SecurEnvoy Security Server Руководство по администрированию

Transcription

1 SecurEnvoy Security Server Руководство по администрированию SecurEnvoy Ltd 1210 Parkview, Arlington Business Park, Theale, Reading. RG7 4TY Tel: Факс:

2 SecurEnvoy Security Server Руководство по администрированию и настройке конфигураций v5.4 Данный сервер безопасности SecurEnvoy представляет собой центральный и основной компонент семейства продуктов SecurEnvoy. Он имеет возможность прямого интегрирования в сервер каталогов LDAP (Microsoft Active Directory, Novell e-dir, сервер каталогов Sun One и сервер каталогов Linux с открытым LDAP) для информации пользователя, элементов управления, а также управляет аутентификацией кодовпаролей SMS и последующей их отправкой. Устанавливается для SecurAccess, SecurICE, SecurPassword и SecurMail. Страница 2

3 Руководство по администрированию и настройке конфигурации SecurEnvoy v SecurEnvoy Все права защищены. Воспроизведение настоящего материала или его части в любой форме или любыми средствами графическими, электронными или механическими, включая ксерокопирование, запись, перенос на пленку, либо в виде хранения информации и в системах поиска запрещено без письменного разрешения издателя. Продукция, на которую в данном документе приводятся ссылки, могут являться торговыми марками и/или зарегистрированными торговыми марками соответствующих владельцев. Права на данные торговые марки издателем и автором не предъявляются. Несмотря на все принятые меры предосторожности при подготовке настоящего документа, издатель и автор не несут ответственность за ошибки и упущения, либо за ущерб в результате использования информации настоящего документа, либо от использования программ и исходного кода, которые могут его сопровождать. Издатель и автор не несут ответственность за упущенную прибыль или иной коммерческий ущерб (причиненный или заявленный), вызванный прямым или косвенным использованием настоящего документа. Напечатано: июнь 2011 г. в Соединенном Королевстве Издатель Издательство SecurEnvoy Управляющий редактор Отдел обучения SecurEnvoy Технические редакторы А. Кемшелл, Технический директор П. Андервуд, Предварительные продажи в странах EMEA Разработчик титульного листа Отдел маркетинга SecurEnvoy Исправленное издание В1.0 АК ПА 10/05/2008 В1.1 АК ПА 21/12/2008 В1.2 ПА 07/07/2009 В1.3 ПА 03/11/2009 В1.4 ПА 18/01/2010 В1.5 АС 10/01/2011 В1.6 ПА 11/05/2011 В1.7 ПА 11/5/2011 Страница 3

4 Введение SecurEnvoy является мировым лидером в технологии разработки программного решения двухфакторной аутентификации на базе использования мобильных телефонов сотрудников. SecurEnvoy была первой компанией, которая предложила рынку свое инновационное решение двухфакторной аутентификации без использования аппаратных ключей. Тысячи пользователей во всем мире выбрали наш продукт. Наши клиенты на пяти континентах высоко оценили значительную экономию времени при установке нашей программы и отсутствие необходимости в удаленном развертывании. Системные администраторы получили возможность управления, позволяющую оперативно устанавливать до пользователей в час. Философия нашей разработки основывается на повторном использовании существующих разработок потребительских технологий, например, Microsoft Active Directory, с упрощением процесса аутентификации конечного пользователя при обеспечении полной безопасности. При отсутствии расходов на производство аппаратных ключей прибыль на инвестированный капитал гораздо более приемлема для коммерческих структур и организаций. Партнерская сеть SecurEnvoy по всему миру обеспечивает пользователям возможность и удобство сотрудничества с местными партнерами. На сегодняшний день наша техническая и торговая инфраструктура поддерживает большинство языков и культур во всем мире. Наш бизнес был официально организован в 2003 г. после подготовительных мероприятий, написания кодов и тестирования в наших лабораториях. В течение многих лет мы получаем положительные отзывы наших клиентов со всех пяти континентов, и нам оказывают региональную поддержку. Уровень деловой деятельности возрос более чем в два раза ежегодно до организации модели продаж по подписке, позволяющей нашим клиентам более эффективно вкладывать средства. Данная модель предусматривает локальную поддержку и ежегодную подписку. Неустанная работа двух основателей Эндрю Кемшела и Стивеном Уоттса направлена на постоянное улучшение продукта для пользователей во всем мире. Это становится возможным также благодаря заслугам сотрудников и опыту компании, как в области коммерческой деятельности, так и технической разработки. SecurEnvoy всегда идет на шаг впереди в технологии и удовлетворении требований организаций к решениям по аутентификации пользователей. Страница 4

5 СОДЕРЖАНИЕ SecurAccess, SecurPassword, SecurICE и SecurMail 1 Опции отправления SMS Модель домена для LDAP Поддержка для мультисреды LDAP Настройка конфигураций Усовершенствованная настройка конфигураций Настройка мультидомена Настройка конфигураций межсетевого шлюза Настройка конфигураций межсетевого шлюза телефонных SMS Настройка конфигураций RADIUS-сервера Настройки административного управления пользователями Автоматическая регистрация пользователей Deployment Wizard GUI Опции командной строки Deployment Wizard GUI Настройка конфигураций RADIUS клиентов Миграция Устойчивость Устойчивость (Batch Server Logic) Устойчивость (RADIUS) Устойчивость (Server.ini) Шаблоны web-sms Административное управление SecurMail Интеграция антивирусных приложений SecurMail Меры предосторожности при использовании SecurMail Часто задаваемые вопросы Руководство пользователя Рекомендуемый порядок действий при отказе Устранение неполадок Приложение Дополнительные программные инструменты SecurEnvoy Мастер настройки отчетности (GUI) Мастер настройки отчетности (комм. строка) Страница 5

6 Опции отправления SMS Глава 1 I Страница 6

7 1 Опции отправления SMS Понятие кодов-паролей по требованию в «реальном времени» против понятия предварительно загруженных кодов-паролей 1.1 Задержка отправления SMS Несмотря на то, что отправление большинства текстов сообщений SMS осуществляется в течение секунд, как правило, при перегрузке системы наблюдается их задержка. Проходя по трафику, SMS не передается от пункта к пункту, а определяется в «очередь», и только потом отправляется на требуемую ячейку сети, где вновь определяется в очередь, и, наконец, достигает телефона конечного пользователя. Отправление согласно очередности приводит к задержкам в периоды перегруженности систем операторов, по заявлению мобильных операторов отправление 96% всех SMS-сообщений занимает до 20 секунд. Это значит, что попытки аутентификации 4% пользователей останутся без положительного результата, определив необходимость обращения в службу помощи для получения экстренного доступа. Поэтому при ежедневной аутентификации 5000 пользователей служба помощи будет ежедневно получать до 200 вызовов! 1.2 Зоны отсутствия сигнала Сигнал мобильной связи не всегда может быть доступен, особенно в зданиях с толстыми наружными стенами, в подвальных помещениях или в помещениях с компьютерами с высокочастотным шумом. Допустим, пользователь пытается пройти аутентификацию в одном из таких помещений. Вначале он должен ввести свой идентификационный код пользователя, а затем пин-кодт он не сможет получить свой код аутентификации. В качестве последующих мер он должен поменять свое местоположение, чтобы поймать сигнал, получить код аутентификации и вернуться на свою исходную позицию, чтобы ввести код-пароль. Выполнение ВСЕХ действий должно занять до 3 минут. Пользователи, находящиеся в таких зонах, не имеют иного выхода, кроме как звонок в службу помощи для получения аварийного доступа. Страница 7

8 1.3 Мобильный телефон используется для подключения к интернету В большинстве случаев при создании информационного соединения с помощью мобильного телефона возможность получения сообщений SMS отсутствует. Пользователи, которые пытаются использовать мобильный телефон для подключения к интернету не могут получить код-пароль до прерывания информационного соединения. Конечным пользователям, которым для аутентификации необходимы идентификационный код пользователя и пин-код, нужно прервать соединение, дождаться SMS-сообщения, повторно подключиться и ввести свой идентификационный код пользователя, пин-код и код-пароль в течение 2 минут. 1.4 Для чего необходима предварительная загрузка кода-пароля Ключевая стратегия использования SMS для отправления кодов-паролей предоставляет решение проблемы прерывания зоны охвата сети и задержки отправления SMS. SecurAccess предназначен для решения выше упомянутых проблем с помощью: Предварительной загрузки одноразовых кодов-паролей (при каждой попытке аутентификации высылается следующий необходимый код-пароль). Трех предварительно загруженных одноразовых кодов-паролей с каждым сообщением (3 аутентификации до запроса следующего сообщения). Сессия повторно-используемых кодов-паролей, которые меняются каждый день или через несколько дней. Дополнительного веб-интерфейса для самостоятельного получения помощи для обеспечения пользователям возможности запроса временных кодов-паролей. Кодов-паролей, пересылаемых по электронной почте. 1.5 Отправка SMS-сообщения в реальном времени Иногда предварительная загрузка кодов-паролей SMS при определенной установке осуществляется, как правило, при использовании среды для коммерческих операций в интернете, где пользователь не часто проходит процедуру аутентификации при входе в сеть или на веб-ресурс. Для подобных сценариев SecurEnvoy предусматривает возможность разрешения опции «кода-пароля реального времени». Как правило, пользователь должен зайти на ресурс, используя свой идентификационный код пользователя и пароль, в этот момент на его мобильный телефон отправляется SMS код-пароль с ограниченным сроком действия до нескольких минут для обеспечения дополнительной безопасности входа в систему. Отправление в реальном времени может получать разрешение для каждого отдельного пользователя Срок действия кода-пароля может определяться от 1 до 99 минут Работает с существующим веб-агентом SecurEnvoy IIS и RADIUS-клиентами, поддерживающими «Challenge-Response» Страница 8

9 Модель домена для LDAP Глава 2 I Страница 9

10 2 Модель домена для LDAP SecurEnvoy обладает возможностью полной поддержки прямой интеграции со следующими LDAP серверами: Microsoft Active Directory Microsoft ADAM (Active Directory Application Management) Novell edir Sun Directory server OpenLDAP Кроме этого SecurEnvoy обладает возможностью поддержки абсолютно неоднородной среды, позволяя совместное существование серверов LDAP разных поставщиков и управление с помощью одного сервера SecurEnvoy. Это позволяет компаниям работать в исключительных масштабах для управления настоящей неоднородной средой LDAP. Сценарии сервера безопасности Существует множество способов развертывания SecurEnvoy в сетевом окружении; их обсуждение приведено ниже. Предлагаются три вида развертывания с использованием: Единственного сервера безопасности. Нескольких серверов безопасности. Мультидоменное моделирование. Необходимо отметить, что версия 5 SecurEnvoy может поддерживать любую мультисреду сервера LDAP с сетевым окружением, не имея никаких ограничений для всех серверов LDAP такого же типа. Использование единственного сервера SSL VPN (виртуальная частная сеть) SecurEnvoy SecurAccess Любой сервер LDAP Любой сервер LDAP При установке экземпляра единственного сервера безопасности SecurEnvoy, хотя сценарий развертывания достаточно прост, отсутствует возможность резервирования для аутентификации, так как был установлен и настроен только один сервер безопасности SecurEnvoy. Страница 10

11 Использование нескольких серверов безопасности SSL VPN SecurEnvoy SecurAccess SecurEnvoy SecurAccess Один домен Сайт 1 Сайт 2 Контроллер домена AD или другой сервер LDAP Контроллер домена AD или другой сервер LDAP Данные аутентификации, дублированные Active Directory или другим поддерживаемым сервером LDAP Контроллер домена AD или другой сервер LDAP Контроллер домена AD или другой сервер LDAP SecurEnvoy SecurAccess SecurEnvoy SecurAccess SSL VPN При использовании нескольких серверов безопасности SecurEnvoy протоколы RADIUS каждого сайта или веб-устройства будут настроены для отправки запроса аутентификации на один из двух серверов безопасности SecurEnvoy. Каждый сервер безопасности выдаст один и тот же ключ config.db во время всех установок. Каждый сервер безопасности SecurEnvoy будет сопоставлен с двумя серверами LDAP. Это обеспечит топологию высоко зарезервированной аутентификации. В качестве альтернативы один сервер SecurEnvoy может быть расположен на каждом сайте с каждой VPN, с использованием других сайтов сервера SecurEnvoy в качестве второго сервера. Мультидоменная модель SSL VPN Домен 1 Microsoft Контроллер домена AD SecurEnvoy SecurAccess Домен 2 edirectory Сервер Novell LDAP Контроллер домена AD SecurEnvoy SecurAccess Сервер Novell LDAP Сервер LDAP SUN One Сервер LDAP SUN One Домен 3 Sun Страница 11

12 Каждый сервер безопасности SecurEnvoy может иметь конфигурацию, соответствующую двум серверам LDAP, для каждого домена, используемого компанией, при неограниченном количестве доменов. Конфигурация каждого домена может быть задана для любого из поддерживаемых типов серверов LDAP. Доменный компонент идентификационного номера пользователя используется для динамического переключения сервера безопасности на соответствующий домен. Если в идентификационный номер пользователя был встроен доменный компонент, то используется домен по умолчанию или первый соответствующий результат поиска. Страница 12

13 I Поддержка мультисреды LDAP Раздел 3 Страница 13

14 3 Поддержка мультисреды LDAP Для взаимодействовия с различными клиентскими сетями и LDAP-репозиториями связанных клиентов SecurEnvoy может облегчить управление разрозненными средами с помощью одной консоли администрирования. Это уменьшает расходы на IT-персонал, осуществляющий непрерывную техническую поддержку клиентов. Ниже представлено несколько наиболее распространенных сценариев развертывания: Компания с внутренними пользователями, требующая 2FA. Компании, имеющей пользователей, сохраненных на LDAP сервере (Microsoft AD, Novell edir, Sun One или OpenLDAP) необходимо выполнить минимальную конфигурацию. Нужно создать на серверах SecurEnvoy учетную запись службы, которая считывает и записывает роли атрибута telexnumber (Номер телекса). Затем SecurEnvoy считывает информацию всех пользователей без необходимости повторного создания базы данных отдельного пользователя для разрешения развертывание 2FA в сети. Все пользователи уже настроены, объем администрирования уменьшен, разрешен высокий уровень приемки конечного пользователя. Такой результат достигнут за счет того, что конечному пользователю больше не нужно запоминать сведения для аутентификации. Он может повторно воспользоваться существующим ID пользователя и паролем, дополненными 6 цифрами OTP, которые будут высланы ему в SMS на его мобильный телефон. Компания типа «Бизнес-бизнес», требующая 2FA. Компания, которой необходимо разрешить внешним пользователям доступ к внутренней сети, и которая не хочет размещать этих пользователей на своем собственном LDAP сервере может использовать конфигурацию «Управляемые пользователи SecurEnvoy». В данном случае используется Microsoft ADAM сокращенная версия Active Directory, с той лишь разницей, что все управление пользователями осуществляется через ГИП администратора SecurEnvoy. Вся информация о пользователях хранится в Microsoft ADAM; для более полного контроля над внешними пользователями в отдельные экземпляры MS ADAM можно внести физическое разделение способов управления внешними пользователями. Например, в компании, осуществляющей несколько видов поддержки, которой необходим доступ к сети. Компания типа «Бизнес-потребитель», требующая 2FA. Компания, которая хочет вести бизнес с потребителями, но не хочет размещать этих пользователей на своем LDAP сервере может использовать конфигурацию «Управляемые пользователи SecurEnvoy». В данном случае используется Microsoft ADAM сокращенная версия Active Directory, с той лишь разницей, что все управление пользователями осуществляется через ГИП администратора SecurEnvoy. Вся информация о пользователях хранится в Microsoft ADAM; для более полного контроля над внешними пользователями в отдельные экземпляры MS ADAM можно внести физическое разделение способов управления различными потребителями. Например: в сфере банковских и финансовых услуг требования к розничным потребителям могут отличаться от требований к частным клиентам. Страница 14

