RUEN

IDenium for Active Directoty -идентификация пользователей и управление доступом к информационным ресурсам в корпоративных сетях

12.10.2011

147185

Приоритетное направление информационной безопасности — идентификация пользователей корпоративных сетей и управление их доступом к информационным ресурсам (Identity and Access Management). В этих целях активно используется служба каталогов Microsoft Active Directory (AD), в инфраструктуру которой интегрирован сервис биометрической идентификации BioLink IDenium.

Сервис функционирует под управлением операционных систем Microsoft Windows 2000/XP/2003/Vista. Назначение и функции BioLink IDenium:

  • замена громоздкой и уязвимой парольной системы надежной и удобной идентификацией по отпечаткам пальцев;
  • эффективное разграничение доступа к информационным ресурсам корпоративных сетей;
  • централизованное управление правами и полномочиями пользователей и жизненным циклом их учетных записей;
  • однократная регистрация пользователей и их биометрических идентификаторов с последующим предоставлением зарегистрированным пользователям доступа к информационным ресурсам сети с любого из входящих в ее состав компьютеров;
  • протоколирование событий доступа и аудит.

С внедрением BioLink IDenium снижается нагрузка на администраторов и специалистов служб защиты информации, повышается уровень информационной безопасности, а работа пользователей упрощается и ускоряется. Именно пользователи идентифицируются по уникальным неотчуждаемым параметрам — отпечаткам пальцев — простым касанием компактного сканера.

Отпечаток пальца служит единым идентификатором для входа в сеть, доступа к информационным ресурсам, обрабатываемым прикладными программами, электронной почте, защищенным ресурсам Интернет, ERP, CRM и другим управленческим и информационным системам.

Обзор

Алгоритм функционирования

В распоряжении пользователя находятся модули биометрической идентификации на клиентской станции. Администратор применяет модули централизованной регистрации (перерегистрации) биометрических идентификаторов и настройки политик безопасности.

BioLink IDenium не хранит изображения биометрических идентификаторов. При распознавании пользователя формируется цифровая модель предъявляемого отпечатка пальца, которая сравнивается с моделью ранее зарегистрированного биометрического идентификатора.

Сравнение цифровых моделей осуществляет программный сервер — IDenium Server. При совпадении моделей зарегистрированного ранее и предъявляемого вновь отпечатка пальца сервер отправляет на рабочую станцию идентификационные сведения пользователя. Эти сведения транслируются системе, инициировавшей запрос на распознавание пользователя (операционной системе и т.д.).

Таким образом, информационная система получает от сервиса BioLink IDenium данные о пользователе в приемлемом для нее виде — прежде всего как имя (логин) пользователя (user ID) и его пароль (password). На основании этих сведений уже сама информационная система в штатном режиме проверяет идентичность пользователя и решает вопрос о предоставлении ему доступа к защищаемым ресурсам.

Интеграция с Active Directory

Централизованное хранение, защита и передача идентификационных данных пользователей осуществляется средствами AD. Управление правами пользователей осуществляется с вкладки BioLink стандартной Microsoft Management Console оснастки Active Directory Users and Computers (ADUC).

Идентификация пользователей

Возможна регистрация отпечатков всех 10 пальцев рук пользователя — с дальнейшей идентификацией по любому из зарегистрированных ранее отпечатков пальцев. Регистрация (перерегистрация) идентификаторов осуществляется:

  • одновременно с созданием учетной записи пользователя в AD — например, при найме нового сотрудника, в присутствии и на рабочем месте администратора;
  • самостоятельно пользователем на своем рабочем месте — например, на этапе централизованного развертывания сервиса BioLink IDenium.

Политики безопасности

  • идентификация только по отпечатку — рекомендуется для большинства пользователей
  • идентификация по отпечатку пальца ИЛИ паролю — целесообразна для администраторов и сотрудников службы информационной безопасности
  • двухфакторная идентификация по отпечатку пальца И паролю — для защиты доступа к наиболее ценным ресурсам

Клиентское ПО

Включает BioLink IDenium Windows Logon и BioLink IDenium Admin Pack.

Функции BioLink IDenium Windows Logon:

  • проверка подлинности (верификация) пользователя при входе в операционную систему или приложения;
  • верификация пользователя при работе с другими приложениями, взаимодействующими с BioLink Windows Logon;
  • хранение и передача информации о пользователе, полученной в результате верификации и необходимой для аутентификации пользователя при входе в операционную систему и защищенные приложения.

BioLink IDenium Admin Pack:

  • требуется для развертывания компонентов IDenium для Active Directory на компьютере администратора сети (для регистрации/перерегистрации биометрических идентификаторов пользователя, настройки политик идентификации, решения других административных задач);
  • позволяет при создании новых пользователей вводить сведения об отпечатках их пальцев централизованно, используя только один компьютер локального администратора сети.

