Created: 2017-06-26 04:44:45
企業若要建置雙因素身分認證系統,保護使用者的登入安全,現在多了新選擇,ESET在臺推出Secure Authentication的產品,可支援登入網域、網頁存取與VPN
向來以防毒軟體為主力產品線的ESET,近期開始提供更多元的資安解決方案,例如,他們在2016年底,將旗下的雙因素身分認證系統ESET Secure Authentication(ESA),正式引進臺灣。
這套產品最早是在2013年推出,目前最新發布的版本是2.6,主要提供的功能,是基於智慧型手機的雙因素認證動態密碼(Two-Factor One-Time Password,2FA-OTP),企業可藉由採用ESA,導入兼具簡易便利與安全性的使用者身分認證方式,保護網路與系統的存取安全。
管理者在認證伺服器上的ESA Management Console程式當中,設定使用者的電話號碼、啟用行動應用程式認證項目之後,即可發送SMS簡訊到員工的手機上,接著他們只需要點選當中顯示的網址連結,就能順利下載、安裝App,將手機變成產生動態密碼的裝置。
使用者若要登入受到ESA保護的系統或網路,將會驗證兩個部分,首先是確認帳號和密碼,隨後,還需要搭配由使用者的智慧型手機所產生的動態密碼,如此一來,可因應密碼遭竊、過於簡單而被猜出、受到破解等狀況,降低相關風險。
目前ESA的運作原理,主要是在Windows Active Directory(AD)網域的使用者帳號內,加入雙重驗證的機制,並透過產生動態密碼(OTP),來保護各種系統與網路存取。從建置架構來看,ESA分為身分認證伺服器、管理工具、認證終端系統(例如,網站應用系統、RDP、RADIUS,或是API)。而對於基於RADIUS來認證身分的應用系統,ESA可以透過ESET的安全認證API或使用者管理API,來存取AD環境裡面的身分認證,達到整合的效果。若企業並未使用AD或其他自行開發的系統,ESET也提供SDK讓企業可以整合,目前支援NET、PHP、Java等三種程式語言。
若要建置ESET Secure Authentication,企業需至少部署Authentication Server、Management Tools、Authentication endpoints。以圖中的架構來看,除了身分認證伺服器與伺服器作業系統網域控制器之外,網站伺服器、VPN設備都屬於Authentication endpoints。
而目前ESA所支援的企業應用系統與網路服務,也相當廣泛。例如,使用者電腦本機的Windows作業系統網域登入、Windows遠端桌面登入(RDP)、VPN存取,並且可透過整合微軟Active Directory Federation Services(AD FS)的方式,延伸保護公有雲服務存取安全,像是微軟Office 365。
這是執行ESET Secure Authentication安裝程式會看到的畫面,當中會檢查伺服器端作業系統的網域相關設定,以及是否安裝了.NET Framework 4.0。接下來,管理者可以挑選企業需要搭配的ESA各式元件,以便支援不同的網路、網站應用程式的登入保護。
尤其從第二張圖所列出的項目,更是可以清楚看到ESET Secure Authentication本身的元件,以及支援的網路環境與應用程式類型。
同時,ESA可支援微軟旗下多種商業應用系統的使用者登入保護,包含Exchange、SharePoint、Dynamics CRM。以Exchange這套協同作業與通訊應用系統為例,ESA能夠保護的部份,不只是使用者端存取的網頁郵件介面Outlook Web Access(OWA),也涵蓋到管理者端執行的Exchange控制臺(ECP),以及Exchange系統管理中心(EAC)。
使用者若要透過瀏覽器存取Exchange系統處理電子郵件,通常會透過Outlook Web Access(OWA)的網頁介面,以便進入,而在ESA的保護下,使用者在鍵入原本的帳號、密碼之後,隨即會跳出第二個OWA的登入頁面,在這裡,你必須輸入由ESET Secure Authentication行動App所產生的動態密碼來驗證。
ESA對於所有支援的網站應用程式,會提供相同的雙因素身分認證流程。當使用者透過瀏覽器開啟這樣的網站系統時,通過原本的Windows AD網域登入的帳號密碼驗證之後,接下來會跳出ESA認證身分的頁面(如圖)。
若企業內部的應用系統已導入桌面虛擬化或是應用程式虛擬化的環境,ESA也可以與其搭配,目前可支援VMware Horizon View,以及Citrix XenApp。
針對Windows登入的保護方式相當多元,從ESA Management Console裡面的設定,我們可以看到管理者可勾選是否要針對作業系統的安全模式、進入桌面鎖定狀態,以及出現User Account Control警示確認等情況,套用雙因素認證。若要在電腦處於離線狀態進行身分保護,也可從這裡來套用。
產品資訊
ESET Secure Authentication 2.6
●代理商:台灣二版(02)7722-6899
●建議售價:以5到9個帳號為單位,每個帳號每年為2,450元●管理伺服器支援作業系統:Windows Server 2003 - 2016
●本機登入保護支援用戶端系統:Windows 7 - 10、Windows Server 2008 R2以後版本
●支援行動端平臺:iOS (iPhone)、Android、Windows Phone、Windows Mobile、BlackBerry,以及所有支援J2ME的手機
●Token支援:遵循OATH標準的HOTP token
*原文轉貼於iThome http://www.ithome.com.tw/review/113952