Protectimus DSPA
Protectimus DSPA (Dynamic Strong Password Authentication) — це перше рішення для захисту баз даних, яке додає двофакторну автентифікацію для облікових записів безпосередньо в Active Directory та інші каталоги користувачів (LDAP, бази даних).
Що таке Protectimus DSPA?
Регулярна зміна паролів
Компонент Protectimus DSPA для двофакторної автентифікації в Active Directory регулярно змінює паролі користувачів у AD. Інтервал зміни паролів задає адміністратор. Пароль складається з двох частин: статичної (заданої користувачем) і динамічної (одноразового пароля, згенерованого за алгоритмом TOTP). У підсумку паролі виглядають так: P@ssw0rd!459812.
Локальна платформа
Компонент Protectimus DSPA та платформа двофакторної автентифікації Protectimus встановлюються безпосередньо в інфраструктурі клієнта, що дає вам змогу самостійно керувати даними і забезпечувати високий рівень безпеки. Платформа багатофакторної автентифікації Protectimus підтримує багатодоменні середовища, кластеризацію, реплікацію та резервне копіювання.
Легке адміністрування
На відміну від традиційних рішень MFA, Protectimus DSPA звільняє адміністраторів від необхідності встановлювати додаткове програмне забезпечення на клієнтських машинах і періодично його оновлювати. Після інтеграції компонента Protectimus DSPA з Active Directory, паролі для багатофакторної автентифікації будуть автоматично запитуватися при вході в усі системи, підключені до Active Directory MFA (Winlogon, RDP, OWA тощо).
Які проблеми вирішує Protectimus DSPA?
1. Існуючі рішення MFA захищають лише частину інфраструктури
Усі стандартні рішення MFA додають двофакторну автентифікацію лише на кінцеві точки. Це залишає хакерам можливість атакувати вашу інфраструктуру в обхід двофакторної автентифікації, звертаючись до каталогу користувачів напряму. Наприклад, можна викликати Active Directory через командний рядок Windows, і достатньо знати логін і пароль користувача, щоб виконати дію від його імені. Використовуючи Protectimus DSPA для захисту системи, ви можете бути впевнені, що ніхто не отримає доступ до AD, LDAP або облікових записів користувачів у вашій базі даних без динамічного пароля, незалежно від того, звідки походить або куди спрямований запит.
2. Адміністраторам необхідно встановлювати та підтримувати плагіни 2FA на декількох платформах
Як правило, щоб налаштувати двофакторну автентифікацію для всіх співробітників та сервісів, якими користується компанія, адміністратор має інтегрувати кілька плагінів 2FA для різних платформ та встановити додаткове програмне забезпечення на кожному робочому місці. Крім того, таке програмне забезпечення потрібно постійно оновлювати. Після інтеграції компонента Protectimus DSPA з Active Directory динамічні паролі для двофакторної автентифікації будуть автоматично використовуватися для автентифікації на всіх сервісах, підключених до AD (Winlogon, RDP, ADFS, OWA тощо).
Як це працює?
Protectimus інтегрується безпосередньо з Microsoft Active Directory (або будь-яким іншим каталогом користувачів), щоб доповнити статичні паролі користувачів шестизначним одноразовим паролем. Ці шість цифр є одноразовим паролем, згенерованим за допомогою алгоритму TOTP, і змінюються щоразу, коли користувач входить до системи. Тепер паролі користувачів і комп’ютерів Active Directory складаються з двох частин: фіксованої (наприклад, P@ssw0rd!) та одноразового пароля (наприклад, 459812).
Адміністратор встановлює інтервал зміни одноразового пароля, який має бути кратним 30 секундами (наприклад, 30 секунд або більше). Частоту зміни одноразового пароля в Active Directory можна налаштувати індивідуально для кожного користувача. Також можна вибрати, які групи користувачів використовуватимуть динамічну автентифікацію Protectimus DSPA. Компонент Protectimus DSPA регулярно змінює паролі користувачів згідно з розкладом, встановленим адміністратором. У цьому процесі змінюються лише останні шість цифр пароля.
Таким чином, автентифікація користувачів Active Directory виглядає наступним чином: користувачі можуть отримати доступ до своїх облікових записів, ввівши свої фіксовані паролі разом із одноразовим кодом. Для генерації OTP користувачі можуть використовувати iOS чи Android застосунок Protectimus Smart, який є генератором одноразових паролів, чат-боти в Telegram, Viber або Facebook, а також спеціальні апаратні токени для Protectimus DSPA.
