Protectimus logo

Protectimus DSPA

Protectimus DSPA (Dynamic Strong Password Authentication) - это первое решение двухфакторной аутентификации для защиты учетных записей непосредственно в Active Directory и других хранилищах пользователей (LDAP, базы данных).

Что такое Protectimus DSPA?

Скачать обзор решения
Scheduled password changes icon

Смена паролей по расписанию

Компонент Protectimus DSPA для двухфакторной аутентификации в Active Directory меняет пароли пользователей в AD по расписанию. Интервал смены паролей задает администратор. При этом пароли Active Directory состоят из двух частей — статической (задается пользователем) и переменной (одноразовый пароль, сгенерированный по алгоритму TOTP). Такой пароль имеет вид: P@ssw0rd!459812.

On-premise platform icon

Локальная платформа MFA

Компонент Protectimus DSPA и платформа двухфакторной аутентификации Protectimus устанавливаются в окружении клиента. Вы можете контролировать все данные и процессы и обеспечить максимальный уровень защиты инфраструктуры от взлома. В on-premise платформе Protectimus предусмотрены мультидоменность, а также функционал кластера, репликаций и бэкапа.
Hassle-free administration icon

Удобное администрирование

В отличие от традиционных решений MFA, Protectimus DSPA освобождает администратора от необходимости устанавливать на клиентские машины дополнительное ПО и периодически его обновлять. После интеграции компонента Protectimus DSPA с Active Directory, пароли пользователей с динамической частью будут автоматически запрашиваться для логина во все системы, связанные с AD (Winlogon, RDP, OWA и т.д.).

Какую проблему решает Protectimus DSPA?

Protectimus DSPA component for Active Directory and LDAP two-factor authentication

1. Существующие решения MFA позволяют защитить только часть инфраструктуры

Все стандартные решения MFA добавляют двухфакторную аутентификацию только на конечных точках. Так у злоумышленника остается возможность атаковать вашу инфраструктуру, минуя двухфакторную аутентификацию и обращаясь к каталогу пользователей напрямую. Например, можно инициировать запрос прямо в Active Directory через командную строку Windows, и достаточно знать логин и пароль пользователя, чтобы выполнить операцию от его имени. Используя Protectimus DSPA, вы можете быть уверены, что из какой бы точки не приходил запрос в AD, без динамического пароля войти в учетную запись пользователя невозможно.

2. Необходимость установки и поддержки 2FA плагинов на различных платформах

Сейчас, чтобы настроить двухфакторную аутентификацию для всех сотрудников во всех сервисах, которые использует компания, администратор должен внедрить несколько 2FA плагинов для разных платформ и установить дополнительное ПО на каждой клиентской машине. Более того, все это ПО нужно постоянно обновлять. После интеграции компонента Protectimus DSPA с Active Directory, авторизация и аутентификация станет безопасной сразу во всех службах Microsoft. Динамические пароли будут запрашиваться во всех сервисах, которые обращаются к AD (Winlogon, RDP, ADFS, OWA и т.д.).

Как это работает?

Protectimus интегрируется прямо с хранилищем пользователей, как пример рассматривается двухфакторная аутентификация через Active Directory, и добавляет к статическим паролям приставку в виде 6 цифр — одноразовый пароль, который генерируется по алгоритму TOTP и постоянно меняется. Теперь чтобы получить доступ к Active Directory нужно ввести пароль вида: P@ssw0rd!459812, где P@ssw0rd! — постоянная часть, а 459812 — одноразовый пароль. Active Directory безопасность обеспечена.

Администратор задает интервал смены одноразовых паролей — от 30 секунд и более. Этот интервал должен быть кратным 30 секундам. Частоту смены пароля можно задать индивидуально для каждого пользователя. Также можно выбрать для какой группы пользователей будет применена строгая аутентификация на базе динамических паролей, а для какой нет. Компонент Protectimus DSPA регулярно производит изменения паролей пользователей, следуя заданному администратором расписанию. При этом меняются только последние 6 цифр.

Пользователи получают доступ к своим учетным записям, вводя в одну строку свой постоянный пароль и одноразовый код. Для генерации OTP пароля в данном случае можно использовать приложение Protectimus SMART, чат-бот в мессенджере Telegram, Viber, Facebook или специальные аппаратные токены для Protectimus DSPA.

Scheme showing how Protectimus Dynamic Strong Password Authentication (DSPA) works

OTP токены на выбор

Компонент Protectimus DSPA позволяет администратору задать любой интервал смены паролей, кратный 30 секундам, такой же функционал доступен в токенах Protectimus Smart OTP, Protectimus Bot и некоторых аппаратных токенах

Приложение Protectimus Smart OTP

Бесплатное приложение для двухфакторной аутентификации Protectimus Smart OTP, доступное на iOS и Android. При создании нового TOTP токена, пользователь может установить желаемый интервал времени кратный 30 секундам. Это позволяет использовать программный токен Protectimus Smart для двухфакторной аутентификации в Active Directory c помощью Protectimus DSPA.

