аппаратных криптографических носителей (смарт-карт и USB-ключей) и PKI-инфраструктуры.

Задачи

В общем виде задачи по переходу на аутентификацию по смарт-картам можно сформулировать следующим образом:

    • Внедрить двухфакторную аутентификацию пользователей Active Directory на ПК с помощью смарт-карт/USB-ключей и цифровых сертификатов
    • Реализовать механизм двухфакторной и сквозной аутентификации в бизнес-приложениях на ПК сотрудников (Enterprise Single Sign-On)

Решение

Для решения указанных задач потребуется совместное применение продуктов Indeed Certificate Manager (Indeed CM) и Indeed Access Manager (Indeed AM).

Двухфакторная аутентификация пользователей Active Directory на ПК

В этом варианте для двухфакторной аутентификации пользователей применяются смарт-карты или USB-ключи и цифровые сертификаты. Такой тип аутентификации “из коробки” поддерживается в доменной инфраструктуре Active Directory, что позволяет использовать встроенные механизмы Windows.

Данный подход требует развертывания и сопровождения инфраструктуры открытых ключей (PKI). Это порождает спектр специфических задач: контроль сроков действия цифровых сертификатов, управление ключевыми носителями и сертификатами (выдача, замена и разблокировка устройств, выпуск, обновление сертификатов), своевременный отзыв сертификатов уволенных сотрудников и др. Indeed Certificate Manager (Indeed CM) решает перечисленные задачи и сокращает издержки на обслуживание инфраструктуры PKI. Indeed CM реализует следующие функции:

  1. Управление жизненным циклом ключевых носителей и сертификатов на базе централизованных политик
  2. Журналирование действий администраторов и пользователей с ключевыми носителями
  3. Предоставление сотрудникам механизма самообслуживания для регистрации/выпуска/обновления/разблокировки устройств
  4. Отправка почтовых уведомлений на любые события системы
  5. Резервное копирование ключевой информации
  6. Интеграция с системами класса Identity Management (системы разграничения прав доступа) для автоматического отзыва сертификатов уволенных сотрудников
  7. Пакетный выпуск смарт-карт с помощью специализированного принтера (в т.ч. печать на картах данных сотрудников)

Indeed CM позволяет работать одновременно с несколькими доменами Active Directory в качестве каталога пользователей и с несколькими удостоверяющими центрами (например, с Microsoft CA для выпуска сертификатов аутентификации и КриптоПро УЦ для выпуска квалифицированных сертификатов). Это обеспечивает гибкость при работе в распределенной инфраструктуре.

Двухфакторная и сквозная аутентификация в бизнес-приложениях

Для информационных систем, которые не поддерживают интеграцию с Active Directory для сквозного доступа используется программный комплекс Indeed Access Manager. В состав Indeed AM входит модуль Indeed AM Enterprise Single Sign-On (Indeed AM ESSO), который обеспечивает необходимые функции. Indeed AM ESSO реализует подход single sign-on в масштабе предприятия. Система централизованно хранит пароли пользователя от всех приложений требующих аутентификации и автоматически подставляет, когда приложение того требует. Технология Indeed AM Enterprise SSO может быть применена для любых типов приложений (windows, web, .net, SAP GUI), независимо от архитектуры: одно-звенная, двух-звенная, трех-звенная, “толстый” клиент, “тонкий” клиент, терминальные приложения.

Решения Indeed AM и Indeed CM интегрированы между собой, что позволяет автоматически регистрировать смарт-карты и USB-ключи, выпускаемы в Indeed CM в базе данных Indeed AM. Зарегистрированные таким образом ключевые носителе применяются для двухфакторной аутентификации пользователей перед предоставлением им доступа в целевые приложения с помощью Indeed AM ESSO.

Ниже приведена общая схема решения.

