AKNUR Security

+7 (727) 315-81-70

315-81-71

315-81-72

info@aknur.kz

Служба технической поддержки:

support@aknur.kz

SafeNet Network Logon

Решение проблемы «слабых» паролей при работе на компьютерах под управлением Windows

Решение проблемы «слабых» паролей при работе на компьютерах под управлением Windows

Safenet Network Logon предназначен для кардинального решения проблемы «слабых» паролей при работе на компьютерах под управлением Microsoft Windows. Сразу после установки продукта для входа на компьютер или в сеть можно начать использовать надёжные и стойкие к перебору пароли, либо цифровые сертификаты.

Safenet Network Logon предназначен для кардинального решения проблемы «слабых» паролей при работе на компьютерах под управлением Microsoft Windows. Сразу после установки продукта для входа на компьютер или в сеть можно начать использовать надёжные и стойкие к перебору пароли, либо цифровые сертификаты.

В простейшем сценарии использования Safenet Network Logon:

  • сгенерирует для пользователя новый сложный пароль для входа в Windows (длиной 14 символов, обязательно содержащий буквы верхнего и нижнего регистра, цифры, спецсимволы);
  • сменит текущий пароль пользователя Windows на новый сложный пароль;
  • • сохранит новый сложный пароль для входа в Windows в защищенной памяти USB-ключа или смарт-карты oken.

Теперь пользователю не нужно запоминать пароль для входа в Windows, т.к. он надёжно хранится в защищённой памяти eToken. Для входа в Windows достаточно подключить eToken и ввести пароль пользователя для самого ключа eToken. Хранящийся в защищённой памяти ключа eToken пароль Windows будет считан из памяти ключа и передан в Windows. Таким образом, пользователю не надо запоминать и вводить с клавиатуры сам пароль Windows – это исключает возможность подсматривания или перехвата пароля Windows злоумышленником и делает реально возможным использование в среде Windows сложных и стойких к перебору паролей.

Safenet Network Logon значительно снижает влияние «человеческого фактора» на уровень безопасности Windows. Внедрение и правильное использование продукта позволят исключить возможность обращения злоумышленников к ресурсам системы от имени легальных пользователей.

Safenet Network Logon обеспечивает:

  • Двухфакторную аутентификацию пользователей на компьютере и в сети Windows с помощью USB-ключей или смарт-карт eToken;
  • Использование регистрационных имён и паролей для локального входа в систему или для входа в домен;
  • Использование цифровых сертификатов Х.509, сертификатов пользователя со смарт-картой и закрытых ключей для входа в домен;
  • Генерирование и последующее применение случайных паролей, неизвестных пользователю.

Функционал Safenet Network Logon

Safenet Network Logon может быть установлен на компьютеры и ноутбуки под управлением ОС Microsoft Windows, объединённые в рабочую группу или домен Windows.

После установки Safenet Network Logon стандартное приглашение для входа в Microsoft Windows заменяется новым, которое расширяет возможности по входу пользователя в систему:

  • можно подключить смарт-карту (eToken) с закрытым ключом и сертификатом пользователя, ввести пароль пользователя для eToken и войти в систему;
  • можно нажать CTRL+ALT+DELETE, ввести имя пользователя, пароль и (при необходимости) имя домена, нажать OK и войти в систему.

Для каждого из этих двух способов аутентификации в Safenet Network Logon предусмотрены усовершенствования:

  • Вместо того чтобы каждый раз вводить имя пользователя и сложный пароль, пользователь один раз сохраняет их в памяти eToken, а впоследствии лишь подключает eToken и вводит для него пароль пользователя.
  • Для того чтобы войти в систему, предъявив сертификат пользователя со смарт-картой, надо подключить eToken и ввести для него пароль пользователя. Если eToken уже подключен, не нужно вынимать его и повторно подключать, достаточно лишь нажать CTRL+L, а затем ввести пароль пользователя для eToken.

Решение проблемы "слабых" паролей. После установки продукта можно:

  • полностью отказаться от использования паролей при входе на компьютер и в сеть, перейдя к использованию цифровых сертификатов, либо
  • использовать хранимые в памяти eToken сложные пароли (заданные вручную с учётом действующих в организации требований к их сложности, либо автоматически сгенерированные).

В любом случае пароль перестаёт быть "слабым" (исключается риск его подбора злоумышленником), при возможной смене пароля пользователем исключается риск задания им нового пароля, являющегося "слабым", пароль не вводится с клавиатуры (исключаются риски подсматривания пароля или его перехвата шпионским ПО), пользователь не должен помнить пароль (исключаются случаи его забывания и записывания на бумаге).

Усиление безопасности при использовании паролей. Даже если для входа на компьютер и в сеть Windows используются пароли, то с помощью Safenet Network Logon можно значительно усилить защищённость существующей системы. Имена и пароли пользователей можно сохранить в памяти eToken (что исключит риск их подсматривания злоумышленником).

