Алгоритм TOTP RFC 6238 для генерации кодов устойчив к криптографическим атакам, но требует, чтобы время клиента и сервера было синхронизировано.
6
Совмещая доступ к ИТ-ресурсам по HTTPS с MFA пользователи могут безопасно работать из любого места по модели Zero Trust, не используя виртуальные частные сети (VPN).
Службы доступа Microsoft
Для доступа пользователей из внешних сетей по протоколу HTTPS в Windows Server встроены службы Active Directory Federation Services (ADFS) и Remote Desktop Gateway (RDG).
Active Directory Federation Services
Служба Windows Server, которая предоставляет пользователям, работающим как во внутренней, так и во внешней сети, доступ к веб-приложениям с использованием механизма SSO. При этом учетные записи пользователей и приложений могут быть в различных сетях и принадлежать различным организациям. Для публикации веб-ресурсов в сети Интернет используется вместе с службой Windows Server - Web Application Proxy (WAP).
Примеры веб-приложений: - Outlook Web Access; - RD Web; - SharePoint Server; - Project Server; - 1C: Предприятие тонкий клиент; - 1С-Битрикс; - Любые веб-приложения с авторизацией пользователей.
Remote Desktop Gateway
Служба Windows Server, которая создает зашифрованное подключение по протоколу HTTPS между пользователем и удаленной рабочей станцией. Решение позволяет ограничивать таймаут сессий и контролировать доступ пользователей к дискам, USB-устройствам, буферу обмена, принтеру и сетевым ресурсам.
Возможности шлюза: - Позволяет подключаться к удаленной рабочей станции без необходимости создания VPN соединения; - Разрешает подключение к сетевым ресурсам, которые размещены за межсетевыми экранами в частных сетях или NAT; - Отслеживание состояния шлюза для аудита безопасности, например, логирование неудачных попыток подключения к серверу шлюза, адресов соединений и т.п.; - Настройка политик авторизации для разных случаев, которые должны быть выполнены при подключении к сетевым ресурсам.
Беспрецедентный формат дистанционной работы, привел к необходимости предоставления доступа к информационным системам с личных устройств сотрудников. Что в свою очередь привело необходимости пересмотра существующих методов обеспечения информационной безопасности.
Задача, которую формулирует бизнес — в короткие сроки обеспечить простую и надежную защиту доступа к корпоративными системам с минимальными затратами.
Провайдеры MFA OTP для ADFS и RDG
Демонстрация работы провайдеров многофакторной аутентификации (MFA) для Active Directory Federation Services (ADFS) и Remote Desktop Gateway (RDG), к статье "Простая и надежная защита доступа"
Провайдеры GostOTP MFA
Провайдеры многофакторной аутентификации для служб доступа Microsoft, позволяют генерировать OTP коды в приложении смартфона или получать их по любому каналу связи.