RSS Лента
Последние обновления
Jun
21
Indeed Card Management 4.3 и Indeed AirKey Enterprise 1.5
Автор Алексей Дмитриев на 21 June 2017 05:47 PM

indeed-cm-4.3Сегодня мы расскажем о новых возможностях сразу двух тесно связанных между собой продуктов компании Indeed Identity: Indeed Card Management 4.3 и Indeed AirKey Enterprise 1.5.

 

 

 

Изменения в Indeed Card Management коснулись интеграции с Microsoft CA Enterprise:

  • Поддержка работы с удостоверяющим центром извне домена

Теперь один сервер может одновременно обслуживать пользователей из нескольких независимых доменов с MS CA в каждом. Также был реализован механизм сопоставления учетных записей пользователей между доменами, что позволяет в рамках одной операции выпустить сертификаты для двух доменных учетных записей одного сотрудника и записать на одно устройство.

  • Возможность запроса и выпуска сертификатов на Microsoft CA Enterprise с рабочих станций пользователей, расположенных вне домена.
  • Поддержка кастомных шаблонов сертификата «Агент регистрации».

В новой версии Indeed AirKey Enterprise было добавлено:

  • Расширенные парольные политики. Теперь для AirKey Enterprise можно задать такие параметры:
    • Минимальная длина PIN-кода
    • Максимальное количество попыток ввода PIN-кода
    • История PIN-кода
    • Максимальное количество последовательно повторяющихся символов
    • Вхождение групп символов
      • Числовые символы
      • Символы верхнего регистра
      • Символы нижнего регистра
      • Специальные символы
  • В клиентских компонентах появилась Панель управления Indeed AirKey Enterprise:

CM4.3_01

В ней отображаются все подключенные к рабочей станции устройства AirKey. В ней же можно добавить новое устройство, указав его идентификатор (ID). Данный механизм позволяет использовать AirKey за пределами сети предприятия (потребуется разрешить подключение к серверу Indeed AirKey Enterprise из-за пределов сети).

Индикация подключения устройств AirKey добавлена также в область уведомлений Microsoft Windows:

CM4.3_02


Подробнее »



Jun
5

В апреле 2016 года была принята новая версия PCI DSS 3.2. Часть нововведений этой версии вступает в силу 1 февраля 2018 года. К таким нововведениям относятся изменения в части аутентификации сотрудников при доступе к информационным системам банка. Так, с 01.02.2018 г. становится обязательным применение многофакторной аутентификации в ряде сценариев доступа.

Стандарт PCI DSS определяет следующие факторы или методы аутентификации пользователей:

  • то, что вы знаете;
  • то, что у вас есть;
  • то, чем вы обладаете.

Приведем несколько примеров для указанных факторов, наиболее часто встречающихся при практическом решении задач мультифакторной аутентификации.

То, что вы знаете

  • PIN код смарт-карты или USB-ключа. PIN хранится только в памяти устройства и используется для доступа к защищенной области данных на смарт-карте или USB-ключа для выполнения различных криптографических операций, в т.ч. в целях аутентификации.
  • Ответы на контрольные вопросы. Как правило, такой метод используется как резервный при восстановлении доступа. В целях безопасности, рекомендуется требовать правильные ответы на несколько вопросов.
  • Классический пароль условно постоянного действия.

То, что у вас есть

  • Смарт-карт или USB-ключ. На таких устройствах хранится закрытый ключ для операций асимметричной криптографии и другая ключевая информация.
  • OTP-брелок — генератор одноразовых паролей. Аппаратное устройство генерации OTP. Наиболее распространенным стандартом генерации одноразовых  паролей являются алгоритмы OATH TOTP и HOTP. Также встречаются проприетарные алгоритмы генерации ОТР (например, RSA).
  • Смартфон пользователя. Смартфон может использоваться в различных вариантах: (а) мобильное приложение для генерации ОТР; (б) одноразовые пароли, высылаемые по SMS; (в) мобильное приложение для out of band аутентификации с использованием push-уведомлений.
  • Бесконтактная карта (RFID). Такие карты удобны тем, что могут одновременно использоваться как для логического доступа в информационные системы, так и для физического доступа в помещения организации.