OTP токени на вибір
Компонент Protectimus DSPA для захисту баз даних дозволяє адміністраторам задавати будь-який інтервал зміни пароля, кратний 30 секундам. Таку ж функціональність мають токени Protectimus Smart OTP і Protectimus Bot, а також деякі апаратні токени
Protectimus Smart OTP
Безкоштовний MFA застосунок Protectimus Smart OTP для двофакторної автентифікації доступний на iOS та Android. При створенні нового TOTP-токена користувачі можуть встановити бажаний інтервал зміни паролів, кратний 30 секундам. Це дає можливість використовувати програмний токен Protectimus Smart для двофакторної автентифікації в Active Directory, LDAP та інших базах даних із застосуванням Protectimus DSPA.
Апаратні токени
Наразі клієнтам Protectimus доступні апаратні TOTP-токени з 30- і 60-секундним інтервалом генерації одноразових паролів. У розробці знаходяться класичні TOTP-токени зі збільшеним інтервалом часу (600 секунд), а також TOTP-токени з можливістю програмування, які підтримують додавання власного секретного ключа та налаштування потрібного часового інтервалу (понад 60 секунд).
Чат-боти у месенджерах
Доставка одноразових паролів доступна через чат-боти Protectimus Bot у Telegram, Viber та Facebook Messenger. Цей безкоштовний тип програмного токену дозволяє адміністраторам налаштувати генерацію одноразових паролів на основі TOTP з будь-яким часовим інтервалом. Такий підхід робить чат-ботів чудовим інструментом автентифікації для Protectimus DSPA.
Локальна платформа або приватна хмара
Перед налаштуванням компонента Protectimus Dynamic Strong Password Authentication клієнт повинен встановити платформу двофакторної автентифікації Protectimus в своїй інфраструктурі або в приватній хмарі.
Локальна платформа
Локальна платформа MFA Protectimus підтримує багатодоменні середовища та включає функції кластеризації, реплікації та резервного копіювання. Використовуючи локальну платформу, ви отримуєте повний контроль над даними, процесами та рівнем захисту сервера від атак, а також можете налаштувати систему безпеки відповідно до ваших вимог. Ви маєте можливість використовувати будь-який брандмауер, повністю обмежити доступ до сервера ззовні і застосовувати інші заходи безпеки на свій розсуд. Для інсталяції платформи на вашому сервері повинні бути встановлені Java (JDK версії 8) та СУБД PostgreSQL версії 10 або новішої.
Приватна
хмара
Сервер двофакторної автентифікації Protectimus також може бути розгорнутий у приватній хмарі клієнта. Незалежно від того, де встановлена MFA-платформа — у вашому середовищі чи в приватній хмарі — вона підтримує багатодоменні середовища, функції кластеризації, реплікації та резервного копіювання, а також надає клієнту повний контроль над важливими даними та процесами. Перед встановленням платформи автентифікації Protectimus у приватній хмарі переконайтеся, що ваша хмарна інфраструктура відповідає таким технічним вимогам: 2 Core (СPU), 8 GB (MEM); OS на всіх Instance: Linux; Cloud Disk: 100GB; Load Balancer.
Як налаштувати двофакторну автентифікацію в Active Directory
Двофакторна автентифікація в Active Directory за допомогою Protectimus DSPA: інструкція з налаштування. Ваші користувачі повинні будуть автентифікуватися в Сервісі самообслуговування користувачів Protectimus, використовуючи логін (CN) та OTP (надісланий електронною поштою), щоб випустити токени та створити паролі, ідентичні їхнім паролям в AD.
Встановіть платформу з компонентом DSPA
Встановіть локальну платформу Protectimus за допомогою інсталятора Windows (завантажити з цієї сторінки) або образу Docker. Компонент Protectimus DSPA буде встановлено автоматично.
Створіть користувача
На вкладці Користувачі (Users) виберіть Додати користувача (Add User). Виберіть LDAP Users як тип користувача. Логін користувача має збігатися з CN користувача у службі каталогів
Створіть ресурс
На вкладці Ресурси (Resources) виберіть Додати ресурс (Add Resource). Виберіть LDAP Resource як тип ресурсу
Призначте користувача на ресурс
На вкладці Ресурси (Resources) натисніть Призначити (Assign), а потім Користувач (User). На LDAP ресурс можна призначити лише LDAP користувачів
Активуйте портал самообслуговування
Натисніть на назву ресурсу, перейдіть на вкладку Самообслуговування (Self-Service). Увімкніть портал самообслуговування та вкажіть його адресу
