1.1. Назначение программы

SecurLogon предназначен для предотвращения несанкционированного доступа к ОС и данным персональных компьютеров (далее по тексту – ПК). Программа позволяет повысить сетевую безопасность, упростить процессы управления и защиты паролей пользователей.

1.2. Функции, выполняемые программой

Средство двухфакторной аутентификации SecurLogon позволяет настроить следующие виды аутентификации:

  • простую локальную аутентификацию;
  • строгую локальную аутентификацию (с применением сертификата доступа, записанного на устройство аутентификации (электронный ключ, токен), защищаемое PIN-кодом);
  • усиленную локальную аутентификацию (с применением профиля пользователя, записанного на устройство аутентификации, защищаемое PIN-кодом);
  • простую сетевую аутентификацию;
  • строгую сетевую аутентификацию (с применением сертификата доступа, записанного на устройство аутентификации, защищаемое PIN-кодом);
  • усиленную сетевую аутентификацию (с применением профиля пользователя, записанного на устройство аутентификации, защищаемое PIN-кодом);
  • усиленную сетевую аутентификацию (с применением одноразового пароля OTP);
  • строгую удалённую аутентификацию по протоколу RDP (с применением сертификата доступа, записанного на устройство аутентификации, защищаемое PIN-кодом);
  • усиленную удалённую аутентификацию по протоколу RDP (с применением профиля пользователя, записанного на устройство аутентификации, защищаемое PIN-кодом).

1.3. Комплект поставки

Комплект поставки включает:

1) программное обеспечение «Средство двухфакторной аутентификации Aladdin SecurLogon» RU.АЛДЕ.03.12.010-03 на носителе оптической записи (файлы архивов в формате *.tgz). Состав архивов приведен в таблице (Таблица 2);

Таблица 2 – Состав архивов дистрибутивов SecurLogon

Файл

Описание

SecurLogon_2.1.*.* _astra_x64.tgz

Дистрибутив установки SecurLogon для
ОС Astra Linux Special Edition 1.7.5 / 1.7.6 / 1.8.1 / 1.8.2

SecurLogon_2.1.*.* _alt_x64.rpm.tgz

Дистрибутив установки SecurLogon для
ОС Альт 8 СП / СП Release 10 / 10

SecurLogon_2.1.*.* _redos_x64.rpm.tgz

Дистрибутив установки SecurLogon для
РЕД ОС 7.3 / 8

2) копия сертификата соответствия системы сертификации средств защиты информации по требованиям безопасности информации (рег. № РОСС RU.0001.01БИ00) в цифровом или бумажном виде;

3) контрольная сумма файла архива программного обеспечения «Средство двухфакторной аутентификации Aladdin SecurLogon» RU.АЛДЕ.03.12.010-03 на носителе оптической записи;

4) эксплуатационная документация:

  • «Средство двухфакторной аутентификации Aladdin SecurLogon. Формуляр. Часть 1. Общие сведения» RU.АЛДЕ.03.12.010 30 01-1;
  • «Средство двухфакторной аутентификации Aladdin SecurLogon. Формуляр. Часть 2. Свидетельства о приемке, упаковке и маркировке» RU.АЛДЕ.03.12.010 30 01-2;
  • «Средство двухфакторной аутентификации Aladdin SecurLogon. Описание применения» RU.АЛДЕ.03.12.010 31 01;
  • «Средство двухфакторной аутентификации Aladdin SecurLogon. Руководство системного программиста (Руководство администратора)» RU.АЛДЕ.03.12.010 32 01;
  • «Средство двухфакторной аутентификации Aladdin SecurLogon. Руководство оператора (Руководство пользователя)» RU.АЛДЕ.03.12.010 34 01.

1.4. Действия по безопасной установке и настройке программы

Установка SecurLogon производится только с диска, получаемого от разработчика, после выполнения действий по приёмке поставленного средства.

Установка (изменение) программного обеспечения ПК и локальной вычислительной сети должна осуществляться только в присутствии и под контролем администратора информационной безопасности того технологического участка, в котором эксплуатируется программа.

Настройка SecurLogon должна проводиться привилегированным пользователем с правами администратора, допускаемым к установке и настройке программы.

1.5. Действия по реализации функций безопасности среды функционирования программы

Для безопасной работы SecurLogon в среде ОС должно обеспечиваться:

  • предотвращение несанкционированного доступа к идентификаторам и паролям привилегированных пользователей (администратора);
  • разделение полномочий (ролей) пользователей;
  • порядок обработки, хранения и передачи аутентификационной информации пользователей, созданной программой;
  • срок хранения информации о зарегистрированных событиях безопасности не менее трёх месяцев;
  • синхронизация внутренних системных часов информационной системы для регистрации всех событий безопасности в журнале событий;
  • защита аппаратного обеспечения с функционирующей программой от внешних воздействий (воздействий окружающей среды, нестабильности электроснабжения, кондиционирования и иных внешних факторов).

1.6. Описание работы программы

Для успешного входа в ОС пользователь должен подсоединить устройство аутентификации (электронный ключ) к ПК и ввести PIN-код устройства.

ОС авторизует пользователя в результате успешной аутентификации на основе данных, размещённых в защищённой памяти электронного ключа:

  • сертификат доступа – как выпущенный центром сертификации, так и самоподписанный;
  • профиль учётной записи пользователя – логин и пароль. Пароль в профиле SecurLogon может быть задан вручную или сгенерирован автоматически. В последнем случае можно задать периодичность, с которой пароль будет автоматически изменяться. При этом возможность входа в ОС сохраняется.