То, чем вы обладаете (то, чем вы являетесь)

  • В данную категорию попадают все технологии, основанные на биометрических данных человека.
  • Наиболее распространенным на данный момент вариантом биометрической аутентификации является отпечаток пальца. На сегодняшний день данная технология обладает одним из лучших соотношений цена-качество среди биометрических технологий.
  • Рисунок вен. Данная технология для построения биометрического шаблона использует рисунок вен ладони или пальца. Преимуществом технологии является высокая точность распознавания и гигиеничность — считывание вен происходит на расстоянии без непосредственного контакта сканера с ладонью или пальцем.
  • Фотография (2D изображение лица). Данная технология является одним из наиболее дешевых вариантов биометрической аутентификации, т.к. не требует применения специализированного устройства. К недостаткам технологии можно отнести зависимость точности распознавания от освещенности помещения.
  • 3D изображения лица. Для аутентификации по 3D изображению лица применяется технология Intel RealSense™, позволяющая с высокой точностью получить изображение лица, в том числе в инфракрасном диапазоне, что обеспечивает высокую точность аутентификации.
  • Голосовая биометрия. Аналогично фотоизображению лица, голосовая биометрия является одним из самых недорогих вариантов. Преимуществами технологии является возможность работы в телефонном звонке. К недостаткам технологии можно отнести относительно невысокую точность и ограниченные набор сценариев применения.

Следует отметить, что согласно стандарту, мультифакторная аутентификация требует сочетать минимум два различных фактора. Т.е. применение двух паролей или двух отпечатков пальцев не будет являться мультифакторной аутентификацией. Приведем наиболее распространенные на практике сочетания различных факторов:

  • Смарт-карта (с закрытым ключом и сертификатом) + PIN код.
  • Постоянный пароль + одноразовый пароль
  • Бесконтактная карта + постоянный пароль
  • Бесконтактная карта + отпечаток пальца
  • Отпечаток пальца + постоянный пароль
  • Приложение на смартфоне (push-нотификация) + постоянный пароль
  • Приложение на смартфоне (push-нотификация) + отпечаток пальца

Продукты Indeed Identity позволяют реализовать все приведенные сочетания факторов аутентификации, а также поддерживают возможность расширения перечня сценариев аутентификации по запросу. Ниже приведен перечень программного обеспечения под брендом Indeed, которое может быть использовано для построения системы мультифакторной аутентификации для выполнения требований PCI DSS.

Indeed Card Management

Централизованная система управления жизненным циклом ключевых носителей (смарт-карт и USB-ключей) и цифровых сертификатов. Indeed Card Management (Indeed CM) позволяет снизить расходы на использование PKI-инфраструктуры и повысить эффективность ее использования за счет применения централизованных политики использования смарт-карт и сертификатов, автоматизации рутинных операций и предоставления пользователям сервиса самообслуживания.

Indeed AirKey Enterprise

Виртуальная смарт-карта представляет собой программную реализацию классической смарт-карты, что позволяет использовать Indeed AirKey Enterprise (Indeed AKE) в любых сценариях, доступных классическим картам. При этом организация не несет дополнительных затрат на аппаратные носители. Инфраструктура виртуальных смарт-карт управляется централизованно администратором системы, включая удаленную доставку карты на ПК пользователя и уничтожение карты.

Indeed Enterprise Authentication

Indeed Enterprise Authentication (Indeed EA) является универсальной системой аутентификации, предназначенной для организации строгой и мультифакторной аутентификации в любых системах, используемых на предприятиях: ОС, web- и мобильные приложения, VPN, VDI, SAML-совместимые приложения и др. Поддерживается также технология Enterprise Single Sign-On.

Ниже приведены комментарии по реализации конкретных требований стандарта PCI DSS 3.2 в части аутентификации с использованием программного обеспечения Indeed Identity.

