Федеральная служба по техническому и экспортному контролю выпустила рекомендации по безопасной настройке программного обеспечения Samba в IT-инфраструктуре органов государственной власти и субъектов критической информационной инфраструктуры РФ. Документ подготовлен по результатам анализа сведений о киберугрозах, проводимого специалистами ведомства.

Samba представляет собой свободно распространяемый многофункциональный серверный продукт, который используется в качестве моста между операционными системами Windows и Unix-подобными системами (Linux, macOS, BSD и др.) для совместного использования файлов и принтеров. Решение поддерживает протоколы SMB/CIFS (Server Message Block / Common Internet File System), может выступать в роли контроллера домена Active Directory, совместимого с реализацией Windows Server 2008 и способного обслуживать все поддерживаемые Microsoft версии Windows-клиентов, в том числе Windows 11. Также Samba может использоваться в качестве файлового сервера, сервиса печати и сервера идентификации.

В опубликованных ФСТЭК России рекомендациях перечислены различные аспекты и нюансы конфигурирования ПО Samba. В частности, затронуты вопросы парольной политики, разграничения прав доступа к файлам, отключения устаревшего протокола SMBv1, настройки аудита и журналирования событий, средств шифрования и резервного копирования данных. Отдельное внимание уделено конфигурированию ключевых подсистем и групповых политик. Документ размещён на информационном портале Федеральной службы по техническому и экспортному контролю fstec.ru в разделе «Техническая защита информации → Рекомендации по повышению защищённости информационной инфраструктуры».

Напомним, что ФСТЭК России ведёт централизованный учёт информационных систем и иных объектов КИИ по отраслям экономики, а также мониторинг и оценку текущего состояния технической защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры. Также в числе обязанностей ведомства значится оперативное информирование органов власти, местного самоуправления и организаций об угрозах безопасности информации и уязвимостях информационных систем и иных объектов КИИ, а также о мерах по технической защите от этих угроз и уязвимостей.

«Группа Астра» объявила о выпуске двух новых версий службы каталогов ALD Pro — Lite и Lite Plus. Обе редакции предназначены для предприятий малого и среднего бизнеса и различаются лимитом управляемых устройств: в пакет ALD Pro Lite входят до 50 устройств, в ALD Pro Lite Plus — до 100 устройств.

В состав каждой версии продукта входят контроллер домена, операционная система Astra Linux Server с уровнем защиты «Смоленск», а также набор базовых IT‑сервисов: репозиторий пакетов, файловый сервер, сервер печати, DHCP, инструменты для установки операционной системы по сети, аудита и мониторинга. Все ограничения и условия использования зафиксированы в лицензионном соглашении (EULA).

Архитектура платформы ALD Pro (источник изображений: astra.ru)

Программный комплекс ALD Pro предназначен для автоматизации и централизованного управления рабочими станциями, иерархией подразделений и групповыми политиками, а также прикладными сервисами для IT-инфраструктур организаций различного масштаба. Продукт может использоваться в качестве замены Microsoft Active Directory и учитывает интересы администраторов и пользователей компаний, переходящих на отечественный софт. ALD Pro включён в дорожную карту «Новое общесистемное программное обеспечение»; решению присвоен статус «особо важного продукта» в рамках программы Минцифры России. Система соответствует требованиям Федеральной службы по техническому и экспортному контролю по 2-му уровню доверия и может использоваться в организациях, предъявляющих высокие требования к безопасности корпоративного ПО.

«Группа Астра» представила новую разработку — ИИ-ассистент для службы каталогов ALD Pro.

Программный комплекс ALD Pro предназначен для автоматизации и централизованного управления рабочими станциями, иерархией подразделений и групповыми политиками, а также прикладными сервисами для IT-инфраструктур организаций различного масштаба. Продукт может использоваться в качестве замены Microsoft Active Directory и учитывает интересы администраторов и пользователей компаний, переходящих на отечественный софт. ALD Pro включён в дорожную карту «Новое общесистемное программное обеспечение»; решению присвоен статус «особо важного продукта» в рамках программы Минцифры России. Система соответствует требованиям ФСТЭК по 2-му уровню доверия и может использоваться в организациях, предъявляющих высокие требования к безопасности корпоративного ПО.

Архитектура платформы ALD Pro (источник изображений: astra.ru)

Встроенный в ALD Pro интеллектуальный ассистент избавляет системных администраторов от необходимости вручную искать информацию: теперь точный ответ на любой вопрос по работе со службой каталогов можно получить буквально за несколько секунд. Для формулировки запроса не требуется знание специальных команд или терминов. ИИ-помощник обеспечивает мгновенный доступ к знаниям, минимизируя простои в работе, и автоматизирует рутинный поиск, высвобождая время сотрудников для более важных задач. Кроме того, ассистент значительно ускоряет адаптацию новых сотрудников, предоставляя им встроенную экспертную поддержку и сокращая время на обучение.

