Денис Нивников

Администрирование пользовательских учетных записей в сетях с серверами на базе Windows 2000 связано с некоторыми сложностями: например, в крупных корпорациях с большим числом работающих нередко образуются "лишние" учетные записи, оставшиеся от уволившихся сотрудников. Такие учетные записи не только напрасно занимают дисковое пространство сервера, но и представляют собой слабое место в системе безопасности корпоративной сети. Не слишком надежным приходится признать и самый распространенный способ авторизации пользователей - по паролю: простые пароли довольно легко подобрать, а те, что более сложны, пользователи частенько забывают, создавая лишние хлопоты службе технической поддержки, или того хуже - записывают на бумаге, что совершенно неприемлемо с точки зрения безопасности.

Решением этих проблем может стать программно-аппаратный комплекс eToken Network Logon, разработанный компанией Aladdin (http://www.aladdin.ru).

Photo

Комплекс основан на двухфакторной аутентификации с использованием электронных ключей eToken. Для получения доступа к сетевым ресурсам и авторизации в домене Windows-сети пользователь должен подключить к USB-порту ПК электронный ключ, в котором хранится информация об имени пользователя, его пароле и домене. Чтобы сервер мог воспользоваться этой информацией, необходимо ввести код доступа к памяти ключа - этот код и будет вторым фактором при авторизации пользователя.

Аппаратную часть системы составляют электронные ключи eToken двух моделей - R2 и Pro. В модели eToken R2 аппаратно реализован алгоритм кодирования DESX со 120-битным ключом, а в построенной на базе микросхемы Infineon SLE66C модели eToken Pro - алгоритмы RSA/1024, DES, TripleDES и SHA-1. Оба устройства оснащаются энергонезависимым ЭСППЗУ объемом от 8 до 64 Кбайт. Ключи eToken выполнены в виде влагонепроницаемых брелоков из полупрозрачной пластмассы, подключаемых к USB-порту ПК. Брелоки оборудованы светодиодными индикаторами.

Для работы с ключами в корпоративной сети необходимо установить драйвер RTE (Run Time Environment) на сервере - контроллере домена - и на каждой клиентской машине. Кроме того, на сервере должна быть установлена программа eToken Network Logon Administrator, импортирующая учетные записи пользователей, зарегистрированных в выбранном домене, и предоставляющая возможность назначить пользователям электронные ключи. В памяти электронного ключа может сохраняться информация (имя пользователя, пароль и выбранный домен) о нескольких учетных записях одного пользователя, т. е. пользователь имеет возможность с помощью одного ключа регистрироваться в разных доменах. Пароль для учетной записи назначается администратором или генерируется автоматически - в последнем случае он будет скрыт и от пользователя, и от администратора, что повышает защищенность системы. Необходимо отметить, что в настоящее время серверная часть ПО eToken Network Logon корректно работает только с нелокализованными версиями серверов Windows NT и Windows 2000; попытка импортировать учетные записи в случае русскоязычной версии Windows 2000 Server завершается ошибкой.

Клиентская часть ПО eToken Network Logon подменяет стандартный модуль авторизации Windows - после ее установки для регистрации в домене достаточно просто присоединить ключ eToken к компьютеру и ввести его защитный код. Впрочем, пользователь не лишается и возможности ввести имя и пароль вручную.

Для управления электронными ключами (изменения защитного кода, имени ключа и получения информации об использовании памяти ключа) служит программа eToken Properties, входящая в состав и клиентской, и серверной части.

В процессе подготовки этой публикации представители компании Aladdin проинформировали нас о выходе новой версии программного обеспечения eToken Network Logon, в которой появились возможности работы с локальными учетными записями, запрещен ввод вручную имени пользователя и пароля при авторизации, а также добавлены некоторые административные функции, среди которых одновременная работа с несколькими ключами, просмотр информации в памяти eToken и статистики обо всех зарегистрированных ключах. К сожалению, новое ПО было предоставлено после подписания номера в печать, и у нас не было возможности протестировать новые функции.

Оборудование для тестирования предоставлено компанией "Аладдин" (http://www.aladdin.ru)