Требование PCI DSS 3.2 Перевод требования Комментарий
8.1.3 Immediately revoke access for any terminated users.

 

8.1.3.b Verify all physical authentication methods—such as, smart cards, tokens, etc.—have been returned or deactivated.

8.1.3 Немедленный отзыв доступа при увольнении пользователя.

 

8.1.3.b Убедиться, что все физические средства аутентификации (например, смарт-карты, токены и т.д.) были возвращены или деактивированы.

В состав Indeed Card Management входит служба мониторинга состояния учетных записей пользователей смарт-карт и сертификатов. При блокировке учетной записи, служба автоматически производит отзыв цифровых сертификатов, выпущенных пользователю, что позволяет оперативно прекращать возможность использования сертификатов и смарт-карт уволенных сотрудников. Также Indeed CM хранит информацию о том, какие смарт-карты и USB-ключи были назначены сотруднику для контроля над использованием устройств.
8.1.6 Limit repeated access attempts by locking out the user ID after not more than six attempts.

8.1.6.a For a sample of system components, inspect system configuration settings to verify that authentication parameters are set to require that user accounts be locked out after not more than six invalid logon attempts.

8.1.6 Блокировать учетные записи после шести неудачных попыток входа подряд.

 

8.1.6.a Сделать выборку системных компонентов, проверить настройки системной конфигурации и убедиться в том, что учетная запись пользователя блокируется после не более чем шести неудачных попыток входа.

Indeed CM использует централизованное управление политиками PIN-кодов, что позволяет распространять на все смарт-карты единые настройки, в т.ч. количество попыток входа до блокировки смарт-карты.

 

Indeed Enterprise Authentication также позволяет централизованно задавать политику блокировки способов входа при превышении заданного числа попыток аутентификации.

8.2 In addition to assigning a unique ID, ensure proper user-authentication management for non-consumer users and administrators on all system components by employing at least one of the following methods to authenticate all users:

  • Something you know, such as a password or passphrase
  • Something you have, such as a token device or smart card
  • Something you are, such as a biometric.
8.2 Помимо назначения уникального идентификатора, для обеспечения надлежащего управления аутентификацией сотрудников (не пользователей) и администраторов на уровне всех системных компонентов должен применяться хотя бы один из следующих методов аутентификации всех пользователей:

  • то, что вы знаете (например, пароль или парольная фраза);
  • то, что у вас есть (например, ключи или смарт-карты);
  • то, чем вы обладаете (например, биометрические параметры).
Применение продуктов Indeed Card Management и Indeed Enterprise Authentication позволяет использовать все указанные методы аутентификации. При этом, в зависимости от окружения, сотруднику могут быть доступны различные варианты аутентификации (например, смарт-карта + PIN-код при доступе в ОС и пароль + ОТР при доступе в VPN).
8.2.2 Verify user identity before modifying any authentication credential—for example, performing password resets, provisioning new tokens, or generating new keys. 8.2.2 Перед изменением учетных данных для проверки подлинности (например, сбросом пароля, предоставлением новых токенов или генерацией новых ключей) необходимо установить личность пользователя. Indeed СМ поддерживает резервную технологию аутентификации по контрольным вопросам для операций разблокировкой смарт-карты. Это позволяет выполнить данное требование при операции с PIN кодом смарт-карты.
8.2.3 Passwords/passphrases must meet the following:

  • Require a minimum length of at least seven characters.
  • Contain both numeric and alphabetic characters.

Alternatively, the passwords/ passphrases must have complexity and strength at least equivalent to the parameters specified above.

8.2.3 Пароли/парольные фразы должны соответствовать следующим требованиям:

  • наличие в пароле не менее семи символов;
  • наличие в пароле и цифр, и букв;

как вариант, пароли/парольные фразы должны иметь сложность и стойкость, сравнимые с указанными выше параметрами.

