.
Сходство продуктов
Все сравниваемые продукты были установлены на одном и том же компьютере с операционной системой Windows Server 2008 менее чем за 30 минут. В каждом экземпляре имелась административная консоль для настройки программного продукта, веб-сайт конечного пользователя, с помощью которого пользователи могли изменять забытые пароли, и справочный сайт, через который технические специалисты могли помочь конечным пользователям сменить пароль. Каждый продукт выполняет проверку паролей при вводе и предъявляет к паролю ряд требований. Требования к паролям во всех пяти продуктах очень похожи, единственным исключением были параметры словарей в Specops Password Policy и Quest Password Manager, с помощью которых можно запретить использование в паролях определенных слов.
Между функциями безопасности продуктов также есть некоторое сходство. В каждом из них используется защищенный паролем процесс регистрации, в ходе которого конечный пользователь отвечает на несколько вопросов: можно сделать вопросы обязательными или настроить продукт таким образом, чтобы конечные пользователи выбирали вопросы из списка. Во всех рассмотренных продуктах есть правила, обеспечивающие пользователям надежный метод для ответа на эти вопросы. В частности, правилами устанавливается:
- требование уникальности ответа на каждый вопрос;
- требование учитывать регистр символов в ответах на вопросы;
- допустимое число особых вопросов;
- общее число вопросов;
- требование назначения конечными пользователями вопросов для сброса пароля и прохождения регистрации при начале работы с компьютером;
- порог блокировки при неправильных ответах на вопросы для смены пароля (аналогично порогу блокировки при вводе пароля при регистрации в системе);
- минимальная длина особых вопросов;
- требование, чтобы длина всех ответов превышала пять символов;
- запрет на использование в ответах слов, имеющихся в вопросе.
Только в ADSelfService Plus компании ManageEngine не используется Microsoft IIS. В состав каждого продукта входит клиентское приложение, которое дополняет экран входа Windows кнопкой помощи. Нажав эту кнопку, конечные пользователи попадают на портал самостоятельного управления паролями без обязательной регистрации на компьютере. Без клиентского приложения пользователи все же могут обратиться к веб-узлу смены пароля, чтобы зарегистрироваться в системе или сбросить пароль. Однако таким пользователям, вероятно, придется зайти на другой компьютер, пригодный для доступа в Web без предварительной регистрации.
Еще одно достоинство продуктов — лицензирование в зависимости от количества пользователей, а не серверов. Поэтому можно установить второй сервер для повышения отказоустойчивости.
Specops Password Policy и Specops Password Reset
За: простота установки; интеграция с AD для применения разнообразных политик паролей; наглядная оценка надежности политики паролей; пользователю предоставляется динамический вид правил с возможностью посмотреть, каким требованиям удовлетворяет пароль.
Против: существенные недостатки отсутствуют.
Оценка: 5 из 5.
Цена: 12 960 долл. для 1000 пользователей (6480 долл. для Specops Password Policy и 6480 долл. для Specops Password Reset)
Рекомендации: два продукта Specops чрезвычайно удачно дополняют друг друга, обеспечивая надежную защиту и исчерпывающую интеграцию с AD, вплоть до использования собственных инструментов управления групповой политикой для настройки продукта.
Контактная информация: Specops Software, www.specopssoft.com
Два продукта, Specops Password Policy (см. экран 1) и Specops Password Reset компании Specops Software, были протестированы вместе. Установка на Windows Server 2008 выполняется с использованием простых мастеров в виде заполнения контрольных списков. Подобные мастера установки мне приходилось видеть в других продуктах Specops. При прохождении каждого этапа установки мастера выполняют необходимое действие за пользователя или указывают, что необходимо сделать для продолжения работы. Для каждого продукта установка заняла около 15 минут. Эти продукты — единственные, которые устанавливают самозаверяющий сертификат в процессе установки для защиты всего веб-трафика. Поставщик рекомендует использовать вместо самозаверяющего сертификат из общедоступного источника после того, как внедрение выйдет за рамки пробного этапа. В противном случае внутренние и внешние пользователи будут получать предупреждения в процессе использования веб-портала самообслуживания.