15 Компания типа ASP/ISP, требующая 2FA. Вариант 1 Управляемый пользователь разрешает подключение к его LDAP серверам для управления клиентами (2FA, это требует доступа к чтению и записи атрибута telexnumber (номер телекса). Преимущество этого варианта в том, что информация клиентов уже существует и поддерживается в реальном времени IT-персоналом самого пользователя. Кроме того, развертывание происходит быстро, потому что вся информация о клиентах используется повторно, и клиентов можно развертывать массово с помощью мастера развертывания SecurEnvoy. (См. 7.0 «Автоматическая подготовка пользователей»). Вся информация хранится в LDAP среде пользователя, таким образом, репликация и архивация осуществляются внутри сети пользователя. Вариант 2 Управляемый пользователь, не разрешающий доступ к внутреннему LDAP серверу или не разрешит доступ записи к атрибуту telexnumber (номер телекса). В данном случае используется Microsoft ADAM сокращенная версия Active Directory, с той лишь разницей, что все управление пользователями осуществляется через ГИП администратора SecurEnvoy. Вся информация о пользователях хранится в Microsoft ADAM; для более полного контроля над внешними пользователями в отдельные экземпляры MS ADAM можно внести физическое разделение способов управления внешними пользователями. Например: различные компании, которым необходим доступ к внешним приложениям. Страница 15

16 I Конфигурация Раздел 4 Страница 16

17 4 Конфигурация Запустите SecurEnvoy Admin GUI и выберите меню «Конфигурация». На странице «Конфигурации» есть 16 разделов, которые можно настроить: Продление лицензии Продление лицензии Вставьте новый лицензионный ключ Текущую лицензию можно легко продлить копированием и вставкой нового лицензионного ключа в окно «Продлить лицензию» на странице конфигурации. Подтвердите замену нажатием «Продлить». Менеджер ПИН-кодов Менеджер ПИН-кодов Ежедневный код Ежедневный код С помощью Менеджера ПИН-кодов можно настроить сервер так, чтобы он либо использовал пароль LDAP, как ПИН-код для каждого соответствующего пользователя с правом доступа к системе, либо SecurEnvoy для управления каждым в отдельности. При выборе SecurEnvoy ПИН-код может состоять из 4-8 цифр или цифр и букв. ПИН-код может определяться администратором или пользователем в процессе регистрации Ежедневные коды это многоразовые секретные коды, которые автоматически меняются каждые хх дней (Общий ежедневный код пользователя, установленный по умолчанию) в предопределенный день и время (Время отправки ежедневного кода). Общие ежедневные коды пользователей применяются по умолчанию для всех новых пользователей и могут изменяться для каждого пользователя. Ежедневный код Примечание пользователя, установленный по На всех серверах всех доменов должны быть одинаковые настройки времени отправки ежедневного кода (допустимо при умолчанию любой разнице (1-99) часовых поясов), чтобы бы они отправлялись в одно время. Отправлять новый Следующий ежедневный код будет отправлен на мобильный телефон данного пользователя в 16:00 по ежедневный код только умолчанию (Время отправки ежедневного кода). Если отмечена опция «Присылать новый ежедневный код только при необходимости», то следующий необходимый ежедневный код будет выслан, только если текущий или высланный в предыдущий день код был использован. Примечание Время отправки ежедневного кода Действующим секретным кодом является текущий или предыдущий высланный код; это исключает проблемы, вызванные задержкой SMS или потерей перемежающегося сигнала в течение 24 часов. Страница 17

18 Примечание Изменения конфигурации, влияющие на сервер обработки пакетных заданий, видны только при работе сервера обработки пакетных заданий. При изменении времени отправки временного кода изменение данной настройки может занять 24 часа. При перезапуске службы обработки пакетных заданий SecurEnvoy данная настройка будет мгновенно изменена. Код реального времени Разрешить Коды Реального Времени Активировать коды реального времени По умолчанию (новые пользователи получают коды реального времени по умолчанию) Отправка SMS осуществляется по умолчанию, однако в SecurEnvoy имеется опция отправки пароля в реальном времени. Активированная система может рассылать запрашиваемые пользователями пароли в «реальном времени». В таком случае пароль является действительным до истечения срока действия (настраивается по минутам, от 1 до 99). Для активации данной опции отметьте флажок и настройте запрос (по умолчанию = Введите свой шестизначный код). Отправку SMS в реальном времени можно настроить для каждого конкретного пользователя или массово для всех новых пользователей активацией «Новые пользователи получают коды реального времени по умолчанию» Настройки мобильного номера Настройки мобильного номера Запрос Введите свой шестизначный код Система может проверять подлинность мобильных номеров, вводимых в систему. Сначала проверяется количество символов в мобильном номере (от 5 до 18). Кроме того, перед любым вводимым номером, который не распознается системой, автоматически может добавляться заданный номер. Примечание Например, вводится номер , система распознает его как неизвестный и, если значением опции «Неизвестные номера должны начинаться с» является 07945, то сохраненный номер будет выглядеть так: Менеджер паролей Windows для входа на интегрированный рабочий стол Интегрированный рабочий стол (пароли LDAP управляются ежедневными кодами) ПИН-код и коды-пароли синхронизируются с паролем пользователя Вход на интегрированный рабочий стол осуществляется с помощью генерации нового ежедневного кода (или недельного кода) для активированных пользователей и рассылки этого кода пользователям, зарегистрированным через мобильный телефон. Этот код используется в комбинации с секретным ПИН-кодом пользователя. ПИН-код может состоять из букв и цифр для соответствия любой политике безопасности Windows, требующей определенное количество строчных и прописных знаков. Ежедневный код записывается в реальном времени на Active Directory в момент генерации. Страница 18

19 Пароль будет автоматически изменен, и новый пароль домена будет отправлен в SMS всем активированным пользователям. Это динамический элемент входа на домен; для осуществления и завершения доменной аутентификации необходим отдельный статический ПИН, управляемый SecurEnvoy. Настройка правильного количества строчных и прописных знаков и цифр обеспечивает соответствие кода требованиям политики безопасности домена. Автоматизация пароля осуществляется для каждого пользователя. Примечание SecurEnvoy рекомендует использование SSL для LDAP (SDLAP 636) при режиме интегрированного рабочего стола для полного соответствия перечисленным требованиям сброса пароля. Для соответствия политике пароля домена рекомендуется, что бы ПИН-код содержал как строчные, так и прописные знаки. Например, ПИН = Se12, секретный код =234765, пароль домена = Se Управление интегрированным рабочим столом осуществляется теперь только с помощью ежедневных кодов; разовые коды больше не поддерживаются. Для активации режима интегрированного рабочего стола SecurEnvoy сначала необходимо понять процесс сброса пароля. Изменение пароля LDAP Первый необходимый процесс - это изменение LDAP пароля. Основной принцип этого процесса заключается в прямом изменении атрибута unicodepwd. В «УстановитьПароль» указывается тип изменения «Замена», в «ИзменитьПароль» выбирается «Удалить» или «Добавить». Active Directory устанавливает ограничения на то, что любые изменения атрибута unicodepwd должны осуществляться через канал с шифрованием со стойкостью шифра в 128 бит. В противном случае домен отклонит попытку изменения. Это обеспечивает уверенность в том, что незашифрованный пароль не перехвачен в сети. Учитывая эти условия, имеются два способа выполнения туннеля с шифрованием для изменения пароля: Active Directory поддерживает два механизма шифрования канала: SSL и Kerberos. Однако только SSL поддерживает минимальный 128-битовый шифр на всех платформах Active Directory. Шифр Kerberos был усилен для соответствия требованиям сервера Windows 2003, но не сервера Windows Так как функция рассчитана на работу с любой версией Active Directory, она всегда выбирает SSL для шифрования канала. Это недостаток, поскольку шифрование Kerberos осуществляется вне Active Directory, тогда как для SSL требуются дополнительные этапы настройки, включая приобретение соответствующих SSL-сертификатов для каждого участвующего контроллера домена. Статический код Tmp Статический код Tmp Переключить на разовый код Переключить на ежедневный код Данный параметр позволяет определить, что произойдет с пользователем, когда он исчерпает свой временный статус статического кода. Общий параметр позволяет переключение на разовый код или ежедневный код Страница 19

20 Параметры блокировки учетной записи Параметры блокировки учетной записи Заблокировать учетную запись после (3-10) последовательных ошибок входа В данном окне устанавливается количество безуспешных попыток аутентификации, которые могут случиться с пользователем с момента последней удачной аутентификации. Если лимит исчерпан, пользовать деактивируется: коды не высылаются и не принимаются. Число кодов в одном SMS Коды в каждом SMS сообщении Один код Три кода Система может отправлять один или три разовых кода в каждом SMS сообщении. Это удобно пользователям, находящимся в зоне слабого или прерывистого сигнала мобильной связи. Параметры электронной почты Параметры электронной почты Разрешить отправку кодов электронной почтой Имя узла SMTP сервера Электронный адрес администратора В данном окне устанавливается разрешение отправки кодов электронной почтой и настройки соединенного почтового сервера. Параметры ГИП ГИП администрирования Всегда использовать личный мобильный номер Интерфейс администрирования можно настроить так, чтобы отображались только определенные элементы. Отображать параметры Radius атрибуты Отображать автономные ноутбуки пользователей Отображать разовые коды пользователей Доступны следующие параметры: Всегда использовать личные номера Мобильные номера зашифровываются автоматически. SecurAccess Radius C помощью SecurAccess Radius можно изменять и управлять параметрами Radius. Password Auto Offline Активировать/отключить использование кодов для входа в интегрированный рабочий стол. Разовые коды Активировать/отключить использование разовых кодов Страница 20

21 Техническая самопомощь Техническая самопомощь позволяет пользователям Самостоятельная техническая помощь создавать себе временные коды или изменять номер Разрешить использование техпомощи мобильного телефона из-за отсутствия сигнала Разрешить пользователям изменять номер мобильного телефона мобильной связи или доступа к мобильному Максимальное количество Tmp дней телефону. В этом разделе активируются данные Техническая помощь может использоваться раз в дней опции, определяется, может ли пользователь указывать личный номер мобильного телефона, максимальное количество дней, на которое может выдаваться временный код, и частота использования технической помощи в определенный период времени. Для использования самостоятельной технической помощи пользователь сначала должен зарегистрироваться и ответить на два вопроса безопасности. Запрос регистрации отправляется автоматически, когда пользователь активируется впервые. (Это произойдет только при активированной опции «Разрешить использование технической самопомощи»). Вопросы безопасности считываются из файла шаблона для разрешения настройки. Путь Security Server \Data\ENROLMENTTEMPLATE\questions.txt в каталоге установки SecurEnvoy (например для 32-битных установок). C:\Program Files\SecurEnvoy\Security server\data\enrolmenttemplate\questions.txt ). Для 64-битных установок C:\Program Files (x86)\securenvoy\security server\data\enrolmenttemplate\questions.txt ). Примечание Активируйте техпомощь отметкой фляжка и настройте параметры разрешений пользователя, например, разрешение менять свой номер мобильного телефона. Когда пользователь развернут, он получит ссылку для регистрации. Она может быть выслана в SMS или по почте. SecurPassword SecurPassword менеджер паролей Microsoft и других LDAP паролей Разрешить использование SecurPassword Предупреждение об истечении срока действия Использовать секретные вопросы Запрос Запрос Запрос Оповестить 7 за Атрибут Атрибут Атрибут дней SecurPassword позволяет пользователю сбрасывать пароль своего домена Microsoft, используя двухфакторную аутентификацию. Вдобавок к секретному коду для подтверждения запроса аутентификации при сбросе пароля может использоваться до трех атрибутов данных. Могут быть использованы любые данные, хранящиеся на сервере каталога, например, такие атрибуты, как employeeid, employeenumber или department. Запрос для каждого атрибута появляется в виде текстовой строки во время сброса пароля (на /URL пароля сервера SecurEnvoy или при использовании Агента Входа SecurEnvoy Windows). Кроме того могут использоваться вопросы безопасности, пройденные в процессе регистрации (См. выше раздел «Самостоятельная техническая помощь). Для активации SecurPassword необходима установленная действующая лицензия и отмечена флажком опция «Разрешить использование SecurPassword». Пользователю необходимо выбрать только использование существующих атрибутов или вопросов безопасности, на которые он ответил при регистрации. Кроме того, пользователям может автоматически отправляться SMS с «Предупреждением об истечении срока действия пароля». SMS с предупреждением будет отправлено за х дней до истечения срока действия пароля пользователя. (7 дней по умолчанию). Страница 21

22 Примечание Если окошко «секретные вопросы» не отмечено флажком и поля атрибутов не заполнены, то пользователь сможет сбросить пароль, пользуясь только секретным кодом. Примечание SecurEnvoy рекомендует для SecurPassword использование SSL для LDAP (SDLAP 636) для полного соответствия перечисленным требованиям сброса пароля. Активируйте опцию SSL с помощью мастера расширенной конфигурации. Перенос (аутентификация неуправляемых клиентов) Перенос (Прокси-аутентификация неуправляемых пользователей) Не осуществлять перенос Проверить подлинность LDAP паролей неуправляемых пользователей в группе Направить неуправляемых пользователей на сторонний сервер двухфакторной аутентификации Сервер Сервер Параметр переноса позволяет переносить пользователей в решение SecurEnvoy из существующего решения password-only или token. После настройки параметра можно переносить пользователей поэтапно, соответственно требованиям, что обеспечивает более плавный переход. Порт Секрет Время ожидания Тест Порт Секрет Время ожидания Тест Перенос из Password-Only Пользователи, не активированные SecurEnvoy, должны быть членами группы «sepasswordonly». Эта группа должна быть настроена на сервере каталогов до начала развертывания. Этим пользователям будет разрешено проходить проверку подлинности только с помощью их имени пользователя и пароля. После переноса в SecurEnvoy они могут быть удалены из этой группы и осуществлять полное взаимодействие 2FA. Перенос со стороннего двухфакторного токен-сервера Проверка подлинности RADIUS настраивается для использования сервера SecurEnvoy. Если пользователь не активирован в SecurEnvoy, сервер SecurEnvoy будет действовать как прокси-сервер и перенаправит запрос RADIUS на настроенный сторонний токен-сервер. Возможно использование до двух настроенных сторонних токен-серверов. Необходимы данные об IPадресе, порте, общем секрете и времени ожидания. После настройки кнопки «Проверка» запустится интерактивный вход в систему. Страница 22

