- Быстрые ссылки
- Многофакторная аутентификация
- Многофакторная аутентификация Active Directory
- Многофакторная аутентификация конечной точки
- Многофакторная аутентификация входа в Windows
- Двухфакторная аутентификация
- MFA в автономном режиме
- Многофакторная аутентификация для входа через VPN
- Многофакторная аутентификация для входа через OWA
- Многофакторная аутентификация для пользователей Microsoft 365
- Многофакторная аутентификация для входа через VPN
- Многофакторная аутентификация для облачных приложения
- Управление паролями
- Самостоятельный сброс пароля
- Самостоятельное разблокирование учетной записи
- Синхронизация паролей
- Средство принудительного применения политики паролей
- Изменение пароля домена через веб-интерфейс
- Обновление кэшированных учетных данных
- Самостоятельное управление паролями с экранов входа в систему
- Автоматическая сброс пароля
- Единый вход
- Средство обеспечения соблюдения политики в отношении паролей
- Организация удаленной работы
- Безопасность
Что такое CJIS?
Отдел информационных служб уголовного правосудия (CJIS) - это подразделение Федерального бюро расследований США (FBI), которое устанавливает стандарты защиты, передачи, хранения данных, связанных с отправлением уголовного правосудия, и доступа к ним (CJI). CJIS позволяет сотрудникам правоохранительных органов получать доступ к важнейшим данным CJI, включая биометрические данные, информацию об истории личности и истории дел, а также обмениваться ими. Любая организация, имеющая доступ к CJI в любой из ее форм, должна обеспечить соблюдение обязательных правил CJIS.
Требования CJIS в отношении паролей
В таблице ниже объясняются требования политики паролей, изложенные в Политике безопасности CJIS версии 5.9.2, а также то, как ADSelfService Plus помогает организации соблюдать их.
| Требование CJIS | Описание требования | Как ADSelfService Plus помогает удовлетворить требование |
| Раздел 5.5.2.2 | Контроль доступа к системе Запрещается одновременное проведение нескольких активных сеансов для одного пользователя, если только агентство не предоставит на это разрешение в соответствии с оперативными бизнес-потребностями. |
ADSelfService Plus предотвращает возможность одновременного проведения нескольких активных сеансов одним пользователем. |
| Раздел 5.5.3 | Контроль доступа к системе Убедитесь, что добавлять, изменять или удалять компоненты устройств, коммутируемые соединения, а также удалять или изменять программы может только уполномоченный персонал. |
ADSelfService Plus выполняет проверку личности с использованием надежных факторов аутентификации, прежде чем разрешить авторизованным пользователям изменять необходимые настройки в системе. |
| Раздел 5.5.3 | Неудачные попытки входа При наличии технической возможности система должна применять ограничение на количество последовательных недопустимых попыток доступа со стороны пользователя (попыток доступа к CJI или системам с доступом к CJI) - не более пяти таких попыток. Система автоматически заблокирует учетную запись на десять минут, если администратор не отменит блокировку. |
ADSelfService Plus позволяет настроить количество неудачных попыток входа в систему, разрешенных пользователям в течение определенного времени. Также можно настроить продолжительность блокировки и необходимость вмешательства администратора для разблокировки пользователей. |
| Раздел 5.5.6 | Удаленный доступ Агентство должно авторизовать, отслеживать и контролировать все методы удаленного доступа к информационной системе. |
ADSelfService Plus обеспечивает многофакторную аутентификацию (MFA) для сеансов удаленного доступа, которую можно применять как на уровне клиента, так и на уровне целевого компьютера. При этом используются надежные аутентификаторы, такие как биометрия, YubiKey и TOTP. |
| Раздел 5.6.1 | Политика и процедуры идентификации Каждое лицо, уполномоченное хранить, обрабатывать и/или передавать CJI, должно быть однозначно идентифицировано. Уникальная идентификация также требуется для всех лиц, которые занимаются администрированием и обслуживанием систем, которые имеют доступ к CJI или сетям, используемым для транзита CJI. |
ADSelfService Plus уникальным образом хранит и идентифицирует каждого пользователя, назначая аутентификаторы индивидуально каждому пользователю. Решение запрещает совместное использование факторов аутентификации несколькими пользователями. |
|
Основные стандарты паролей |
||
| Раздел 5.6.2.1.1.1 | Минимальная длина пароля Длина пароля во всех системах должна быть не менее восьми символов. |
С помощью средства принудительного применения политики паролей ADSelfService Plus можно настроить минимальную длину пароля до восьми символов или более, в зависимости от ваших требований. При необходимости также можно настроить максимальную длину пароля. |
| Раздел 5.6.2.1.1.1 | Сложность пароля Пароли не должны быть словами из словаря или именами собственными. |
