Розпочніть інтеграцію MFA зараз

Protectimus DSPA

Protectimus DSPA (Dynamic Strong Password Authentication) — це перше рішення для захисту баз даних, яке додає двофакторну автентифікацію для облікових записів безпосередньо в Active Directory та інші каталоги користувачів (LDAP, бази даних).

Що таке Protectimus DSPA?

Завантажити огляд рішення

Інструкція з інтеграції

Регулярна зміна паролів

Компонент Protectimus DSPA для двофакторної автентифікації в Active Directory регулярно змінює паролі користувачів у AD. Інтервал зміни паролів задає адміністратор. Пароль складається з двох частин: статичної (заданої користувачем) і динамічної (одноразового пароля, згенерованого за алгоритмом TOTP). У підсумку паролі виглядають так: P@ssw0rd!459812.

Локальна платформа

Компонент Protectimus DSPA та платформа двофакторної автентифікації Protectimus встановлюються безпосередньо в інфраструктурі клієнта, що дає вам змогу самостійно керувати даними і забезпечувати високий рівень безпеки. Платформа багатофакторної автентифікації Protectimus підтримує багатодоменні середовища, кластеризацію, реплікацію та резервне копіювання.

Легке адміністрування

На відміну від традиційних рішень MFA, Protectimus DSPA звільняє адміністраторів від необхідності встановлювати додаткове програмне забезпечення на клієнтських машинах і періодично його оновлювати. Після інтеграції компонента Protectimus DSPA з Active Directory, паролі для багатофакторної автентифікації будуть автоматично запитуватися при вході в усі системи, підключені до Active Directory MFA (Winlogon, RDP, OWA тощо).

Які проблеми вирішує Protectimus DSPA?

1. Існуючі рішення MFA захищають лише частину інфраструктури

Усі стандартні рішення MFA додають двофакторну автентифікацію лише на кінцеві точки. Це залишає хакерам можливість атакувати вашу інфраструктуру в обхід двофакторної автентифікації, звертаючись до каталогу користувачів напряму. Наприклад, можна викликати Active Directory через командний рядок Windows, і достатньо знати логін і пароль користувача, щоб виконати дію від його імені. Використовуючи Protectimus DSPA для захисту системи, ви можете бути впевнені, що ніхто не отримає доступ до AD, LDAP або облікових записів користувачів у вашій базі даних без динамічного пароля, незалежно від того, звідки походить або куди спрямований запит.

2. Адміністраторам необхідно встановлювати та підтримувати плагіни 2FA на декількох платформах

Як правило, щоб налаштувати двофакторну автентифікацію для всіх співробітників та сервісів, якими користується компанія, адміністратор має інтегрувати кілька плагінів 2FA для різних платформ та встановити додаткове програмне забезпечення на кожному робочому місці. Крім того, таке програмне забезпечення потрібно постійно оновлювати. Після інтеграції компонента Protectimus DSPA з Active Directory динамічні паролі для двофакторної автентифікації будуть автоматично використовуватися для автентифікації на всіх сервісах, підключених до AD (Winlogon, RDP, ADFS, OWA тощо).

Як це працює?

Protectimus інтегрується безпосередньо з Microsoft Active Directory (або будь-яким іншим каталогом користувачів), щоб доповнити статичні паролі користувачів шестизначним одноразовим паролем. Ці шість цифр є одноразовим паролем, згенерованим за допомогою алгоритму TOTP, і змінюються щоразу, коли користувач входить до системи. Тепер паролі користувачів і комп’ютерів Active Directory складаються з двох частин: фіксованої (наприклад, P@ssw0rd!) та одноразового пароля (наприклад, 459812).

Адміністратор встановлює інтервал зміни одноразового пароля, який має бути кратним 30 секундами (наприклад, 30 секунд або більше). Частоту зміни одноразового пароля в Active Directory можна налаштувати індивідуально для кожного користувача. Також можна вибрати, які групи користувачів використовуватимуть динамічну автентифікацію Protectimus DSPA. Компонент Protectimus DSPA регулярно змінює паролі користувачів згідно з розкладом, встановленим адміністратором. У цьому процесі змінюються лише останні шість цифр пароля.

Таким чином, автентифікація користувачів Active Directory виглядає наступним чином: користувачі можуть отримати доступ до своїх облікових записів, ввівши свої фіксовані паролі разом із одноразовим кодом. Для генерації OTP користувачі можуть використовувати iOS чи Android застосунок Protectimus Smart, який є генератором одноразових паролів, чат-боти в Telegram, Viber або Facebook, а також спеціальні апаратні токени для Protectimus DSPA.

