Компонент Protectimus DSPA для двофакторної автентифікації в Active Directory змінює паролі користувачів в AD за розкладом. Інтервал зміни паролів задає адміністратор. При цьому паролі Active Directory складаються з двох частин – статичної (задається користувачем) і змінної (одноразовий пароль, згенерований за алгоритмом TOTP). Такий пароль має вигляд: P@ssw0rd!459812.
Компонент Protectimus DSPA і платформа двофакторної аутентифікації Protectimus встановлюються в оточенні клієнта. Ви можете контролювати всі дані та процеси й забезпечити максимальний рівень захисту інфраструктури від злому. В on-premise платформі Protectimus передбачено мультидоменність, а також функціонал кластера, реплікацій і бекапа.
На відміну від традиційних рішень MFA, Protectimus DSPA звільняє адміністратора від необхідності встановлювати на клієнтські машини додаткове ПЗ і періодично його оновлювати. Після інтеграції компонента Protectimus DSPA з Active Directory, паролі користувачів з динамічною частиною будуть автоматично запитуватися для логіна в усі системи, пов’язані з AD (Winlogon, RDP, OWA тощо).
Яку проблему вирішує Protectimus DSPA?
1. Наявні рішення MFA дають змогу захистити тільки частину інфраструктури
Усі стандартні рішення MFA додають двофакторну аутентифікацію тільки на кінцевих точках. Так у зловмисника залишається можливість атакувати вашу інфраструктуру, минаючи двофакторну автентифікацію та звертаючись до каталогу користувачів безпосередньо. Наприклад, можна ініціювати запит прямо в Active Directory через командний рядок Windows, і достатньо знати логін і пароль користувача, щоб виконати операцію від його імені. При використанні Protectimus DSPA ви можете бути впевненими, що з якої б точки не надходив запит в AD, без динамічного пароля увійти в обліковий запис користувача неможливо.
2. Необхідність встановлення та підтримки 2FA плагінів на різних платформах
Зараз, щоб налаштувати двофакторну автентифікацію для всіх співробітників у всіх сервісах, які використовує компанія, адміністратор повинен впровадити кілька 2FA плагінів для різних платформ і встановити додаткове ПЗ на кожній клієнтській машині. Окрім того, все це ПЗ потрібно постійно оновлювати. Після інтеграції компонента Protectimus DSPA з Active Directory, авторизація та аутентифікація стане безпечною одразу у всіх службах Microsoft. Динамічні паролі будуть запитуватися у всіх сервісах, які звертаються до AD (Winlogon, RDP, ADFS, OWA тощо).
Як це працює?
Protectimus інтегрується безпосередньо зі сховищем користувачів, як приклад розглядають двофакторну автентифікацію через Active Directory, і додає до статичних паролів приставку у вигляді 6 цифр – одноразовий пароль, який генерують за алгоритмом TOTP, і він постійно змінюється. Тепер, щоб отримати доступ до Active Directory, потрібно ввести пароль виду: P@ssw0rd!459812, де P@ssw0rd! – постійна частина, а 459812 – одноразовий пароль. Active Directory безпеку забезпечено.
Адміністратор задає інтервал зміни одноразових паролів – від 30 секунд і більше. Цей інтервал має бути кратним 30 секундам. Частоту зміни пароля можна задати індивідуально для кожного користувача. Також можна вибрати, для якої групи користувачів буде застосовано сувору аутентифікацію на базі динамічних паролів, а для якої ні. Компонент Protectimus DSPA регулярно змінює паролі користувачів, дотримуючись заданого адміністратором розкладу. При цьому змінюються тільки останні 6 цифр. Користувачі отримують доступ до своїх облікових записів, вводячи в один рядок свій постійний пароль і одноразовий код. Для генерації OTP пароля в даному випадку можна використовувати застосунок Protectimus SMART, чат-бот у месенджері Telegram, Viber, Facebook або спеціальні апаратні токени для Protectimus DSPA.
