Назначение

  • Автоматизация настройки 2ФА для:
    • входа в локальную операционную систему (с PKI или по профилю пользователя);
    • входа в операционную систему, расположенную в сетевом домене(с PKI или по профилю пользователя);
    • безопасного подключения к удалённому рабочему столу (RDP); при этом удалённые компьютеры необязательно должны находиться в одном домене;
    • Настройки OTP, PUSH, SMS.
  • Обеспечивает переход на отечественные операционные системы и использование многофакторной аутентификации;
  • Помогает в построении сложных гетерогенных сетей за счёт гибкой архитектуры и поддержки наиболее популярных технологий аутентификации;
  • Решает проблему "слабых" паролей на рабочих местах пользователей и автоматизирует процедуру смены пароля;
  • Автоматизирует выполнение требований и регламентов регуляторов безопасной работы в ГИС, КИИ, АСУ ТП и ИСПДн высоких классов.

Сценарии применения

Aladdin SecurLogon позволяет настроить двухфакторную аутентификацию для следующих сценариев:

Локальная 2ФA без PKI

  • Вместо пароля используется автоматически сгенерированная сложная последовательность до 63 символов, хранящаяся в защищённой области электронного ключа JaCarta
  • Пользователю не нужно запоминать сложные пароли и периодически их менять. Нужно всего лишь запомнить короткий PIN-код, который защищён от подбора

Сетевая 2ФA без PKI

  • Сетевая 2ФА по логину и паролю, которые записываются в закрытый раздел токена или смарт-карты
  • Работа в доменах на базе Microsoft AD, Samba DC или FreeIPA
  • В данном сценарии не нужно поддерживать УЦ
  • Использование OTP, SMS, PUSH

Локальная 2ФА с PKI

  • ОС аутентифицирует пользователя с использованием цифровых сертификатов, хранящихся в защищённой области электронного ключа JaCarta
  • Можно использовать как самоподписанный сертификат, так и сертификат, выпущенный с помощью УЦ

Сетевая 2ФА с PKI

  • Упрощает создание гетерогенных сетей в уже существующих системах с развёрнутой PKI и ИС на базе Linux
  • Поддерживает работу с MSCA, AeCA, DogTAG

Преимущества применения Aladdin SecurLogon

  • Повышение безопасности подключения к ИС

    • Повышает общий уровень безопасности за счёт перехода от системы простых паролей к двухфакторной аутентификации (2ФА);
    • При извлечении пользователем USB-токена или смарт-карты компьютер блокируется автоматически, что минимизирует риск несанкционированного доступа к ПК или его использования недобросовестными третьими лицами;
    • Автоматическая генерация и смена сложного пароля (до 63 символов): пользователь не имеет доступа к паролю, а значит, не сможет записать или скомпрометировать его.
  • Удобство для пользователя

    • Простой PIN-код вместо сложного пароля: пользователю не требуется заучивать сложные пароли и периодически их менять. Нужно лишь запомнить короткий PIN-код, который защищён от подбора;
    • Гибкие настройки политик входа – вместо пароля можно использовать электронный ключ (ЭК);
    • Безопасное подключение к удалённому рабочему столу (RDP), используя данные из защищённого раздела ЭК.
  • Автоматизация работы администратора

    • Быстрая установка и настройка 2ФА в Linux через графический интерфейс без использования консоли;
    • Гибкие возможности настройки и сценариев применения: поддержка гетерогенных сетей с PKI / без PKI, различных доменов и УЦ;
    • Поддержка отечественных ОС – Astra Linuх, РЕД ОС, Альт.

Технические подробности

Минимальные технические требования к оборудованию

Параметр Значение
Требуемое дисковое пространство Не менее 200 Мбайт
Свободная оперативная память Не менее 2 Гбайт
Необходимые аппаратные средства
  • Для USB-токенов — USB-порт
  • Для смарт-карт необходимо наличие подключённого смарт-карт ридера (например, JCR721)
  • Для USB-токенов в форм-факторе microUSB можно использовать USB-порт через переходник microUSB-to-USB
Поддерживаемые операционные системы
  • Astra Linuх Special Edition, версия 1.6
  • Astra Linuх Special Edition, версия 1.7
  • Astra Linux 2.12 "Орел"
  • Альт 8 СП Рабочая станция, версия 8.1
  • Альт Рабочая станция, версия 9
  • Альт Рабочая станция, версия 10
  • РЕД ОС 7.2
  • РЕД ОС 7.3
Поддерживаемые домены
  • Microsoft AD
  • FreeIPA
  • Samba DC
  • ALD PRO
Поддерживаемые УЦ
  • MSCA
  • AeCA
  • DogTag
Поддерживаемые модель USB-токенов и смарт-карт
  • JaCarta 2 ГОСТ
  • JaCarta PRO
  • JaCarta PRO/ГОСТ
  • JaCarta-2 PRO/ГОСТ
  • JaCarta PKI
  • JaCarta PKI/Flash
  • JaCarta PKI/ГОСТ/Flash
  • JaCarta-2 PKI/ГОСТ
  • JaCarta PKI/ГОСТ
  • JaCarta SF/ГОСТ
  • Aladdin LiveOffice
  • eToken PRO (Java)
Необходимое ПО ПК "Единый Клиент JaCarta"

Aladdin SecurLogon в сетевой аутентификации с использованием PKI

Организация 2ФА для входа в операционную систему, расположенную в сетевом домене.

Аладдин SecurLogon схема №1

Генерация сертификата

  • Администратор безопасности через консоль управления JaCarta Management System (JMS) создаёт на смарт-карте или USB-токене закрытый ключ и формирует GSR-запрос
  • JMS передаёт GSR-запрос в удостоверяющий центр (УД)
  • УД возвращает в JMS сертификат пользователя
  • JMS записывает полученный сертификат пользователя в защищённую память электронного ключа (ЭК) JaCarta
  • ЭК передаётся пользователю

Аутентификация

  • Электронный ключ JaCarta пользователь подключает к своему рабочему ПК с настроенным Aladdin SecurLogon и инициирует запрос на аутентификацию для входа в домен
  • Сервер отправляет пользователю набор данных с запросом их подписать
  • Пользователь вводит PIN-код для доступа к закрытому ключу
  • Подписанный запрос передаётся на сервер
  • Сервер проверяет подпись и в случае успеха аутентифицирует пользователя

Aladdin SecurLogon в локальной аутентификации

Вариант настройки 2ФА для входа в локальную операционную систему

Аладдин SecurLogon схема №2

Настройка

  • Администратор безопасности с помощью Aladdin SecurLogon генерирует сертификат или профиль пользователя и сохраняет сгенерированную информацию на защищённый раздел USB-токена или смарт-карты
  • Если нет развёрнутой PKI, то при генерации профиля пользователя задаётся периодичность смены пароля
  • Регулярная генерация и замена паролей на новые происходят автоматически без участия пользователя

Аутентификация

  • Полученный электронный ключ JaCarta пользователь подключает к своему рабочему ПК с настроенным Aladdin SecurLogon и вводит PIN-код
  • Данные из защищённого раздела электронного ключа JaCarta сопоставляются с данными ОС – в зависимости от выбранной политики входа и способа аутентификации это может быть сложный пароль или цифровой сертификат
  • При успешной аутентификации пользователю предоставляется доступ к его рабочему столу