ADSelfService Plus позволяет запретить пользователям использовать слова из словаря, палиндромы и предсказуемые шаблоны при установке новых паролей. Интеграция с базой данных взломанных паролей Have I Been Pwned? гарантирует, что пользователи не установят ненадежные или скомпрометированные пароли при сбросе и изменении паролей. |
| Раздел 5.6.2.1.1.1 | Уникальность пароля Пароли не должны совпадать с идентификатором пользователя. |
ADSelfService Plus позволяет запретить пользователям использовать повторяющиеся символы, а также последовательные символы из имен пользователей и старых паролей при установке новых паролей. |
| Раздел 5.6.2.1.1.1 | Срок действия пароля Срок действия паролей должен истекать в течение максимум 90 календарных дней. |
ADSelfService Plus предоставляет настраиваемые уведомления об истечении срока действия пароля, которые можно запланировать так, чтобы напоминать пользователям о приближающемся истечении срока действия пароля каждые 90 дней. |
| Раздел 5.6.2.1.1.1 | История паролей Пароли не должны совпадать с предыдущими десятью паролями. |
ADSelfService Plus позволяет указать количество предыдущих паролей, которые пользователь не может повторить при выборе нового пароля. |
| Раздел 5.6.2.1.1.1 | Ввод пароля Пароли не должны отображаться при вводе. |
ADSelfService Plus не отображает пароли по умолчанию при вводе, но предоставляет пользователям возможность просмотреть их при необходимости. |
|
Расширенные стандарты паролей |
||
| Раздел 5.6.2.1.1.2 | Минимальная длина и сложность пароля Длина пароля должна составлять не менее двадцати символов, без дополнительных требований к сложности (например, допускаются символы ASCII, эмодзи, все символы клавиатуры и пробелы). |
ADSelfService Plus позволяет настроить минимальную длину пароля до двадцати символов или более, в зависимости от ваших требований. |
| Раздел 5.6.2.1.1.2 | Никаких подсказок к паролю Средства проверки паролей не должны разрешать использование сохраненной "подсказки" для забытых паролей и/или предлагать абонентам использовать определенные типы информации при выборе пароля. |
ADSelfService Plus можно настроить так, чтобы пользователям не предоставлялись подсказки по паролю во время идентификации. |
| Раздел 5.6.2.1.1.2 |
Запрещенные пароли
Во время запросов на создание, изменение или сброс пароля пользователя средства проверки должны сравнивать предполагаемые пароли со списком "запрещенных паролей" и рекомендовать пользователям выбрать другой пароль, если обнаружено совпадение. |
ADSelfService Plus позволяет запретить пользователям использовать слова из словаря, палиндромы, предсказуемые шаблоны, повторяющиеся символы и последовательные символы из имен пользователей и старых паролей при установке новых паролей. Интеграция с базой данных взломанных паролей Have I Been Pwned? гарантирует, что пользователи не установят ненадежные или скомпрометированные пароли при сбросе и изменении паролей. |
| Раздел 5.6.2.1.1.2 | Ежегодная смена пароля. Средства проверки должны принудительно менять пароль ежегодно или в случае обнаружения компрометации аутентификатора. | ADSelfService Plus не призывает к частой или периодической смене паролей конечных пользователей, но позволяет администраторам запускать автоматическую процедуру сброса паролей для пользователей с потенциально скомпрометированными паролями. |
| Раздел 5.6.2.1.1.2 | Уникальные факторы аутентификации Если для аутентификации используются пользовательские сертификаты, такие как смарт-карты, программные токены, аппаратные токены, биометрические системы и сертификаты инфраструктуры открытых ключей (PKI), они должны быть предназначены для конкретного пользователя и не должны использоваться совместно несколькими пользователями. |
ADSelfService Plus назначает факторы аутентификации, такие как токены безопасности, смарт-карты и сертификаты PKI, уникальным образом каждому пользователю и запрещает их совместное использование несколькими пользователями. |
| Раздел 5.6.2.2 | Многофакторная аутентификация (MFA) Многофакторная аутентификация обязательна для всех сотрудников, получающих доступ к данным уголовного правосудия через облачные службы, независимо от местонахождения (включая штаб-квартиры, патрульные машины и удаленные объекты). |
ADSelfService Plus обеспечивает надежную адаптивную многофакторную аутентификацию с применением 20 различных факторов аутентификации, включая ключи доступа FIDO и биометрические данные, для защиты доступа к данным уголовного правосудия. Решение позволяет настроить два или более факторов MFA, причем успешное выполнение всех факторов является обязательным для предоставления доступа. |
Упростите соблюдение требований CJIS с помощью ADSelfService Plus
Средство принудительного применения политики паролей ADSelfService Plus удовлетворяет требованиям CJIS и может применяться для всех или определенных пользователей AD в зависимости от их домена, подразделения или членства в группе. Благодаря адаптивной MFA ADSelfService Plus обеспечивает эффективную защиту идентификационных данных вашей организации в комплексной среде нулевого доверия.
