Параметры безопасности

ℹ️ О документе

В этом разделе описываются параметры безопасности системы IDENTYX, включая политики паролей, требования двухфакторной аутентификации, автоматическую блокировку при неактивности и другие меры защиты учетных записей.

Доступ к настройкам безопасности

Для доступа к параметрам безопасности:

  1. Войдите в систему под учетной записью администратора
  2. Перейдите в раздел Настройки через главное меню
  3. Откройте вкладку Настройки
  4. Найдите секцию Информационная безопасность в дереве параметров
⚠️ Права доступа

Изменение параметров безопасности доступно только пользователям с правами суперадминистратора IAM. Обычные пользователи и локальные администраторы не имеют доступа к этим настройкам.

Политики паролей

Настройки политик паролей позволяют обеспечить соблюдение требований безопасности при создании и использовании паролей пользователями. Все параметры находятся в подсекции Пароли.

Минимальная длина пароля

Параметр: password_min_length

Тип: Числовое значение

Значение по умолчанию: 3

Определяет минимальное количество символов, которое должен содержать пароль. Пользователи не смогут установить пароль короче указанной длины.

✅ Рекомендация

Для обеспечения безопасности рекомендуется устанавливать минимальную длину пароля не менее 8 символов. Для критичных систем — 12 или более символов.

Требования к составу пароля

Вы можете включить проверку наличия различных типов символов в пароле:

Параметр Описание Значение по умолчанию
password_require_uppercase_letter Хотя бы один символ в верхнем регистре (A-Z) Выключено (0)
password_require_lowercase_letter Хотя бы один символ в нижнем регистре (a-z) Выключено (0)
password_require_digit Хотя бы одна цифра (0-9) Выключено (0)
password_require_special_character Хотя бы один специальный символ (!@#$%^&* и т.д.) Выключено (0)

Пример сильного пароля: При включении всех четырех требований пароль должен содержать заглавные буквы, строчные буквы, цифры и специальные символы. Например: MyP@ssw0rd123!

ℹ️ Как это работает

Каждое требование представляет собой чекбокс в интерфейсе настроек. Установите флажок, чтобы включить требование. При попытке установить пароль, не соответствующий требованиям, пользователь получит сообщение об ошибке с указанием недостающих элементов.

Максимальное количество неудачных попыток входа

Параметр: acl_max_bad_auth_count

Тип: Числовое значение

Значение по умолчанию: 10

Определяет, сколько раз пользователь может ввести неправильный пароль, прежде чем его учетная запись будет автоматически заблокирована. Это защищает от атак подбора пароля (brute force).

Как это работает:

  • Счетчик неудачных попыток увеличивается при каждом неправильном вводе пароля
  • После достижения лимита учетная запись блокируется
  • Администратор должен вручную разблокировать пользователя
  • Счетчик сбрасывается при успешном входе
⚠️ Важно

Установка слишком низкого значения (например, 3) может привести к частым блокировкам пользователей из-за случайных опечаток. Рекомендуемое значение: от 5 до 10 попыток.

Запрет повторного использования паролей

Параметр: acl_remember_last_passwords

Тип: Числовое значение

Значение по умолчанию: 3

Определяет, сколько последних паролей система запоминает для каждого пользователя. При смене пароля пользователь не сможет установить пароль, который совпадает с любым из запомненных.

Примеры:

  • Значение 0: Проверка не выполняется, пользователь может повторно использовать старые пароли
  • Значение 3: Система запоминает последние 3 пароля и не разрешает их повторно использовать
  • Значение 10: Система запоминает последние 10 паролей
✅ Безопасность

Эта функция предотвращает циклическое использование одних и тех же паролей. Рекомендуется устанавливать значение от 3 до 5 для баланса между безопасностью и удобством пользователей.

Принудительная смена пароля

Параметр: acl_force_change_password_after_x_days

Тип: Числовое значение

Значение по умолчанию: 120 (дней)

Определяет, через сколько дней после последней смены пароля система требует от пользователя установить новый пароль. Это обеспечивает регулярную ротацию паролей.

Как это работает:

  • Система отслеживает дату последней смены пароля для каждого пользователя
  • При достижении указанного количества дней пароль считается устаревшим
  • При входе пользователь получает уведомление о необходимости смены пароля
  • После смены пароля счетчик обнуляется
ℹ️ Рекомендуемые значения
  • 90 дней: Для систем с высокими требованиями безопасности
  • 120 дней: Стандартное значение для корпоративных систем
  • 180 дней: Для систем с умеренными требованиями безопасности
  • 0 дней: Отключает принудительную смену пароля

Предупреждение о смене пароля

Параметр: acl_notify_require_change_password_days

Тип: Числовое значение

Значение по умолчанию: 10 (дней)

Определяет за сколько дней до истечения срока действия пароля система начинает показывать предупреждения пользователю. Это дает пользователям время заранее сменить пароль, избегая неожиданной блокировки.

Пример: Если параметр acl_force_change_password_after_x_days установлен в 120, а acl_notify_require_change_password_days в 10, то пользователь начнет получать предупреждения за 10 дней до истечения 120-дневного периода (то есть на 110-й день).