SecurLogon также позволяет настроить поведение ОС при извлечении пользователем электронного ключа во время активного сеанса, в этом случае возможны следующие варианты:

  • бездействие – при извлечении электронного ключа ничего не произойдёт, текущий сеанс продолжается в штатном режиме;
  • блокировка сессии пользователя – при извлечении электронного ключа активный сеанс пользователя будет заблокирован. В этом случае для возобновления доступа к системе пользователь должен вновь подсоединить свой электронный ключ к ПК и ввести PIN-код, или указать свой логин и пароль (в зависимости от настроенной политики входа);
  • выключить компьютер – при извлечении электронного ключа активный сеанс и все процессы будут завершены.

1.7. Примеры применения программы

1.7.1. Локальная аутентификация

Локальная аутентификация используется в том случае, когда пользователь хочет войти непосредственно на рабочую станцию, не входящую в домен.

При локальной аутентификации каждое устройство использует собственную базу данных комбинаций имён пользователей и паролей.

Концепция локальной аутентификации приведена на рисунке (Рисунок 1).

Рисунок 1 – Локальная аутентификация

Обеспечение локальной аутентификации осуществляется по следующему алгоритму:

1) генерация профиля:

  • администратор безопасности на своём ПК или на ПК пользователя средствами SecurLogon генерирует сертификат или профиль пользователя. Сгенерированная аутентификационная информация сохраняется в защищённом разделе электронного ключа;
  • при генерации профиля пользователя администратор задаёт периодичность смены пароля. Изменение пароля происходит в автоматическом режиме. При этом пользователь может даже не знать о смене пароля;

2) аутентификация пользователя:

  • пользователю выдаётся электронный ключ;
  • пользователь подсоединяет электронный ключ к своему ПК с предустановленным и настроенным SecurLogon;
  • для входа в ОС пользователь подключает электронный ключ к рабочему месту и вводит PIN-код;
  • в зависимости от выбранной политики входа и выбранного способа аутентификации происходит сопоставление данных в защищённом разделе электронного ключа с данными ОС рабочего места пользователя;
  • в случае успешной аутентификации пользователю предоставляется доступ к рабочему столу.

Следует учитывать, что по мере роста сети и добавления дополнительных устройств в сеть, поддержка локальной аутентификации, а также её масштабирование становится трудновыполнимой задачей. 

1.7.2. Сетевая аутентификация

Сетевая аутентификация позволяет ускорить и обезопасить работу пользователя в информационной среде. В этом случае исчезает необходимость заведения паролей для каждого конкретного ресурса, а доступ ко всем разрешённым ресурсам осуществляется по одному сертификату или профилю, хранящемуся в электронном ключе. Пользователь владеет и распоряжается электронным ключом, который обеспечивает фактор владения. При помощи этого же электронного ключа пользователь может осуществлять защищённый и достоверный обмен информацией по открытым каналам, а также получать удалённый доступ к корпоративной информационной системе.

1.7.2.1. Усиленная сетевая аутентификация с использованием профиля пользователя

Концепция сетевой аутентификации с использованием профиля пользователя показана на рисунке (Рисунок 2).

Рисунок 2 – Сетевая аутентификация с использованием профиля пользователя

Обеспечение внешней аутентификации осуществляется по следующему алгоритму:

1) генерация профиля:

  • администратор безопасности средствами SecurLogon записывает доменный профиль пользователя (логин и сложный пароль) в защищённую область электронного ключа JaCarta (1);
  • электронный ключ (устройство) с записанным профилем передаётся пользователю;

2) аутентификация пользователя:

  • пользователю выдаётся электронный ключ (2);
  • пользователь подсоединяет электронный ключ к своему ПК с предустановленным и настроенным SecurLogon и вводит PIN-код, тем самым предоставляя доступ ОС к закрытой области с записанным на устройстве профилем. При этом пользователь не знает свой сложный пароль, а знает только PIN-код (3);
  • профиль пользователя передаётся на сервер для проверки (4);
  • сервер проверяет соответствие логина и пароля, записанного на устройство, со своей базой данных;
  • в случае успешной аутентификации осуществляется авторизация пользователя (5).

1.7.2.2. Строгая сетевая аутентификация в инфраструктуре открытых ключей (PKI)

Средства аутентификации, основанные на технологии открытых ключей (PKI), обладают высокой надёжностью криптографических методов. Данный метод аутентификации основан на применении сертификата открытого ключа, выпущенного удостоверяющим центром.

Концепция аутентификации в среде PKI показана на рисунке (Рисунок 3).

Рисунок 3 – Сетевая аутентификация в среде PKI

Обеспечение аутентификации в среде PKI осуществляется по следующему алгоритму:

1) генерация сертификата:

  • администратор безопасности через консоль управления JaCarta Management System (JMS) создает на электронном ключе закрытый ключ и формирует CSR-запрос (1);
  • JMS передаёт CSR-запрос в центр сертификации (2);
  • центр сертификации возвращает в JMS сертификат пользователя (3);
  • JMS записывает полученный сертификат пользователя в защищённую память электронного ключа (4);
  • электронный ключ передаётся пользователю (5);

2) аутентификация пользователя:

  • пользователь подсоединяет электронный ключ к своему ПК с предустановленным и настроенным SecurLogon (6);
  • для входа в домен пользователь инициирует запрос на аутентификацию (7);
  • сервер отправляет пользователю набор данных с запросом их подписать (8);
  • пользователь вводит PIN-код для доступа к закрытому ключу, которым подписывается запрос (9);
  • подписанный запрос передаётся на сервер (10);
  • сервер проверяет подпись и, в случае успешной аутентификации, авторизует пользователя (11).