Экран 1. Specops Password Policy |
Необходимо установить прилагаемую программу Specops Password Policy Sentinel на всех контроллерах домена (DC), к которым могут подключаться пользователи, чтобы гарантированно применить политики паролей Specops при смене паролей в масштабах всей организации.
При назначении политик паролей и сброса паролей в Active Directory (AD) необходимо определить нестрогие политики паролей домена и применить жесткие требования к паролям для отдельных организационных единиц (OU). Политики паролей, создаваемые в продуктах Specops, должны быть более строгими, чтобы соответствовать политике домена по умолчанию, применяемой во всем домене.
ManageEngine ADSelfService Plus
За: располагает полноценным и настраиваемым порталом для самостоятельной смены пароля конечными пользователями, специалистами службы поддержки и администраторами; доступная цена.
Против: отсутствует интеграция с AD, поэтому пользователи могут применить настроенные параметры паролей только из интерфейса ADSelfService Plus.
Оценка: 4,5 из 5.
Цена: 995 долл. для 1000 пользователей, включая обслуживание и технические консультации в течение года.
Рекомендации: ADSelfService Plus заслуживает внимания, если нужна система управления паролями с разнообразными политиками паролей, но бюджет недостаточен для приобретения продукта, интегрированного с AD.
Контактная информация: ManageEngine, www.manageengine.com
ADSelfService Plus компании ManageEngine (экран 2) располагает полным набором функций для продукта такой стоимости, а также каталогом сотрудников, с помощью которого пользователи могут искать контактную информацию других пользователей или обновлять собственные данные. Продукт устанавливается всего несколькими щелчками мыши и использует собственный веб-сервер и базу данных MySQL, устанавливаемую вместе с ним. Для защиты веб-сервера необходим сертификат; получить его поможет специальный инструмент в составе ADSelfService Plus.
Экран 2. ADSelfService Plus компании ManageEngine |
Как в Specops SPPPR, в ADSelfService Plus есть функция пересылки кода проверки на сотовый телефон пользователя, наряду с требованием правильного ответа на контрольные вопросы. Как и в Quest Password Manager, в набор средств безопасности ADSelfService Plus входит тест CAPTCHA. Однако, в отличие от продуктов Quest и Specops, интеграция с AD отсутствует.
Для освоения ADSelfService Plus требуется некоторое время, отчасти потому, что глубина многих его компонентов составляет три или четыре уровня, а отчасти из-за того, что можно неверно истолковать выражения в интерфейсе. Например, можно подумать, что в режиме Force user to enroll option клиентское приложение перехватывает процесс входа и заставляет пользователя пройти регистрацию. Но в действительности этот параметр означает, что пользователь должен пройти процесс регистрации, прежде чем ему будет разрешено задействовать каталог сотрудников, встроенный в ADSelfService Plus. Поэтому поначалу администратору довольно сложно работать с продуктом.
Quest Password Manager
За: простота установки; имеется мастер установки для быстрого ввода продукта в эксплуатацию; благодаря интеграции с AD можно назначать отдельные политики паролей для различных организационных единиц через настройки групповой политики; много параметров интеграции.
Против: существенные недостатки отсутствуют.
Оценка: 5 из 5.
Цена: 5000 долл. для 1000 пользователей.
Рекомендации: если компания нуждается в полностью интегрированной системе управления паролями с возможностью интеграции с несколькими службами каталогов, то Quest Password Manager может быть оптимальным вариантом.
