Protectimus DSPA
Protectimus DSPA (Dynamic Strong Password Authentication) — це перше рішення для двофакторної автентифікації, яке забезпечує захист облікових записів безпосередньо в Active Directory та інших сховищах користувачів (LDAP, бази даних).
Парольна автентифікація нового покоління
Більше жодних слабких, повторно використаних чи викрадених паролів.
Protectimus DSPA замінює традиційні статичні паролі на динамічні одноразові паролі, які автоматично змінюються через задані проміжки часу.
Користувачі входять у систему за допомогою тимчасових OTP-кодів замість постійних паролів. Оскільки такі коди регулярно змінюються і не можуть бути використані повторно, це значно знижує ризик фішингу, крадіжки облікових даних та інших атак, пов’язаних із компрометацією паролів, при цьому доступ до систем залишається швидким і зручним.
Регулярна зміна OTP
Компонент Protectimus DSPA для Active Directory замінює звичайні статичні паролі на одноразові OTP-паролі, що генеруються за алгоритмом TOTP. Такі паролі автоматично оновлюються через задані адміністратором проміжки часу, тому користувачі завжди входять у систему за допомогою тимчасових динамічних кодів замість постійних паролів.
Легке адміністрування
На відміну від традиційних MFA-рішень, Protectimus DSPA не потребує встановлення та обслуговування додаткового програмного забезпечення на клієнтських пристроях. Після інтеграції з Active Directory, LDAP або іншими каталогами користувачів чи базами даних автентифікація за допомогою OTP-паролів автоматично працює в усіх підключених системах, включно з Winlogon, RDP, OWA тощо.
Які проблеми вирішує Protectimus DSPA?
1. Існуючі рішення MFA захищають лише частину інфраструктури
Більшість стандартних MFA-рішень додають двофакторну автентифікацію лише на рівні кінцевих точок входу. Через це зловмисники все ще можуть отримати доступ до інфраструктури в обхід MFA, напряму звертаючись до каталогів користувачів. Наприклад, для доступу до Active Directory через командний рядок Windows часто достатньо знати лише логін і пароль користувача. Protectimus DSPA закриває цю вразливість, додаючи захист безпосередньо на рівні каталогів користувачів і баз даних. У результаті доступ до облікових записів стає неможливим без динамічного OTP-пароля — незалежно від того, звідки надходить запит і через яку систему виконується автентифікація.
2. Адміністраторам необхідно встановлювати та підтримувати плагіни 2FA на декількох платформах
Зазвичай, щоб налаштувати двофакторну автентифікацію для всіх співробітників і всіх корпоративних сервісів, адміністратору доводиться впроваджувати окремі MFA-плагіни для різних платформ і встановлювати додаткове програмне забезпечення на кожен клієнтський пристрій. Крім того, усе це програмне забезпечення потрібно постійно оновлювати та підтримувати. Protectimus DSPA значно спрощує цей процес. Після інтеграції компонента з Active Directory автентифікація за допомогою OTP-паролів автоматично застосовується в усіх сервісах, підключених до AD, включно з Winlogon, RDP, ADFS, OWA тощо.
Як це працює?
Protectimus інтегрується безпосередньо з Microsoft Active Directory або іншими каталогами користувачів і замінює звичайні статичні паролі на одноразові OTP-паролі, що генеруються за алгоритмом TOTP. Такі паролі автоматично змінюються через задані проміжки часу, тому замість постійних паролів користувачі входять у систему за допомогою тимчасових динамічних кодів.
Адміністратор може налаштувати інтервал зміни OTP-паролів, починаючи від 30 секунд, а також окремо визначити політики для різних користувачів і груп. Це дає змогу гнучко контролювати, для кого використання Protectimus Dynamic Strong Password Authentication (DSPA) буде обов’язковим.
Для генерації OTP-кодів користувачі можуть використовувати застосунок Protectimus SMART або чат-боти в Telegram, Viber чи Facebook. Доступ до застосунку або месенджера можна додатково захистити PIN-кодом чи біометрією, що забезпечує ще вищий рівень безпеки автентифікації.