23 Ведение журнала Ведение журнала SecurEnvoy располагает тремя опциями для записи информации Записать в журнал событий Microsoft Записать в системный журнал IP адрес сервера системного журнала Порт сервера системного журнала Для таких вебкслужбу как ГИПу требуются изменения в разрешениях для регистрации доступа записи файл журнала SecurEnvoy. Размещается локально на компьютере. журнал событий Microsoft. SecurEnvoy записывает информацию журнала в журнал приложений. Сервер системного журнала. Введите данные Вашего сервера системного журнала. In Case of Emergency (в экстренной ситуации) В экстренной ситуации (ICE) Активировать аварийный доступ Сообщение аварийного доступа (Max 160) Примечание: не удаляйте $Код-пароль$ $Код-пароль$Это Ваш секретный код доступа для $Пользователь$ Сохраните это сообщение *** ICE (в экстренной ситуации) разрешает возможность включения усиленной, двухфакторной аутентификации для всех пользователей при возникновении экстренной ситуации. Первый фактор существующий Microsoft пароль пользователя, второй секретный код, высланный на мобильный телефон пользователя. Пользователю не нужно регистрироваться и запоминать дополнительный ПИН-код и нет необходимости в дополнительных токенах и смарт-картах. Содержание ICE сообщения может редактироваться напрямую через ГИП-администратора. Страница 23

24 I Мастер расширенной настройки Раздел 5 Страница 24

25 5 Расширенная настройка «Мастер расширенной настройки» SecurEnvoy контролирует данные настройки сервера безопасности SecurEnvoy. Для запуска этого инструмента пройдите: Start/Programs/SecurEnvoy/Advanced Configuration Wizard По умолчанию мастер всегда открывает вкладку IIS и LDAP. Можно пройти все вкладки автоматически после внесения изменений в каждую вкладку, или сразу пройти к необходимому разделу выбрав необходимую вам вкладку. Вкладка IIS и LDAP Введите данные веб-сервера (компьютера, на котором будет работать ГИП-администратора SecurEnvoy) и выберите тип Directory сервера «MS Active Directory Novell E-dir, Sun One Directory server, LINUX OpenLdap или MS ADAM». Мастер расширенной настройки Веб-сервер это компьютер, на котором было установлено программное обеспечение сервера безопасности; имя домена это домен, на котором будет храниться и загружаться информация пользователя. Мастер автоматически определит, установлен ли сертификат SSL веб-сервера и активирует его на веб-сервере. Используйте клавишу Tab для перехода к закладке «Ввести ID пользователя»; войдите в учетную запись системы, который запускает сервер SecurEnvoy. Нажмите «Получить DN ID пользователя»: этим действием автоматически будут введены данные DN учетной записи, и пользователь войдет как администратор данного домена. Если имя указано верно, введите пароль для учетной записи ID пользователя. Если не верно, внесите изменения для отображения отличительного имени (DN) вашей среды. Теперь введите названия ваших Directory серверов. Если сертификаты были развернуты на Directory серверах активацией опции «Использовать SSL», можно использовать LDAPS (port 636). ПРИМЕЧАНИЕ В основном для LDAPS требуется полное имя сервера. Если опция «Использовать SSL» активирована, имя сервера ДОЛЖНО совпадать с общим именем в сертификате Directory сервера. Страница 25

26 После завершения нажмите кнопку «Проверка», чтобы проверить, все ли данные введены верно; если в окне проверки появится «Ок», установку можно продолжить. Любые ошибки означают, что в настройках есть проблемы, которые необходимо устранить до продолжения установки. При необходимости добавления еще одного домена нажмите кнопку «Добавить/редактировать домен». Веб-сервер это компьютер, на который было установлено программное обеспечение сервера безопасности; эти данные не требуют изменений. Имя домена это дополнительный домен, на котором хранится и загружается информация пользователя. Имя Net Bios не является обязательным и требует настройки, если для входа в систему пользователем используется имя домена Net Bios, например «SECURENVOY\johnsmith». Используйте клавишу Tab для перехода к закладке «Введите ID пользователя»; введите учетную запись системы, который запускает сервер SecurEnvoy на этом домене. Нажмите «Сохранить» и «Продолжить». ПРИМЕЧАНИЕ Любая комбинация сервера LDAP поставщика поддерживается в любом порядке; разрешения чтения и записи можно настроить на любом домене с помощью учетной записи администратора SecurEnvoy. Все домены ДОЛЖНЫ использовать одну учетную запись администратора SecurEnvoy, иначе серверыполучатели того же домена будут обращаться к мастеру пакетной обработки, и сервер пакетной обработки будет генерировать и отправлять множество ежедневных кодов. Страница 26

27 5.1 Конфигурации мультидомена Start/Programs/SecurEnvoy/Advanced Configuration Wizard, выберите вкладку IIS и LDAP. Для добавления дополнительного Microsoft AD нажмите «Добавить новый домен», выберите тип домена и введите необходимую информацию. Для добавления дополнительного Microsoft AD нажмите «Добавить новый домен», выберите тип домена и введите необходимую информацию. Для добавления домена Novell e-dir нажмите «Добавить новый домен», выберите тип домена и введите необходимую информацию. После завершения нажмите «Обновить» или «Продолжить» После завершения нажмите «Обновить» или «Продолжить» Страница 27

28 Для добавления домена OpenLDAP нажмите «Добавить новый домен», выберите тип домена и введите необходимую информацию. Для добавления домена Sun Directory server нажмите «Добавить новый домен», выберите тип домена и введите необходимую информацию. После завершения нажмите «Обновить» или «Продолжить» После завершения нажмите «Обновить» или «Продолжить» Добавление Microsoft ADAM / AD/LDS (управляемые пользователи SecurEnvoy) Выбор «Управляемые пользователи SecurEnvoy» позволяет создать базу данных пользователя при отсутствии сервера каталога организации или невозможности его использования. Для этого используется Microsoft ADAM (Windows Server 2003) / AD/LDS (Windows Server 2008), что обеспечивает создание и управление пользователями через ГИП-администратора SecurEnvoy. Для создания экземпляра Microsoft ADAM / AD/LDS выберите «Управляемые пользователи SecurEnvoy», выберите создание первого или последующего (при избыточности) экземпляра реплики ADAM и введите имя домена для данных пользователей, например «Продажи». Опция «Только код» определяет, будет SecurEnvoy осуществлять аутентификацию с помощью ПИН-кода и секретного кода или только по секретному коду. Пройдите шаги 1-4, в ходе которых будет установлен Microsoft ADAM / AD/LDS, настройте экземпляр и проверьте его работу. Страница 28

29 ПРИМЕЧАНИЕ Номер порта для MS ADAM автоматически настраивается и дает приращение в каждом отдельном случае. Это можно изменить в ручном режиме для соответствия требованиям среды, в которой была произведена установка Добавление точной копии MS ADAM (для управляемых пользователей) Для установки копии MS ADAM запустите Advanced Config Wizard (Мастер усложненных конфигураций). ПРИМЕЧАНИЕ Для упрощения копирования ADAM машина, на которой должны быть установлены копии, должна быть элементом того же домена, что и мастер ADAM. Также, необходимо зарегистрироваться с правами администратора для успешной установки копии ADAM. IIS (Информационный сервер интернета) и LDAP (облегченный протокол доступа к каталогу), выберите «SecurEnvoy Управляемый пользователь» (MS ADAM) и выберите «Сервер копирования» в окне установки Microsoft ADAM. Внесите информацию о порте в поле «TCP Port» (порт протокола управления передачей), внесите информацию в поле «Сервер, с которого производится копирование». Информация должна быть в формате FQDN (полностью уточненное имя домена). ВНИМАНИЕ! Номер порта должен быть одним и тем же для каждого основного образца Microsoft ADAM и скопированного. ВНИМАНИЕ! Сервер, с которого производится копирование, должен быть в FQDN формате. IP адреса не поддерживаются. Введите информацию об имени домена для копии ADAM ВНИМАНИЕ! ADAM имя домена может поддерживать только символы 0-9 и A-Z Введите информацию о пароле в поле «SecurEnvoy пароль администратора». Информация должна совпадать с основным образцом ADAM. Выполняйте шаги 2-4 для завершения установки. Далее нажмите «Обновить или Продолжить». Страница 29

30 Показатели, на которые следует обратить внимание относительно копий ADAM или службы Active Directory облегченного доступа к каталогам 1. Брандмауэр Windows блокирует уведомления об обновлениях копиям, следовательно, необходимо создать специализированное правило на обоих серверах о допуске всех входящих сообщений с IP адреса других серверов. 2. Если эти серверы не в том же домене, измените сервисные функции SecurEnvoy ADAM*** так, чтобы они работали под учетной записью пользователя, который является членом административной группы (не системная учетная запись по умолчанию). 3. На втором сервере создайте копию через SecurEnvoy Advanced Config (усложненные конфигурации SecurEnvoy) и измените сервисные функции SecurEnvoy ADAM*** так, чтобы они работали под учетной записью пользователя, который является членом административной группы (не системная учетная запись по умолчанию). ПРИМЕЧАНИЕ Пройдет около 10 минут, прежде чем экземпляр копии ADAM будет полностью скопирован и тиражирован. Суммирование и редактирование SecurEnvoy Managed User (управляемого пользователя) (Microsoft ADAM/службы Active Directory облегченного доступа к каталогам) Пример В графическом интерфейсе пользователя SecurEnvoy Admin выберите «Demo», созданное доменом ADAM. Для добавления нового пользователя Заполните именующую информацию и выберите кнопку «Создать пользователя» ВНИМАНИЕ! В администраторском графическом интерфейсе пользователя SecurEnvoy была добавлена кнопка, позволяющая создать пользователя. Информация пользователя печатается в окне каталога поиска. Страница 30

31 Экран вывод программы для вновь созданного пользователя будет отображаться. Дополнительная информация касательно учетной записи пользователя теперь может быть заполнена. ВНИМАНИЕ! SecurEnvoy предупреждает: если требуется пароль, то он управляется SecurEnvoy, поскольку хранится зашифрованным (действие по умолчанию для всех данных SecurEnvoy. Пароли ADAM не поддерживаются, поскольку они не так безопасны, как пароли SecurEnvoy). Страница 31

32 5.2 Конфигурация шлюза электронной почты. Пуск/программы/ SecurEnvoy/Мастер усложненной конфигурации, выбрать вкладку «Шлюз электронной почты». Настройки шлюза электронной почты показаны ниже. Для конфигураций шлюза электронной почты введите детали сервера протокола SMTP (упрощенный протокол электронной почты), который следует использовать для отправки сообщений электронной почты, и присоединенный адрес электронной почты, который вы хотите использовать. Как только установка выполнена, тестовое электронное письмо может быть отправлено получателю, чтобы проверить правильность конфигурации. ВНИМАНИЕ! Убедитесь, что ваш SMTP сервер настроен на возможность ретрансляции с сервера SecurEnvoy. ВНИМАНИЕ! Из мастера усложненной конфигурации SecurEnvoy можно выйти в любой момент, как только конфигурация закончена Страница 32

33 5.3 Конфигурации шлюза телефонных SMS Пуск/программы/ SecurEnvoy/Мастер усложненной конфигурации, выбрать вкладку «Шлюз телефонных SMS». Шлюз SMS/ шлюз телефона (если флажок активирован) установит сервис Windows, который сообщается с SMS модемом. SMS модемом это серийное GSM (Global System Mobile - стандарт глобальной сотовой системы цифровой радиосвязи ) устройство, подключенное непосредственно к интерфейсу для последовательной передачи данных сервера безопасности. Эта опция позволяет корпорации использовать собственную SIM карту от своей телекоммуникационной компании и получать преимущества бесплатных SMS или тарифов на SMS рассылки. Для установки шлюза телефона, убедитесь, что устройство подключено и включено питание. Следующие опции имеют перестраиваемую конфигурацию: Отправить простой текст Если активировано, то позволяет отправлять SMS простым способом. Используйте данную функцию, если телекоммуникационный оператор не поддерживает повторный набор сообщений (PDU модуль данных протокола). Внести порт с последовательной выдачей данных Коммуникационный порт, к которому подключен GSM модем. Скорость передачи информации в бодах Выберите нужную скорость в бодах Код страны Выберите код нужной страны Блокировать международныеесли активировано, то будут отправлены все международные SMS по пути через шлюз электронных SMS. (Требует установить и настроить шлюз электронных SMS). После завершения нажмите кнопку «ОК» для тестирования. Тест выполнит вход для аналогового тестирования и тестирование мощности сигнала. Будет показана информация об исполнении, а также информация о мощности сигнала. Мощность сигнала измеряется значениями от 0 до 31. Приемлемое значение - от 16. Нажмите «Сохранить и продолжить». ВНИМАНИЕ! Для этой опции требуется SMS-модем. Поддерживающие типы Wavecom (последовательный и USB) и Siemens TC35i ВНИМАНИЕ! Из Мастера усложненной конфигурации SecurEnvoy можно выйти в любой момент после выполнения всех конфигураций. Страница 33

34 5.4 Конфигурации шлюза электронных SMS Пуск/программы/ SecurEnvoy/Мастер усложненной конфигурации, выбрать вкладку «Шлюз электронных SMS». Шлюз SMS или электронных SMS, если флажок включен, установит сервис Windows, который сообщается с Веб-шлюзом SMS, сервис по умолчанию из AQL см. это используется для всех пробных версий клиентов. Обратите внимание, что требуется учетная запись от AQL, если не устанавливается пробная версия. Пробные версии имеют встроенную учетную запись от AQL. Существуют уже настроенные независимые SMS провайдеры, выберите соответствующего SMS провайдера. Введите информацию об идентификации пользователя и пароль учетной записи (предоставленный Вашим провайдером электронных SMS) и информацию о сервере-посреднике (при необходимости). После завершения нажмите на кнопку «Шлюз тестирования», вывод информации должен показать подтверждение соединения. Если показаны ошибки, нажмите кнопку «Открыть браузер», чтобы в ручном режиме проверить и инициировать подключение. Если подключение веб-браузера срабатывает, то должно появиться сообщение «Сбой авторизации». Причина в том, что во время теста не была отправлена информация об учетной записи. SecurEnvoy может подключаться к любой веб-версии SMS провайдера. Может потребоваться новый шаблон. Нажмите «Сохранить и продолжить». ВНИМАНИЕ! Прокси-серверы поддержки SecurEnvoy дают возможность использования кнопки с независимой фиксацией и выполнение настроек прокси. ВНИМАНИЕ! Из Мастера усложненной конфигурации SecurEnvoy можно выйти в любой момент после завершения конфигурации. Страница 34

35 5.5 Конфигурация сервера Radius Пуск/программы/ SecurEnvoy/Мастер усложненной конфигурации, выбрать вкладку «Radius». Нажмите «Сохранить и Закончить». Радиус сервера (если флажок активирован) установит компонент Radius, чтобы сделать возможной интеграцию с устройствами доступа к данным любой сети, которая использует протокол Radius, то есть SSL (протокол защиты информации) программноаппаратный комплекс, брандмауэр или VPN (Virtual Private Network виртуальная корпоративная сеть). Для установки сервиса Radius войдите в информацию порта для отображения сетевого окружения сервера безопасности SecurEnvoy, в рамках которого следует действовать. Нажмите «Сохранить и Закончить» ВНИМАНИЕ! Если сервер безопасности SecurEnvoy имеет множественные IP-адреса или сетевые адаптеры, приемник RADIUS будет работать по каждому индивидуальному IP-адресу. Страница 35