Indeed CM использует централизованное управление политиками PIN-кодов, что позволяет распространять на все смарт-карты единые настройки, в том числе требования к сложности PIN кодов.
8.2.4 Change user passwords/passphrases at least once every 90 days. 8.2.4 Изменение паролей/парольных фраз пользователей не реже одного раза в 90 дней. Indeed CM использует централизованное управление политиками PIN-кодов, что позволяет распространять на все смарт-карты единые настройки, в том числе требования к времени жизни PIN кодов.
8.2.5 Do not allow an individual to submit a new password/passphrase that is the same as any of the last four passwords/passphrases he or she has used 8.2.5 Запрет смены пароля/парольной фразы на какие-либо из четырех последних паролей/парольных фраз данного пользователя, использованных им ранее. Indeed CM использует централизованное управление политиками PIN-кодов, что позволяет распространять на все смарт-карты единые настройки, в т.ч. требования к истории PIN кодов.
8.2.6 Set passwords/passphrases for first-time use and upon reset to a unique value for each user, and change immediately after the first use 8.2.6 Установка уникального первоначального пароля/парольной фразы для каждого пользователя и их немедленное изменение при первом входе пользователя в систему. Indeed CM использует централизованное управление политиками PIN-кодов, что позволяет распространять на все смарт-карты единые настройки, в т.ч. генерация случайных PIN кодов и требование смены PIN кода при первом входе.
8.3 Secure all individual non-console administrative access and all remote access to the CDE using multi-factor authentication. 8.3 Защита не консольного административного доступа и удаленного доступа для всех пользователей к информационной среде держателей карт с помощью мультифакторной аутентификации. Требование может быть выполнено как с использованием PKI (public key infrastructure), так и без него. Также возможно совмещение технологий, например, таким образом:

— Применение смарт-карт и цифровых сертификатов для аутентификации в локальном режиме работы (в ОС и приложениях);

— Применение технологии одноразовых паролей для удаленного доступа (например, при аутентификации в VPN).

Выбор конкретных технологий будет зависеть от используемого программно-аппаратного обеспечения. Кроме того, выбор технологии может зависеть от полномочий и роли пользователя (например, сертификаты для сотрудников и SMS для третьих лиц).

ПО Indeed CM и Indeed EA позволяет реализовать на практике любой сценарий аутентификации, без привязки к конкретным технологиям.

8.3.1 Incorporate multi-factor authentication for all non-console access into the CDE for personnel with administrative access. Применение мультифакторной аутентификации для не консольного доступа к информационной среде держателей карт для сотрудников с административным доступом.
8.3.2 Incorporate multi-factor authentication for all remote network access (both user and administrator, and including third-party access for support or maintenance) originating from outside the entity’s network. Применение мультифакторной аутентификации для средств удаленного доступа сотрудников (включая пользователей и администраторов) и любых третьих лиц (включая доступ поставщиков для поддержки или техобслуживания) во внутреннюю сеть из внешней сети.

Подробнее »



May
26
Решение задачи двухфакторной аутентификации
Автор Михаил Елычев на 26 May 2017 01:14 PM

В современной модели угроз очевидно, что однофакторная парольная аутентификация не способна обеспечить адекватный уровень защиты. Главная задача, стоящая перед предприятиями при переходе к надежной двухфакторной аутентификации (2FA), — выбор и адаптация конкретных технологий аутентификации к IT-инфраструктуре компании. К сожалению, универсальной технологии не существует, любой выбор будет иметь преимущества и недостатки. Решение проблемы заключается в применении нескольких (как правило, двух-трех) технологий аутентификации в зависимости от контекста работы сотрудников.

Технологии аутентификации

Выбор технологий аутентификации состоит из оценки безопасности технологии, удобства использования, технической возможности применения, а также стоимости. Указанные показатели зависят от условий работы пользователей, целевых приложений, защищаемых двухфакторной аутентификацией и конечного устройства, на котором работает сотрудник.

