Назначение
-
Автоматизация настройки 2ФА для:
- входа в локальную операционную систему (с PKI или по профилю пользователя);
- входа в операционную систему, расположенную в сетевом домене(с PKI или по профилю пользователя);
- безопасного подключения к удалённому рабочему столу (RDP); при этом удалённые компьютеры необязательно должны находиться в одном домене;
- Настройки OTP, PUSH, SMS.
- Обеспечивает переход на отечественные операционные системы и использование многофакторной аутентификации;
- Помогает в построении сложных гетерогенных сетей за счёт гибкой архитектуры и поддержки наиболее популярных технологий аутентификации;
- Решает проблему "слабых" паролей на рабочих местах пользователей и автоматизирует процедуру смены пароля;
- Автоматизирует выполнение требований и регламентов регуляторов безопасной работы в ГИС, КИИ, АСУ ТП и ИСПДн высоких классов.
Сценарии применения
Aladdin SecurLogon позволяет настроить двухфакторную аутентификацию для следующих сценариев:
Локальная 2ФA без PKI
- Вместо пароля используется автоматически сгенерированная сложная последовательность до 63 символов, хранящаяся в защищённой области электронного ключа JaCarta
- Пользователю не нужно запоминать сложные пароли и периодически их менять. Нужно всего лишь запомнить короткий PIN-код, который защищён от подбора
Сетевая 2ФA без PKI
- Сетевая 2ФА по логину и паролю, которые записываются в закрытый раздел токена или смарт-карты
- Работа в доменах на базе Microsoft AD, Samba DC или FreeIPA
- В данном сценарии не нужно поддерживать УЦ
- Использование OTP, SMS, PUSH
Локальная 2ФА с PKI
- ОС аутентифицирует пользователя с использованием цифровых сертификатов, хранящихся в защищённой области электронного ключа JaCarta
- Можно использовать как самоподписанный сертификат, так и сертификат, выпущенный с помощью УЦ
Сетевая 2ФА с PKI
- Упрощает создание гетерогенных сетей в уже существующих системах с развёрнутой PKI и ИС на базе Linux
- Поддерживает работу с MSCA, AeCA, DogTAG
Преимущества применения Aladdin SecurLogon
-
Повышение безопасности подключения к ИС
- Повышает общий уровень безопасности за счёт перехода от системы простых паролей к двухфакторной аутентификации (2ФА);
- При извлечении пользователем USB-токена или смарт-карты компьютер блокируется автоматически, что минимизирует риск несанкционированного доступа к ПК или его использования недобросовестными третьими лицами;
- Автоматическая генерация и смена сложного пароля (до 63 символов): пользователь не имеет доступа к паролю, а значит, не сможет записать или скомпрометировать его.
-
Удобство для пользователя
- Простой PIN-код вместо сложного пароля: пользователю не требуется заучивать сложные пароли и периодически их менять. Нужно лишь запомнить короткий PIN-код, который защищён от подбора;
- Гибкие настройки политик входа – вместо пароля можно использовать электронный ключ (ЭК);
- Безопасное подключение к удалённому рабочему столу (RDP), используя данные из защищённого раздела ЭК.
-
Автоматизация работы администратора
- Быстрая установка и настройка 2ФА в Linux через графический интерфейс без использования консоли;
- Гибкие возможности настройки и сценариев применения: поддержка гетерогенных сетей с PKI / без PKI, различных доменов и УЦ;
- Поддержка отечественных ОС – Astra Linuх, РЕД ОС, Альт.
Технические подробности
Минимальные технические требования к оборудованию
| Параметр | Значение |
|---|---|
| Требуемое дисковое пространство | Не менее 200 Мбайт |
| Свободная оперативная память | Не менее 2 Гбайт |
| Необходимые аппаратные средства |
|
| Поддерживаемые операционные системы |
|
| Поддерживаемые домены |
|
| Поддерживаемые УЦ |
|
| Поддерживаемые модель USB-токенов и смарт-карт |
|
| Необходимое ПО | ПК "Единый Клиент JaCarta" |
Aladdin SecurLogon в сетевой аутентификации с использованием PKI
Организация 2ФА для входа в операционную систему, расположенную в сетевом домене.
Генерация сертификата
- Администратор безопасности через консоль управления JaCarta Management System (JMS) создаёт на смарт-карте или USB-токене закрытый ключ и формирует GSR-запрос
- JMS передаёт GSR-запрос в удостоверяющий центр (УД)
- УД возвращает в JMS сертификат пользователя
- JMS записывает полученный сертификат пользователя в защищённую память электронного ключа (ЭК) JaCarta
- ЭК передаётся пользователю
Аутентификация
- Электронный ключ JaCarta пользователь подключает к своему рабочему ПК с настроенным Aladdin SecurLogon и инициирует запрос на аутентификацию для входа в домен
- Сервер отправляет пользователю набор данных с запросом их подписать
- Пользователь вводит PIN-код для доступа к закрытому ключу
- Подписанный запрос передаётся на сервер
- Сервер проверяет подпись и в случае успеха аутентифицирует пользователя
Aladdin SecurLogon в локальной аутентификации
Вариант настройки 2ФА для входа в локальную операционную систему
Настройка
- Администратор безопасности с помощью Aladdin SecurLogon генерирует сертификат или профиль пользователя и сохраняет сгенерированную информацию на защищённый раздел USB-токена или смарт-карты
- Если нет развёрнутой PKI, то при генерации профиля пользователя задаётся периодичность смены пароля
- Регулярная генерация и замена паролей на новые происходят автоматически без участия пользователя
Аутентификация
- Полученный электронный ключ JaCarta пользователь подключает к своему рабочему ПК с настроенным Aladdin SecurLogon и вводит PIN-код
- Данные из защищённого раздела электронного ключа JaCarta сопоставляются с данными ОС – в зависимости от выбранной политики входа и способа аутентификации это может быть сложный пароль или цифровой сертификат
- При успешной аутентификации пользователю предоставляется доступ к его рабочему столу