Обзор Specops uReset
Продукт: Specops uReset
Домашняя страница продукта: нажмите здесь
Бесплатная пробная версия: нажмите здесь
Введение
Specops Software — шведская компания, основанная в 2001 году, со штаб-квартирой в Стокгольме и офисами в США, Канаде и Великобритании. Они разрабатывают уникальные продукты для управления паролями и рабочими столами на основе технологий Microsoft.
Недавно мы рассмотрели Specops Authentication для Office 365 — единое решение, которое оптимизирует и защищает интеграцию Office 365 с Active Directory и вход пользователей с помощью динамической многофакторной аутентификации (MFA). На этот раз мы рассмотрим еще один продукт той же компании — Specops uReset.
Трудно поверить, но во многих организациях по всему миру службы ИТ-поддержки по-прежнему тратят значительное количество времени на сброс паролей пользователей или разблокировку их учетных записей. В наше время такого быть не должно. Компании должны переложить это на пользователей и позволить им решать такие распространенные задачи, связанные с управлением паролями. С помощью Specops uReset администраторы могут добиться этого с помощью гибкого механизма аутентификации, который гарантирует, что у пользователей всегда будет безопасный способ сбросить свой пароль, независимо от их местоположения, устройства или браузера.
Помимо гибкости, безопасность является одним из основных аспектов этого решения. uReset повышает безопасность входа в систему, расширяя MFA для самостоятельного управления паролями. Он поддерживает общие средства проверки подлинности, такие как контрольные вопросы и мобильные коды подтверждения, в дополнение к многочисленным поставщикам цифровой идентификации, начиная от личных (например, Facebook или LinkedIn) и заканчивая компаниями (например, Salesforce), а также методы с более высоким уровнем доверия (для например, приложение Specops Fingerprint Authentication).
Предоставляя пользователям несколько вариантов проверки подлинности, организации могут гарантировать, что пользователи выполнят задачу сброса пароля, даже если конкретный поставщик удостоверений недоступен. Поскольку не все поставщики удостоверений одинаково безопасны, администраторы могут назначать каждому поставщику удостоверений значение доверия в зависимости от предполагаемого уровня безопасности. Это означает, что во время аутентификации один поставщик удостоверений может стоить в два раза больше, чем другой. У пользователей, выбравших поставщиков с высоким уровнем доверия, будет меньше шагов, прежде чем они смогут сбросить свою учетную запись.
Как это работает?
Specops uReset изначально интегрируется с Active Directory (AD), а его настройка выполняется с помощью групповой политики, к которой уже привыкло большинство администраторов. uReset состоит из одного или нескольких (для устойчивости) серверов-привратников, установленных локально, а также веб-служб, удостоверений и серверных служб, которые все размещены в облаке компанией Specops:
- Серверная часть аутентификации связывается с гейткипером, чтобы считывать информацию о пользователе из AD и проверять личность пользователя на основе токенов из отдельных служб идентификации. Веб-службы и службы идентификации также взаимодействуют с серверной частью.
- Веб-аутентификация содержит интерфейс для пользователей и администраторов. Он позволяет администраторам просматривать информацию о системе и управлять различными аспектами продукта, включая общесистемные конфигурации и политики MFA.
- Службы идентификации — это сущность, которая может проверять личность пользователя в uReset. Маркеры из этих служб идентификации затем используются серверной частью для проверки личности пользователя.
- Гейткипер устанавливается на локальном сервере, присоединенном к домену, поэтому он может считывать информацию о пользователе из AD и управлять всеми операциями с AD, такими как чтение/запись регистрационных данных.
Хотя поначалу может показаться, что входящее соединение нужно открывать через брандмауэр к гейткиперу, это не так! Все соединения Specops являются только исходящими, что отлично с точки зрения безопасности.
Требования
Для установки Gatekeeper нам нужен сервер, отвечающий следующим требованиям:
- Windows Server 2012 R2 или более поздней версии.
- .NET Framework 4.7 или более поздней версии.
Установить его просто. Все, что для этого требуется, — это создать учетную запись клиента, загрузить настроенный пакет установки и настроить Gatekeeper в среде AD организации, как мы увидим далее.