36 Настройки административного управления пользователями Раздел 6.I Страница 36

37 6 Настройки административного управления пользователями Для локального запуска графического интерфейса пользователя администратора: Пуск/Программы/ SecurEnvoy/Администратор сервера локальной защиты Или щелкните мышью на ярлыке на рабочем столе Для удаленного запуска графического интерфейса пользователя откройте веб-браузер Microsoft и введите следующее: http(s)://(имя_хоста_сервера_безопасности)/secadmin По умолчанию эта страница всегда будет открываться на странице локальных пользователей Это меню позволяет вам выполнять поиск и администрирование облегченного протокола доступа к каталогу (Сервер каталогов). Вы можете активировать пользователей по двум факторам идентификации, управлять личными идентификационными номерами, управлять мобильными номерами и адресами электронной почты, возвращать пароли и устанавливать постоянные пароли. В левой части окна выберите домен, который хотите запросить (требуется только в случае, если в конфигурации пользователя множество доменов). Если оставить это поле пустым, все пользователи облегченного протокола доступа к каталогу будут отображаться. Для ограничения данного списка, введите один или два символа в поле «Имя», «Фамилия» или «Регистрационное имя». Например, при необходимости руководства пользователем QA введите «Q» в поле «Регистрационное имя» и нажмите «Поиск». Список всех пользователей с регистрационным именем «Q» будет отображен. Выберите пользователя, которым будете руководить и Вы увидите следующие опции, отображенные на экране. Неуправляемый/активированный/заблокированный/в экстренных случаях Первая опция установить отношение пользователя и SecurEnvoy. Неуправляемый значит, что SecurEnvoy не имеет данных на этого пользователя и пользователь не использует лицензию. Заблокированный означает, что имеются данные на пользователя, и он использует лицензию, но не может авторизоваться. Активированный означает, что имеются данные на пользователя, он использует лицензию и может авторизоваться. «В экстренных случаях» отображается, если у вас имеется лицензия на категорию пользователей «В экстренных случаях». Выбрать группу «В экстренных случаях» означает, что пользователь будет использовать лицензию и будет иметь возможность авторизоваться, если установлен режим срочного доступа. Страница 37

38 Администратор Выберите права «Отсутствуют», «Техподдержка», «Конфигурации» или «Полные» Администратора для пользователя. Это контролирует возможности удаленного управления, которые имеет пользователь. «Полные» права позволяют полный доступ ко всем сферам. «Конфигурации» позволяют пользователю менять настройки Radius и конфигурации и иметь доступ к Средству просмотра журналов, но пользователь не может видеть или менять других пользователей. «Техподдержка» обеспечивает доступ только к пользователям и средству просмотра журналов (Пользователи, которых они могут видеть и менять, будут ограничены их доменом или группой техподдержки, согласно настройке). Собственная техподдержка или SecurPassword Активируйте «Создать кнопку Секретного вопроса», если вы хотите дать пользователям возможность использовать Собственную техподдержку или секретные вопросы SecurPassword (См. раздел 4 «Конфигурации»). Персональный код пользователя Компонентом Персонального кода пользователя может быть или существующий пароль домена, или постоянный цифровой код, который пользователи будут употреблять при авторизации. Традиционный код может быть до 8 символов (См. раздел 4 «Конфигурации»). Номер мобильного телефона Если этот пользователь уже имеет номер мобильного телефона, определенный в облегченном протоколе доступа к каталогу, это поле будет заполнено. Если нет, Вы ДОЛЖНЫ ввести номер, если вы хотите отправлять пароли при помощи SMS. Электронная почта Эта опция отображается, если допускаются пароли по электронной почте. (См. 4 конфигурации) Неудачный вход в систему Отображает количество неудачных входов с момента последней успешной авторизации. Может быть установлено от 3 до 10 неудачных попыток входа в систему, после которых пользователь блокируется. После блокирования пароли больше не присылаются. Вы можете обнулить этот счет, выполнив контрольную проверку. Одноразовый код Если выбран этот режим, пароли могут использоваться только один раз. Этот режим наиболее безопасен, так как любая попытка повторного использования пароля закончится неудачей. Ежедневный код Этот режим автоматизирует режим смены паролей каждые ХХХ дней. Ежедневные коды это повторно используемые пароли, которые автоматически меняются каждые ХХХ дней (Реконфигурируемый см. Раздел 4.0). В заранее определенный день и время (Реконфигурируемый см. Раздел 4.0) следующий требуемый пароль отправляется на мобильный телефон пользователя. Валидным паролем является текущий или присланный ранее. Выберите эту опцию, если ваши требования к безопасности состоят только в смене паролей каждые ХХХ дней. ВНИМАНИЕ! Ежедневные коды могут быть настроены таким образом, что они не будут приходить в выходные. Также новые ежедневные коды будут присланы только в случае, если были использованы старые (Реконфигурируемый см. Раздел 4.0) Персональные коды пользователя и ежедневные коды могут использоваться для автоматического обновления паролей Активных Директорий Microsoft (Реконфигурируемый см. Раздел 4.0) Страница 38

39 Постоянный код протокола управления тестированием Могут вводиться пароли до 14 символов. Пользователь может использовать этот согласованный постоянный код множество раз, пока не истечет количество дней. По истечении этого времени пользователя автоматически переключают в режим одноразового кода, и присылают следующий требуемый код. Этот режим для пользователей, которые потеряли свой мобильный телефон или будут за пределами зоны охвата мобильной сети несколько дней. Постоянный код. Это повторно используемый постоянный код, может быть длинной до 14 символов. Выберите эту опцию, если этот пользователь не имеет мобильного телефона. Модифицировать пользователя Используйте эту кнопку, чтобы модифицировать пользователя внесенными или измененными функциями. Повторно отправить код Нажмите эту кнопку, чтобы повторно отправить код или модифицировать этого пользователя. ВНИМАНИЕ! Пользователям, которые были активированы, код будет послан автоматически. Когда используется по умолчанию предварительная загрузка для доставки SMS. Обновить Используйте эту кнопку, чтобы вручную обновить отображающуюся информацию о пользователе. Пример Deploying Users via Admin GUI 1. Запустите графический интерфейс пользователя администратора SecurEnvoy через ярлык на Рабочем стола или ссылку программы. 2. щелкните клавишей мыши на «Поиск», чтобы найти любого пользователя в домене кликом по соответствующей ссылке. 3. Активируйте пользователя, присвойте ему номер мобильного телефона (если требуется), и выберите «Одноразовый код», щелкните «Обновить» и «Завершить». 4. Система пришлет сообщение подтверждения, пользователя получит код доступа (предварительно загруженный по умолчанию), код не будет отправлен, если пользователь установил получение реального времени. 5. Протестируйте вход в систему либо путем Radius соединения, либо веб-агентом информационного сервера интернета. Страница 39

40 Автоматизированный учет пользователей Раздел 7 Страница 40

41 7. Автоматизированный учет пользователей Автоматизированный учет пользователей Массовая запись пользователей может автоматизировано при помощи инструмента под названием «Мастер записи». Мастер записи это встроенный инструмент, который позволяет предприятиям с легкостью обеспечивать кодами доступа большое количество пользователей. Это настраивается таким образом, чтобы коды доступа отсылались по SMS пользователям в едином комплексном механизме. Мастер записи имеет возможность позволять пользователям двухфакторную аутентификацию и внесение в список их телефонных номеров, которые впоследствии хранятся в зашифрованном виде на сервере каталогов (только программное обеспечение SecurEnvoy и администраторы будут иметь доступ к этим номерам мобильных телефонов). Этот инструмент может использоваться одним из двух способов, через графический интерфейс пользователя, для учета пользователей в ручном режиме или через строку команд для использования скриптами и пакетными заданиями Графический интерфейс пользователя Для запуска данного инструмента зайдите в Пуск/ SecurEnvoy/ Мастер записи. Мастер записи это простая в использовании логическая программа действий. Учетная запись пользователя, работающая с этим Мастером, должна входить в группу Администраторов. Шаг 1 Установите по умолчанию запись конечного пользователя, выберите «Одноразовый код» (загруженный по умолчанию) или «Использование реального времени», «Ежедневный код» или пользователя «При крайней необходимости». Страница 41

42 Шаг 2 Выберите домен, который Вы хотите администрировать, потом введите базу поиска облегченного протокола доступа к каталогу или оставьте поле пустым. Типичными примерами являются: DC= SecurEnvoy, DC=com CN=Users, DC= SecurEnvoy, DC=com OU=IT, OU=HQ, SecurEnvoy, DC=com В н и м а н и е! Если База поиска облегченного протокола доступа к каталогу оставлена пустой, поиск будет включать все объекты (верхушка дерева). Войдите в Фильтры поиска пользователя по облегченному протоколу доступа к каталогу, по умолчанию фильтр поиска будет искать только учетные записи пользователей, которые еще не были активированы SecurEnvoy. Фильтр использует следующие принципы: Выражения могут использовать реляционные операторы <, <=, =, >=, и > Пример 1 Пример 2 Пример 3 Пример 4 cn=a* Найти пользователей, имя которых начинается на а фамилия>=davis Найти пользователей с фамилиями от Davis до zzzzz Сложные выражения формируются посредством префиксных операторов & и! (&(фамилия=davis)) Найти пользователей с фамилией Davis Если требуются оба оператора, то & выражения должны предшествовать! выражениям (&(фамилия=a*)(!(здание=42)(здание=43))) Найти всех пользователей с фамилией, начинающейся на «а», и которые не в зданиях 42 и 43 Пример 5 memberof=cn=ras,cn=users,dc=dev,dc=com Найти всех пользователей, являющихся членами группы CN=RAS,CN=Users,DC=dev,DC=com Поддержка вложенных групп Чтобы поддержать поиск вложенных групп, используется значение Идентификатор объекта в предписании фильтра. Поиск вложенных групп поддерживается только сервером Microsoft Windows 2003 c установленными масштабируемыми параллельными, и сервером Windows Добавлением значения : : в предписание фильтра, будут показаны все пользователи, которые являются членами выбранной группы. Не играет роли, являются ли они прямыми членами выбранной группы или членами вложенной. Например: memberof: :=cn=ras,cn=users,dc=dev,dc=com Найти всех пользователей, являющихся членами групп CN=RAS,CN=Users,DC=dev,DC=com Страница 42

43 В н и м а н и е! Учетные записи компьютеров игнорируются Щелкните на «Найти неуправляемого пользователя». На экране появится следующее: Этот пользователь может быть далее перемещен в файл, что позволяет выполнить проверку перед продолжением. Щелкните на кнопке «Поместить выбранных пользователей в файл», показанной в шаге 2. Шаг 3 Следующая задача выбрать средство, которое будет использовано для записи SMS или электронная почта. Если выбрана электронная почта, то сервер SecurEnvoy должен быть определенным образом настроен (см. раздел 4 «Конфигурации»). Кроме того, сервер упрощенного протокола электронной почты компании должен быть настроен на прием сервера SecurEnvoy. Щелкните кнопку «Найти мобильный телефон» или на кнопку «Найти адрес электронной почты». Появится окно: Страница 43

44 Есть много примеров разных итогов; ниже приведены следующие: Пример пользователей внесены в список в шаге 2, хотя только 60 пользователей имеют мобильный телефон в шаге 3. Однако пользователи с отсутствием телефонных номеров, могут быть внесены в список нажатием «Внести отсутствующих в список» и потом проверены и, соответственно, обновлены. Запись может продолжаться только с 60 пользователями или может быть начата заново, чтобы внести всех 100 пользователей. Пример пользователей внесены в список в шаге 2, однако только 0 пользователей имеет мобильный телефон в шаге 3. Однако пользователи с отсутствующими номерами мобильных телефонов, могут быть внесены в список нажатием «Внести отсутствующих в список» и потом проверены и, соответственно, обновлены. Либо пользователи с отсутствующими номерами мобильных телефонов могут быть зарегистрированы через электронную почту, если у них есть действующий адрес. Пользователь получит электронное сообщение с унифицированным указателем ресурса и одноразовым кодом доступа. Шаг 4 Выберите «Зарегистрировать через SMS» или «Зарегистрировать через ». Если регистрация проходит через , можно изменить сообщение по умолчанию, которое отправляется выбранным пользователям. Кликните «редактировать электронное сообщение» Теперь запустится Мастер Записи. Все ошибки будут отображаться в поле «Сбои» на экране. «Другие инструменты» приносят дополнительные функции Мастеру записи. Состоят из 4 частей, а именно: Подсчитать незаконченные записи. Повторно разослать по незаконченным записям. Найти управляемых пользователей. Найти и показать количество пользователей, которые частично записаны или еще не записаны. Повторно разослать запрос на регистрацию тем пользователям, которые зарегистрировались частично или не зарегистрировались вообще. Найти и показать пользователей, которые управляются системой по регистру конечного адреса. Освободить от управления избранных пользователей. Страница 44

45 Примечание При отключении управления пользователями, если вами не будет указана база поиска или фильтр поиска, то управление всеми пользователями, управляемыми системой SecurEnvoy, будут отключено. Примечание Внимание: при работе с этим инструментом необходимо быть внимательными, поскольку за одну минуту может быть отключено управление сотнями пользователей Опции командной строки мастера рассылки Имеются следующие опции командной строки /auto Должно быть задано для использования опций командной строки /default= разовый, в реальном времени, временный или ICE Опция, настройки шага 1, по умолчанию одноразовый код/ /day=(количество дней) Необходимо, if/default=day, количество дней между каждым кодом /domain=(имя домена) Опция, по умолчанию относится к первичному домену /base=(dn) Опция, представление в виде дерева для поиска, по умолчанию сверху /filter=(текст фильтра) Опция, фильтр поиска, по умолчанию фильтра нет /deploy=sms, Опция, способ развертывания шага 3 и 4, по умолчанию SMS. /umnanage Опция. При выборе отключает управление всеми выбранными пользователями. /hidegui Опция. При выборе отключает ГИП /listtofile Опция. При выборе предает в файл список выбранных пользователей /indmanaged Опция. Выбирает управляемых пользователей /debug Опция. При выборе запускается отладка Настоятельно рекомендуем перед использованием командной строки проверить настройки и фильтр ГИП развертывания. Пример 1 Развернуть всем пользователям, являющимся членами группы RAS Windows в домене dev.com deploy.exe/auto / filter = memberof=cn=ras,cn=users,dc=dev,dc=com / deploy= Пример 2 Удалить всех управляемых пользователей, выходящих из группы RAS Windows deploy.exe/auto / filter =!memeberof!=cn=ras,cn=users,dc=dev,dc=com / umnanage Примечание: «!» обозначает тех, кто не является членом группы. Страница 45