Дополнительно можно использовать встроенный в Safenet Network Logon генератор паролей для генерации сложных паролей (это исключит риск их подбора злоумышленником). Сгенерированный пароль записывается в память eToken и сохраняется в ней. Количество наборов "имя пользователя – пароль", хранящихся в памяти eToken, неограниченно.

Простой переход к аутентификации с использованием цифровых сертификатов. При развёртывании инфраструктуры PKI появляется возможность использовать цифровые сертификаты для входа в сеть Windows и на локальный компьютер.

Если в памяти eToken имеется сертификат пользователя со смарт-картой и соответствующий закрытый ключ, их можно использовать для входа в домен Windows вместо имени пользователя и пароля. Таким образом обеспечивается плавность перехода от парольной аутентификации к строгой аутентификации с использованием цифровых сертификатов.

Автоматическая блокировка рабочей станции. При отсоединении eToken от порта USB происходит автоматическая блокировка компьютера. Для разблокирования компьютера необходимо подсоединить eToken и ввести пароль пользователя для eToken.

Настройка продукта в соответствии с требованиями политики безопасности организации. Администратор может запретить или разрешить пользователю ввод пароля вручную.

Настройка методов аутентификации. Администратор может управлять методами аутентификации:

  • какие методы разрешены на данном компьютере - использование профилей, применение сертификатов;
  • какой метод аутентификации используется по умолчанию и может ли пользователь самостоятельно выбирать метод при наличии в памяти eToken как профилей, так и сертификата.

На компьютере должна быть установлена одна из операционных систем:

  • Windows Server 2008 R2;
  • Windows Server 2008 (32- или 64-бит);
  • Windows Server 2003 R2 (64-бит);
  • Windows Server 2003 SP2 (32- или 64-бит);
  • Windows 7 (32- или 64-бит);
  • Windows Vista SP2 (32- или 64-бит);
  • Windows XP SP3 (32-бит);
  • Windows XP SP2 (64-бит).

На компьютере должен быть установлен набор драйверов Safenet Authentication Client 8.2.

Аппаратное обеспечение должно соответствовать требованиям операционной системы. Также необходим свободный USB-порт (при использовании USB-ключей eToken) или устройство чтения смарт-карт (при использовании смарт-карт eToken).

Safenet Network Logon поддерживает все модели eToken.

  • Отказ от ввода паролей вручную. Какой бы метод регистрации ни применялся, — использование хранимых в памяти eToken сертификатов или паролей, — при входе в систему пользователь никогда не вводит пароль. Это исключает риски подсматривания пароля или его перехвата при вводе с клавиатуры.
  • Возможность применения длинных и сложных паролей. Поскольку пользователь не должен вводить пароль вручную, сам пароль может быть длиннее и сложнее, чем пользователь может запомнить.
  • Использование сгенерированных случайных паролей, неизвестных пользователю. Safenet Network Logon позволяет генерировать пароли заданной длины, сохранять их в памяти eToken и подставлять в хранилище учётных данных таким образом, что пользователь даже не знает своего пароля, а потому не может записать и тем самым скомпрометировать его.
  • Аппаратная аутентификация пользователей. Для входа в систему пользователю надо иметь eToken. Это надёжнее, чем ввод паролей с клавиатуры.
  • Двухфакторная аутентификация Safenet Network Logon позволяет не просто сохранить реквизиты пользователя в памяти eToken, но и защитить их паролем пользователя eToken. При использовании этой возможности потеря или кража eToken не приведёт к компрометации пароля.
  • Интеграция в инфраструктуру открытых ключей. Safenet Network Logon поддерживает не только системы, в которых для аутентификации пользователей применяются пароли, но и более надёжный и современный метод регистрации с использованием смарт-карт.
  • Простота и удобство для пользователей. Способы аутентификации, применяемые в Safenet Network Logon, удобнее для пользователей, чем стандартные способы. Требования к сложности паролей пользователя eToken не столь высоки, как требования к сложности паролей Windows. Поэтому при двухфакторной аутентификации вводить простой пароль пользователя eToken проще, чем без таковой вводить сложный и длинный пароль.
  • Улучшенный интерфейс при регистрации с использованием смарт-карт. Если eToken пользователя подключен к компьютеру, необязательно отключать его и подключать вновь. Safenet Network Logon позволяет в таком случае нажать CTRL+L, ввести пароль пользователя eToken и войти в систему, не прикасаясь к eToken.
  • Safenet Network Logon — универсальный продукт, который можно использовать на изолированном компьютере, в небольшой рабочей группе, в простой или сложной доменной инфраструктуре. В каждой среде eToken Network Logon предоставляет наилучший с точки зрения безопасности и удобства способ аутентификации.
  • Safenet Network Logon можно интегрировать с eToken TMS (Token Management System), системой управления жизненным циклом USB-ключей и смарт-карт. Это позволит управлять сертификатами и профилями централизованно.