OTP токени на вибір

Компонент Protectimus DSPA для захисту баз даних дозволяє адміністраторам задавати будь-який інтервал зміни пароля, кратний 30 секундам. Таку ж функціональність мають токени Protectimus Smart OTP і Protectimus Bot, а також деякі апаратні токени

Protectimus Smart OTP

Безкоштовний MFA застосунок Protectimus Smart OTP для двофакторної автентифікації доступний на iOS та Android. При створенні нового TOTP-токена користувачі можуть встановити бажаний інтервал зміни паролів, кратний 30 секундам. Це дає можливість використовувати програмний токен Protectimus Smart для двофакторної автентифікації в Active Directory, LDAP та інших базах даних із застосуванням Protectimus DSPA.

Апаратні токени

Наразі клієнтам Protectimus доступні апаратні TOTP-токени з 30- і 60-секундним інтервалом генерації одноразових паролів. У розробці знаходяться класичні TOTP-токени зі збільшеним інтервалом часу (600 секунд), а також TOTP-токени з можливістю програмування, які підтримують додавання власного секретного ключа та налаштування потрібного часового інтервалу (понад 60 секунд).

Чат-боти у месенджерах

Доставка одноразових паролів доступна через чат-боти Protectimus Bot у Telegram, Viber та Facebook Messenger. Цей безкоштовний тип програмного токену дозволяє адміністраторам налаштувати генерацію одноразових паролів на основі TOTP з будь-яким часовим інтервалом. Такий підхід робить чат-ботів чудовим інструментом автентифікації для Protectimus DSPA.

Локальна платформа або приватна хмара

Перед налаштуванням компонента Protectimus Dynamic Strong Password Authentication клієнт повинен встановити платформу двофакторної автентифікації Protectimus в своїй інфраструктурі або в приватній хмарі.

Локальна платформа MFA

Локальна платформа MFA Protectimus підтримує багатодоменні середовища та включає функції кластеризації, реплікації та резервного копіювання. Використовуючи локальну платформу, ви отримуєте повний контроль над даними, процесами та рівнем захисту сервера від атак, а також можете налаштувати систему безпеки відповідно до ваших вимог. Ви маєте можливість використовувати будь-який брандмауер, повністю обмежити доступ до сервера ззовні і застосовувати інші заходи безпеки на свій розсуд. Для інсталяції платформи на вашому сервері повинні бути встановлені Java (JDK версії 8) та СУБД PostgreSQL версії 10 або новішої.

Приватна
хмара

Сервер двофакторної автентифікації Protectimus також може бути розгорнутий у приватній хмарі клієнта. Незалежно від того, де встановлена MFA-платформа — у вашому середовищі чи в приватній хмарі — вона підтримує багатодоменні середовища, функції кластеризації, реплікації та резервного копіювання, а також надає клієнту повний контроль над важливими даними та процесами. Перед встановленням платформи автентифікації Protectimus у приватній хмарі переконайтеся, що ваша хмарна інфраструктура відповідає таким технічним вимогам: 2 Core (СPU), 8 GB (MEM); OS на всіх Instance: Linux; Cloud Disk: 100GB; Load Balancer.

Як налаштувати двофакторну автентифікацію в Active Directory

Двофакторна автентифікація в Active Directory за допомогою Protectimus DSPA: інструкція з налаштування. Ваші користувачі повинні будуть автентифікуватися в Сервісі самообслуговування користувачів Protectimus, використовуючи логін (CN) та OTP (надісланий електронною поштою), щоб випустити токени та створити паролі, ідентичні їхнім паролям в AD.

Завантажити інсталятор платформи

Інструкція з інтеграції

Встановіть платформу з компонентом DSPA

Встановіть локальну платформу Protectimus за допомогою інсталятора Windows (завантажити з цієї сторінки) або образу Docker. Компонент Protectimus DSPA буде встановлено автоматично.

Створіть ресурс

На вкладці Ресурси (Resources) виберіть Додати ресурс (Add Resource). Ви потрапите на сторінку додавання ресурсу, де вам потрібно буде вказати лише назву ресурсу (Resource Name) і натиснути кнопку Зберегти (Save), решта параметрів є необов’язковими.

Налаштуйте постачальника та синхронізацію користувачів

В системі Protectimus увійдіть у свій обліковий запис, відкрийте вкладку DSPA і виберіть Add task -> Add LDAP user provider. Заповніть дані про ваш каталог користувачів, додайте атрибути синхронізації, імпортуйте користувачів у систему Protectimus і синхронізуйте їх із каталогом користувачів.

Активуйте компонент Protectimus DSPA

Щоб активувати компонент Protectimus DSPA, перейдіть на вкладку DSPA і натисніть на назву DSPA, а потім активуйте параметр Enabled.

Активуйте портал самообслуговування користувачів

Для роботи Protectimus DSPA потрібні: налаштований постачальник користувачів, синхронізований користувач, встановлений у користувача пароль і призначений токен. Щоб користувачі могли самостійно задавати паролі та створювати токени, скористайтесь Порталом самообслуговування користувачів. На сторінці ресурсу відкрийте вкладку Самообслуговування, активуйте опцію та вкажіть адресу порталу.