Контактная информация: Quest Software, www.quest.com
Процесс установки Quest Password Manager (экран 3) представлен мастером, который проводит пользователя по этапам создания новой политики паролей и смены пароля, которую можно затем назначить контейнеру в домене AD, а также группам безопасности AD. После того как мастер пройдет по этапам политики паролей, политики смены пароля, параметров безопасности и назначения контейнера, пользователь должен в какой-то мере уже освоить продукт. Таким образом, мастер установки является обучающей программой для администратора. Помните, что для полной интеграции Quest Password Manager с доменом необходимо установить msi-файл Quest Password Manager на всех контроллерах домена (DC).
Экран 3. Quest Password Manager |
Из всех продуктов, представленных в сравнительном обзоре, данное решение располагает самыми глубокими возможностями интеграции. Quest Password Manager проектировался для работы с Microsoft Identity Integration Server или Quest ActiveRoles Quick Connect. В последнем случае информацию пользователей можно синхронизировать в масштабах AD, AD Lightweight Directory Services (ADAM), текстовых файлов с разграничителями, Microsoft SQL Server, служб каталогов LDAP, OLE DB, Sun ONE Directory Server, базы данных Oracle, Novell Directory Services (NDS), IBM Resource Access Control Facility (RACF), IBM Lotus Domino Server и службы Google Apps.
В Quest Password Manager имеется шаблон групповой политики Graphical Identification and Authentication (GINA) с помощью которого можно добавить настройки конфигурации для этого приложения в домен групповой политики. Можно настроить не только вид и расположение шаблона на экране, но и поведение клиентского приложения. Например, можно принудительно использовать HTTP Secure (HTTPS), статически назначить URL-указатель центра восстановления или настроить параметры прокси.
Для Quest Password Manager необходим полный экземпляр SQL Server (а не просто SQL Server Express Edition) со службами SQL Server Reporting Services (SRSS). Если у вас нет экземпляра SQL Server, добавьте стоимость SQL Server в расчет затрат. Достоинство такого подхода — наличие SRSS для просмотра всей информации, доступной в Quest Password Manager.
Другая особенность Quest Password Manager — возможность назначить временный секретный код пользователям, не прошедшим процедуру регистрации. Срок действия секретных кодов можно ограничить. Но будьте осторожны: любой человек, имеющий доступ к порталу службы поддержки, может назначить секретный код, а затем пройти регистрацию и изменить любую учетную запись, для изменения которой у учетной записи службы Quest Password Manager есть разрешение. Если принято решение задействовать эту функцию, проверьте правильность делегирования учетной записи службы. В противном случае полномочия персонала службы поддержки могут оказаться гораздо шире, чем предполагалось. По умолчанию секретные коды отключены.
NetWrix Password Manager
За: простота использования; не требует больших усилий для освоения; возможность смены паролей для Google Apps.
Против: в процессе смены пароля пользователю не сообщается о требованиях к паролю.
Оценка: 4 из 5.
Цена: 6,50 долл. на одного пользователя для 150 пользователей; значительные скидки при большем числе пользователей; лицензирование подписки составляет 33% неограниченной лицензии после оптовой скидки.
Рекомендации: компании с большим числом мобильных пользователей могут рассматривать возможность смены пароля без подключения как большое преимущество NetWrix Password Manager перед другими продуктами. Бесплатная версия для 50 пользователей может оказаться вполне приемлемой для небольших компаний.
Контактная информация: NetWrix, www.netwrix.com
NetWrix Password Manager (экран 4) устанавливается на компьютерах с операционной системой Windows XP с пакетом исправлений 3 (SP3) или более поздней. После установки мне потребовалось лишь настроить проверку подлинности в службах IIS, чтобы включить проверку подлинности Windows. После установки работать с NetWrix Password Manager очень просто. Можно выбрать контрольные вопросы из списка, использовать собственные или позволить конечным пользователям самим составить вопросы. Для особых вопросов и ответов можно назначить минимальную длину и потребовать, чтобы все вопросы были уникальными. В процессе установки продукт создает группу AD с именем NetWrix Account Help Desk. Пользователи, введенные в эту группу, получают возможность задействовать веб-портал службы поддержки, чтобы помочь другим пользователям изменять пароли и разблокировать учетные записи.
