Top.Mail.Ru
Реализованные защитные меры ИБ в системе
8 800 555-89-02
Войти
Регистрация
Документация
CTRL+K
Standalone2306
EOL
SaaS

Реализованные защитные меры ИБ в системеEOL

В этой статье

Аутентификация пользователей в системе

У каждого пользователя системы существует логин и пароль. Учётная запись пользователя, которая включает логин и пароль, должна существовать в системе. При входе пользователя происходит сравнение хеша введённого им пароля (для указанного логина) с хешем пароля, сохранённым в базе данных. При первом входе в систему сотруднику необходимо задать собственный пароль.

Аутентификация пользователей в системе может осуществляться посредством Active Directory или других интеграций, в случае их подключения.

Перечень объектов защиты системы

Перечень защищаемых объектов:

  • журналы безопасности (хранятся в логах C:\ProgramData\Infomaximum\logs);
  • аутентификационная информация пользователей (хранится в базе C:\ProgramData\Infomaximum\database);
  • файлы настроек (хранятся в базе C:\ProgramData\Infomaximum\database);
  • права доступа (хранятся в базе C:\ProgramData\Infomaximum\database);
  • механизмы настройки прав и аудита (хранятся в базе C:\ProgramData\Infomaximum\database);
  • исполняемые файлы (хранятся в C:\Program Files\Infomaximum);
  • элементы интерфейса для веб (хранятся в C:\Program Files\Infomaximum).

Необходима защита на уровне операционной системы следующих каталогов:

  • C:\Program Files\Infomaximum;
  • C:\ProgramData\Infomaximum;
  • Docker service: infomaximum-clickhouse;
  • Docker volume: infomaximum-clickhouse.

Для валидации сертификатов используется стандартное Windows хранилище.

Проверка безопасности пароля пользователей

Настройку параметров, связанных с паролями пользователей, можно осуществить через веб-интерфейс системы: «Настройки»/«Аутентификация»/«Название аутентификации». Настройки доступны только для встроенной аутентификации.

Сложный пароль

Проверка безопасности пароля пользователей включает в себя следующие ограничения на установку/изменение пароля в системе:

  • прописные буквы английского алфавита от A до Z;
  • строчные буквы английского алфавита от a до z;
  • десятичные цифры (от 0 до 9);
  • неалфавитные символы (например, !, $, #, %);
  • длина пароля;
  • запрет на повторное использование уже использованных паролей.

Проверка соблюдения этих требований выполняется при изменении или создании паролей. Проверка на содержание в пароле символов из e-mail отсутствует.

Минимальная длина пароля

Настройка минимальной длины пароля доступна только в случае, если включен параметр «Сложный пароль». Параметр указывает минимально допустимое количество символов при создании/изменении пароля. Допустимые значения: от 8 до 15 символов.

Если параметр «Сложный пароль» находится в состоянии «Выкл.», то минимальное количество символов по умолчанию – 4. Просмотр настройки параметров доступен также через веб-интерфейс по указанному выше адресу.

Срок действия пароля

Параметр «Срок действия пароля (дней)» указывает срок действия пароля с момента его задания/изменения. Возможное значение параметра – от 1 до 1000 дней. После того, как срок действия завершился, пользователю предлагается задать новый пароль. Пока пользователь не задаст новый пароль, доступ в систему будет ограничен. Чтобы сделать срок действия пароля без ограничений, оставьте параметр незаполненным.

Если параметр «Сложный пароль» находится в состоянии «Выкл.», то пользователь при вводе нового пароля может использовать предыдущие, за исключением последнего заданного пароля.

Если срок действия пароля не истек, но сотрудник поменял пароль на тот же, который установлен у него в данный момент, то счетчик срока действия пароля не обнуляется. Если пользователь поменял пароль на другой (хотя срок действия пароля не закончился), счетчик срока действия обнуляется и отсчет идет согласно заданному параметру.