Выбор технологии аутентификации

Сформулируем следующие критерии выбора системы двухфакторной аутентификации:

  • Безопасность — на сколько технология аутентификация отвечает потребностями организации в области ИБ. Например, одноразовые пароли обеспечивают адекватный уровень защиты для большинства сценариев, с другой стороны, организация может быть вынуждена применять иные технологии для соответствия внешним требованиям, таким как требования регуляторов или отраслевые стандарты.
  • Удобство использования — на сколько конечным пользователям будет комфортно применять ту или иную технологию в условиях их работы. Например, доступ к рабочему столу с использованием одноразовых паролей может быть не удобен, т.к. потребует генерировать и вводить пароль много раз в течение рабочего дня.
  • Стоимость использования технологии аутентификации складывается из нескольких составляющих:
    • Стоимость внедрения определяет первоначальный затраты на приобретение необходимого программного и аппаратного обеспечения, а также на работы по развертыванию системы;
    • Возможность использования имеющегося парка устройств может существенно сэкономить стоимость внедрения, устранив необходимость приобретения аппаратной составляющей.
    • Стоимость владения определяет затраты на ежедневное использование технологии аутентификации: техническая поддержка, замена вышедших из строя устройств, стоимость SMS сообщений и др.
    • Сложность интеграции технологии аутентификации с целевыми информационными системами может существенно повлиять на стоимость внедрения технологии аутентификации, например, если целевые системы не поддерживают стандартные механизмы интеграции.

Сценарии использования 2FA

Ниже приведены распространенные примеры сценариев использования двухфакторной аутентификации.

Работа в офисе

Офисный режим работы за персональным компьютером или ноутбуком остается основным при работе с информационными системами и, как следствие, для него доступен широкоий спектр технологий строгой аутентификации. Одним из наиболее доступных и развитых методов двухфакторной аутентификации при работе на ПК является использование цифровых сертификатов и индивидуальных ключевых носителей — смарт-карт или USB-токенов. Технология основана на инфраструктуре открытых ключей (PKI) и обладает следующими преимуществами:

  • Для аутентификации используется два фактора: устройство пользователя, где в защищенной памяти хранится закрытый ключ и PIN-код пользователя — сочетаются факторы “что пользователь имеет” и “что пользователь знает”.
  • Применение цифровых сертификатов  — технология строгой аутентификации, в процессе аутентификации доменный пароль не используется и не передается по сети. PIN-код проверяется локально на борту смарт-карты.
  • Технология аутентификации по сертификатам встроена в ОС Windows, что гарантирует совместимость со всеми версиями ОС и возможность работы “из коробки”.
  • PIN-код может быть заменен на отпечаток пальца с помощью технологии match-on-card.
  • Смарт-карты и сертификаты, кроме аутентификации, поддерживают операции электронной подписи документов и шифрования данных.
  • Низкая стоимость владения — так как индустрия производства смарт-карт хорошо развита, стоимость устройств одна из самых низких среди технологий строгой аутентификации.

Смарт-карты и USB-токены с сертификатами используются для доступа в ОС и целевые приложения на ПК, в терминальном доступе, VDI или VPN. Для работы на мобильных устройствах доступны USB-токены в micro-исполнении.

Удаленный доступ через VPN, VDI

При удаленной работе сотрудники получают доступ к локальным ресурсом организации по средствам технологии VPN, виртуальных рабочих столов или удаленной доставки приложений. Когда пользователь работает на ПК, то использование цифровых сертификатов может являться по-прежнему удобной и поддерживаемой целевыми сервисами технологией двухфакторной аутентификации. Однако, применение цифровых сертификатов может быть ограничено когда целевой сервис не поддерживает работу с сертификатами или пользователь работает не на ПК, а на мобильном устройстве: планшете или смартфоне.

В таких сценариях универсальным способом аутентификации становятся технологии одноразовых паролей (One-Time Password, OTP). Одноразовый пароль может быть доставлен пользователю следующими способами: по SMS или email; сгенерирован на смартфоне или брелоке по стандартизованным алгоритмам OATH; или доставлен на смартфон с помощью push-сообщения. Одноразовые пароли работают как в двухфакторном режиме, когда пользователь сначала указывать статичный пароль, а потом ОТР, так и в однофакторном режиме, когда для успешной аутентификации достаточно предоставить только одноразовый пароль. Широкий выбор вариантов исполнения ОТР-технологии позволяет легко адаптировать ее к потребностям организации.