Самостоятельный сброс/изменение пароля
uReset использует ту же модель идентификации на основе утверждений, что и Specops Authentication для Office 365, чтобы обеспечить гибкую многофакторную проверку подлинности для повышения безопасности сброса пароля при минимальном воздействии на пользователей. Полностью интегрируясь со Specops Authentication, uReset использует избыточность Gatekeeper, а также ту же платформу MFA. Это означает, что для организаций, уже использующих проверку подлинности Specops для Office 365, их пользователям может даже не потребоваться повторная регистрация или регистрация в дополнительных службах идентификации, в зависимости от настроенных политик.
uReset можно настроить так, чтобы все пользователи облака могли сбрасывать свои пароли (при интеграции с проверкой подлинности Specops для Office 365) или использовать объекты групповой политики, чтобы указать, какие пользователи могут управлять своими паролями:
Нажав «Настроить » в разделе «Политики » мы можем указать, какие службы идентификации могут использовать пользователи для сброса или изменения своего пароля, а также вес каждого из них:
В разделе «Уведомления» мы можем настроить уведомления для администраторов, чтобы информировать их, когда пользователи сбрасывают/изменяют/разблокируют свой пароль:
С точки зрения конечного пользователя, все, что им нужно сделать, чтобы сбросить пароль, — это перейти на https://login.specopssoft.com. Отсюда пользователь либо нажимает «Сбросить пароль», либо «Зарегистрироваться», если он впервые использует службу. Давайте посмотрим, что происходит, когда пользователь нажимает без предварительной регистрации:
Пользователь вводит свое имя пользователя:
Аутентифицирует с помощью служб идентификации, настроенных во время их регистрации:
И, как и ожидалось, получает сообщение об ошибке о необходимости регистрации:
Нажав вместо этого «Зарегистрироваться», пользователь попадает на следующий экран, где ему нужно нажать «Завершить регистрацию» для uReset:
Как и в случае с Office 365, процесс регистрации зависит от настроенных служб идентификации и политики. Если политики uReset и Office 365 близко совпадают, пользователям может даже не понадобиться настраивать какие-либо дополнительные службы идентификации. Но раз уж мы здесь, давайте попробуем приложение Specops Fingerprint:
После нажатия на Specops Fingerprint мы попадаем на следующую веб-страницу, аналогичную той, что мы использовали ранее, настроив приложение Specops Authenticator:
Нам нужно зайти в магазин приложений и скачать приложение:
После того, как он был установлен, мы открываем его и нажимаем «Сканировать QR-код»:
Приложение спросит, хотим ли мы разрешить ему использовать Touch/Face ID:
И мы закончили:
Мы успешно зарегистрировались в uReset:
Это означает, что мы можем использовать сервис для сброса нашего пароля:
При вводе нового пароля мы автоматически увидим, соответствует ли он необходимым требованиям сложности. Каждое требование содержит один из четырех цветов:
- Зеленый цвет означает, что требование выполнено.
- Красный цвет означает, что требование не выполнено.
- Серый цвет означает, что это необязательное требование.
- Желтый цвет означает, что требование является требованием на стороне сервера и может быть проверено только после отправки пароля.
Как только пароль соответствует необходимым требованиям, мы нажимаем OK, чтобы сбросить его:
Приложение Specops для сброса пароля
Specops предоставляет мобильное приложение, доступное в Магазине Windows, Google Play и App Store, которое можно использовать в качестве безопасной альтернативы для сброса паролей и разблокировки учетных записей, когда пользователи находятся в пути.
Просто найдите в соответствующем магазине приложений и установите приложение для сброса пароля Specops:
Когда приложение запускается, мы нажимаем стрелку, чтобы продолжить:
Вводим наше имя пользователя:
И нам будет предложено подтвердить нашу личность, используя поставщиков, выбранных во время регистрации:
Например, если мы выбрали Specops Authenticator, нас попросят ввести код из этого приложения. После проверки кода два старта заполнятся, и этот поставщик удостоверений исчезнет из списка:
Если мы выбрали «Секретные вопросы», нас попросят ответить на наш личный секретный вопрос:
Поскольку мы успешно подтвердили свою личность, мы попадаем на экран, где можем выбрать новый пароль. Это в значительной степени идентично тому, что мы видели ранее в настольном браузере:
Как только новый пароль будет соответствовать всем требованиям, мы нажимаем OK:
Если, например, в организации установлен , и пользователь пытается сбросить пароль в пределах этого ограничения, он/она получит сообщение об ошибке, подобное следующему:
Если нет, и если пароль соответствует всем требованиям, он успешно сброшен:
Вывод
Хотя в Office 365 есть функция самостоятельного сброса пароля, не каждая организация уже находится в облаке, а для гибридных сред требуется лицензия Azure AD Premium P1 или P2.
Specops uReset снимает эти ограничения и делает самостоятельный сброс пароля доступным для любой организации, независимо от того, находятся ли они полностью локально или уже в облаке. Кроме того, он предоставляет более 15 поставщиков удостоверений для проверки личности пользователей безопасным способом.