Avanpost FAM/MFA+ : 3.5.6. Компонент Avanpost FAM Windows Logon (Credential Provider)

Avanpost FAM Windows Logon (ранее Avanpost FAM Credential Provider) – клиентский компонент, устанавливаемый на рабочие станции и серверы под управлением Microsoft Windows Desktop и Microsoft Windows Server с целью осуществления централизованной и многофакторной аутентификации посредством системы Avanpost FAM.

Компонент Avanpost FAM Windows Logon поддерживает централизованную и многофакторную аутентификацию для локального входа и удаленного рабочего стола (RDP).

Avanpost FAM Windows Logon реализует следующие функции:

  • Централизованная аутентификация. Компонент позволяет использовать учетные данные Avanpost FAM для входа на любую рабочую станцию или сервер, где установлен Avanpost FAM Windows Logon.
  • Многофакторная аутентификация: Компонент поддерживает многофакторную аутентификацию при входе на сервер через локальный вход или RDP, используя методы, настроенные в системе Avanpost FAM.
  • Интеграция с локальным входом и RDP: Модуль интегрируется с локальным входом и RDP на серверах с ОС Windows Server. Пользователь получает привычный пользовательский интерфейс для ввода своих учетных данных Avanpost FAM и выполнения многофакторной аутентификации.
  • Защита от несанкционированного доступа: При аутентификации пользователей все учетные данные передаются по защищенному каналу с использованием SSL/TLS-шифрования, что обеспечивает конфиденциальность и целостность данных.
  • Централизованное управление: Учетные данные и настройки компонента Avanpost FAM Windows Logon управляются централизованно через систему Avanpost FAM. Администраторы могут настраивать политики аутентификации, включая требования к многофакторной аутентификации, для всех серверов, подключенных к Системе.

Компонент обеспечивает решение задачи духфакторной/многофакторной аутентификации в ОС Windows с использованием факторов:

Системные требования

Установка компонента Avanpost FAM Windows Logon рекомендуется на следующих серверных, десктопных операционных системах и платформах:

ПлатформаОперационная системаФормат поставкиПрочие требования
Любая современная платформа виртуализации (VMWare, Hyper-V и т.д.), любые 64-битные x86-компьютеры и сервераMicrosoft Windows Desktop (срок поддержки до 2023 включительно)/Microsoft Windows Desktop 8.1/ Microsoft Windows Desktop 10/ Microsoft Windows Desktop 11zip-архив с MSI-установочным исполняемым файлом

50 МБ свободного дискового пространства

Microsoft Windows Server 2012R2 (срок поддержки до 2023 включительно), Microsoft Windows Server 2016, Microsoft Windows Server 2019, Microsoft Windows Server 2022

Варианты установки

Локальная установка

Локальная установка производится в случае, если рабочая станция или сервер находятся не в управляющем домене.

Подробнее об установке см. 4.4.5. Установка FAM Windows Logon (Credential Provider) в ОС Windows локально

Установка через механизм GPO (групповых политик)

Использование механизма групповых политик предпочтительно в случае, если планируется установка Avanpost FAM Windows Logon на большое количество устройств. Рабочая станция или сервер должны находиться в управляющем домене. 

Подробнее об установке см. 4.4.6. Установка FAM Windows Logon (Credential Provider) в ОС Windows через GPO (групповые политики)

Безопасность 

TLS-шифрование передаваемых данных в рамках gRPC-интерфейса

При использовании TLS-шифрования данные, отправляемые от клиента к серверу и наоборот, автоматически шифруются на одной стороне и дешифруются на другой стороне соединения.

TLS-шифрование обеспечивает следующую функциональность в рамках gRPC-интерфейса для Avanpost FAM Windows Logon:

  1. Конфиденциальность: Данные шифруются перед отправкой с использованием симметричного или асимметричного шифрования.
  2. Целостность: Используется подпись для проверки целостности данных. На каждом конце соединения вычисляется и проверяется подпись, чтобы убедиться, что данные не были изменены в процессе передачи.
  3. Аутентификация: TLS-шифрование включает в себя проверку подлинности сервера с использованием сертификатов. Это позволяет клиенту проверить, что он общается с правильным сервером и помогает предотвратить атаки посредника.

Рекомендации к настройке: см. раздел "Настройка TLS-шифрования передаваемых данных в рамках gRPC-интерфейса"

Обсуждение