Protectimus DSPA
Protectimus DSPA (Dynamic Strong Password Authentication) - это первое решение двухфакторной аутентификации для защиты учетных записей непосредственно в Active Directory и других хранилищах пользователей (LDAP, базы данных)
Парольная аутентификация нового поколения
Больше никаких слабых, повторно используемых или украденных паролей.
Protectimus DSPA заменяет традиционные статические пароли динамическими одноразовыми паролями, которые автоматически обновляются через заданные интервалы времени.
Пользователи проходят аутентификацию с помощью временных OTP-кодов вместо постоянных паролей. Это значительно снижает риск фишинга, кражи учетных данных и других атак, связанных с компрометацией паролей, сохраняя при этом быстрый и удобный доступ к системам.
Смена паролей по расписанию
Компонент Protectimus DSPA для Active Directory автоматически обновляет пароли пользователей по заданному расписанию. Интервал ротации паролей настраивается администратором. Вместо традиционных статических паролей пользователи используют динамические одноразовые пароли, генерируемые по алгоритму TOTP. Такие пароли постоянно изменяются через заданные интервалы времени, что значительно снижает риск компрометации учетных данных и повторного использования паролей.
Удобное администрирование
В отличие от традиционных MFA-решений, Protectimus DSPA избавляет администраторов от необходимости устанавливать и поддерживать дополнительное программное обеспечение на клиентских устройствах. После интеграции с Active Directory, LDAP или другой базой данных аутентификация с использованием OTP-паролей автоматически применяется ко всем подключенным системам, включая Winlogon, RDP, OWA и другие сервисы.
Какую проблему решает Protectimus DSPA?
1. Существующие решения MFA позволяют защитить только часть инфраструктуры
Большинство традиционных MFA-решений защищают только отдельные точки входа — например, Windows Logon, VPN или веб-приложения. При этом сама система хранения учетных данных, такая как Active Directory или LDAP, часто остается доступной напрямую. Это означает, что злоумышленник может попытаться обойти MFA и обратиться к каталогу пользователей напрямую — например, через командную строку Windows или скрипты. В такой ситуации для выполнения действий от имени пользователя может быть достаточно знать его логин и пароль. Protectimus DSPA устраняет эту проблему, защищая аутентификацию непосредственно на уровне Active Directory, LDAP и других пользовательских хранилищ. Независимо от того, откуда поступает запрос, доступ к учетной записи невозможен без действительного динамического OTP-пароля.
2. Необходимость установки и поддержки 2FA плагинов на различных платформах
Обычно для внедрения двухфакторной аутентификации во всей инфраструктуре компании администраторам приходится использовать отдельные MFA-плагины и компоненты для разных систем и сервисов, а также устанавливать дополнительное программное обеспечение на клиентские устройства. Кроме того, все эти компоненты необходимо регулярно поддерживать и обновлять. После интеграции Protectimus DSPA с Active Directory OTP-аутентификация автоматически применяется ко всем подключенным системам и сервисам, использующим AD-аутентификацию, включая Winlogon, RDP, ADFS, OWA и другие.
Как это работает?
Protectimus DSPA интегрируется напрямую с Microsoft Active Directory или любым другим каталогом пользователей и заменяет традиционные статические пароли динамическими одноразовыми паролями, генерируемыми по алгоритму TOTP. Пароли автоматически изменяются через заданные интервалы времени, превращая стандартную аутентификацию Active Directory в OTP-ориентированный процесс входа.
Интервал ротации одноразовых паролей задается администратором и должен быть кратен 30 секундам. Политики ротации можно гибко настраивать для отдельных пользователей и групп.
В результате пользователи проходят аутентификацию с помощью временных OTP-паролей вместо постоянных статических учетных данных. Для генерации OTP-кодов можно использовать приложение-аутентификатор Protectimus SMART или чат-боты в Telegram, Viber и Facebook Messenger. Доступ к приложению или мессенджеру может быть дополнительно защищен PIN-кодом или биометрией, что обеспечивает дополнительный уровень безопасности процесса аутентификации.