OTP токени на вибір
Компонент Protectimus DSPA для захисту баз даних дає змогу гнучко налаштовувати інтервал зміни OTP-паролів із кроком у 30 секунд. Ця можливість також підтримується для OTP-токенів Protectimus SMART і Protectimus BOT.
Protectimus Smart OTP
Безкоштовний MFA застосунок Protectimus Smart OTP для двофакторної автентифікації доступний на iOS та Android. При створенні нового TOTP-токена користувачі можуть встановити бажаний інтервал зміни паролів, кратний 30 секундам. Це дає можливість використовувати програмний токен Protectimus Smart для двофакторної автентифікації в Active Directory, LDAP та інших базах даних із застосуванням Protectimus DSPA.
Чат-боти у месенджерах
Доставка одноразових паролів доступна через чат-боти Protectimus Bot у Telegram, Viber та Facebook Messenger. Цей безкоштовний тип програмного токену дозволяє адміністраторам налаштувати генерацію одноразових паролів на основі TOTP з будь-яким часовим інтервалом. Такий підхід робить чат-ботів чудовим інструментом автентифікації для Protectimus DSPA.
Локальна платформа або приватна хмара
Перед налаштуванням компонента Protectimus Dynamic Strong Password Authentication клієнт повинен встановити платформу двофакторної автентифікації Protectimus в своїй інфраструктурі або в приватній хмарі.
Локальна платформа MFA
Приватна
хмара
Сервер двофакторної автентифікації Protectimus також може бути розгорнутий у приватній хмарі клієнта. Незалежно від того, де встановлена MFA-платформа — у вашому середовищі чи в приватній хмарі — вона підтримує багатодоменні середовища, функції кластеризації, реплікації та резервного копіювання, а також надає клієнту повний контроль над важливими даними та процесами. Перед встановленням платформи автентифікації Protectimus у приватній хмарі переконайтеся, що ваша хмарна інфраструктура відповідає таким технічним вимогам: 2 Core (СPU), 8 GB (MEM); OS на всіх Instance: Linux; Cloud Disk: 100GB; Load Balancer.
Як налаштувати двофакторну автентифікацію в Active Directory
Інструкція з налаштування MFA для Active Directory через Protectimus DSPA
Встановіть платформу з компонентом DSPA
Встановіть локальну платформу Protectimus за допомогою інсталятора Windows (завантажити з цієї сторінки) або образу Docker. Компонент Protectimus DSPA буде встановлено автоматично.
Створіть ресурс
На вкладці Ресурси (Resources) виберіть Додати ресурс (Add Resource). Ви потрапите на сторінку додавання ресурсу, де вам потрібно буде вказати лише назву ресурсу (Resource Name) і натиснути кнопку Зберегти (Save), решта параметрів є необов’язковими.
Налаштуйте постачальника та синхронізацію користувачів
В системі Protectimus увійдіть у свій обліковий запис, відкрийте вкладку DSPA і виберіть Add task -> Add LDAP user provider. Заповніть дані про ваш каталог користувачів, додайте атрибути синхронізації, імпортуйте користувачів у систему Protectimus і синхронізуйте їх із каталогом користувачів.
Активуйте компонент Protectimus DSPA
Щоб активувати компонент Protectimus DSPA, перейдіть на вкладку DSPA і натисніть на назву DSPA, а потім активуйте параметр Enabled.
Активуйте портал самообслуговування користувачів
Для роботи Protectimus DSPA потрібні: налаштований постачальник користувачів, синхронізований користувач, встановлений у користувача пароль і призначений токен. Щоб користувачі могли самостійно задавати паролі та створювати токени, скористайтесь Порталом самообслуговування користувачів. На сторінці ресурсу відкрийте вкладку Самообслуговування, активуйте опцію та вкажіть адресу порталу.
Готові розпочати?
Зробіть перший крок до посилення безпеки з Protectimus. Спробуйте наш хмарний сервіс або локальну платформу MFA вже сьогодні та відчуйте переваги двофакторної автентифікації. Якщо вам потрібна допомога з інтеграцією, налаштуванням або у вас виникли запитання, просто зв’яжіться з нашою командою, і ми проведемо вас через процес налаштування.