«На кейсе ALD Pro мы доказали, что локально размещённые большие языковые модели, настроенные под конкретные задачи, демонстрируют свыше 70 % качественных ответов и значительно снижают нагрузку на техническую поддержку. ИИ-помощник — незаменимый инструмент для компаний на этапе импортозамещения, позволяющий им быстро адаптироваться к изменениям. Внедрение таких решений позволяет ускорить онбординг сотрудников и повысить общую продуктивность команд на 30–40 %», — отмечает «Группа Астра».

«Группа Астра» объявила о выпуске обновлённой версии службы каталогов ALD Pro. Продукт получил индекс 3.0 и множество доработок — как функциональных, так и технологических.

Программный комплекс ALD Pro предназначен для автоматизации и централизованного управления рабочими станциями, иерархией подразделений и групповыми политиками, а также прикладными сервисами для IT-инфраструктур организаций различного масштаба. Продукт может использоваться в качестве замены Microsoft Active Directory и учитывает интересы администраторов и пользователей компаний, переходящих на отечественный софт. ALD Pro включён в дорожную карту «Новое общесистемное программное обеспечение»; решению присвоен статус «особо важного продукта» в рамках программы Минцифры России. Система соответствует требованиям Федеральной службы по техническому и экспортному контролю по 2-му уровню доверия и может использоваться в организациях, предъявляющих высокие требования к безопасности корпоративного ПО.

Архитектура платформы ALD Pro (источник изображений: astra.ru)

Релиз ALD Pro 3.0 был подготовлен с учётом потребностей крупных предприятий, поэтому ключевыми улучшениями стали возможности горизонтального и вертикального масштабирования компонентов продукта. Сообщается о поддержке больших доменных инфраструктур на 400 контроллеров и 30 млн объектов, а также повышенной производительности при синхронизации данных с доменом Microsoft Active Directory. По заверениям разработчика, теперь миграция на 10 тысяч учётных записей занимает около двух часов, что делает возможным реализацию крупных проектов импортозамещения в сжатые сроки. Одной из особенностей обновлённого решения стала синхронизация паролей в отдельном потоке и переход на уникальные идентификаторы objectGUID и nsUniqueId, полностью исключающие возникновение конфликтов при обработке данных.

ALD Pro позволяет централизованно управлять доступом к IT-ресурсам предприятия, аутентификацией и авторизацией сотрудников, а также хранить информацию о пользователях, группах и компьютерах в сети

Существенным доработкам в ALD Pro 3.0 подверглись механизмы защиты данных: появились средства централизованного управления доступом к USB-накопителям на рабочих станциях под управлением Astra Linux, интерфейсы для регистрации внешних дисков, управления уровнями и категориями конфиденциальности пользователей. Дополнительными функциями, направленными на повышение безопасности платформы, стали возможность управления паролями локальных администраторов (Local Administrator Password Solution, LAPS) и возможность проверки новых паролей по словарю запрещённых слов.

В числе прочего обновлённая служба каталогов получила доработанный пользовательский интерфейс и полноценную поддержку операционных систем ALT Linux 10.4, «Ред ОС» 7.3/8 на клиентских устройствах. В дополнение к этому, начиная с релиза ALD Pro 3.0, стала доступна бесплатная редакция Free, которой можно воспользоваться для ознакомления с базовыми возможностями продукта или централизованного управления инфраструктурой в небольших организациях. Редакция позволяет установить один контроллер домена и создать доверительные отношения с одним лесом доменов Active Directory. В домене можно зарегистрировать до 25 пользователей и до 25 компьютеров. Доступны групповые политики и удалённый доступ к рабочему столу пользователя для оказания технической поддержки. В редакции нет ограничений на возможность установки обновлений.

Согласно исследованию «Лаборатории Касперского», более трети россиян готовы вместо пароля использовать альтернативные способы авторизации. В корпоративном сегменте такой готовности пока не наблюдается, о чём свидетельствуют результаты исследования Avanpost.

В рамках исследования специалисты Avanpost рассмотрели самые востребованные классы решений корпоративной инфраструктуры: VPN, VDI, Wi-Fi и сеть; корпоративные коммуникации (почта, ВКС); ERP/ЭДО; Service Desk; АРМы и серверы, а также средства разработки (например, GitLab). По каждому из них оценивалась доля использования пяти методов аутентификации: «обычные» пароли, доменная аутентификация, RADIUS, SAML и OpenID Connect.