Шифрование паролей

Для шифрования паролей в системе используется алгоритм: AES-256. AES – симметричный алгоритм блочного шифрования (размер блока 128 бит, ключ 128/192/256 бит).

При инициализации системы создается 256-битный ключ, который по умолчанию хранится в папке C:\ProgramData\Infomaximum\secret_key. Путь берётся из конфигурационного файла subsystem.core.json, который находится в C:\ProgramData\Infomaximum\config\com.infomaximum. Этот ключ используется для шифрования/дешифрования хранимых паролей.

Этот алгоритм шифрования пароля используется:

  • в случае интеграции с Active Directory;
  • в случае соединения с БД ClickHouse;
  • в случае создания подключений в пространстве.

Хеширование паролей пользователей

При авторизации в системе происходит взаимодействие между модулем настройки аналитики и сервером. На сервер не отправляется введенный пользователем пароль в исходном виде. Модуль настройки и аналитики отправляет на сервер хеш пароля. Хеширование пароля происходит с помощью алгоритма SHA256.

Сервер получает хеш пароля и использует повторно хеш функцию, а также функцию, формирующую секретный ключ по стандарту PBKDF2 (PBKDF2WithHmacSHA512). Сервер сохраняет в базе 2 значения в виде секретного ключа: Модификатор + Хеш (от присланного хеша пароля). Просмотр настройки параметров доступен также через веб-интерфейс по указанному выше адресу.

Количество попыток входа

Параметр «Кол-во попыток входа» позволяет ограничить количество попыток входа в систему. Допустимое значение параметра «Кол-во попыток входа» – от 1 до 100. Параметр отвечает за количество попыток входа, которые пользователь может совершить в системе. Попытка входа – когда пользователь верно указал логин, но неправильно ввел пароль и нажал Войти.

Если попытки достигают заданного параметра, пользователь блокируется. Этому пользователю ограничивается вход в систему. Чтобы не ограничивать количество попыток входа, оставьте параметр незаполненным.

Период, после которого попытки входа пользователя обнуляются, по умолчанию составляет 10 минут. То есть, если между попытками ввода учетных данных не более 10 минут, то они считаются последовательными, как 1,2,3,4 и т.д., и по заданному значению «Кол-во попыток входа» аккаунт блокируется. Как только проходит 10 минут, счетчик сбрасывается.

Изменение периода возможно посредством конфигурационного файла. Чтобы изменить период, после которого происходит обнуление попыток входа:

  1. Перейдите по пути: C:\ProgramData\Infomaximum\config;
  2. Откройте файл конфигурации: infomaximum.subsystem.core.json;
  3. Измените значение параметра: reset_count_invalid_logon_duration (значение можно указать в днях, часах, минутах и секундах).

Срок жизни ссылки на восстановление пароля

Если пользователь забыл пароль, то его можно восстановить через почту. Письмо будет отправлено, если произведены настройки почтового сервера в системе Proceset («Настройки»/«Подключения»/«Сервер исходящей почты»). В письме указывается ссылка, после перехода по которой пользователь может создать новый пароль согласно настройкам парольной политики. По умолчанию параметр «Срок жизни ссылки для восстановления пароля» имеет значение 1 день (24 часа). Изменение параметра через веб-интерфейс недоступно. Изменение периода возможно через конфигурационный файл.

Чтобы изменить период:

  1. Откройте папку: C:\ProgramData\Infomaximum\config;
  2. Откройте файл конфигурации: com.infomaximum.subsystem.core.json;
  3. Измените параметр restorelink_timeout (значение можно указать в днях, часах, минутах и секундах).

Время жизни неактивной сессии

По умолчанию период жизни неактивной сессии для каждого пользователя – 1 неделя (7 дней). Изменение параметра через веб-интерфейс недоступно. Изменение периода возможно через конфигурационный файл.

Чтобы изменить период:

  1. Откройте папку: C:\ProgramData\Infomaximum\config;
  2. Откройте файл конфигурации: com.infomaximum.subsystem.fronted.json;
  3. Измените параметр: session_timeout (значение можно указать в днях, часах, минутах и секундах);
  4. Перезапустите службу «infomaximum».