Схема работы двухфакторной аутентификации

Особенности Indeed CM и Indeed AM ESSO

Поддержка различных производителей смарт-карт

Indeed CM ориентирован на работу с различными смарт-картами, при этом все поддерживаемые карты можно использовать в рамках одной инфраструктуры. Архитектура решения построена таким образом, чтобы иметь возможность оперативной поддержки новых ключевых носителей. На данном этапе поддерживаются следующие ключевые носители:

Виртуальная смарт-карта

Indeed CM поддерживает виртуальную смарт-карту Indeed AirKey Enterprise, которая представляет собой программную реализацию смарт-карты, позволяющую выполнять полный набор операций, доступный аппаратным ключевым носителям. Виртуальная карта может быть доставлена на ПК пользователя в удаленном режиме. Это позволяет, например, оперативно выпустить виртуальный дубликат смарт-карты пользователю, если он забыл или сломал аппаратную карту.

Интеграция с IDM

Indeed AM ESSO поддерживают интеграцию с большинством популярных IDM-систем: Solar inRights, КУБ, 1IDM, Microsoft FIM, IBM Tivolli IDM. Интеграция позволяет получить следующие преимущества:

    • Повышение уровня информационной безопасности компании за счет полной автоматизации жизненного цикла паролей пользователей (пароли создаются, изменяются и вводятся полностью в автоматическом режиме, без участия пользователей и администраторов)
    • Минимизация шагов в предоставлении и получении доступа сотрудниками. После занесения нового пользователя в исходную систему (например, HR-систему) и выполнения синхронизации (в автоматическом режиме), пользователь получает беспарольный доступ во все необходимые ему системы.

Оффлайн режим работы

В случае необходимости, администратор ESSO может разрешить сотруднику работу в оффлайн режиме - когда сеть предприятия (и ESSO-сервер) недоступны (например, в командировке или в случае проблем с сетью). В этом режиме на ПК пользователя временно сохраняется его ESSO-профиль, который используется, когда не удается связаться с сервером. Период локальной жизни профиля задается администратором, по истечении заданного периода локальная копия профиля удаляется.

Узнайте больше
Задайте вопрос в чате на нашем сайте
  • Какие задачи решает продукт?
  • Какие требования к инфраструктуре?
  • Как провести пилот?
  • Сколько стоит внедрение?
Клиенты о наших решениях
Анатолий Скородумов
Мы отказались от парольного доступа к информационным системам (ИС) банка и внедрили строгую аутентификацию на основе биометрических сканеров. Основная ценность для бизнеса при внедрении такого класса системы — снижение потерь рабочего времени и повышение комфорта при работе с ИС.
Анатолий Скородумов
Начальник отдела информационной безопасности ОАО «Банк «Санкт-Петербург»
Иван Чернокнижников
«Проблемы с паролями в большой степени определяются человеческим фактором, поэтому простые организационные меры в данном случае малоэффективны. Для обеспечения безопасности данных необходимо использовать более защищенные методы аутентификации
Иван Чернокнижников
Руководитель отдела информационных технологий компании ООО «Газпром сера»
Алексей Иванов
Сотрудники теперь не записывают свои пароли где-нибудь, так как просто их не знают. Пароли генерируются с учетом сложности самой системой. Пользователь лишь идентифицирует себя по отпечатку пальца при необходимости ввода пароля в систему.
Алексей Иванов
Начальник Управления защиты информации Службы информационной безопасности АКБ "Абсолют Банк" (ПАО)
Александр Синицын
Количество систем и приложений выросло настолько, что стало практически невозможно дать ответ на простой вопрос: «Кто, к чему и на каких основаниях имеет доступ?». С помощью централизованных инструментов у администратора появилась возможность управлять правилами и политиками предоставления доступа.
Александр Синицын
начальник службы информационной безопасности ОАО «Крайинвестбанк»
Юрий Юрченко
Для "ОКБМ Африкантов", имеющего только в одной сети свыше 3000 рабочих станций, возможность централизованного управления доступом и аутентификацией крайне важна, ведь это позволяет не только в разы сэкономить время ИТ-персонала, но и в первую очередь сократить время ожидания для бизнес-пользователей.
Юрий Юрченко
руководитель IT-отдела ОАО «ОКБМ Африкантов»