Еще одним удобным Out Of Band (OOB) способом аутентификации является применение специализированного приложения для смартфона. Такое приложение принимает от сервера аутентификации push-уведомления и запрашивает у пользователя подтверждение операции входа в целевую систему. Пользовательский сценарий при таком подходе может быть следующим: пользователь вводит логин и пароль в форму входа в целевое приложение и наживает “войти”; после этого на смартфон приходит запрос (push-уведомление) на подтверждение операции входа (в запросе, например, могут указываться дополнительные данные: название приложения, куда выполняется вход, IP-адреса и др.); пользователь нажимает на смартфоне “подтвердить” и получает доступ в систему. Такой подход удобнее для пользователя, т.к. не требует генерации и ввода одноразовых паролей, однако для его реализации необходим доступ в Интернет на смартфоне.

Доступ к опубликованным в Интернет ресурсам

Частно организации публикуют в Интернет отдельные сервисы для возможности доступа к ним пользователей из-за пределов сети предприятия с помощью ПК, планшета или смартфона. Как правило, такие сервисы предоставляют собой web- или мобильные приложения, что накладывает серьезные ограничения на использование двухфакторной аутентификации.

Аналогично предыдущему сценарию, оптимальным решением проблемы строгой аутентификации здесь будет являться применение технологий одноразовых паролей, либо специализированного приложения для смартфона.

Отдельно следует отметить, что для мобильного режима работы актуально применение системы аутентификации, включающей в себя традиционные факторы аутентификации и дополнительные данные: IP-адрес пользователя; устройство, с которого осуществляется доступ; день недели и текущее время; частота получения доступа и др. Такой подход учитывает контекст работы пользователя (т.н. context-based authentication), что позволяет усилить защищенность опубликованных ресурсов и вовремя блокировать в случае аномальной активности пользователя.

Продукты Indeed Identity

Ниже приведен перечень продуктов Indeed Identity, которые реализуют технологии двухфакторной аутентификации, описанные выше.

Indeed Card Management

Централизованная система управления жизненным циклом ключевых носителей (смарт-карт и USB-ключей) и цифровых сертификатов. Indeed Card Management снижает расходы на использование PKI-инфраструктуры и повышает эффективность ее использования за счет применения централизованных политики использования смарт-карт и сертификатов, автоматизации рутинных операций и предоставления пользователям сервиса самообслуживания.

Indeed Enterprise Authentication

Универсальная система аутентификации, предназначенная для организации строгой и двухфакторной аутентификации в информационных системах, используемых на предприятиях: ОС, web- и мобильные приложения, VPN, VDI, SAML-совместимые приложения и др. Поддерживается также технология Enterprise Single Sign-On.

Indeed AirKey Enterprise

Виртуальная смарт-карта представляет собой программную реализацию классической смарт-карты, что позволяет использовать Indeed AirKey Enterprise в любых сценариях, доступных классическим картам. При этом организация не несет дополнительных затрат на аппаратные носители. Инфраструктура виртуальных смарт-карт управляется централизованно администратором системы, включая удаленную доставку карты на ПК пользователя и уничтожение карты.


Подробнее »



May
22
Indeed Card Management 4.2
Автор Алексей Дмитриев на 22 May 2017 03:22 PM

indeed-cm-4.2Работая над очередным релизом Indeed Card Managеment 4.2, мы акцентировали свое внимание на совершенствовании механизмов взаимодействия с удостоверяющими центрами, ключевыми носителями и сертификатами. Наша система способна стать не только инструментом управления жизненным циклом смарт-карт и USB-токенов на предприятии, но и своего рода интерфейсом взаимодействия со всеми элементами инфраструктуры открытых ключей.