Идентификация, аутентификация субъектов и объектов доступа

Для всех пользователей и программных процессов осуществляется идентификация, аутентификация и авторизация. Пользователю, не прошедшему аутентификацию, не предоставляется доступ в систему. В системе существуют механизмы управления учетными записями пользователей: создание, активация, блокирование, предоставление и изменение прав и т.д.

Для управления компонентами системы требуется собственная авторизация. При этом выполняются следующие требования:

  • при входе осуществляется идентификация и проверка подлинности субъектов доступа;
  • пароль-хеш и идентификаторы передаются исключительно по сети и хранятся в зашифрованном виде;
  • отсутствует возможность изменить пароль методом замены объекта, хранящего зашифрованный пароль;
  • реализована возможность установления минимальной длины (не менее 8 символов) и срока действия пароля (парольная политика);
  • реализована возможность установления уровня сложности пароля (парольная политика);
  • реализована возможность установления запрета на повторное использование одного и того же пароля (парольная политика);
  • пользователю предоставляется право самостоятельно изменять свой пароль;
  • отсутствует доступ администраторов системы к паролю пользователя;
  • осуществляется контроль и подсчет попыток входа в систему (успешный или неуспешный, т.е. несанкционированный);
  • система уведомляет пользователя о превышении количества неудачных попыток входа. После превышения заданного количества неудачных попыток входа доступ не предоставляется. Также при предъявлении правильного пароля пользователь не информируется о вводе правильного пароля;
  • система позволяет производить блокировку сеанса по запросу субъекта.

Блокировка пользователей системы

Блокирование пользователей возможно осуществить следующими способами:

  1. Через веб-интерфейс: «Настройки»/«Сотрудники»/«Профиль сотрудника». Удалите активные аутентификации во вкладке «Доступ» в параметре «Аутентификация» у нужного сотрудника.
  2. Через массовое назначение. У пользователей, которым нужно ограничить доступ, через функцию «массовое назначение» выберите «Аутентификация» и отключите активные аутентификации. Сохраните изменения.
  3. С использованием GraphQL-запроса для блокировки из внешней АС. Отправьте следующий запрос:
mutation {
    employee {
        set_authentication(target_employee_ids:[id],
         authentication_ids:[])
    }
}

Где id – идентификатор пользователя.

Инструкция по выполнению GraphQL-запросов представлена в соответствующем разделе.

После блокировки пользователя происходит его оперативное отключение от системы, текущий сеанс блокируется. При каждом новом входе в систему необходимо ввести данные для авторизации.

Блокировка пользователей из внешней системы

Для автоматической выгрузки пользователей из внешней системы необходимо наличие созданного Ключа API с определенными правами доступа. Для блокировки пользователей системы из внешней АС выполните следующие запросы:

<http://127.0.0.1:8010/graphql?query={employee{employees{id,login}}}&api_key=826ac84312a0481ea57cc160fd1b59dc>

где 127.0.0.1:8010 – это адрес сервера, 826ac84312a0481ea57cc160fd1b59dc – Ключ API.

C помощью следующего запроса можно определить id пользователя в системе:

<http://localhost:8093/graphql?query=mutation{employee{set_authentication(target_employee_ids:[id], authentication_ids:[])}}&api_key=fd7dbbf252fd43daad15628989d5eb0a>

где localhost:8093 – это адрес сервера, fd7dbbf252fd43daad15628989d5eb0a – Ключ API, id – уникальный id конкретного пользователя.

После определения id выполните блокировку сотрудника.

Была ли статья полезна?

Да
Нет
Предыдущая
Мониторинг состояния системы
Следующая
Журналы безопасности
8 (800) 555-89-028 (495) 150-31-45team@infomaximum.com
Для бизнеса
Материалы и поддержка
support@infomaximum.com
Компания
© 20102024. ООО «Инфомаксимум»
Мы используем файлы cookies, чтобы сайт был лучше для вас.