В исследовании отмечено, что в современных корпоративных системах по-прежнему широко используется аутентификация на основе паролей и LDAP. Основная причина заключается в том, что заказчиками зачастую не предъявляются требования по поддержке коробочными корпоративными решениями современных механизмов аутентификации, говорит компания.

Это связано с отсутствием в корпоративных инфраструктурах централизованных современных сервисов Identity Provider (IDP), а также с длительным жизненным циклом (5–10 лет) ранее внедрённых систем. К тому же множество широко распространённых продуктов и платформ проектировались и развивались с учётом архитектуры, заложенной десятки лет назад.

Источник изображения: Bruno Brito / Unsplash

В корпоративных системах по-прежнему остаются самым распространённым методом аутентификации традиционные «обычные» пароли, несмотря на агитацию Google, Apple и Microsoft за отказ от них. Во всех проанализированных в исследовании категориях их использование близко к 100 %, несмотря на наличие современных решений. На втором место по распространённости в корпоративном сегменте находится доменная LDAP-аутентификация, хотя это общепризнанный антипаттерн, говорит компания. Особенно широко она используется в инфраструктурном сегменте (АРМы и серверы), а также в корпоративных решениях для VPN, VDI и Wi-Fi-средах с долей до 90–100 %. Это объясняется высокой совместимостью с внутренними сетями и политиками безопасности Microsoft Active Directory и другими решениями экосистемы Microsoft.

Протокол SAML (Security Assertion Markup Language) используется в 50–60 % системах ERP и службах поддержки, особенно — в SaaS/PaaS, интегрируемых с корпоративными провайдерами удостоверений, размещёнными во внутренней инфраструктуре, преимущественно за счёт возможности взаимодействия через пользователей. «Особенно удивляет сохраняющаяся тенденция реализовывать поддержку SAML в новых продуктах вместо поддержки более современного протокола OpenID Connect», — сообщили исследователи. OpenID Connect больше всего используют в средствах разработки — до 60 % случаев, тогда как в остальных категориях его доля составляет менее 30 %. При этом использование OpenID Connect в других классах корпоративных решений остаётся на достаточно низком уровне.

Источник изображения: Avanpost

По итогам исследования в Avanpost пришли к выводу, что корпоративные IT-инфраструктуры по-прежнему находятся в стадии трансформации в вопросах аутентификации. На фоне широкого распространения встроенной парольной и LDAP-аутентификации всё же заметен рост интереса к современным IdP-протоколам OpenID Connect и SAML. Вместе с тем уровень готовности большинства коробочных продуктов к использованию современных протоколов аутентификации оставляет желать. RADIUS по-прежнему широко используются при интеграции с внутренними системами из-за высокой совместимости с ранее закупленным сетевым оборудованием.

Хотя большинство корпоративного ПО продолжает полагаться на традиционные схемы аутентификации с паролями и LDAP, и лишь незначительная часть приложений (примерно 5–10 %) из коробки поддерживает OpenID Connect, грамотная стратегия миграции позволит организациям постепенно повысить уровень безопасности и удобства для пользователей без чрезмерных рисков и затрат, отметили исследователи. «Фокус на централизованной платформе IAM и в целом на Identity-центричном подходе к аутентификации и развитие культуры безопасности поможет сделать переход последовательным и контролируемым, не остановив, при этом, текущие бизнес-процессы», — сообщили в Avanpost.

Компания «Мультифактор» сообщила о выпуске Enterprise-версии службы каталогов MultiDirectory. В отличие от свободного распространяемой Community-сборки, коммерческое решение имеет расширенные функциональные возможности и предполагает техническое сопровождение со стороны разработчика.

MultiDirectory представляет собой инструмент для аутентификации и авторизации пользователей в корпоративной среде с использованием протоколов LDAP/LDAPS. Продукт структурно адаптирован под Active Directory, что позволяет использовать его в средах, где требуется совместимость с этой службой. Отечественная разработка обеспечивает централизованное управление учётными записями, гибкую настройку политик безопасности, двухфакторную аутентификацию, интеграцию с DNS-сервером Bind9. Решение поддерживает взаимодействие с рабочими станциями на базе Windows, macOS, Linux и может быть интегрировано с различными сторонними системами в IT-инфраструктуре организации.

Пользовательский интерфейс MultiDirectory (источник изображения: multidirectory.ru)

Помимо основных возможностей, Enterprise-версия службы каталогов MultiDirectory включает в себя постоянное внедрение новых функций вроде поддержки доверия доменов, гибкой ролевой модели и контроля сессий пользователей, гарантированную техническую поддержку от разработчиков «Мультифактор», прямой доступ к экспертам через e-mail и телефон, а также конкретные сроки исправления багов и регулярные обновления.