46 Поддержка вложенных групп Для обеспечения поиска во вложенных группах в параметрах фильтра применяется значение идентификатора объекта (OID). Поиск вложенных групп поддерживается только системами Microsoft Windows 2003 server с установленным SP2 и Microsoft Windows 2008 server. При добавлении значения : : к параметрам фильтра, все пользователи, являющиеся членами выбранной группы, будут возвращены. Это будет сделано независимо от того, являются ли они членами выбранной группы или членами вложенной группы. Настоятельно рекомендуется перед использованием командной строки проверить настройки и фильтр графического пользовательского интерфейса развертывания. Пример 3 Развернуть всем пользователям, являющимся членами группы RAS Windows в домене dev.com deploy.exe/auto / filter = memberof: : =CN=RAS,CN=Users,DC=dev,DC=com / deploy= Пример 4 Удалить всех управляемых пользователей, выходящих из группы RAS Windows. deploy.exe/auto / filter =!memeberof: :=cn=ras,cn=users,dc=dev,dc=com / umnanage Примечание: «!» обозначает тех, кто не является членом группы Страница 46

47 SecurAccess Radius Глава 8 Страница 47

48 8. Настройка конфигурации клиентов RADIUS. Используйте это окно для определения IP адреса, общего секрета, домена по умолчанию и любых параметров каталога вашего клиента RADIUS. Функции, поддерживаемые RADIUS: Базовая проверка подлинности пароля по параметру «Пользователь Пароль». Параметры, применимые ко всем пользователям. Функции, не поддерживаемые RADIUS: Учет Параметры, назначаемые одному или большему числу пользователей, но не всем. Проверка подлинности по протоколу MSChap версия 2 П р и м е ч а н и е Если необходимы параметры пользователей или учет, рекомендуется использовать дополнительный сервер Radius, произведенный третьей стороной, такой как сервер Steel Belt Radius производства funk или ACS RADIUS производства Cisco. См. здесь: или Для проверки подлинности пол ьзователей через сервера Steel Belt или Cisco Proxy Radius, они будут передавать запросы проверки подлинности RADIUS на сервер SecurEnvoy RADIUS, позволяя вам осуществлять управление учетом и профилями пользователей в пределах серверов Steel Belt или Cisco ACS. Для выполнения настройки параметров клиентов Radius, выбрать вкладку Radius. IP-адрес сервера сетевого доступа Это IP-адрес клиента RADIUS, который будет посылать запросы проверки подлинности RADIUS. Должен вводиться в формате ххх.ххх.ххх.ххх или используется значение по умолчанию. Если в качестве IP-адреса используется значение по умолчанию, то эти настройки будут использоваться всеми IP-адресами неизвестных клиентов RADIUS. П р и м е ч а н и е Если сервер безопасности имеет более одной сетевой интерфейсной карты, служба SecurEnvoy RADIUS запустит прослушиватель по каждой из них. Управление общим секретом Это секрет (пароль), который должен вводиться, один и тот же, как на клиенте RADIUS, так и на этом модуле ввода. Если с обеих сторон вводится разный секрет, то сервер SecurEnvoy RADIUS проигнорирует входящий пакет. Страница 48

49 Примечание Для общего секрета SecurEnvoy поддерживает символы ASCII 127, символы из расширенного набора (ASCII 128), такие как, не поддерживаются. Также следует обратить внимание на то, что некоторые клиенты RADIUS имеют ограничения по длине общего секрета. Проверка подлинности только через цифровой пароль Если выбрать эту опцию, то для проверки подлинности будет приниматься только цифровой пароль, состоящий из 6 цифр. Эта опция должна использоваться, только если клиент Raduis уже прошел проверку подлинности через пароль или PIN, а этому серверу необходимо только проверить второй фактор. Обрабатывать все виды цифровых паролей так же, как и «Коды, генерируемые в реальном времени» При выборе этого параметра сервер SecurEnvoy RADIUS будет проводить проверку подлинности по всем направлениям. Пользователь входит с применением ID пользователя и PIN/пароля, после чего ему, независимо от режима работы, необходимо будет ввести цифровой пароль: разовый пароль предварительной загрузки, однодневный код, код TMP. Домен по умолчанию Если ID пользователя не содержит в себе имени домена, то будет использоваться выбранное имя домена. В качестве альтернативного варианта можно выбрать «Поиск», и тогда SecurEnvoy будет обрабатывать каждый действующий сконфигурированный домен до тех пор, пока не будет найдено соответствие по ID пользователя. Это хорошо работает в условиях, когда имеется сетевое оборудование, удаляющее часть доменов UPN или вход в домен NetBIOS. Разрешить домены При выборе этой опции пользователи могут проводить проверку подлинности только по выбранным именам доменов. Это идеально дл провайдеров управляемых услуг, которые не хотят, чтобы пользователи из одного домена переходили в домены других пользователей. Разрешить только пользователей, выходящих в группу LDAP SecurEnvoy может проводить проверку подлинности только тех пользователей, которые являются членами определенной группы LDAP. Нажать кнопку «Сменить группу» (Сhange group), чтобы выбрать необходимую группу из имеющихся групп домена LDAP. Настройки позволяют выбрать только членство в одной группе LDAP или в любой группе LDAP. Текст, входящий в секретный код Введите текст, который необходимо передать в составе секретного кода. Не заполнять для сообщения по умолчанию. Данные о каналах обратной связи к клиенту Radius в Атрибуте Задать конфигурацию единого входа и членства в группе через атрибут 25 RADIUS (порт по умолчанию); см. документацию поставщика сети по применению этого атрибута RADIUS. Страница 49

50 Настройки: по каналам обратной связи не передается информация По каналам обратной связи передается пароль По каналам обратной связи передаются члены группы LDAP, это может быть соглашения о полном доменном имени или кратком имени NetBIOS. Имя участника-пользователя может быть передано по каналам обратной связи, благодаря чему пользователь получает возможность построения схемы приложения. Атрибуты (по умолчанию не выводятся на экран) Для вывода на экран параметров атрибутов, выбрать в меню Config и выбрать в разделе ГИПадминистратора «Атрибуты Radius». Стандартный Radius использует перечень согласованных параметров, который называется «Словарь»; SecurEnvoy устанавливается с перечнем основных словарей. Просмотреть их можно по ссылке radius.dct.основной файл называется RADUIS.dct. Также сюда входят опубликованные расширения большинства производителей. Ниже приводятся подробные примеры того, как войти в Атрибуты. Пример 1 Вы хотите добавить стандартный атрибут «Кадрированный протокол» и установить его для протокола РРР. Для 32-битных установок: Открыть файл Program Files\SecurEnvoy\Security Server\Data\RADIUS\DICT\RADIUS.dct Для 64-битных установок: Открыть файл Program Files(х86)\SecurEnvoy\Security Server\Data\RADIUS\DICT\RADIUS.dct Найти строку, содержащую «Кадрированный протокол» (Framed Protocol) В этой строке определяется количество (7) и Тип (номер) Ниже этой строки находятся значения, которые можно задать, значение протокола РРР - 1. В окне ГПИ администратора ввести следующее: В колонке «Количество» ввести 7, колонку ID поставщика пропустить. В колонке «Тип» выбрать «Номер». В колонке «Значение» ввести 1. Пример 2 Вы хотите добавить особый атрибут поставщика для ascend Ascend-VSA-PPP-Circuit Name(имя канала) и задать No-Circuit («Нет канала»). Для 32-битных установок: Открыть файл Program Files\SecurEnvoy\Security Server\Data\RADIUS\DICT\ascend_VSA.dct Для 64-битных установок: Открыть файл Program Files(х86)\SecurEnvoy\Security Server\Data\RADIUS\DICT\ascend_VSA.dct Найти строку, содержащую Ascend-VSA-PPP-Circuit Name. В этой строке определяется количество (26), ID поставщика (529-6) и Тип (Строка). Под этой строкой находится VALUE No-Circuit, где задано значение «0». В окне ГПИ-администратора ввести следующее: В колонке «Количество» ввести 26. В колонке ID поставщика ввести В колонке «Тип» выбрать «Строка». В колонке «Значение» ввести 0. П р и м е ч а н и е В основном все данные поставщика должны начинаться с 26, однако словари некоторых поставщиков превалируют над RADIUS.dct и эти данные необходимо вводить так, как показано в Примере 1. Страница 50

51 Пример 3. Конфигурация маршрутизации и удаленного доступа (RRAS) Windows 2003 Server SP1 IPSec VPN 1. Установить службу маршрутизации и удаленного доступа, если таковая не установлена. 2. Запустить ММС маршрутизации и удаленного доступа, выбрать сервер и нажать «конфигурировать и разрешить маршрутизацию и удаленный доступ». 3. Следовать командам мастера и выполнить установку доступа VPN, установку IPSec VPN. Запустить службу RRAS. 4. Выбрать сервер в RRAS ММС, войти в свойства. 5. Выбрать «Безопасность», выбрать «Raduis» как поставщика проверки подлинности, выбрать «Конфигурировать». Заполнить информацию Raduis. Время ожидания должно составлять минимум 10 секунд. 6. Выбрать «Способы проверки подлинности» снять отметки со всех, выбрать только протокол РАР. 7. Перезапустить службу RRAS. Клиент Windows ХР SP2 1.Запустить мастер подключения к сети, выбрать VPN. 2.Войти в «Свойства», выбрать вкладку «Безопасность», выбрать «Дополнительно» и войти в настройки. 3.Изменить «Кодировка данных» на «Выбор способа кодировки», выбрать только РАР для протоколов. 4.Ввести предварительный ключ для параметров IPSec. Конфигурация SecurEnvoy Для создания простой в использовании среды, в качестве ПИН-кода SecurEnvoy может использовать существующий пароль Windows. Благодаря этому пользователям необходимо будет запомнить только пароль доступа к своему домену. В SecurEnvoy предусмотрен второй способ проверки подлинности, динамический пароль, который высылается на мобильный телефон пользователя. Запустить интерфейс администратора SecurEnvoy нажатием на ссылку «Управление локальным сервером безопасности» на Сервере безопасности SecurEnvoy. В появившемся окне нажать «Конфигурация (Config)» - пароль Microsoft является ПИН-кодом при управлении с применением ПИН-кода. Это позволит использовать в качестве ПИН-кода существующие пароли пользователей. Для подтверждения изменений нажать «Обновить». Нажать кнопку «Radius». Ввести IP-адрес и общий секрет для каждого сервера, на котором установлен сервис маршрутизации и удаленного доступа, и где необходимо использовать двухфакторную проверку подлинности. Для подтверждения настроек нажать «Обновить». После завершения нажать «Выход». Так осуществляется выход из административного сеанса. Пробное подключение В поле «Имя пользователя» ввести ID пользователя В поле «Пароль» ввести пароль и код доступа. Например: P4ssw0rd Страница 51

52 Миграция Глава 9 Страница 52

53 9. Миграция SecurEnvoy имеет возможность предоставления пути «Миграции» от существующих методов проверки подлинности. Поддерживаются два вида «Миграции», существующие пароли и существующие токены третьих сторон. Миграция паролей Для обеспечения поддержки пользователей с существующими паролями, конфигурация устройства VPN/SSL изменена таким образом, чтобы можно было передавать все запросы проверки подлинности на сервер SecurEnvoy. Если пользователь не конфигурирован под SecurEnvoy и является членом группы «только пароль SE (sepasswordonly)», учетные данные пользователя проверяются в сравнении с существующей учетной записью протокола LDAP. Поддерживаемые виды LDAP (Microsoft Active Directory, Novell e-dir, Sun Directory Server, Linux Opeт LDAP). Группа «только пароль SE (sepasswordonly)» должна быть создана на сервере каталогов. Пользователи, проверка подлинности которых должна осуществляться с применением имени пользователя и пароля, должны быть добавлены к группе «только пароль SE (sepasswordonly)» Параметры конфигурации приводятся в разделе 4. Развертывание существующего пароля Демилитаризованная зона Локальная сеть Интернет VPN /SSL Проверка подлинности имени и пароля Контроллеры доменов Microsoft Проверка подлинности всех пользователей передается на SecurEnvoy, если пользователь не конфигурирован под SecurEnvoy и является частью группы «только пароль SE (sepasswordonly)», проверка подлинности запроса осуществляется с применением существующих учетных данных. Почтовые сервера Microsoft Файловые сервера и сервера печати Страница 53

54 Миграция существующего токенссервера производства третьей стороны Для поддержки пользователей с существующими токен-серверами производства третьей стороны, конфигурация устройства VPN/SSL изменена таким образом, чтобы можно было передавать все запросы проверки подлинности на сервер SecurEnvoy. Если пользователь не конфигурирован под SecurEnvoy, его запрос будет перенаправлен на конфигурированный токен-сервер. Для существующего токен-сервера производства третьей стороны поддерживается только протокол Raduis. Поддерживаемые токен-серверы: любой токен-сервер, использующий для проверки подлинности протокол Raduis. Поддержка миграции SecurEnvoy Демилитаризованная зона Локальная сеть Internet Интернет VPN /SSL Конфигурация VPN/SSL изменена таким образом, чтобы можно все запросы проверки подлинности передавались на сервер SecurEnvoy Существующий Токен серверс r Сервер Envoy Server Контроллеры доменов Microsoft Проверка подлинности всех пользователей передается на SecurEnvoy, если пользователь не конфигурирован под SecurEnvoy, запрос передается через Raduis на существующий токен-сервер Почтовые сервера Microsoft Файловые сервера и сервера печати Параметры конфигурации приводятся в Разделе 4. Страница 54

55 Отказоустойчивость Глава 10 Страница 55

56 10 Отказоустойчивость SecurAcces Настройка конфигурации агента SecurAccess или клиента Radius осуществляется не более чем для 2 серверов безопасности. Каждый сервер безопасности конфигурируется не более чем для 2 LDAP-серверов. Нижеследующая диаграмма демонстрирует типичную схему устойчивости системы к внешним факторам на базе 2 VPN-серверов (клиент Radius). Для более широкого пользовательского развертывания необходимо два сервера. Дополнительные серверы необходимы, когда существуют ограничения в подключении к сети для клиента Radius. Сервер безопасности Протокол LDAP Протокол LDAP Протокол LDAP Сервер безопасности Агент IIS или клиент RADIUS Протокол LDAP Домен LDAP (Active Directory) Агент IIS или клиент RADIUS Сервер безопасности Протокол LDAP Протокол LDAP Протокол LDAP Сервер безопасности Отказоустойчивость, основанная на принципе обмена данных с помощью SMS Когда к одному из двух серверов безопасности подключен модем для маршрутизации SMS по телефонным сетям, а ко второму - сетевой маршрутизатор SMS возникают следующие логические схемы при отказе: Если не удается установить соединение с сетевым маршрутизатором или модемом для коммутируемых телефонных линий, сервер переадресовывает входящие запросы аутентификации на следующий сервер безопасности в списке конфигураций (вторичный сервер безопасности по сути они для этого и существуют и его рабочий маршрутизатор SMS. Каждые 60 секунд от маршрутизатора SMS, с которым не удалось установить соединение, запрашивается информация о ликвидации неисправности. Как только ошибка устраняется, маршрутизатор автоматически обнаружит, что сеть или модем работают, и даст разрешение на запрос аутентификации. Если к одному и тому же серверу безопасности подключен и маршрутизатор SMS по телефонным сетям, и маршрутизатор SMS по интернет сети, один из них будет установлен по умолчанию, и если на нем случится сбой, второй начнет работать автоматически. Страница 56