OTP токены на выбор
Компонент Protectimus DSPA позволяет администраторам настраивать интервал ротации OTP-паролей с шагом, кратным 30 секундам. Такая же гибкая настройка времени действия OTP доступна в приложении Protectimus SMART и чат-ботах Protectimus BOT.
Приложение Protectimus Smart OTP
Бесплатное приложение для двухфакторной аутентификации Protectimus Smart OTP, доступное на iOS и Android. При создании нового TOTP токена, пользователь может установить желаемый интервал времени кратный 30 секундам. Это позволяет использовать программный токен Protectimus Smart для двухфакторной аутентификации в Active Directory c помощью Protectimus DSPA.
Чат-боты в мессенджерах
Доставка одноразовых паролей через чат-боты Protectimus Bot в мессенджерах Telegram, Viber, Facebook Messenger. Этот вид программных токенов также доступен бесплатно и позволяет администратору настроить генерацию одноразовых паролей по алгоритму TOTP с любым интервалом времени. А значит, чат-боты — отличное средство аутентификации для Protectimus DSPA.
Локальная платформа или Частное облако
Перед внедрением компонента Protectimus Dynamic Strong Password Authentication, клиенту необходимо установить платформу двухфакторной аутентификации Protectimus в своем окружении или в частном облаке
Платформа
Частное облако
Сервер двухфакторной аутентификации Protectimus может быть развернут в частном облаке клиента. Независимо от того, где установлена платформа, в вашем окружении или в частном облаке, она поддерживает мультидоменность, функционал кластера, репликаций и бэкапа, а также позволяет вам полностью контролировать чувствительные данные и процессы. Перед развертыванием платформы аутентификации Protectimus в частном облаке, убедитесь, что настроенная вами облачная инфраструктура соответствует следующим техническим характеристикам: 2 Core (СPU), 8 GB (MEM); OS на всех Instance: Linux; Cloud Disk: 100GB; Load Balancer.
Как настроить двухфакторную аутентификацию в Active Directory
Настройка двухфакторной аутентификации Active Directory с помощью Protectimus DSPA
Установить платформу с компонентом DSPA
Установите локальную платформу Protectimus с помощью установщика для Windows (доступен на этой странице) или с использованием Docker-образа. Компонент Protectimus DSPA будет установлен автоматически.
Создайте ресурс
На вкладке Ресурсы нажмите на кнопку Добавить ресурс. После этих действий вы попадете на страницу добавления ресурса, где обязательно необходимо указать только Название ресурса и нажать Сохранить, остальные параметры — по желанию.
Настройте поставщика и синхронизацию пользователей
В системе Protectimus, войдите в свою учетную запись и во вкладке DSPA выберите Добавить службу (Add task) -> Добавить поставщика пользователей (Add LDAP user provider). Заполните данные о службе каталогов, добавьте атрибуты синхронизации, импортируйте пользователей в систему Protectimus и синхронизируйте их с вашим каталогом пользователей.
Активируйте компонент Protectimus DSPA
Чтобы активировать компонент Protectimus DSPA, перейдите во вкладку DSPA и активируйте чекбокс напротив параметра Активность (Enabled).
Активируйте портал самообслуживания пользователей
Для работы Protectimus DSPA необходимы: настроенный поставщик пользователей, синхронизированный пользователь, установленный у пользователя пароль и назначенный токен. Чтобы пользователи могли самостоятельно задавать пароли и создавать токены, воспользуйтесь Порталом самообслуживания пользователей. На странице ресурса откройте вкладку Самообслуживание, активируйте опцию и укажите адрес портала.
Готовы начать?
Сделайте первый шаг к улучшению безопасности с Protectimus. Попробуйте наш облачный сервис или локальную платформу MFA уже сегодня и почувствуйте все преимущества двухфакторной аутентификации. Если у вас возникнут вопросы или потребуется помощь с интеграцией и настройкой, просто свяжитесь с нашей командой, мы с радостью поможем вам на каждом этапе.
