2.4. Компонент Avanpost FAM Windows Logon (Credential Provider)

Общие сведения

Avanpost FAM Windows Logon (ранее Avanpost FAM Credential Provider) – клиентский компонент, устанавливаемый на рабочие станции и серверы под управлением Microsoft Windows Desktop и Microsoft Windows Server с целью осуществления централизованной и многофакторной аутентификации посредством системы Avanpost FAM.

Компонент Avanpost FAM Windows Logon поддерживает централизованную и многофакторную аутентификацию для локального входа и удаленного рабочего стола (RDP).

Avanpost FAM Windows Logon реализует следующие функции:

• Централизованная аутентификация. Компонент позволяет использовать учетные данные Avanpost FAM для входа на любую рабочую станцию или сервер, где установлен Avanpost FAM Windows Logon.
• Многофакторная аутентификация: Компонент поддерживает многофакторную аутентификацию при входе на сервер через локальный вход или RDP, используя методы, настроенные в системе Avanpost FAM.
• Интеграция с локальным входом и RDP: Модуль интегрируется с локальным входом и RDP на серверах с ОС Windows Server. Пользователь получает привычный пользовательский интерфейс для ввода своих учетных данных Avanpost FAM и выполнения многофакторной аутентификации.
• Защита от несанкционированного доступа: При аутентификации пользователей все учетные данные передаются по защищенному каналу с использованием SSL/TLS-шифрования, что обеспечивает конфиденциальность и целостность данных.
• Централизованное управление: Учетные данные и настройки компонента Avanpost FAM Windows Logon управляются централизованно через систему Avanpost FAM. Администраторы могут настраивать политики аутентификации, включая требования к многофакторной аутентификации, для всех серверов, подключенных к Системе.

Компонент обеспечивает решение задачи духфакторной/многофакторной аутентификации в ОС Windows с использованием факторов:

• Пароль;
• Программный TOTP;
• Аппаратный OTP (TOTP/HOTP);
• Avanpost Authenticator в режиме push, в режиме запросов на аутентификацию, в режиме OTP-кода, в режиме сканирования QR-кода приложением-аутентификатором;
• SMS;
• E-mail;
• Telegram;
• Смарт-карты.

Системные требования

Установка компонента Avanpost FAM Windows Logon рекомендуется на следующих серверных, десктопных операционных системах и платформах:

Варианты установки

Локальная установка

Локальная установка производится в случае, если рабочая станция или сервер находятся не в управляющем домене.

Подробнее об установке см. Установка FAM Windows Logon (Credential Provider) в ОС Windows локально

Установка через механизм GPO (групповых политик)

Использование механизма групповых политик предпочтительно в случае, если планируется установка Avanpost FAM Windows Logon на большое количество устройств. Рабочая станция или сервер должны находиться в управляющем домене. 

Подробнее об установке см. Установка FAM Windows Logon (Credential Provider) в ОС Windows через GPO (групповые политики)

Безопасность 

TLS-шифрование передаваемых данных в рамках gRPC-интерфейса

При использовании TLS-шифрования данные, отправляемые от клиента к серверу и наоборот, автоматически шифруются на одной стороне и дешифруются на другой стороне соединения.

TLS-шифрование обеспечивает следующую функциональность в рамках gRPC-интерфейса для Avanpost FAM Windows Logon:

1. Конфиденциальность: Данные шифруются перед отправкой с использованием симметричного или асимметричного шифрования.
2. Целостность: Используется подпись для проверки целостности данных. На каждом конце соединения вычисляется и проверяется подпись, чтобы убедиться, что данные не были изменены в процессе передачи.
3. Аутентификация: TLS-шифрование включает в себя проверку подлинности сервера с использованием сертификатов. Это позволяет клиенту проверить, что он общается с правильным сервером и помогает предотвратить атаки посредника.

Рекомендации к настройке: см. раздел "Настройка TLS-шифрования передаваемых данных в рамках gRPC-интерфейса"