Аппаратные OTP токены

На данный момент клиентам Protectimus доступны аппаратные TOTP токены с интервалом генерации одноразовых паролей 30 и 60 секунд. Также разрабатываются классические TOTP токены с расширенным временным интервалом (600 секунд) и программируемые TOTP токены с возможностью задать любой секретный ключ и любой интервал времени (более 60 секунд).

Чат-боты в мессенджерах

Доставка одноразовых паролей через чат-боты Protectimus Bot в мессенджерах Telegram, Viber, Facebook Messenger. Этот вид программных токенов также доступен бесплатно и позволяет администратору настроить генерацию одноразовых паролей по алгоритму TOTP с любым интервалом времени. А значит, чат-боты — отличное средство аутентификации для Protectimus DSPA.

Локальная платформа или Частное облако

Перед внедрением компонента Protectimus Dynamic Strong Password Authentication, клиенту необходимо установить платформу двухфакторной аутентификации Protectimus в своем окружении или в частном облаке

Платформа

Локальная платформа MFA Protectimus поддерживает мультидоменность, доступен функционал кластера, репликаций и бэкапа. Использование on-premise платформы позволит вам полностью контролировать все данные, процессы, отказоустойчивость системы и уровень защиты сервера от взлома. Вы сможете выстроить систему защиты сервера аутентификации по своему усмотрению, использовать любые файерволы, полностью закрыть систему от внешнего доступа, использовать любые другие средства защиты. Перед развертыванием платформы аутентификации Protectimus на сервере должна быть установлена Java, JDK версии 8, а также установлена СУБД PostgreSQL, начиная с версии 10.
Protectimus on-premise multi-factor authentication platform icon

Частное облако

Сервер двухфакторной аутентификации Protectimus может быть развернут в частном облаке клиента. Независимо от того, где установлена платформа, в вашем окружении или в частном облаке, она поддерживает мультидоменность, функционал кластера, репликаций и бэкапа, а также позволяет вам полностью контролировать чувствительные данные и процессы. Перед развертыванием платформы аутентификации Protectimus в частном облаке, убедитесь, что настроенная вами облачная инфраструктура соответствует следующим техническим характеристикам: 2 Core (СPU), 8 GB (MEM); OS на всех Instance: Linux; Cloud Disk: 100GB; Load Balancer.

Icon representing Protectimus on-premise MFA platform integration in a private cloud

Как настроить двухфакторную аутентификацию в Active Directory

Двухфакторная аутентификация для Active Directory с помощью Protectimus DSPA: пошаговая инструкция. Вашим пользователям необходимо будет пройти аутентификацию на портале самообслуживания Protectimus, указав свой логин (CN) и одноразовый пароль (отправленный по электронной почте), чтобы выпустить токены и создать пароли, идентичные их паролям в AD.

Скачать установщик платформы
Step 1 icon

Установить платформу с компонентом DSPA

Установите локальную платформу Protectimus с помощью установщика для Windows (доступен на этой странице) или с использованием Docker-образа. Компонент Protectimus DSPA будет установлен автоматически.

Step 2 icon

Создайте ресурс

На вкладке Ресурсы нажмите на кнопку Добавить ресурс. После этих действий вы попадете на страницу добавления ресурса, где обязательно необходимо указать только Название ресурса и нажать Сохранить, остальные параметры — по желанию.

Step 3 icon

Настройте поставщика и синхронизацию пользователей

В системе Protectimus, войдите в свою учетную запись и во вкладке DSPA выберите Добавить службу (Add task) -> Добавить поставщика пользователей (Add LDAP user provider). Заполните данные о службе каталогов, добавьте атрибуты синхронизации, импортируйте пользователей в систему Protectimus и синхронизируйте их с вашим каталогом пользователей.

Step 4 icon

Активируйте компонент Protectimus DSPA

Чтобы активировать компонент Protectimus DSPA, перейдите во вкладку DSPA и активируйте чекбокс напротив параметра Активность (Enabled).

Step 5 icon

Активируйте портал самообслуживания пользователей

Для работы Protectimus DSPA необходимы: настроенный поставщик пользователей, синхронизированный пользователь, установленный у пользователя пароль и назначенный токен. Чтобы пользователи могли самостоятельно задавать пароли и создавать токены, воспользуйтесь Порталом самообслуживания пользователей. На странице ресурса откройте вкладку Самообслуживание, активируйте опцию и укажите адрес портала.

Этот сайт зарегистрирован на wpml.org как сайт разработки. Переключитесь на рабочий сайт по ключу remove this banner.