Серверное ПО

Включает программное обеспечение синхронизатора паролей и программный сервер идентификации IDenium Server.

Синхронизатор паролей:

  • обеспечивает синхронизацию учетных данных пользователей, хранящихся в каталогах Active Directory и на серверах BioLink IDenium;
  • должен быть установлен на каждом из контроллеров домена в сети.

IDenium Server:

  • обрабатывает запросы на идентификацию, получаемые от клиентских систем;
  • создает ответные пакеты, содержащие учетные данные пользователя, инициировавшего запрос на идентификацию.

IDenium Server

Ключевые характеристики программного сервера идентификации: масштабируемость, отказоустойчивость, легкость развертывания и обслуживания.

Регистрация IDenium Server в каталоге Microsoft Active Directory происходит автоматически. В корпоративной сети можно установить несколько биометрических серверов, что обеспечит балансировку нагрузки между ними в пиковые периоды — скажем, в начале рабочего дня, когда в корпоративную сеть практически одновременно входит множество пользователей.

Наличие нескольких серверов повышает отказоустойчивость сервиса BioLink IDenium: если, например, по каким-то причинам выйдет из строя аппаратная платформа одного сервера, «эстафету идентификации» у него мгновенно примет другой.

Централизованная установка и управление

Установка сервиса BioLink IDenium производится централизованно, с рабочего места администратора сети. После установки, помимо перечисленных выше функций, администратору доступны следующие возможности:

  • добавление новых пользователей (или учетных записей), изменение их свойств, удаление;
  • разрешение/запрет кэширования идентификационной информации на рабочей станции пользователя;
  • скрытие реального изображения отпечатка, выводимого на экран монитора при сканировании.

Поддерживаемые сканеры отпечатков пальцев

Сервис BioLink IDenium поддерживает широкую номенклатуру сканеров отпечатков пальцев, в т.ч.:

  • офисные USB-сканеры отпечатков пальцев BioLink U-Match (выпускаются в виде самостоятельных корпусных устройств, в т.ч. со считывателем смарт-карт, интегрированным в общий со сканером корпус);
  • встраиваемые USB-сканеры отпечатков пальцев BioLink U-Match BI, интегрируемые в информационные киоски, терминалы и т.п. устройства;
  • сканеры отпечатков пальцев компании UPEK, включая сканеры, встроенные в ноутбуки и другие мобильные компьютерные устройства.

Преимущества

Безопасность
  • пользователи не знают паролей и не обмениваются ими
  • исключена возможность авторизации по утерянным/похищенным идентификаторам
  • защита режимов экранной заставки и Standby с разблокированием компьютера по предъявлении зарегистрированного отпечатка пальца
  • многофакторная идентификация при доступе к особо ценным ресурсам
Эффективность
  • минимизируются затраты рабочего времени при авторизации в корпоративной сети
  • идентификаторы не теряются и не выходят из строя
  • сокращается нагрузка на администраторов и сотрудников служб безопасности
  • уменьшаются расходы на управление инфраструктурой доступа к информационным ресурсам
Надежность
  • «горячий резерв» серверов биометрической идентификации и балансировка нагрузки между ними
  • возможна работа отдельных сегментов сети в автономном режиме с последующей репликацией данных между обслуживающими их биометрическими серверами
  • допускается вход пользователя на рабочую станцию по локальному кэшу при временной недоступности сервера или сети
Масштабируемость. Централизованное управление
  • ограничения по числу пользователей отсутствуют
  • централизованная инсталляция и управление с рабочего места администратора
  • автоматическая регистрация серверов биометрической идентификации в Microsoft Active Directory
  • регистрация/перерегистрация отпечатков пальцев возможна как на рабочем месте пользователя, так и на рабочем месте администратора под его наблюдением
  • управление идентификацией — с вкладки BioLink стандартной консоли AD Users and Computers
Основные преимущества
  • повышение уровня информационной безопасности
  • сокращение трудозатрат пользователей, освобождаемых от необходимости помнить и вводить пароли
  • упрощение процедуры идентификации пользователей при соблюдении требований защиты информации
  • снижение (на 80-90%) нагрузки на администраторов благодаря уменьшению числа обращений пользователей, «забывших» или утративших пароли и материальные идентификаторы
Комфортность
  • естественная простота и удобство идентификации
  • возможна регистрация всех 10 отпечатков пальцев рук с последующей идентификацией по любому из них
  • регистрация биометрических идентификаторов производится однократно; сам пользователь может в дальнейшем перерегистрировать их

Биометрия