Экран 4. NetWrix Password Manager |
Уникальная возможность NetWrix Password Manager — сброс пароля в режиме без подключения. В этом случае активизируется расширение GINA на экране регистрации Windows для сброса кэшированного пароля пользователя, даже если тот не подключен к домену. Это может быть очень удобно для компаний с большим количеством мобильных пользователей, но требует локальной установки расширения GINA.
Процесс импорта пользовательских данных в NetWrix Password Manager можно применять для того, чтобы заранее доставить информацию, необходимую в процессе регистрации пользователя. Таким образом упрощается процесс регистрации конечных пользователей. Компания NetWrix также предоставляет условно-бесплатную версию для 50 зарегистрированных пользователей.
PeoplePassword компании Web Active Directory
За: при использовании вместе с дополнительным продуктом PeopleEnroll компании Web Active Directory автоматический процесс регистрации позволяет организациям импортировать данные в PeoplePassword и выполнить регистрацию пользователей без их участия.
Против: нельзя одновременно разблокировать и сменить пароль. Пользователям приходится несколько раз пройти процесс сброса, если они забывают свои пароли и не могут получить доступ к своей учетной записи.
Оценка: ? ? ? ? ?
Цена: 4,50 долл. в год на одного пользователя за неограниченную лицензию; 0,25 долл. в месяц на одного пользователя за подписную лицензию.
Рекомендации: если для компании важен процесс регистрации и нежелательно, чтобы конечным пользователям приходилось выполнять действия вручную, имеет смысл остановить свой выбор на PeoplePassword.
Контактная информация: Web Active Directory, www.webactivedirectory.com
PeoplePassword компании Web Active Directory (экран 5) — еще один продукт, для работы которого нужны IIS и SQL Server. Но в данном случае можно использовать SQL Server 2005 или более новые версии, в том числе SQL Server Express Edition, если у вас нет SQL Server.
Экран 5. PeoplePassword компании Web Active Directory |
Компания Web Active Directory удачно организовала процесс регистрации в PeoplePassword. В него можно импортировать всю необходимую информацию, чтобы регистрировать пользователей в системе без их участия.
Помимо основной функциональности, имеющейся во всех продуктах, PeoplePassword располагает возможностью запросить альтернативный адрес электронной почты в процессе регистрации. Затем этот адрес можно использовать для пересылки кода смены пароля в процессе его смены. Функцию запроса альтернативного адреса электронной почты можно отключать и включать с помощью простого флажка в настройках профиля смены пароля. Однако нельзя потребовать ответы на контрольные вопросы перед отправкой сообщения по электронной почте. Некоторые компании предпочтут дождаться этого улучшения, прежде чем использовать данную функцию.
Различия между продуктами
Существенным различием между продуктами в данном обзоре была интеграция с AD. Два из рассмотренных продуктов — Specops Password Policy и Quest Password Manager — интегрированы с AD таким образом, что можно назначить различные политики паролей разным организационным единицам в домене, даже если эта возможность изначально не предусмотрена рабочим режимом домена. В обоих продуктах требуется установить приложение для перехвата запросов на изменение пароля и проверку на соответствие указанным требованиям перед их передачей в AD.
Эти продукты обеспечивали применение политик паролей как через интерфейс продукта, так и при использовании стандартной процедуры смены пароля, встроенной во все версии Windows, с любого компьютера в домене, с установленным клиентом или без него.
Более детальное сравнение основных возможностей всех продуктов приведено в таблице. Каждому продукту за реализованную функцию начисляется один балл; за интеграцию с групповой политикой начисляется два балла.
Таблица. Сравнение функциональных возможностей продуктов |
Нейт Макалмонд (mcalmond@gmail.com) — директор по ИТ в управлении социальной защиты, специализируется на инфраструктуре тонких клиентов и внедрении электронных форм хранения медицинских записей, имеет сертификаты MCSE, Security+ и Network+