Безопасность удалённого доступа к корпоративным ресурсам не может обеспечиваться одним лишь логином и паролем. Мы реализуем сквозную политику безопасности, в которой каждый сеанс аутентификации подтверждается двумя и более независимыми факторами, а доступ привязан не только к учётной записи, но и к физическому присутствию, устройству и контексту.
В качестве второго фактора используются российские решения многофакторной аутентификации, поддерживающие: — аппаратные токены (Feitan, eToken) с генерацией одноразовых кодов или хранением закрытых ключей,
— смарт-карты с ГОСТ-криптографией, применяемые как для входа в ОС, так и для подписи документов,
— мобильные приложения с TOTP или push-уведомлениями,
— интеграцию с СКУД и биометрическими системами — для реализации сценариев «физический проход = сетевой доступ».
При подключении к виртуальному рабочему столу (через Citrix, RDS или VMware Horizon) пользователь сначала проходит аутентификацию в каталоге (Active Directory или ALD Pro), а затем подтверждает личность через второй фактор. Только после этого сессия устанавливается.
Особое внимание уделяется интеграции с СКУД. Мы реализуем сценарии, в которых: — при проходе сотрудника в офис по СКУД-карте — его виртуальный рабочий стол автоматически разблокируется,
— при выходе из здания — сессия завершается, даже если пользователь забыл выйти вручную,
— при увольнении — карта деактивируется в СКУД, а учётная запись блокируется в каталоге, что мгновенно лишает доступа ко всем ИТ-ресурсам.
Для защиты данных внутри сессии мы настраиваем интеграцию со средствами защиты информации (СЗИ): — трафик шифруется по TLS 1.3 или ГОСТ (при использовании «С-Терра», ViPNet, КриптоПро),
— USB-редирект ограничен: запрещено подключение носителей, разрешены только клавиатуры и мыши,
— отключены буфер обмена, drag-and-drop, принтеры и скриншоты, чтобы исключить утечку данных,
— все действия логируются и передаются в SIEM-систему или «Пульт» для анализа.
Аудит охватывает: — время и IP-адрес входа/выхода,
При обнаружении аномалий — например, вход из другого региона в нерабочее время — система может: — автоматически заблокировать учётную запись,
— прервать сессию,
— отправить уведомление администратору в Telegram или на пульт мониторинга.
Мы не просто «включаем двухфакторку». Мы внедряем управляемую, аудируемую и контекстно-зависимую модель доступа, которая защищает данные даже в условиях фишинга, утери паролей или компрометации устройства.
Оставьте свой контакт. Мы оперативно проведём анализ вашей инфраструктуры, предложим оптимальное решение и окажем услугу с учётом всех ваших требований.