В новой версии Indeed CM была существенно расширена интеграция с каталогом пользователей Центра регистрации КриптоПро УЦ 2.0:

  • Создание новых учетных записей и поиск существующих для автоматической привязки может осуществляться в указанной папке с пользователями Центра регистрации.

CM4.2_01

  • Шаблон выпуска сертификата может быть связан с определенным пользователем Центра регистрации, что требуется когда сертификат выпускается на учетную запись ответственного сотрудника. Данная возможность реализована и для КриптоПро УЦ 1.5.

CM4.2_02

  • Учетные данные пользователя Центра регистрации автоматически обновляются перед выпуском и обновлением смарт-карт. Например, каталогом пользователей системы является Active Directory, а сертификаты выпускаются на КриптоПро УЦ 2.0. Когда в учетной записи пользователя из Active Directory будет изменен один из атрибутов это изменение будет отражено в учетной записи на УЦ.
  • Поддерживается сценарий взаимодействия с КриптоПро УЦ в условиях ограниченного доступа к каталогу пользователей Центра регистрации. Подобная ситуация может возникнуть, когда услуги удостоверяющего центра оказывает сторонняя компания, например, КриптоПро.

Устройства JaCarta PKI/ГОСТ поддерживаются теперь в полном объеме, включая аппаратную криптографию, реализуемую ГОСТ-апплетом. При добавлении новых токенов JaCarta управление PIN-кодами пользователя и администратора обеих областей переходит в сферу действия нашей системы. Поддержка аппаратной криптографии реализована и для токенов Рутокен ЭЦП всех модификаций, включая новый Рутокен ЭЦП 2.0.

Появилась возможность выпуска любых типов устройств в Indeed CM с указанием PIN-кода пользователя, что позволит брать под контроль те устройства, которые уже находятся в эксплуатации на предприятии (пользовательские PIN-коды были изменены в соответствии с регламентом информационной безопасности на предприятии).

CM4.2_03

Для сертификатов, выпущенных сторонними по отношению к Indeed CM удостоверяющими центрами (без возможности интеграции с системой) и записанных на ключевые носители, была добавлена функция отслеживания. Такие сертификаты будут отображаться в профиле пользователя, а на электронный адрес будет отправлено уведомление об истечении срока действия.

CM4.2_04

Вместе с тем нами был реализован механизм импорта из pfx формата сертификатов с ключами, общих для всех пользователей в рамках политики выпуска. Эта ключевая информация может быть записана  как при операции выпуска, так и при обновлении содержимого на устройстве.

В свойствах шаблона сертификата Удостоверяющих центров КриптоПро 1.5 и 2.0 добавлена опция установки сертификата, выпускаемого через сервис самообслуживания Indeed CM, в хранилище пользователя на компьютере. Данная опция применима в случае, когда программное обеспечение от производителя устройств не предоставляет данную функциональность через службу распространения сертификатов Windows. Также все выпускаемые на удостоверяющих центрах КриптоПро сертификаты могут автоматически сохраняться в файловом хранилище.

В заключении хотелось бы отметить, что Indeed Card Management является удобным в использовании и гибким в плане конфигурации инструментом централизованного управления инфраструктурой открытых ключей на предприятии. Если в вашей компании уже внедрена система SafeNet Authentication Manager (SAM), то в составе дистрибутива имеется утилита миграции и  вся информация: о сертификатах, устройствах и пользователях будет полностью перенесена в Indeed CM. Это позволит произвести быструю миграцию на нашу систему без потери данных и простоев в работе сотрудников.


Подробнее »



Mar
4
Интеграция КриптоПро DSS и Indeed Card Management
Автор Алексей Баранов на 04 March 2017 11:00 AM

В рамках прошедшей на прошлой неделе конференции РуссКрипто 2017 мы с коллегами из компании КриптоПро анонсировали интеграцию систем КриптоПро DSS и Indeed Card Management. В ближайшее время мы планируем провести вебинар, посвященный новым возможностям наших продуктов. Будем рады видеть вас в числе слушателей. О дате проведения вебинара обязательно сообщим дополнительно.

Пресс-релиз на C-News


Подробнее »