Двухфакторная аутентификация

Настройки двухфакторной аутентификации позволяют требовать использование дополнительного метода подтверждения личности при входе. Параметры находятся в подсекции Двухфакторная аутентификация.

Глобальное требование 2FA

Параметр: require_2_fa

Тип: Логическое значение (чекбокс)

Значение по умолчанию: Выключено

При включении этого параметра все пользователи системы будут обязаны настроить и использовать второй фактор аутентификации. При первом входе после включения параметра пользователи, у которых не настроена 2FA, будут автоматически перенаправлены на страницу настройки.

📱 TOTP (приложения-аутентификаторы)

Коды из мобильных приложений:

  • Google Authenticator
  • Microsoft Authenticator
  • Yandex Key
  • Другие совместимые приложения
📧 Email 2FA

Одноразовые коды отправляются на email пользователя при каждом входе

⚠️ Планируйте включение 2FA

Перед включением глобального требования 2FA убедитесь, что:

  • Пользователи проинформированы о предстоящих изменениях
  • Настроена отправка email (если используется Email 2FA)
  • У пользователей есть доступ к мобильным устройствам (для TOTP)
  • Подготовлены инструкции по настройке 2FA

Пропуск 2FA при использовании WebAuthn

Параметр: allow_webauthn_without_2fa

Тип: Логическое значение (чекбокс)

Значение по умолчанию: Выключено

Если включено, пользователи могут настроить пропуск второго фактора аутентификации при входе через WebAuthn (биометрия, аппаратные ключи безопасности). Это возможно потому, что WebAuthn сам по себе является сильным методом аутентификации, требующим физического устройства пользователя.

ℹ️ Что такое WebAuthn

WebAuthn включает следующие методы входа:

  • Face ID и Touch ID на устройствах Apple
  • Windows Hello на компьютерах с Windows
  • USB-ключи безопасности (YubiKey и аналоги)
  • Биометрические сканеры на Android-устройствах

Подробнее: WebAuthn (биометрия и ключи)

Автоматическая блокировка при неактивности

Эти параметры защищают сессию пользователя от несанкционированного доступа при отсутствии активности. Настройки находятся в подсекции Автоматическая блокировка сессии при бездействии пользователя.

Включение блокировки экрана

Параметр: blockScreenIfUserInactive

Тип: Логическое значение (чекбокс)

Значение по умолчанию: Включено (1)

При включении система автоматически блокирует экран приложения после периода неактивности пользователя. Блокировка распространяется на веб-интерфейс IDENTYX и приложения, работающие через IDENTYX Proxy.

Время до блокировки

Параметр: blockScreenAfterSeconds

Тип: Числовое значение (секунды)

Значение по умолчанию: 10800 (3 часа)

Определяет через сколько секунд неактивности экран будет заблокирован.

Секунды Время Рекомендуется для
300 5 минут Высокая безопасность, общественные места
900 15 минут Офисы с повышенными требованиями
1800 30 минут Стандартные корпоративные офисы
3600 1 час Доверенные окружения
10800 3 часа Значение по умолчанию

Предупреждение перед блокировкой

Параметр: showAlertBeforeLockScreen

Тип: Логическое значение (чекбокс)

Значение по умолчанию: Включено (1)

Если включено, система показывает предупреждающее уведомление за несколько секунд до блокировки экрана. Пользователь может нажать на уведомление или выполнить любое действие, чтобы отменить блокировку.

✅ Удобство использования

Рекомендуется оставить предупреждение включенным, чтобы пользователи, читающие длинные документы или находящиеся в отлучке, не теряли несохраненную работу из-за неожиданной блокировки.

Уведомления о действиях администратора

Настройки уведомлений администраторов находятся в подсекции Оповещения о действиях администратора.

Email для уведомлений

Параметр: admin_actions_notify_email

Тип: Строка (email адрес)

Значение по умолчанию: Пусто

Если указан email адрес, система отправляет на него уведомления о критичных действиях администраторов с учетными записями пользователей.

Примеры уведомлений:

  • Создание нового пользователя
  • Удаление пользователя
  • Блокировка учетной записи
  • Разблокировка учетной записи
  • Сброс пароля пользователя
  • Изменение прав доступа
ℹ️ Цель уведомлений

Эта функция полезна для организаций, где требуется аудит всех действий администраторов или когда один администратор контролирует действия других администраторов. Уведомления помогают выявить несанкционированные изменения в системе.

Блокировка неактивных учетных записей

Этот параметр находится в подсекции Прочее.

Период неактивности для блокировки

Параметр: acl_block_user_if_no_auth_long_time

Тип: Числовое значение (дни)

Значение по умолчанию: 90 (дней)

Определяет через сколько дней неиспользования учетная запись будет автоматически заблокирована. Неактивной считается учетная запись, в которую пользователь не входил указанное количество дней.