57 Установка нескольких северов безопасности Несколько серверов безопасности имеют общий ключ кодирования (база данных конфигурации). Чтобы установить дополнительные сервера безопасности, необходимо выполнить следующие действия: 1. Запустить установочную программу для серверов безопасности setup.exe на необходимом сервере 1.1.Выбрать «Дополнительный сервер» 2. Нажать кнопку «Загрузка конфигурации базы данных» и выбрать файл config. db на первично установленном сервере безопасности; размещение данного файла по умолчанию С:/Program Files/SecurEnvoy/SecurityServer/ для 64-битной системы: С:/Program Files(х86)/SecurEnvoy/SecurityServer/ Выполните те же действия для файла server.ini Примечание Каждый сервер безопасности SecurEnvoy будет использовать файлы local.ini и server.ini, чтобы способствовать развертыванию существующих нескольких серверов SecurEnvoy. Файл local.ini содержит данные о подробностях локальной конфигурации. Файл server.ini содержит данные о подробностях глобальной конфигурации. 3. Запустить ГИП-администрирования на новом сервере и выбрать меню «config». Сопоставить все внесенные изменения, чтобы все сервера имели одинаковые настройки конфигурации. Дополнительные серверы ДОЛЖНЫ иметь одну и ту же административную учетную запись SecurEnvoy для каждого домена, которым они управляют. Время запуска групповых серверов должно быть установлено таким образом, чтобы их запуск происходил в одно и то же время с учетом разницы во времени относительно часовых поясов. На нескольких групповых серверах процессы должны запускаться последовательно через 10 минут, иначе конечным пользователям будет отправлено несколько временных кодов. П р и м е ч а н и е Дополнительные серверы ДОЛЖНЫ иметь одну и ту же административную учетную запись SecurEnvoy для каждого домена, которым они управляют. Страница 57

58 10.1. Отказоустойчивость (Логика сервера пакетной обработки) Групповой сервер SecurEnvoy Этот сервис Windows необходим только для SecurAccess, SecurMail Product и Secur Password. Он обрабатывает оборудование пользователя до режима TMP и временного режима и выполняет полный контроль методом подсчета лицензий. Каждые 24 часа в определенное время он проверяет всех пользователей в LDAP и по необходимости отправляет им следующий запрашиваемый код-пароль. В случае с режимом TMP он подсчитывает количество дней, в течение которых определенному пользователю разрешено работать в режиме TMP. Когда счетчик обнуляется, пользователь автоматически переходит на использование одноразового кода и получает новый код-пароль. Сервер пакетной обработки также может удалять любые почтовые сообщения, хранящиеся на сервере SecurMail. Если время хранения превышает заданный лимит, он будет удален. (Контроль осуществляется в день х). Логическая схема множественного сервера пакетной обработки Несколько серверов безопасности, использующих более 1 сервера пакетной обработки, имеют дополнительную логику, встроенную в операцию. Она работает по следующему описанию. Изначально каждый сервер проверяет дату последнего запуска с первичного номера телексной связи атрибута LDAP для учетной записи администратора. Если сервер не запускался в течение последних 15 минут, поступает запрос на блокировку посредством генерирования уникального восьмизначного кода блокировки и его записи в атрибут LDAP для учетной записи администратора. Далее выжидается 30 секундный период, чтобы дать возможность Active Directory (LDAP) для полной репликации. При считывании того же кода запускается групповой сервер; при считывании отличного кода другой сервер также посылает запрос на блокировку и запускается вместо первого. Необходимые условия для множественного группового сервера Все групповые серверы, которые управляют одним и тем же доменом и поисковой базой пользователей ДОЛЖНЫ иметь один и тот же этап выполнения и набор периодов времени (должны быть синхронизированы временные установки). Разница во времени по часам этих серверов должна составлять не более 10 минут Отказоустойчивость (RADIUS) Сервер Radius SecurEnvoy Чтобы обеспечить отказоустойчивость для клиентов Radius, можно скопировать папку поддержки сетевых приложений с первого сервера SecurEnvoy на последующий развернутый сервер SecurEnvoy. Убедитесь в том, что каждый клиент Radius обновлен правильным IP адресом для каждой копии сервера SecurEnvoy.. Папка поддержки сетевых приложений может размещаться: для 32-битной системы: Откройте файл Program Files/SecurEnvoy/SecurityServer/Data/RADIUS/DICT/RADIUS/NAS для 64-битной системы: Откройте файл Program Files(х86)/SecurEnvoy/SecurityServer/Data/RADIUS/DICT/RADIUS/NAS Страница 58

59 10.3. Отказоустойчивость (Server.ini) Serverтini основная настройка Если на одном из серверов SecurEnvoy производились изменения конфигурации, возможно, понадобится продублировать эти изменения на каждом из развернутых серверов SecurEnvoy. Примером является добавление в конфигурацию нового домена. Т.к. файл Server.ini содержит только информацию, разрешается копировать файл на каждый сервер SecurEnvoy. П р и м е ч а н и е На всех серверах SecurEnvoy должна быть установлена одна и та же версия ПО. Файл Server.ini расположен: Для 32-битной системы: Откройте файл Program Files/SecurEnvoy/SecurityServer/ для 64-битной системы: Откройте файл Program Files(х86)/SecurEnvoy/SecurityServer/ Изменения конфигурации обнаруживаются и используются автоматически. Страница 59

60 ШАБЛОНЫ ВЕБ-SMS Часть 11 I Страница 60

61 11 Шаблоны веб-sms Веб-шаблоны допускают конфигурацию третьему (стороннему) провайдеру веб-sms; единственное, что требуется, чтобы провайдер веб-sms поддерживал http(s) POST или GET команды или XML POST. Требования Выбранный независимый провайдер веб-sms должен поддерживать протокол http, т.к. отправка сообщений с зашифрованным кодом SMS по Интернет является обязательной. Дополнительно к расширенному и пользовательскому интерфейсу, должна поддерживаться функция перезаписи сообщений (протокол ID 61-67). Функция перезаписи сообщений позволяет новым сообщениям с кодом перезаписывать старые SMS сообщения с того же адреса отправителя. Это свойство избавляет от необходимости удаления использованных сообщений с кодом для SMS с конечного телефона пользователя. Размещение файла Основной управляющий файл ДОЛЖЕН оканчиваться _control.txt и должен размещаться в Data/ WEBSMSTEMPLATE. Выбор управляющего файла Ключ реестра «HKLM/Software/SecurEnvoy/WebSMS Gateway/TemplateFile» должен быть установлен в имени файла управляющего файла. Настройки управляющего файла Файл инициализации (данные POST) Следующие динамические строки будут заменены: ID ПОЛЬЗОВАТЕЛЯ - ID пользователя для аутентификации на шлюзе ПАРОЛЬ - Пароль для аутентификации на шлюзе Файл отправки (данные POST) Следующие динамические строки будут заменены: ID ПОЛЬЗОВАТЕЛЯ - ID пользователя для аутентификации на шлюзе ПАРОЛЬ - Пароль для аутентификации на шлюзе НОМЕР МОБ.ТЕЛ. - Номер мобильного телефона ИСХ.АДРЕС - Исходный адрес СООБЩЕНИЕ - SMS сообщение на отправку 10DIGITID - Уникальный десятизначный код ПЕРЕЗАПИСЬ - Перезапись строк для настроек перезаписи последнего сообщения ФЛЕШ - Перепрограммирование строк для отображения сообщений на экране (только для паролей в режиме реального времени). InitURI (инициализация универсального индикатора ресурсов) Следующие динамические строки будут заменены: ID ПОЛЬЗОВАТЕЛЯ - ID пользователя для аутентификации на шлюзе ПАРОЛЬ - Пароль для аутентификации на шлюзе Страница 61

62 SendURI тотправка универсального индикатора ресурсов Следующие динамические строки будут заменены: ID ПОЛЬЗОВАТЕЛЯ - ID пользователя для аутентификации на шлюзе ПАРОЛЬ - Пароль для аутентификации на шлюзе НОМЕР МОБ.ТЕЛ. - Номер мобильного телефона ИСХ.АДРЕС - Исходный адрес СООБЩЕНИЕ - SMS сообщение на отправку 10DIGITID - Уникальный десятизначный код ПЕРЕЗАПИСЬ - Перезапись строк для настроек перезаписи последнего сообщения ФЛЕШ - Перепрограммирование строк для отображения сообщений на экране (только для паролей в режиме реального времени). Регистрация сертификата 1. Создать вызов файла запрашивающего алгоритм c:/certpol.txt и добавить следующее:-[newrequest] RequestType=pkcs10 Exportable=TRUE 2. Создайте запрос сертификата pcks#10 в окне командной строки certreq v New c: \certpol.txt c:\certreq.txt 3. После того как ЦС (центр сертификации) шлюза SMS отметил запрос, импортируйте сертификат пользователя и корневой сертификат. 4 Переместите сертификат и закрытый ключ в хранилище локального компьютера следующим образом: Через ie6 экспортируйте сертификат и закрытый ключ в cert.pfx Запустите ММС с помощью сертификата подключаемого модуля локального компьютера Нажмите правой кнопкой мыши «персональные данные/ сертификат» «все задачи/ импортировать» 5. Через сертификат подключаемого модуля ММС, выберите сертификат и экспортируйте его без закрытого ключа: Для 32-битной системы: c:\program files \SecurEnvoy \Security Server\DATA \WEBSMSTEMPLATE \clientcert.cer для 64-битной системы: c:\program files(x86)\securenvoy \Security Server \DATA \ WEBSMSTEMPLATE \clientcert.cer Кодировка текста сообщения SMS сообщения можно закодировать перед их заменой в строке «СООБЩЕНИЕ» При отсутствии кодировки оставьте пустым URL Кодировка символов в URL осуществляется UTF8 HexIA5 Преобразование символов осуществляется по принципу двухзначного шестнадцатеричного кода Ascii, а нижеследующих символов -по = 00 $ = 02 Перевод строки (LineFeed) = 0A Возврат каретки (CR = 0D Страница 62

63 XMLGSM Осуществляется преобразование символов, далее происходит кодировка сообщения в URL = &apos; " = " & = & > = > < = < Перевод строки (LineFeed)= Возврат каретки (CR) = XMLONLY Осуществляется преобразование следующих символов (кодировка в URL не происходит): = &apos; " = " & = & > = > < = < Перевод строки (LineFeed)= Кодировка документа Возможна кодировка данных отправки документа, допустимые параметры (URL) URL Кодировка символов в URL осуществляется ISO Страница 63

64 Управление SecurMail Глава 12 Страница 64

65 12 Управление SecurMail Запустите SecurEnvoy Admin GUI и выберите вкладку SecurMail. Появится окно (см.рис). «Поиск по отправителям» отображает всех пользователей согласно настройкам, отправляющих почту через SecurMail. Отображающихся по результатам поиска пользователей можно удалить из системы. «Поиск по получателям» отображает всех пользователей, которым была отправлена SecurMail в режиме «Авто регистрации и хранения данных». При нажатии на вкладку «результат поиска по получателям» отображается почтовый ящик получателя и дополнительные параметры управления Возможность активации/ деактивации почтового ящика Возможность обновлять номер мобильного телефона Возможность сброса неудачных попыток входа в систему; после 10 неудачных попыток аутентификации подряд вход в почтовый ящик блокируется. Возможность повторной отправки кода по SMS Возможность привязки к почтовому ящику статического пароля Страница 65

66 12.1 Интеграция проверки на наличие вирусов SecurMail Сообщение электронной почты, отправленное нажатием кнопки «Безопасная отправка» в Outlook отправляются на сервер безопасности и хранятся в зашифрованном виде. Антивирусное программное обеспечение, развернутое на сервере безопасности, не сможет осуществить проверку этих сообщений, т.к. они зашифрованы, поэтому необходима интеграция проверки на наличие вирусов на сервере. Если проверка на наличие вирусов активирована, тема, текст сообщения и другие вложения пересылаются на третью (стороннюю) подсистему поиска вирусов после их отправки и до их шифровки. При обнаружении вируса в агенте Outlook отображается предупреждающее сообщение и происходит отмена отправки данного сообщения. SecurMail интегрируется с любым сторонним программным обеспечением, которое поддерживает интерфейс командной строки и удаляет зараженные файлы. Были протестированы следующие продукты: Symantec Scan Engine V4.30 Trend Micro Office Scan Corporate Edition 6.5 Процедура интеграции Шаг 1 Установите на сервер безопасности стороннюю программу проверки на наличие вирусов Шаг 2. Откройте командное окно Шаг 3. Протестируйте стороннюю программу, выполняемую в режиме командной строки, тестовым документом и отметьте результат для чистого файла. Шаг 4 Протестируйте стороннюю программу тестовым зараженным файлом. Отметить безвредные тестовые вирусы можно загрузить с Убедитесь, что файл был удален Шаг 5 Обновите настройки в файле server.ini согласно, как описано ниже: Шаг 6 В случае, когда проверка диска на вирусы завершена; измените конфигурацию программы проверки на наличие вирусов, чтобы пропустить установленный по умолчанию каталог данных. Для 32-битной системы: c:\program files\securenvoy\security Server\DATA для 64-битной системы: c:\program files(x86)\securenvoy\security Server\DATA Шаг 7 Ответное почтовое сообщение получателя. Пересылка ответных почтовых сообщений осуществляется без проверки. Убедитесь, что настройки почтового хоста выставлены таким образом, чтобы почтовые сообщения проходили через любой из установленных шлюзов проверки почтовых сообщений на наличие вирусов. Страница 66

67 Параметры защиты от вирусов SecurMail находятся в файле server.ini по адресу: Для 32-битной системы: c:\program files\securenvoy\security Server\ для 64-битной системы: c:\program files(x86)\securenvoy\security Server\ Параметры SecurMail находятся в разделе SecurMail Virus_Checking Virus_Command Virus_Command_Args Virus_Return Может иметь значение true или false Если имеет значение true, происходит запуск программы Virus_Command с аргументами Virus_Command_Args после передачи агентом Outlook текста сообщения или вложений По умолчанию: false Полный путь к сторонней программе проверки на наличие вирусов Аргументы, необходимые для получения доступа к программе проверки, защищенной Virus_Command. Примечание: $FILENAME$ должно использоваться в месте проверенного тестового документа. Сообщение о возврате отображается в случае выполнения и не обнаружения вирусов Пример 1 Интеграция с Symantec Scan Engine V4.30 Virus_Command= Для 32-битной системы: c:\program files\symantec\scan Engine\savsecls\savsecls.exe для 64-битной системы: c:\program files(x86)\symantec\scan Engine\savsecls\savsecls.exe Virus_Command_Args=-verbose $FILENAME$ Virus_Return= 0 Пример 2 Интеграция с Trend Micro Office Scan Corporate Edition 6.5 с файлом обнаружения вирусов lpt $vpn.335 Virus_Command= Для 32-битной системы: c:\program files\trend Micro\OfficeScan\PCCSRV\Engine\vscanwin32.com для 64-битной системы: c:\program files(x86)\trendmicro\officescan\pccsrv\engine\vscanwin32.com Virus_Command_Args=/D /NM /NB /C /P Для 32-битной системы c:\program files\trend Micro\OfficeScan\PCCSRV\lpt$vpn.335" $FILENAME$ для 64-битной системы: c:\program files(x86)\trend Micro\OfficeScan\PCCSRV\lpt$vpn.335" $FILENAME$ Virus_Return = один файл был проверен Страница 67

