Компонент Protectimus DSPA для двухфакторной аутентификации в Active Directory меняет пароли пользователей в AD по расписанию. Интервал смены паролей задает администратор. При этом пароли Active Directory состоят из двух частей — статической (задается пользователем) и переменной (одноразовый пароль, сгенерированный по алгоритму TOTP). Такой пароль имеет вид: P@ssw0rd!459812.
Компонент Protectimus DSPA и платформа двухфакторной аутентификации Protectimus устанавливаются в окружении клиента. Вы можете контролировать все данные и процессы и обеспечить максимальный уровень защиты инфраструктуры от взлома. В on-premise платформе Protectimus предусмотрены мультидоменность, а также функционал кластера, репликаций и бэкапа.
В отличие от традиционных решений MFA, Protectimus DSPA освобождает администратора от необходимости устанавливать на клиентские машины дополнительное ПО и периодически его обновлять. После интеграции компонента Protectimus DSPA с Active Directory, пароли пользователей с динамической частью будут автоматически запрашиваться для логина во все системы, связанные с AD (Winlogon, RDP, OWA и т.д.).
Какую проблему решает Protectimus DSPA?
1. Существующие решения MFA позволяют защитить только часть инфраструктуры
Все стандартные решения MFA добавляют двухфакторную аутентификацию только на конечных точках. Так у злоумышленника остается возможность атаковать вашу инфраструктуру, минуя двухфакторную аутентификацию и обращаясь к каталогу пользователей напрямую. Например, можно инициировать запрос прямо в Active Directory через командную строку Windows, и достаточно знать логин и пароль пользователя, чтобы выполнить операцию от его имени. Используя Protectimus DSPA, вы можете быть уверены, что из какой бы точки не приходил запрос в AD, без динамического пароля войти в учетную запись пользователя невозможно.
2. Необходимость установки и поддержки 2FA плагинов на различных платформах
Сейчас, чтобы настроить двухфакторную аутентификацию для всех сотрудников во всех сервисах, которые использует компания, администратор должен внедрить несколько 2FA плагинов для разных платформ и установить дополнительное ПО на каждой клиентской машине. Более того, все это ПО нужно постоянно обновлять. После интеграции компонента Protectimus DSPA с Active Directory, авторизация и аутентификация станет безопасной сразу во всех службах Microsoft. Динамические пароли будут запрашиваться во всех сервисах, которые обращаются к AD (Winlogon, RDP, ADFS, OWA и т.д.).
Как это работает?
Protectimus интегрируется прямо с хранилищем пользователей, как пример рассматривается двухфакторная аутентификация через Active Directory, и добавляет к статическим паролям приставку в виде 6 цифр — одноразовый пароль, который генерируется по алгоритму TOTP и постоянно меняется. Теперь чтобы получить доступ к Active Directory нужно ввести пароль вида: P@ssw0rd!459812, где P@ssw0rd! — постоянная часть, а 459812 — одноразовый пароль. Active Directory безопасность обеспечена.
Администратор задает интервал смены одноразовых паролей — от 30 секунд и более. Этот интервал должен быть кратным 30 секундам. Частоту смены пароля можно задать индивидуально для каждого пользователя. Также можно выбрать для какой группы пользователей будет применена строгая аутентификация на базе динамических паролей, а для какой нет. Компонент Protectimus DSPA регулярно производит изменения паролей пользователей, следуя заданному администратором расписанию. При этом меняются только последние 6 цифр.
Пользователи получают доступ к своим учетным записям, вводя в одну строку свой постоянный пароль и одноразовый код. Для генерации OTP пароля в данном случае можно использовать приложение Protectimus SMART, чат-бот в мессенджере Telegram, Viber, Facebook или специальные аппаратные токены для Protectimus DSPA.
