Avanpost FAM Windows Logon (ранее Avanpost FAM Credential Provider) – клиентский компонент, устанавливаемый на рабочие станции и серверы под управлением Microsoft Windows Desktop и Microsoft Windows Server с целью осуществления централизованной и многофакторной аутентификации посредством системы Avanpost FAM.
Компонент Avanpost FAM Windows Logon поддерживает централизованную и многофакторную аутентификацию для локального входа и удаленного рабочего стола (RDP).
Avanpost FAM Windows Logon реализует следующие функции:
- Централизованная аутентификация. Компонент позволяет использовать учетные данные Avanpost FAM для входа на любую рабочую станцию или сервер, где установлен Avanpost FAM Windows Logon.
- Многофакторная аутентификация: Компонент поддерживает многофакторную аутентификацию при входе на сервер через локальный вход или RDP, используя методы, настроенные в системе Avanpost FAM.
- Интеграция с локальным входом и RDP: Модуль интегрируется с локальным входом и RDP на серверах с ОС Windows Server. Пользователь получает привычный пользовательский интерфейс для ввода своих учетных данных Avanpost FAM и выполнения многофакторной аутентификации.
- Защита от несанкционированного доступа: При аутентификации пользователей все учетные данные передаются по защищенному каналу с использованием SSL/TLS-шифрования, что обеспечивает конфиденциальность и целостность данных.
- Централизованное управление: Учетные данные и настройки компонента Avanpost FAM Windows Logon управляются централизованно через систему Avanpost FAM. Администраторы могут настраивать политики аутентификации, включая требования к многофакторной аутентификации, для всех серверов, подключенных к Системе.
Компонент обеспечивает решение задачи духфакторной/многофакторной аутентификации в ОС Windows с использованием факторов:
- Пароль;
- Программный TOTP;
- Аппаратный OTP (TOTP/HOTP);
- Avanpost Authenticator в режиме push, в режиме запросов на аутентификацию, в режиме OTP-кода, в режиме сканирования QR-кода приложением-аутентификатором;
- SMS;
- E-mail;
- Telegram;
- Смарт-карты.
Системные требования
Установка компонента Avanpost FAM Windows Logon рекомендуется на следующих серверных, десктопных операционных системах и платформах:
Платформа | Операционная система | Формат поставки | Прочие требования |
---|---|---|---|
Любая современная платформа виртуализации (VMWare, Hyper-V и т.д.), любые 64-битные x86-компьютеры и сервера | Microsoft Windows Desktop (срок поддержки до 2023 включительно)/Microsoft Windows Desktop 8.1/ Microsoft Windows Desktop 10/ Microsoft Windows Desktop 11 | zip-архив с MSI-установочным исполняемым файлом | 50 МБ свободного дискового пространства |
Microsoft Windows Server 2012R2 (срок поддержки до 2023 включительно), Microsoft Windows Server 2016, Microsoft Windows Server 2019, Microsoft Windows Server 2022 |
Варианты установки
Локальная установка
Локальная установка производится в случае, если рабочая станция или сервер находятся не в управляющем домене.
Подробнее об установке см. 4.4.5. Установка FAM Windows Logon (Credential Provider) в ОС Windows локально
Установка через механизм GPO (групповых политик)
Использование механизма групповых политик предпочтительно в случае, если планируется установка Avanpost FAM Windows Logon на большое количество устройств. Рабочая станция или сервер должны находиться в управляющем домене.
Подробнее об установке см. 4.4.6. Установка FAM Windows Logon (Credential Provider) в ОС Windows через GPO (групповые политики)
Безопасность
TLS-шифрование передаваемых данных в рамках gRPC-интерфейса
При использовании TLS-шифрования данные, отправляемые от клиента к серверу и наоборот, автоматически шифруются на одной стороне и дешифруются на другой стороне соединения.
TLS-шифрование обеспечивает следующую функциональность в рамках gRPC-интерфейса для Avanpost FAM Windows Logon:
- Конфиденциальность: Данные шифруются перед отправкой с использованием симметричного или асимметричного шифрования.
- Целостность: Используется подпись для проверки целостности данных. На каждом конце соединения вычисляется и проверяется подпись, чтобы убедиться, что данные не были изменены в процессе передачи.
- Аутентификация: TLS-шифрование включает в себя проверку подлинности сервера с использованием сертификатов. Это позволяет клиенту проверить, что он общается с правильным сервером и помогает предотвратить атаки посредника.
Рекомендации к настройке: см. раздел "Настройка TLS-шифрования передаваемых данных в рамках gRPC-интерфейса"