68 12.2 Рекомендации к серверу безопасности SecurMail Безопасность виртуального каталога IIS виртуальной каталог Secmail Защита сервера должна осуществляться согласно рекомендациям Майкрософт. Установка виртуального каталога требует внешней публикации, это Secmail. Контроль над ней может осуществляться через свойства, брандмауэр или обратный прокси-сервер IIS. Не рекомендуется разрешать доступ любого другого виртуального каталога SecurEnvoy к Интернету до тех пор, пока не возникнет острой в том необходимости. Майкрософт IIS сервер Установка выделенного экземпляра сервера безопасности SecurEnvoy SecMail рекомендуется для общего доступа в Интернете теоретически в среде демилитаризованной зоны. Обратный прокси-сервер, как например Microsoft ISA 2006, или различные поставщики SSL VPN (виртуальной частной сети) могут реализовать функциональные возможности. Для получения доступа к SecurMail настоятельно рекомендуется установить на IIS сервер сертификат проверенных публичных ресурсов веб-сервера. Единственным виртуальным каталогом, доступным из Интернета получателем является secmail. Доступ к остальным виртуальным каталогам должен осуществляться из внутренней сети. Доступ к secmail каталогу получают по http. Поэтому сервер (или в данном случае обратный проксисервер) должен использовать проверенный сертификат. Использование метода обратного прокси-сервера считается более безопасным, т.к. предоставлена единая точка доступа, а сертификат используется совместно с др. содержимым с применением обратного проксисервера. Ресурс Microsoft Windows 2003 Security Ресурс Microsoft Windows 2008 Security Балансировка нагрузки и избыточность Для избыточности рекомендуется установить два сервера SecurMail. Эти серверы могут быть любой программной или аппаратной сборки, кроме того можно установить каталог данных на устройство сети SAN или NAS. Путь к каталогу данных будет одинаковым для обоих серверов SecurEnvoy SecurMail. Необходимо настроить IIS сервер таким образом, чтобы по отношению друг к другу они находились в режиме «активный-активный» или «активный-пассивный». Семиуровневые переключатели являются одним из способов балансировки нагрузки несколькими серверами IIS с запуском SecurMail. Кроме этого, установите на обоих серверах балансировку сетевой нагрузки Microsoft (NLB). При применении NLB одни и те же данные сохраняются на нескольких сервераха если один из серверов недоступен, клиент перенаправляется на другой сервер с той же информацией. См. Страница 68

69 Часто задаваемые вопросы Глава 13 Страница 69

70 13 Часто задаваемые вопросы В: Какой SMS-шлюз вы поддерживаете? Вы можете отправить SMS через подключенный модем Wavecom или Siemens или через SMS-шлюз поставщика услуг Интернет. Для более детальной информации см. SMSсшлюзы. В: Во время аутентификации разовый пароль необходимо посылать в режиме реального времени? Данный принцип несовершенен в силу следующих проблем: 1. Доставка SMS отложена Несмотря на то, что передача большинства текстовых сообщений SMS происходит в течение нескольких секунд, их доставка может быть отложена, если сеть перегружена. Трафик SMS функционирует не по принципу «точка-в-точку», а по принципу очередности; далее осуществляется отправка SMS на запрашиваемый сетевой элемент, где сообщение ожидает своей очереди и в конечном итоге происходит отправка на конечный телефон пользователя. Данный принцип очередности приводит к возникновению задержек в период максимальной нагрузки оператора; по заявлению мобильных операторов доставка 96% всех текстовых сообщений происходит в течение 20 секунд. Это значит, что попытки 4% пользователей произвести успешную аутентификацию завершатся неудачей, и возникнет необходимость обратиться в службу поддержки, чтобы получить аварийный доступ. Соответственно, при развертывании аутентификации в количестве 500 пользователей ежедневно, за день будет совершено 200 звонков в службу поддержки. 2. Отсутствие сигнала Иногда сигнал не доходит до мобильного телефона, особенно в зданиях толстыми наружными стенами, в подвальных помещениях и в компьютерных помещениях, генерирующих высокочастотный шум. Представьте себе пользователя, пытающегося произвести аутентификацию в одном из этих помещений. Сначала он введет свой ID и пароль, но так и не получит код аутентификации. Ему придется перейти в зону покрытия, получить код аутентификации, вернуться в исходное помещение, чтобы ввести пароль; данные операции необходимо совершить в течение 2 минут. Пользователям, находящимся в подобных помещениях не остается ничего другого, кроме как звонить в службу поддержки. 3. Использование мобильного телефона для соединения с Интернетом В большинстве случаев, когда происходит подключение для передачи данных через мобильный телефон, получение SMS невозможно. Пользователи, которые используют свой мобильный телефон с целью подключения к Интернету, не смогут получить код, пока соединение не будет завершено. Конечным пользователям придется начать аутентификацию ID и пароля, завершить соединение, дождаться сообщения SMS, произвести повторное подключение и повторно ввести ID, ПИН и код; данные операции необходимо совершить в течение 2 минут. Продукт SecurAccess не требует сообщения SMS по запросу. Сначала конечный пользователь вводит ID пользователя, далее вводит пароль и добавляет шестизначный код, который уже находится в телефоне, т.к. он был послан при последней аутентификации. Принцип предварительной загрузки запрашиваемого кода при каждой аутентификации пользователя решает проблемы, связанные с задержками SMS или краткосрочным отсутствием сигнала и подключением для передачи данных. Методика исключает любые проблемы, связанные с задержкой доставки SMS, т.к. обычно у конечного пользователя не возникает необходимости получения следующего кода до следующего рабочего дня. Учитывая задержку SMS, данный период времени является достаточным и предоставляет конечному пользователю массу времени на перемещение в зону покрытия сети, например, когда он добирается на или с работы. SecurEnvoy также поддерживает функцию отправки 3 действующих кодов в пределах одного SMS кода. Данный принцип предотвращает до 3 допустимых аутентификаций перед тем, как отправлять запрос на следующее сообщение. Страница 70

71 В: Какая разница между разовым кодом и дневным кодом? В режиме разового кода, введенный код можно использовать 1 раз в точном порядке, как в случае с компаниями по кодированию с помощью аппаратных ключей таких, как RSA. Отправка пользователю нового разового кода осуществляется после каждой новой попытки аутентификации, успешной или нет. Любая попытка воспроизвести уже введенный код потерпит неудачу, т.к. код для аутентификации заблокирован; возможен только одноразовый ввод. Данный режим работы представляет собой идеальный вариант для удаленных пользователей вредоносных систем, домашних ПК или в случае с аутентификацией в публичных местах. Подобные пользователи проходят процедуру аутентификации в частной виртуальной сети, использующей ключ сеанса, обычно 1 или максимум 2 раза в день. В среднем пользователи удаленного доступа проходят процедуру аутентификации дважды в неделю, некоторые пользователи могут проходить процедуру аутентификации раз в месяц или реже. Примечание Пользователи не будут аутентифицировать функцию блокирования экранов локальных компьютеров, поскольку, это может быть компьютер третьей стороны или домашний. В режиме дневного кода, отправка кода многократного использования осуществляется каждый день (или любое количество дней, например каждую неделю); Данный код может использоваться неоднократно в течение этого или следующего дня, т.е. риск ататки воспроизведения сводится к двум дням, что более удобно, чем 30-дневный пароль (возможно без учета выходных дней). В случае, если пользователь не использовал временный код, последний не утрачивает свою приватность и соответственно может быть перехвачен, так что отправка следующего временного кода возможна в случае использования предыдущего. Подобный режим работы является идеальным вариантом для пользователей удаленного рабочего стола внутри одной компании, которые ежедневно проходят неоднократную процедуру аутентификации, т.к. в день требуется всего 1 SMS код или менее, если пользователь в отпуске и не использует свой временный код. Как правило, можно просчитать риски, простоту использования и стоимость SMS, чтобы удовлетворить требования пользователя. В: У некоторых из моих пользователей нет мобильного телефона. Как я могу использовать данное решение? У них может не быть корпоративных телефонов, но у них наверняка есть свои личные, т.к. согласно статистике количество мобильных телефонов превышает количество жителей Великобритании вдвое. Даже если у них нет личного мобильного телефона, SecurAccess может отправлять код по проводной телефонной связи или даже на номер DDI внутреннего телефона В: Если конечные пользователи не хотят использовать мобильные телефоны? Вопрос в том почему они не хотят использовать мобильные телефоны? Вам не нужно будет устанавливать программное обеспечение на их мобильные телефоны. Вам просто нужно будет отправить им SMS-сообщение, которое конечным пользователям не будет ничего стоить. В некоторых случаях причина кроется в их нежелании отвечать на звонки сотрудников. Личный номер мобильного телефона хранится в зашифрованном виде, так что только администратор SecurEnvoy может его прочитать, что исключает возможность входящих звонков от сотрудников. В: Насколько хорошо телефонное покрытие GSM? Сеть GSM включает в себя более 860 сетей в 220 странах мира. Посмотреть карту покрытия можно по адресу В: Я живу в зоне плохого охвата GSM (или его отсутствия). Как Вы справляетесь с подобными проблемами? Если Вы часто находитесь в зоне перемежающегося сигнала, можно использовать опцию временного кода в программном обеспечении. Это значит, что возможно использование кода в период от 1 до 99 дней. Т.к. SecurEnvoy работает по принципу предварительной установки, в телефоне пользователя всегда будет рабочий код. В качестве альтернативного решения, можно в настройках сервера безопасности можно выставить отправку кода по проводной телефонной связи или даже на номер DDI внутреннего телефона. Страница 71

72 В: Каким образом сервер отправляет SMS сообщения? Существует 2 способа отправки SMS-сообщений. Первый подразумевает использование модема Wavecom на коммерческой основе. Этот способ позволяет клиенту использовать существующий контракт с компаниейпоставщиком мобильной связи. Компания-поставщик мобильной связи предлагает либо пакет с бесплатными звонками (и SMS) внутри корпоративной сети, либо обусловленное контрактом определенное количество минут и SMS в месяц. В качестве альтернативного решения может стать заключение контракта с отдельным пользователем. Ведущие мобильные операторы предлагают пакет, обычно включающий в себя 3000 SMS за 20 в месяц. Второй способ подразумевает регисрацию на шлюзе веб-sms. Как правило, это HTTP соединение с шлюзом веб-sms; в этом случае отправка сообщений осуществляется провайдером. Данный способ отличается от способа использования модема GSM большей скоростью и масштабностью. В: Что происходит, если пользователь удалил сообщение? Просто введите свое имя пользователя и завершите процесс входа без кода, система расценит это как неудачную попытку входа и отправит новый код. Это будет срабатывать до тех пор, пока Вы не достигните числа одновременных неудачных попыток входа, иначе учетная запись будет деактивирована. В: Как узнать, какой код необходимо использовать? Когда Вы активируетесь в системе, первый код будет отправлен Вам автоматически, предварительная загрузка кодов учитывает задержку доставки SMS. После завершения аутентификации будет выслан новый код, на большинстве мобильных телефонов данный новый код перезаписывается поверх старого. Соответственно в мобильном телефоне хранится только 1 код. В: Как узнать о том, что была попытка взлома моего логина? Если хакер пытается подобрать к правильному UserID предполагаемый логин, Вам на телефон придет запрашиваемый код. Получение данного сообщения послужит сигналом того, что кто-то пытается взломать Вашу учетную запись. В: Как SecurEnvoy интегрируется с сетевыми устройствами типа RAS и NAS? SecurEnvoy интегрирован с сервером Radius, соответственно мы поддерживаем любые приложения с поддержкой аутентификации основного пароля Radius. Кроме того, SecurEnvoy обладает направляющими возможностями интеграции с большинством стандартных SSL/VPN (частной виртуальной сети), IPsec VPN (частной виртуальной сети ) и поставщиков соединения удаленного доступа. В: У вас есть какие-либо рекомендующие сайты или конкретные примеры? На нашем сайте размещено несколько конкретных примеров, они покрывают различные вертикали рынка. В: Я удалил код с телефона. Что мне делать? Просто введите Ваше имя пользователя и завершите процесс входа без кода, система расценит это как неудачную попытку входа и отправит новый код. Это будет срабатывать до тех пор, пока Вы не достигните числа одновременных неудачных попыток входа, в противном случае учетная запись будет деактивирована. Страница 72

73 В: У меня не ловит сигнал в некоторых местах в офисе. Как я получу код? Функция предварительной загрузки кода до его запроса предоставляет возможность получить код в тот момент, когда есть сигнал. В качестве альтернативного решения, можно использовать временный код, что позволяет использовать отдельный код в течение определенного количества дней, или можно настроить сервер безопасности на отправку 3 разовых кодов в одном SMS сообщении. В: Как обновить пробную версию до полной? Это очень просто, начните с запуска «AdminGUI» и перейдите в меню «Config», затем в поле «License» вставьте ключ лицензии полной версии. Если Вы планируете использовать шлюз веб-sms, запустите «Advanced Config», перейдите к шлюзу веб-sms и введите действительный ID пользователя и пароль, который был выдан Вам Вашей компанией. В: Как установить несколько серверов безопасности SecurEnvoy для избыточности? Несколько серверов безопасности должны иметь один и тот же ключ шифрования (config.db); каждый раз при установке новой копии сервера безопасности Вам будет предложено ответить на вопрос: «Сервер первичный или дополнительный?». Если вы нажмете дополнительный, Вам будет предложено загрузить файл config.db с первичного сервера. В: Ошибка инициализации Phone Gateway Убедитесь, что индикатор на модеме Wavecom мигает красным светом. Если индикатор не мигает проверьте питание и SIM-карту. 2. Приостановите работу SecurEnvoy Phone Gateway 1. Откройте Microsoft s Hyper term. (Start/Program/Accessories/Communications). Откройте COM-порт, к котором подсоединен модем. Измените COM-порт, скорость (бит/сек) согласно требованиям для установки соединения. Отметьте значения по умолчанию Остановите Бит 1. Введите ATI. Должно получится «WAVECOM MODEM». 3. Проверьте силу сигнала, запустите Hyper term. Нажмите AT+CSQ. Должно получится +CSQ: 22,0, где 22 число от 0 до 31, обозначающее уровень сигнала. 4. Извлеките SIM-карту из модема Wavecom и вставьте в телефон с поддержкой GSM. Убедитесь, что SIM-карты возможна отправка SMS сообщений на международные номера. 5. Проверьте настройки в реестре HKLM/SOFTWARE/SecurEnvoy/Phone Gateway 1. Перезапустить SecurEnvoy Phone Gateway 1. после внесения изменений. 6. Прежде чем запускать сервис SecurEnvoy Phone Gateway 1, убедитесь, что последовательный (серийный) COM-порт не используется другой программой. В: Сбой сервера SecurEnvoy Radius с появлением ошибки открытия локального порта. Как исправить? Убедитесь, что порт Radius (1812) не используется другой программой. Приостановите работу сервиса SecurEnvoy Radius и подождите 60 секунд. Запустите в командном окне netstat a p UDP. Строка UDPxxxx:radius *:*, где xxxx имя системы, должна НЕ отображаться. Если строка отображается, возможно установлен диспетчер аутентификации в Интернет (AIM). Если это так, то некоторые версии окон допускают ошибку Microsoft, которая может выступать причиной использования порта Radius диспетчером аутентификации Internet (AIM), даже когда он приостановлен или удален. Если рекомендуется изменить установленные по умолчанию в AIM порты, разъедините порт Radius. В: При использовании IE7 для локального администрирования, запуске справки и последующего выхода из нее, предлагается пройти повторную аутентификацию? Это известная ошибка Microsoft IE7. Сеанс куки-файлов удаляется при закрытии второго окна. На данный момент не существует способов устранения ошибки. Тем не менее следующий обходной путь в целом решает данную проблему. Измените настройки IE7 в Tools/Internet Options/General/Browser History Settings на «Каждое посещение веб-страницы». Страница 73

