В этом разделе вы найдете описание примеров использования программы в рамках компании.

Продление ознакомительного периода до 60 дней.

Пробный период может быть продлен до 60 дней. Вы можете отправить запрос на получение ключа, продлевающего ознакомительный период. Это позволит тщательно протестировать Rohos Logon Key в вашей компании.
Для продления ознакомительного периода обращайтесь к нам по адресу: mailbox@rohos.ru.

Пробное использование программы в рамках компании

Прочитайте данную главу, если вы планируете использовать программу в рамках компании.

Программа Rohos предоставляет новые возможности, которые меняют привычный порядок работы, как для пользователей, так и администраторов. Поэтому мы рекомендуем использовать для испытания программы фокус группу.

  • Выберите небольшое подразделение или группу пользователей, в которой можно произвести пробную инсталляцию Rohos Logon Key с выдачей USB ключей для доступа к компьютеру;
  • Для тестирования понадобится некоторое количество USB накопителей.

Рекомендации по установке:

  • Не отключайте возможность ручного ввода пароля для всех пользователей с самого начала тестирования.

Разбейте процесс испытания программы на 2 этапа:

  1. Пробная инсталляция программы и испытание функции доступа к системе с помощью USB ключа среди членов фокус группы в присутствии технического специалиста (Администратора сети).
  2. Испытания в «боевых» условиях без присутствия Администратора среди небольшого отдела. (см. пример 1)

После таких испытаний программу Rohos можно устанавливать на остальные компьютеры сети.

Пример 1. Сеть, основанная на Windows Active Directory. Локальный вход в систему.

Перед установкой программы на компьютерах  домена, ознакомьтесь с нашей статьей по этой теме.

Вначале установите Rohos Management Tools на ваш компьютер (компьютер администратора).

Пример массовой инсталляции программы в сети:

  1. Настройте для каждого пользователя USB Ключ с паролем пользователя (используйте для этого утилиту управления USB ключами)
  2. Установите на заданный компьютер программу, с обычного дистрибутива или используя MSI пакет.
  3. Раздайте USB Ключи сотрудникам.
  4. Проверьте возможность входа каждого пользователя по ключу на всех компьютерах, где установлена программа.
  5. Запустите программу Rohos Remote config на компьютере администратора (читайте главу Rohos Remote Config). Экспортируйте список ключей на все компьютеры домена.
  6. С помощью этой же программы настройте все компьютеры домена проверять серийный номер USB ключа.
  7. Теперь создайте новый USB ключ для какого-нибудь пользователя, но не экспортируйте данные о нем на рабочие станции.
  8. Теперь пользователи, которым вы раздали ключи, смогут открывать компьютеры с помощью только тех ключей, которые вы создали на компьютере администратора до экспорта их списка на подключенные рабочие станции. Ключ, созданные после экспорта, будет непригоден для доступа к этим компьютерам. Таким образом мы можем обезопасить систему от самодельных ключей.
  9. Теперь настало время ограничить доступ на компьютеры домена без USB ключа. Сделать это можно двумя способами:
    — запретить вход в систему без ключа для всех пользователей, для которых мы создали ключи.
    — запретить вход только для определенной группы пользователей, вне зависимости от того, создали мы ключи для них или еще нет.В первом случае Следует запустить программу Rohos Remote Config и в списке 2-factor authentication control type выбрать for listed users.  Теперь на компьютере домена, где установлена программа Rohos Logon Key, и куда был экспортирован список пользователей и ключей, авторизация без USB ключа для этих пользователей будет невозможна. В таком случае, вероятно, администратор не должен делать ключ для себя, чтобы сохранить возможность входа в случае аварии. Либо в системе должна существовать резервная административная запись.Во втором случае нужных пользователей следует внести в группу rohos, предварительно созданную в домене. Потом запустите  Rohos Remote Config на компьютере администратора и для всех подключенных компьютеров установите значение for rohos user group в списке 2-factor authentication control type. Теперь программа Rohos Logon Key не позволит войти в систему без ключа пользователям, включенным в эту группу. Разумеется, для возможности аварийного восстановления, должна существовать учетная запись администратора, не включенная в эту группу.
    Внимание: Эта функция будет работать только на тех компьютерах домена, где установлена программа Rohos Logon Key. Если программа на компьютере не установлена, экспорт конфигурации с помощью программы Rohos Remote Config ничего не даст.

Пример 2. Настройка доступа на терминальный сервер через Удаленный рабочий стол.

  • Перед настройкой программы ознакомьтесь пожалуйста со статьей, посвященной этой задаче.
  • Какую программу использовать для создания ключей: Саму программу Rohos Logon Key или USB key Manager? Ответ зависти от того, какой тип USB ключа вы хотите использовать и какой уровень безопасности вам необходим.
  1. Программа USB key manager способна создавать ключи ограниченного набора типов. Со списком типов ключей вы можете ознакомиться, нажав на кнопку Settings в главном окне.
  2. Программа USB key manager не способна записывать на ключ пароль в зашифрованном виде. Это может сделать только программа Rohos Logon Key. С одной стороны незашифрованный пароль на ключе — это преимущество, поскольку зашифрованный пароль жёстко привязан к компьютеру, на котором этот ключ был сделан, и другой компьютер таким ключем не открыть. С другой стороны, незашифрованный пароль — это прокол в безопасности, поскольку злоумышленник может его подсмотреть с помощью той же программы USB key manager(если, конечно, ключ попадет в его руки).

Поэтому, если мы создаем ключи в программе USB Key Manager,  придется использовать только определенные ключи, и записывать на них пароль в открытом виде. Однако скорость создания ключей повышается существенно.

Если же необходим высокий уровень безопасности, или же ваш ключ отсутствует в списке поддерживаемых устройств USB key manager, придется создавать все ключи прямо на целевом компьютере, в нашем случае на терминальном сервере, зайдя на него через удаленный рабочий стол. На сервере предварительно устанавливается программа Rohoss Logon Key, указывается тип ключа, который будет использоваться. Для всех пользователей тип ключа должен быть один и тот же. При создании ключей прямо на серверном компьютере в его настройках автоматически выставляется опция check serial number. Таким образом, ключ будет содержать зашифрованный пароль, и доступ для самодельных ключей будет закрыт.

В случае использования USB key manager для создания ключей, следует экспортировать список ключей на сервер, используя команду Export в программе USB key manager, в окне Users, открывающемся по команде Key list. Получаем файл с расширением .reg на рабочем столе. Переносим его на сервер и импортируем в программу Rohos Logon key-> Users and keys. Собственно, можно и не импортировать, просто сделайте на нем двойной клик и информация о ключах будет занесена в реестр. Теперь в опциях программы Rohos Logon key нажимаем кнопку More.. и устанавливаем свойство Check Serial number.

И еще одна важная особенность. Если как ключ используются USB Flash накопители, и предполагается проверять серийные номера при аутентификации, то для создания ключей можно использовать только USB key manager. Дело в том, что пока что при работе через RDC на сервер не передается реальный серийный номер съемного диска, поэтому создать ключ в программе Rohos Logon Key на сервере не удастся. Мы продолжаем работать в этом направлении, чтобы обеспечить хранение зашифрованного пароля на таком USB ключе для удаленного доступа.