eToken Network Logon

Приходится признать, что одно из самых уязвимых мест корпоративных сетей под управлением Windows-серверов - это стандартный способ авторизации пользователей по паролю. Решить эту проблему могут биометрические или двухфакторные системы авторизации.

В испытанном нами программно-аппаратном комплексе eToken Network Logon компании Aladdin для авторизации в сети используется и аппаратный элемент, и информация, известная только пользователю, - пароль. Комплекс основан на применении электронных ключей eToken. Для получения доступа к сетевым ресурсам и авторизации в домене Windows-сети необходимо к USB-порту ПК подключить электронный ключ с информацией об имени, пароле и домене пользователя, а для доступа к этой информации - ввести код доступа к памяти ключа.

Программная часть комплекса позволяет использовать три типа электронных ключей - eToken двух моделей (R2 и Pro) и смарт-карты. Впрочем, последний вариант предполагает наличие считывателя на каждой клиентской машине, что оправданно лишь для тех организаций, где смарт-карты уже используются для решения каких-либо других задач. В модели eToken R2 аппаратно реализован алгоритм кодирования DESX с 120-бит ключом, а в построенной на базе микросхемы SLE66C Infenieon модели eToken Pro - алгоритмы RSA/1024, DES, TripleDES и SHA-1. Оба устройства оснащаются энергонезависимой памятью EEPROM, объем которой составляет от 8 до 64 Кбайт. Ключи eToken сконструированы в виде брелоков, подключаемых к USB-порту ПК. Их корпус выполнен из полупрозрачной пластмассы и влагонепроницаем. Брелоки оборудованы светодиодными индикаторами.

Программная часть комплекса состоит из трех основных частей: драйвера RTE, устанавливаемого на сервере - контроллере домена и на каждой клиентской машине, на которой будут использовать систему eToken Network Logon; программы eToken Network Logon Administrator, импортирующей учетные записи пользователей, зарегистрированных в выбранном домене, и клиентской части, подменяющей стандартный модуль авторизации Windows. После ее установки для регистрации в домене достаточно присоединить eToken к ПК и ввести его защитный код.

В памяти ключа могут быть сохранены учетные данные пользователя для нескольких доменов, т. е. пользователь получает возможность с помощью одного ключа регистрироваться в разных доменах и с различными паролями. Новые версии программного обеспечения позволяют также использовать eToken Network Logon для авторизации на локальной машине. Пароль для учетной записи может быть как назначен вручную, так и сгенерирован автоматически - в последнем случае он будет скрыт и от пользователя, и от администратора.

К сожалению, в настоящее время серверная часть ПО eToken Network Logon не позволяет работать с учетными записями на серверах с русифицированными версиями ПО - корректная работа гарантирована только с нелокализованными версиями серверов семейства Windows 2000 и Windows NT 4.0 (за исключением Terminal Edition). Попытка импортировать учетные записи на русифицированной версии серверного ПО завершается ошибкой.

В состав и клиентской, и серверной части ПО входит программа eToken Properties, используемая для управления электронными ключами - изменения защитного кода, имени ключа и получения информации об использовании памяти ключа. Кроме того, скачав с ftp-сервера компании Aladdin комплект утилит для работы с ключами eToken, пользователь получает возможность просматривать и редактировать данные, записанные в памяти ключа.