ші налаштування на інші об'єкти AD наступними способами:
Методом імпорту-експорту XML-конфігурації (не має обмежень для застосування);
Налаштування можуть бути скопійовані з поточного об'єкта на вказаний;
Виконанням автоматичного успадкування. Тобто об'єкт «User» успадковує параметри того контейнера, в який він вкладений. При необхідності таке спадкування можна вимкнути на будь-якому рівні вкладеності.
. 3 Безпека SecureLogin
Багато стикалися з питаннями «зберегти пароль» або «пам'ятати мене», які задають деякі додатки під час аутентифікації. Активація цієї опції зберігає ваші логін-пароль або в реєстрі або в користувальницьких файлах, що дозволяє додатку не вимагати введення цих даних від користувача в наступний раз.
Рис.6. Реєстрація контрольного питання (вибір і відповідь на нього) відбувається при першому запуску системи після установки SecureLogin
Використання цієї опції небезпечно, так як при вході в систему під Вашим профілем відкривається доступ до Ваших облікових записів додатків. У чому тут загроза? Якщо хтось, володіючи відповідними повноваженнями, скине Windows-пароль і ввійде під вашим ім'ям, то він отримає доступ до тих додаткам, які «вас пам'ятають».
У разі використання SecureLogin такий «фокус» не вийде, так як ПДА зберігаються в зашифрованому вигляді, з використанням логіна і «оригінального» пароля користувача; новий пароль не може бути використаний для отримання доступу до ПДА.
Пропадуть Чи ПДА в цьому випадку?
У SecureLogin для вирішення цього завдання використовується система контрольних питань. Доступ до ПДА з використанням нового пароля не може бути виконаний. SecureLogin контролює таку ситуацію і пропонує користувачеві дати відповідь на контрольне запитання, який є другим «ключем» для доступу до ПДА. Тобто, ключ шифрування ПДА зберігається в зашифрованому вигляді двічі:
· З використанням хешу імені користувача і його пароля;
· З використанням хешу відповіді на контрольне запитання.
На етапі налаштування SecureLogin адміністратор може задати перелік контрольних питань або дозволити користувачеві сформувати для себе таке питання самому. У кожному разі, системний адміністратор не може задати відповіді (тобто обзавестися другий ключем), це робить користувач при першому завантаженні операційної системи після установки SecureLogin.
Варто відзначити, що серед настройок є опція примусової реєстрації контрольного питання, при активації якої користувач не може відмовитися від нього, так як це вікно не може бути закрито до вибору питання і введення відповіді на нього.
Відповідь на контрольне запитання використовуватиметься один раз при першому вході в систему після зміни пароля. Після правильної відповіді на контрольне запитання SecureLogin пересохранять ключ шифрування ПДА, зашифрувавши його з використанням нового пароля (а вірніше - його хеша). Таким чином, при подальшому використанні цього нового пароля наскрізна однократна аутентифікація відновиться. Адміністратор може визначити необхідну складність відповіді на контрольне запитання (мінімальну довжину, необхідність використання цифр і т.д.)
За рахунок описаних вище заходів можна з упевненістю гарантувати надійне зберігання ПДА користувачів.
. 4 Автоматична генерація пароля
Додатки можуть вимагати періодичної зміни пароля або зміни пароля при першому запуску. Останнє значно спрощує централізоване створення нових облікових записів: користувач отримує свій логін і пароль, який повинен бути обов'язково змінений при першому вході в систему.
Також SecureLogin автоматизує та процеси зміни паролів. При появі вікна зміни паролів система автоматично підставить поточний пароль (що зазвичай потрібно), згенерує випадковим чином новий пароль, який підставить у вікна введення і підтвердження і збереже його для подальшого використання.
При цьому може використовуватися політика складності паролів, яка описується 15 правилами, такими як:
· Мінімальна довжина;
· Максимальна довжина;
· Мінімальна кількість спецсимволов;
· Максимальна кількість спецсимволов;
· Максимальна кількість символів верхнього регістру;
· Мінімальна кількість символів верхнього регістру;
· Максимальна кількість символів нижнього регістру;
· Мінімальна кількість символів нижнього регістру;