74 В: Почему локальное администрирование производит повторную аутентификацию каждой страницы? Происходит сбой возврата куки-сеанса аутентификации как в браузерах IE6, так и в броузерах IE7, если в имени хоста присутствует символ «_» Переименуйте хост или используйте Firefox по умолчанию. В: Вы поддерживаете серверы для 64-битной ОС? Да, и сервер, и агент IIS поддерживают 64-битные операционные системы. Страница 74

75 Справка Глава 14 Страница 75

76 14. Инструкция по справке Для просмотра файлов справки в окне Admin GUI выберите Произойдет запуск справки, которая откроется в отдельном окне браузера. С левой стороны страницы Справки расположена панель переходов, где размещена информация по вопросам администрирования. С правой стороны страницы отображается выбранная информация. По умолчанию отображаемая страница справки привязана к меню ГИП администратора, т.е. в меню «Config» отображается страница справки «Config». Полоса вверху окна Справки 4 быстрые ссылки, 3 из которых - это ссылки на веб-сайт. SecurEnvoy для обеспечения актуальной информации касательно SecurEnvoy, руководства интеграции продукта и наиболее часто задаваемые вопросы. Последняя ссылка запускает Ваш почтовый клиент, чтобы можно было отправить «Электронное сообщение в службу поддержки». При отправке «Электронного сообщения в службу поддержки» укажите ID пользователя (он указан в лицензионном сертификате) в полном соответствии. Страница 76

77 Возможности поиска Опция «Возможности поиска» включена в инструкцию по справке. Кликните по ссылке, расположенной в левом углу панели переходов. Введите критерии поиска и нажмите «отправить». Все результаты отображаются последовательно по принципу полного совпадения с критериями поиска. Для отображения релевантной информации кликните по ее ссылке. Страница 77

78 Рекомендованная процедура создания резервной копии Глава 15 I Страница 78

79 15 Рекомендованная процедура создания резервной копии После завершения начальной установки или ре-инсталяции программного обеспечения сервера безопасности. Основной ключ шифрования и файлы конфигурации расположены по умолчанию. для 32-битной системы: C:\Program Files\SecurEnvoy\Security Server\ для 64-битной системы: C:\Program Files(x86)\SecurEnvoy\Security Server\ Для следующих файлов необходимо создать резервную копию: config.db, configpre54.db, local.ini и server.in для каждого из них необходимо создать резервную копию Также рекомендуется регулярно создать резервную копию для следующих папок Вложенная папка ДАННЫЕ (DATA), расположенная в инсталляционной папке SecurEnvoy. В ней содержится следующая информация: Файл журнала Данные конфигурации Radius Очередь SMS сообщений и их контроль Сообщения SecurMail Данные аутентификации почтового ящика SecurMail Веб-шаблоны (локальный сервер SecurEnvoy) Шаблоны сообщений SMS Данные сервера SecurEnvoy хранятся в LDAP (в атрибуте телексного номера Novell edir, Sun Directory, OpenLDAP в первичном телексномере и телекс-номере других атрибутов службы каталогов Active Directory). Для Microsoft ADAM/ AD/LDS см. статью Майкрософт на Tech Net для рекомендованной процедуры. Все файлы SecurEnvoy ADAM/ AD/LDS хранятся во вложенной папке DATA/Adam инсталляционной папки SecurEnvoy. Страница 79

80 Устранение неисправностей Глава 16 Страница 80

81 Устранение неисправностей Ошибка инициализации телефонного шлюза 1 1.Проверьте, есть ли на модеме Wavecom мерцающий красным светодиод. Если светодиод не горит, проверьте питание и Сим-карту. 2. Проверьте тип Сим-карты, режим устройства распределения электропитания должен быть установлен на false в HKLM\software\SecurEnvoy \PhoneGateway1 3.Остановите выполнение сервиса SecurEnvoy Phone Gateway 1. Запустите Microsoft s Hyperterm (Пуск-Программы-Стандартные-связь). Откройте COM-порт, к которому подключен модем. Чтобы подключение состоялось, выберите порт с требуемой скоростью двоичной передачи. Примечание Для Wavecom значение по умолчанию такое: No Stop Bits 1 Введите ATI. Вы должны получить WAVECOM MODEM или SIEMENS TC35i 4. Проверьте уровень сигнала, запустите Hyperterm. Введя AT+CSQ, вы получите +CSQ: 22,0, в котором 22 это номер в промежутке между 0 и 33, который показывает уровень сигнала. 5. Проверьте соединение GSM. Введите AT+CREG?, вы получите ответ OK 6. Попробуйте отправить SMS вручную. Введите AT+CMFG=1 Введите AT+CMFGS= 4479xxxx, в котором 4479хххх это ваш телефон в международном формате без + Введите HELLO, затем нажмите Ctrl Z 7. Извлеките Сим-карту из Wavecom и поместите её в обычный GSM телефон. Проверьте возможность отправлять SMS сообщения на международные номера с этой сим-карты. 8.Проверьте настройки регистра HLKM\SOFTWARE\SecurEnvoy\Phone Gateway 1 Перезапустите SecurEnvoy Phone Gateway1 после внесения изменений 9. Прежде чем запускать SecurEnvoy Phone Gateway Service, убедитесь, что никакая другая программа не использует выбранный COM порт Страница 81

82 SecurEnvoy Radius Server выходит из строя, выдавая Error Opening Local Port (Ошибка в открытии локального порта) Убедитесь, что никакая другая программа не использует Radius Port (1812) Остановите Secure Envoy Radius Service и подождите 60 секунд. В окне CMD запустите (run) netstat a p UDP Вы НЕ должны видеть строку UPD xxxx: radius *:* где хххх это системное имя (system name). Если это произошло, то, возможно, у вас установлен Microsoft s Internet Authenticatio Service IAS (Сервис Майкрософт интернет идентификации). В некоторых версиях программы есть ошибка, которая приводит к использованию IAS Radius port, даже если программа неактивна или была удалена. Рекомендуется поменять порт по умолчанию в настройках IAS и тем самым освободить Radius Port. Файл журнала показывает, что пароль Windows неверен при использовании Radius и Windows пароля в качестве PIN Если пароль Windows правильный, то ошибка в неверном предварительном ключе Radius. Secure Envoy поддерживает символы ASCII 127 Не запускается Admin Gui или SecurPassword Это может произойти по следующим причинам: 1. Другая сетевая программа использует порты 80 и\или Недостаточно прав для запуска ADMIN GUI. На IIS 6.0. перейдите в IIS Manager,зайдите в раздел Application tools (Настройки приложения), затем default app tool, properties (настройки по умолчанию, свойства) и поменяйте идентификационные данные для использования Network service или используйте ранее определенную учетную запись, обычно учетную запись администратора SecurEnvoy. На IIS 5.0 перейдите в IIS Manager default Web site, затем secadmin, выберите пункт properties (свойства), Directory Security Anonymous Access (Раздел Безопасность анонимного доступа) кликните «edit» (редактировать). Под анонимным доступом нажмите «edit» (редактировать) и введите данные учетной записи администратора SecurEnvoy. Во время запуска Set Pin program (программы установки ПИН) ошибка при попытке установить PIN. Проверьте в IIS Manadger, достаточно ли прав у анонимной учетной записи для установки PIN. Как можно установить несколько сервисов SecurEnvoy Services? Несколько служб безопасности должны иметь один и тот же ключ шифрования безопасности (config.db)каждый раз при установке новой копии сервера безопасности вам будет задан вопрос «Is this the first server or any additional server?» (Это главный или дополнительный сервер?). Если вы выберете вариант «дополнительный», то будет предложено загрузить файл config.db с главного сервера. Как перейти от пробной лицензии к полноценной? Это очень просто, запустите Admin GUI, выберите меню Config (Настройки), затем вставьте новый лицензионный код в поле, подписанное License (Лицензия). Если планируется использовать Web SMS Gateway, запустите «Advanced Config» (Продвинутые настройки), перейдите в Web SMS Gateway и введите действительный UserID (ID пользователя) и пароль, назначенные выбранной вами Web SMS Gateway Company (Компания Межсетевого SMS сопряжения). Страница 82

83 Приложение Глава 17 Страница 83

84 17 Приложение Установка SSL на IIS Web Servers Установка SSL на IIS (KB299875) Опции SMS Gateway SecurEnvoy поддерживает две опции по отсылке сообщений: Опция 1 Напрямую подключенный Wavecom или Multitech модем В этом случае используется СИМ карта мобильного телефона, SMS сообщения отправляются так же, как и с мобильного телефона. Перечень элементов Wavecom (только последовательный) (выбор SecurEnvoy) 1. Wavecom Fasttrack 1. 12v Mains PSU (12-вольтный сетевой блок питания) 1. Последовательный кабель для передачи данных 15D to 9D (Последовательный порт ПК) 1. Воздушное магнитное крепления с внешней резьбой (3M) SMA Информация о производителе здесь Примечание: поддерживает USB через последовательный кабель с адаптером (serial adapter cable) Список элементов Mutlitech (последовательный или USB) 1. Модель модема:mtcba-g-u-f4 (USB Модем) 1. Воздушное магнитное крепление с внешней резьбой (3M) SMA Информация о производителе здесь модем Siemens Список элементов Siemens TC35i (только последовательный) 1.Siemens TC35it Pack B Заметьте, что в Pack B содержится сам модем TC35, блок питания, Последовательный кабель и 2 метра воздушного магнитного крепления. Информация о производителе здесь Страница 84

85 Опция 2 Провайдер SMS gateway (SMS шлюза), основанный на Интернет. SMS сообщения отсылаются через Интернет в компанию, которая владеет подключением к шлюзу всемирных операторов мобильной связи. SecurEnvoy в настоящий момент поддерживает отношения со следующими третьими лицами: AQL PSWinCom V-First T-Mobile O2 Silver Street HSL SMS Clickatel m:science 2SMS smsglobal end2end Mollie SysorVest ( (recommended for UK and Europe) ( ( ( ( ( ( ( ( ( ( ( ( ( Примечание Любое третье лицо, поддерживающее https должно быть предварительно добавлено для двухдневного консультирования. Страница 85

86 Форма заявки AQL (Application Form) Чтобы направить заявку в учетную запись AQL Web gateway, пожалуйста, перейдите по следующей ссылке: Следуйте указаниям на экране Vodafone SIM Considerations В режиме PDU Vodafone не следует стандартам SMS Если при использовании сим-карты вы больше не можете использовать режим PDU (динамичной перезаписи текста SMS), это вызвано особенностями реализации этого режима у мобильного оператора. Поэтому активируйте метку «Send Simple Text» (Отправлять простой текст). В противном случает отправка кода связи SMS невозможна. Страница 86

87 Поддерживаемые коды данных ASCII Обзор SecurEnvoy поддерживает ASCII 127 для Radius Pre Shared Keys (предварительные ключи Radius). ASCII отвечает американскому стандарту кодов информационного обмена. Ниже приведена таблица символов ASCII от ASCII 0 до ASCII 127. ASCII стандарт. Таблица кодов Десятичный Восьмеричный Шестнадцатеричный Двоичный Название NUL (Ноль) SOH (Начало колонтитула) ETX STX (Начало текста) (Конец текста) EOT ENQ (Окончание передачи (трансмиссии)) (Запрос) ACK (Квитирование) BS BEL (Звонок) (Возврат) A LF HT (Горизонтальное табулирование) (Перевод строки) B VT C FF (Вертикальное табулирование) (Перевод страницы) D CR (Возврат каретки) E SO F SI (Переход на верхний регистр) (Переход на нижний регистр) DLE (смена активного канала данных) DC1 (XON) (Управление устройством 1) DC2 (Управление устройством DC DC3 (XOFF) (Управление устройством 3) (Управление устройством 4) NAK SYN (Отрицательное квитирование (неподтверждения принятия) (Символ синхронизации) ETB (Блокирование окончания передачи CAN (Отмена) EM (Конец носителя) B ESC A SUB (Замена) (Выход) C FS D GS (Разделитель файлов) (Разделитель групп) E RS (Запрос на отправку) (Разделитель записей) SP F US (Разделитель элементов) (Пробел) ! " (восклицательный знак) (кавычка) # (знак нумерации) $ % (символ доллара) (процент) & (амперсанд) Страница 87

88 ' (одинарная кавычка) ( (левая, открывающая скобочка) ) (правая, закрывающая кавычка) A B * (звёздочка) + (плюс) C , D тире) (запятая) (минус или E (точка) F / (прямой слэш) A : B ; (двоеточие) (точка с запятой) C < (знак меньше) E D = (знак равенства) > (знак больше) F ? (вопросительный (собачка) A B C D E F G H I A J B C K L D M F E N O P Q R S T U V W X Y Страница 88

89 A Z B [ (левая, открывающая квадратная скобка) C \ (обратный слэш) E D ] (правая, закрывающая квадратная скобка) ^ (знак вставки/циркумфлекс) F _ ` (нижнее подчеркивание) a b c d e f g h A i j C B k l D E m n F o p q r s t u v w x A y z B { (левая/открывающая скобка C (вертикальная черта) D } (правая/закрывающая скобка) E ~ (тильда) F DEL (удалить) Страница 89

90 18 Дополнительные инструменты SecurEnvoy 18.1 Reporting Wizard GUI (Мастер по отчетам) Теперь в SecurEnvoy есть дополнительный инструмент под названием Reporting Wizard который позволяет более детально исследовать организацию пользователей и общее использование системы. Утилита для отчетов включается в версию 5.4 и выше; все клиенты, которые в настоящее время пользуются любой из пятых версий, могут загрузить дополнительную утилиту для отчетов по адресу Те клиенты, которые сейчас используют версию 4 или ниже, должны будут обновить программу, чтобы использовать эту дополнительную функцию. Этой утилитой можно пользоваться двумя способами, через графический интерфейс для ручного создания отчетов, или через режим командной строки для использования макросов или работы в пакетном режиме. Программы SecurEnvoy Report Wizard, ярлык файла по адресу: 32-битная система: \Program Files\SecurEnvoy\Security Server\Report\report.exe 64-битная система \Program Files(x86)\SecurEnvoy\Security Server\Report\report.exe При первом запуске окно Report GUI выглядит так (см. ниже): Для получения выбранного отчета щелкните «Run Report» (запустить отчет). Поле состояния отобразит протекание процесса, а над наиболее используемыми системами, которые будут отображены справа от поля «Status (состояние)», появится индикатор выполнения задания. Страница 90