...
Централизованное применение политики PIN-кодов. При выпуске ключевого носителя на него записываются требования к PIN-коду: сложность, частота смены, глубина истории и другие, набор параметров зависит от модели устройства. Политики хранятся и распространяются централизованно, администраторам не нужно прописывать политики для каждого отдельного носителя.
Учет ключевых носителей. Каждое устройство (смарт-карта или USB-токен) закрепляется за ответственным сотрудником. Операции по выпуску или обновлению сертификатов на носителе могут выполнить администратор Рутокен KeyBox или сам пользователь (владелец устройства).
Своевременный отзыв сертификатов уволенных сотрудников. Для того, чтобы оперативно прекращать доступ уволенных сотрудников к информационным ресурсам компании, Рутокен KeyBox включает специализированный сервис, который с заданной периодичностью проверяет каталог пользователей и отзывает сертификаты у пользователей, отмеченных как уволенные.
Гибкая настройка прав на работу с системой. Рутокен KeyBox позволяет компаниям определить собственные роли безопасности с настраиваемым перечнем разрешенных операций. Это позволяет администраторам привести ролевую модель Рутокен KeyBox в соответствие с принятыми в компании бизнес-процессами.
Контроль использования ключевых носителей на ПК пользователей. Рутокен KeyBox позволяет компаниям отслеживать, какие носители и кем подключаются к компьютеру организации. Администратор может жестко закрепить ключевой носитель за пользователем или конкретным компьютером. Если система обнаружит несоответствие (например, носитель подключен в сессии нелегитимного пользователя или к неразрешенному компьютеру), ключевой носитель может быть заблокирован.
Структурная схема
Система состоит из базовых модулей, модулей интеграции и дополнительных функций.
Компоненты системы
Рутокен KeyBox состоит из серверной и клиентской части.
Компонентом серверной части является Rutoken Server, который состоит из веб-сервисов и вспомогательных утилит.
...
Indeed Certificate Manager состоит из серверных и клиентских компонентов. В качестве средства хранения данных и настроек решения используется Active Directory, база данных Microsoft SQL или PostgreSQL. Расширение схемы Active Directory не требуется.
Серверные компоненты
Рутокен KeyBox Server является серверным компонентом и включает в себя веб-приложения и вспомогательные утилиты.
Веб-приложения:
- Management Console
...
- – Консоль управления для администраторов и операторов системы.
- Self-Service
...
- – Сервис самообслуживания (личный кабинет) пользователя.
- Remote Self-Service
...
- – Сервис удаленного обслуживания за пределами домена.
- CredProvAPI
...
- – Сервис online-разблокировки и выключения
...
- устройств.
...
- API – Cервис API для управления жизненным циклом
...
- устройств (для интеграции со
...
- сторонними ПО).
- MSCA Proxy
...
- - Позволяет запрашивать и записывать на устройства
...
- сертификаты с Удостоверяющих Центров Microsoft Enterprise CA, находящихся за пределами того домена, в котором развернут
...
- Indeed CM.
- Event Log Proxy
...
- - Позволяет записывать события
...
- с нескольких серверов Indeed CM в единый журнал событий Windows.
- Indeed Log Server
...
- - Позволяет записывать события
...
- с нескольких серверов Indeed CM в единый журнал событий Windows
...
- , базу данных Microsoft SQL или PostgreSQL, SysLog.
- Indeed CM Agent
...
- - Сервисы клиентского агента для удаленного выполнения задач
...
- блокировки,
...
- сброса PIN-кода пользователя, обновления содержимого устройства, очистки или инициализации устройства при его отзыве, смены PIN-кода администратора
...
- на устройствах пользователей.
Вспомогательные утилиты:
- IndeedCM.Agent.Cert.Generator.exe – Утилита для создания сертификатов клиентского агента.
- IndeedCM.Persistence.AD.Cfg.exe – Утилита для создания хранилища данных в Active Directory.
- IndeedCM.Persistence.KeyGen.exe
...
- – Утилита для создания ключа шифрования базы данных системы.
- IndeedCM.CertEnroll.MsCA.exe – Утилита для выпуска сертификата
...
- “Агент регистрации”.
- IndeedCM.CardMonitor.exe
...
- – Служба мониторинга состояния
...
- устройств.
- IndeedCM.Wizard.exe – Мастер настройки
...
- Indeed CM.
- Storage.sql
...
- – Скрипт наполнения базы данных Microsoft SQL, используемой для хранения данных Indeed CM.
- Storage-Postgre
...
- .sql –
...
- Скрипт наполнения базы данных
...
- PostgreSQL, используемой для хранения данных
...
- Indeed CM.
...
Клиентские компоненты
Indeed CM Middleware
...
– компонент, предоставляющий единый интерфейс остальным компонентам системы по управлению устройствами, подключенными к рабочей станции.
Indeed CM Client Tools:
...
- Credential Provider
...
- – компонент для разблокировки смарт-карт, используемых для аутентификации в операционной системе Windows, в
...
- offline- и
...
- online-режимах.
...
- Indeed CM Unblock
...
- – компонент для разблокировки смарт-карт, которые не используются для входа в операционную систему.
Indeed CM Agent
...
– клиентский агент для удаленного выполнения задач (блокировки
...
, сброса PIN-кода пользователя, обновления содержимого устройства, очистки или инициализации устройства при его отзыве, смены PIN-кода администратора
...
) на устройствах пользователей.
Indeed CM Client Browser Extension
...
– компонент для поддержки множественных сессий пользователей на терминальном сервере.