- Запретите использование слов и шаблонов из словаря: Блокируйте уязвимые или ненадежные пароли AD, а также шаблоны, слова из словаря и палиндромы.
- Запретите использование символов из имени пользователя: Ограничьте использование определенных или повторяющихся символов в имени пользователя.
- Принудительное использование журнала паролей: Обеспечьте надежность пароля, принудительно включив журнал паролей при сбросе паролей в консоли "Пользователи и компьютеры Windows Active Directory" (ADUC).
- Задайте произвольную длину пароля: Обеспечьте использование более длинных паролей для пользователей домена Windows, указав минимальную длину пароля.
- Повысьте надежность пароля: Запретите пользователям использовать копирование и вставку в полях паролей. Помогите пользователям выбирать надежные пароли с помощью анализатора надежности паролей, который показывает надежность пароля.
- Обеспечьте сложность пароля: Убедитесь, что пароли пользователей содержат заглавные, строчные, специальные символы и цифры.
- Настройте обязательную MFA для пользователей: Обеспечьте безопасный доступ пользователей к конфиденциальным данным, связанным с обороной, включив адаптивную MFA для конечных точек, например, для входа в систему компьютера, входа в приложение, VPN, RDP и OWA. Используйте широкий набор из 20 различных аутентификаторов MFA, включая ключи доступа FIDO и биометрические данные, для проверки личности пользователей.
- Средство принудительного применения политики паролей
- Многофакторная аутентификация
Ограничьте для пользователей возможность повторно использовать любые из ранее использованных ими паролей при создании паролей.
Настройте минимальную длину пароля и включение в пароли буквенно-цифровых символов.
Выберите минимальное количество требований к сложности, которым должны соответствовать пароли ваших пользователей в соответствии с потребностями безопасности вашей организации.
Преимущества использования ADSelfService Plus для соблюдения требований CJIS
- Принудительное применение политик на основе подразделений и групп
Детально применяйте несколько политик паролей в одном домене AD на основе подразделения и членства в группах.
- Повышенная безопасность паролей
Обеспечьте принудительное использование паролей и ограничьте повторение символов из старых паролей и имен пользователей.
- Уведомление пользователей об истечении срока действия пароля
Используйте настраиваемые уведомления об истечении срока действия пароля и следите за тем, чтобы пользователи своевременно меняли свои пароли.
- Создание настраиваемых шаблонов
Создайте несколько политик паролей, соответствующих стандартам PCI DSS, HIPAA, NIST SP 800-63B, SOX и CJIS.
Try ADSelfService Plus for free
To assist your evaluation we offer
- 30-day, fully functional free trial
- Free 24*5 technical support
- No credit card required
- No user limits
Особенности ADSelfService Plus
Самостоятельное управление паролями
Избавьте пользователей Windows Active Directory от длительных звонков в службу поддержки, предоставив им возможность самостоятельно сбрасывать пароли и разблокировать учетные записи.
Одно удостоверение с возможностью единого входа
Обеспечьте беспроблемный доступ одним щелчком мыши к более чем 100 облачным приложениям. С помощью корпоративного единого входа пользователи могут получать доступ ко всем своим облачным приложениям, используя свои учетные данные Windows Active Directory.
Синхронизация паролей
Синхронизируйте изменения паролей или учетных записей пользователей Windows Active Directory в разных системах в автоматическом режиме, включая Microsoft 365, Google Workspace, IBM iSeries и т. п.
Многофакторная аутентификация
Включите контекстную многофакторную аутентификацию с 20 различными факторами для входа в конечные точки, приложения, VPN, OWA и RDP.
Уведомления об истечении срока действия пароля/учетной записи
Уведомляйте пользователей Windows Active Directory о приближающемся истечении срока действия их пароля и учетной записи с помощью уведомлений по электронной почте и SMS.
Средство принудительного применения политики паролей
Надежные пароли противостоят различным хакерским атакам. Обеспечьте соблюдение пользователями Windows Active Directory правил в отношении паролей, указав требования к сложности паролей.