Сравнение Community- и Enterprise-версий MultiDirectory (источник изображения: multidirectory.ru)

MultiDirectory в полной мере отвечает задачам импортозамещения и может использоваться заказчиками при реализации программ по переходу на отечественные продукты с решений зарубежных разработчиков.

Компания Avanpost, российский вендор в области безопасности идентификационных данных, выпустила новую версию службы каталогов Avanpost Directory Service (DS) 1.6.

Avanpost DS представляет собой решение для централизованного управления рабочими станциями и учётными записями, а также аутентификации пользователей по протоколам LDAP(S) и Kerberos. Система предназначена для управления Linux-инфраструктурами, может применяться в паре с Microsoft Active Directory и использоваться в качестве альтернативы зарубежной службе каталогов в рамках импортозамещения ПО. Отечественный продукт обеспечивает бесшовную миграцию с MS AD, управление ресурсами в период сосуществования двух платформ в корпоративной сети, а также привычные сценарии для IT-администраторов. Avanpost DS представлена в двух версиях — бесплатной Public и коммерческой Pro, полностью совместима с российскими дистрибутивами Linux (Astra Linux, «Ред ОС», «Альт» и другими) и подходит для организаций, переходящих на Linux-инфраструктуру.

Источник изображения: avanpost.ru

Главное нововведение релиза Avanpost DS 1.6 — поддержка односторонних и двусторонних доверительных отношений между Microsoft Active Directory и Avanpost DS, которая позволяет обеспечить прозрачный доступ к ресурсам в период одновременного использования двух служб в IT-инфраструктуре предприятия. Также в системе были расширены возможности управления парольными политиками. Для удобства администрирования добавлена функциональность корзины службы каталогов по аналогии с Microsoft Active Directory, обеспечивающая восстановление удалённых объектов и оснащённая графическим интерфейсом для доменного клиента.

Помимо новых функций, в версии службы каталогов Avanpost DS 1.6 исправлены ошибки отображения групповых политик и отображения событий журнала.

«Группа Астра» сообщила о получении сертификата Федеральной службы по техническому и экспортному контролю на систему централизованного управления доменом ALD Pro.

Программный комплекс ALD Pro предназначен для автоматизации и централизованного управления рабочими станциями, иерархией подразделений и групповыми политиками, а также прикладными сервисами для IT-инфраструктур организаций различного масштаба. Продукт может использоваться в качестве замены Microsoft Active Directory и учитывает интересы администраторов и пользователей компаний, переходящих на отечественный софт. ALD Pro включён в дорожную карту «Новое общесистемное программное обеспечение»; решению присвоен статус «особо важного продукта» в рамках программы Минцифры России.

Выданный ФСТЭК России сертификат подтверждает соответствие ALD Pro требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий. Продукт соответствует 4-му уровню доверия и располагает набором декларируемых в технических условиях функциональных возможностей.

Источник изображения: aldpro.ru

Решение подходит не только для информационных систем общего пользования (ИСОП) II класса, но также для государственных информационных систем (ГИС), информационных систем персональных данных (ИСПДн) и автоматизированных систем управления техническими процессами (АСУ ТП) до 1-го класса защищённости включительно. Кроме того, программный комплекс можно применять на значимых объектах критической информационной инфраструктуры, в том числе 1-ой категории.

«Сегодня заказчики активно переходят с зарубежных решений на отечественные. Мы понимаем, что внедряемый софт должен быть не только функциональным, но и надёжным, и получение сертификата ФСТЭК России — это документальное подтверждение безопасности ALD Pro. Защищённость всегда была и будет одним из ключевых приоритетов нашей команды, нам важно предоставлять клиентам стабильные и качественные решения», — говорится в сообщении «Группы Астра».

Компания «Базальт СПО» сообщила о доступности профессиональной аудитории открытой библиотеки libdomain, предназначенной для управления доменной IT-инфраструктурой на базе Samba, FreeIPA, Active Directory, OpenLDAP и реализации проектов по импортозамещению ПО в российских организациях.

Разработчики могут использовать libdomain вместо написания API под каждую службу каталогов. В составе библиотеки представлен модуль, который автоматически распознает, с какой именно службой каталогов происходит взаимодействие, и трансформирует запросы приложений в подходящий формат.

Библиотека выпущена под лицензией GNU GPLv2, включена в независимый открытый репозиторий проекта «Сизиф» и в 11 программную платформу (p11), являющуюся основой для разработки новых версий операционных Linux-систем семейства «Альт» и широкого спектра других программных продуктов — от софта для встроенных и мобильных устройств до программных решений для серверов предприятий, дата-центров и облачных окружений.

Схема работы библиотеки libdomain

Libdomain разработана при грантовой поддержке Фонда содействия инновациям. В планах компании «Базальт СПО» — дальнейшее развитие библиотеки и расширение её функциональных возможностей.