Как это работает:

  • Система отслеживает дату последнего успешного входа для каждого пользователя
  • Автоматическая проверка выполняется периодически (обычно раз в сутки)
  • Учетные записи, неактивные более указанного периода, блокируются
  • Администратор может вручную разблокировать учетную запись
  • Значение 0 отключает автоматическую блокировку
⚠️ Системные учетные записи

Будьте осторожны с этим параметром, если у вас есть служебные учетные записи, которые используются редко, но должны оставаться активными (например, технические учетные записи для интеграций). Рассмотрите возможность исключения таких учетных записей из автоматической блокировки.

Ограничение параллельных сессий

Этот параметр находится в подсекции Прочее.

Максимальное количество сессий

Параметр: maxSessionsCount

Тип: Числовое значение

Значение по умолчанию: 0 (без ограничений)

Определяет максимальное количество одновременных сессий доступа к IAM системе для одного пользователя. При превышении лимита самая старая сессия автоматически закрывается.

Примеры использования:

  • 0: Без ограничений — пользователь может входить с любого количества устройств одновременно
  • 1: Только одна сессия — новый вход автоматически завершает предыдущую сессию
  • 2-3: Позволяет пользователю работать с нескольких устройств (например, компьютер + телефон)
  • 5: Достаточно для большинства сценариев использования
ℹ️ Как определяется сессия

Каждая сессия соответствует одному браузеру или устройству. Если пользователь открывает несколько вкладок в одном браузере, это считается одной сессией. Но если пользователь входит с разных браузеров или устройств, каждый вход создает отдельную сессию.

✅ Безопасность vs Удобство

Ограничение количества сессий повышает безопасность, предотвращая использование скомпрометированных учетных данных. Однако слишком жесткие ограничения (например, только 1 сессия) могут вызвать неудобства у пользователей, работающих с нескольких устройств. Рекомендуемое значение: 3-5 сессий.

Сохранение настроек безопасности

После изменения любых параметров в разделе Информационная безопасность:

  1. Нажмите кнопку Сохранить, расположенную в правом нижнем углу страницы
  2. Дождитесь сообщения "Параметры сохранены"
  3. Система автоматически перезапустит необходимые сервисы (может занять несколько секунд)
  4. Новые настройки вступят в силу немедленно для новых входов пользователей
🚫 Не забывайте сохранять

Изменения в настройках не применяются автоматически. Если вы закроете страницу настроек без нажатия кнопки Сохранить, все изменения будут потеряны.

Рекомендации по настройке безопасности

🔐 Базовая безопасность
  • Минимальная длина пароля: 8 символов
  • Требовать хотя бы одну цифру
  • Требовать хотя бы одну заглавную букву
  • Максимум неудачных попыток: 5-10
  • Смена пароля каждые 180 дней
🛡️ Повышенная безопасность
  • Минимальная длина пароля: 12 символов
  • Все требования к символам включены
  • Максимум неудачных попыток: 5
  • Смена пароля каждые 90 дней
  • Глобальная 2FA включена
  • Блокировка экрана через 15 минут
  • Ограничение сессий: 3
🏢 Корпоративный стандарт
  • Минимальная длина пароля: 10 символов
  • Цифры и заглавные буквы обязательны
  • Максимум неудачных попыток: 7
  • Смена пароля каждые 120 дней
  • 2FA для администраторов обязательна
  • Блокировка экрана через 30 минут
  • Блокировка неактивных учетных записей через 90 дней

Решение проблем

Пользователи часто блокируются

Причина: Слишком низкое значение параметра acl_max_bad_auth_count.

Решение:

  • Увеличьте максимальное количество неудачных попыток до 7-10
  • Проверьте, не используют ли пользователи автозаполнение с устаревшими паролями
  • Убедитесь, что пользователи понимают требования к паролям

2FA не требуется после включения

Причина: Пользователи уже вошли до включения параметра, или изменения не сохранены.

Решение:

  • Убедитесь, что вы нажали кнопку Сохранить после включения параметра
  • Дождитесь перезапуска сервиса
  • Попросите пользователей выйти и войти заново
  • Проверьте, что у пользователей есть email для настройки Email 2FA

Экран не блокируется при неактивности

Причина: Параметр blockScreenIfUserInactive выключен или значение слишком велико.

Решение:

  • Убедитесь, что чекбокс Блокировать экран приложения если пользователь бездействует включен
  • Проверьте значение параметра blockScreenAfterSeconds (по умолчанию 10800 секунд = 3 часа)
  • Сохраните изменения и обновите страницу в браузере

Требования к паролям не работают

Причина: Чекбоксы не установлены или изменения не сохранены.

Решение:

  • Убедитесь, что все необходимые чекбоксы требований к паролю установлены
  • Нажмите кнопку Сохранить
  • Дождитесь перезапуска сервиса
  • Попробуйте установить тестовый пароль, не соответствующий требованиям — вы должны получить ошибку

Сессии не ограничиваются

Причина: Параметр maxSessionsCount установлен в 0 (без ограничений).

Решение:

  • Установите значение параметра maxSessionsCount больше 0 (например, 3 или 5)
  • Сохраните изменения
  • Новое ограничение применится при следующих входах пользователей
✅ Готовы продолжить?

Теперь вы можете настроить параметры электронной почты для отправки уведомлений и кодов 2FA. Переходите к разделу Email настройки для настройки SMTP сервера и шаблонов писем.