Aladdin что это за программа и нужна ли она
Перейти к содержимому

Aladdin что это за программа и нужна ли она

Aladdin Shared — что это за папка?

Приветствую. Сегодняшняя заметка посвящена папке с интересным названием, прочитав которое сразу вспоминается мультфильм Алладин, однако ничего общего с данным мультфильмом нет.

Aladdin Shared — что это?

Данная папка принадлежит российскому софту Aladdin, используемый для обеспечения защиты информации.

Внутри может быть еще директория HASP, которая содержит компоненты модуля лицензирования Sentinel HASP (HASP SRM).

Основана компания в далеком 1995 году. Полное название ПО — Aladdin Knowledge Systems, используется не только в странах СНГ, но и за рубежом.

Принцип функционирования Aladdin основывается на работе софта с аппаратными устройствами, называемыми ключами:

Простыми словами — софт проверяет ключ устройства (внешне как флешка), если ключ верный — программа предоставляет доступ к зашифрованной информации.

Один из компонентов приложения — процесс PKIMonitor.exe, который запускается из папки:

C:\Program Files\Common Files\Aladdin Shared\eToken\PKIClient\x32\

Trojan.DownLoader26.55506

В базе Доктора Веба присутствует информация о вирусе Trojan.DownLoader26.55506, который в своей работе может создавать папку Aladdin Shared и/или некоторые файлы в уже существующей.

Данная информация говорит об одном — возможно вирус использует одно из названий процессов ПО Aladdin для маскировки, также для этих целей может создавать саму папку.

При подозрениях наличия вируса на ПК — просканируйте утилитой Dr.Web CureIt!. Также дополнительно проверьте компьютер на наличие рекламного и шпионского ПО утилитами AdwCleaner и HitmanPro.

При отсутствии качественного антивируса советую установить бесплатный Kaspersky Security Cloud Free, функционала которого достаточно для обнаружения всех современных опасных угроз (трояны, ботнеты, майнеры).

PKIMonitor Application — что это в автозагрузке? (PKIMonitor.exe)

Приветствую друзья! Итак, сразу к делу:

PKIMonitor Application — процесс по работе с сертификатами (хранение, проверка сроков). Может быть у вас на ПК, если установлена программа от компаний Aladdin, SafeNet и подобных.

Также PKIMonitor может присутствовать, если у вас установлена 1С (софт для предприятий, ведение учета и подобного).

Процесс PKIMonitor.exe может запускаться из этой папки:

Данный процесс присутствует если установлен компонент eToken. Сам процесс собирает все выданные сертификаты с серверов CA и сохраняет их в собственной базе. Далее при необходимости PKIMonitor может предоставить информацию о выданных сертификатах вне зависимости от того какой сервер их выдал. PKIMonitor также отслеживает даты истечения срока действия для всех сертификатов, может предупреждать о истечении срока.

Вот PKIMonitor Application в автозагрузке Windows 10:

Я тут вижу также в колонке Издатель Aladdin Knowledge Systems, поискав инфу понял — некая американо-израильская компания, которая занимается разработкой средств безопасности/защиты информации.

Быстрый способ открыть автозагрузку:

  1. Зажмите Win + R, появится окошко Выполнить.
  2. Напишите команду msconfig, нажмите ОК.
  3. Появится окошко Конфигурация системы.
  4. Перейдите на вкладку Автозагрузка.

eToken — что это за программа?

eToken, как понял — не совсем программа, это название торговой марки линейки персональных средств аутенфикации в виде USB-ключей и смарткарт а также софта, который умеет работать с этими ключами и смарткартами. Торговая марка была создана компанией Aladdin Knowledge Systems, но потом эту компанию купила SafeNet, а дальше SafeNet обьединился с Gemalto. В итоге вроде как сейчас Gemalto является официальным производителем ключей eToken.

Ключи eToken представляют из себя USB-устройство которое напоминает флешку, внутри этого устройства содержится код/шифр, при помощи которого владелец может получить доступ к информации. Это если образно говоря. Вот примерно как выглядит такое устройство:

А смарт-карта, как понимаю это аналогичное устройство USB-ключу, просто другое устройство, но с таким же функционалом, вот как выглядит (напоминает симку):

Очень простой пример чтобы понять о каких ключах идет речь. Вы упаковываете файлы в архив но с паролем. А пароль очень и очень сложный. Такой, что его нельзя запомнить. Но что делать? А что если пароль у вас будет в виде USB-устройства типа флешки? И чтобы ввести пароль то достаточно только подключить эту флешку.. а все остальное сделает уже специальный софт. Вот примерно так работают эти USB-ключи (смарткарты наверно примерно также).

Опыт «Аладдин Р.Д.» в реализации защищённого удалённого доступа и борьбе с COVID-19

В нашей компании, как и во многих других ИТ- и не очень ИТ-компаниях, возможность удалённого доступа существовала давно, и по необходимости им пользовались многие сотрудники. С распространением же COVID-19 в мире наш IT-отдел по решению руководства компании начал переводить на удалёнку сотрудников, вернувшихся из зарубежных поездок. Да, домашнюю самоизоляцию мы стали практиковать с самого начала марта, ещё до того, как это стало мейнстримом. К середине марта решение уже было масштабировано на всю компанию, а в конце марта мы все практически бесшовно перешли на новый для всех режим массовой удалённой работы.

Технически, для реализации удалённого доступа в сеть у нас используется Microsoft VPN (RRAS) – как одна из ролей Windows Server. При подключении к сети становятся доступны различные внутренние ресурсы от шейрпоинтов, файлообменников, багтрекеров до CRM-системы, многим для работы хватает только этого. Для тех, у кого в офисе остались рабочие станции, настроен RDP-доступ через RDG-шлюз.

Почему выбор пал на это решение или почему его стоит выбрать? Потому что если у вас уже есть домен и другая инфраструктура от Microsoft, то ответ очевиден, вашему ИТ-отделу скорее всего будет проще, быстрее и дешевле его реализовать. Нужно просто добавить несколько фич. А сотрудникам будет легче настроить компоненты Windows, чем скачивать и настраивать дополнительные клиенты доступа.

При доступе на сам VPN-шлюз и после, при подключении к рабочим станциям и к важным веб-ресурсам, мы используем двухфакторную аутентификацию. Действительно, было бы странно, если бы мы как производитель решений по двухфакторной аутентификации не пользовались бы своими продуктами сами. Это наш корпоративный стандарт, у каждого сотрудника есть токен с личным сертификатом, по которому происходит аутентификация на офисной рабочей станции в домен и ко внутренним ресурсам компании.

По статистике, более 80% инцидентов информационной безопасности используют слабые или украденные пароли. Поэтому внедрение двухфакторной аутентификации сильно повышает общий уровень защищённости компании и её ресурсов, позволяет практически до нуля снизить риск кражи или подбора пароля, а также гарантировать, что общение происходит именно с валидным пользователем. При внедрении инфраструктуры PKI аутентификацию по паролям можно вообще отключить.

С точки зрения UI для пользователя такая схема даже более проста, чем ввод логина и пароля. Причина в том, что сложный пароль теперь не нужно запоминать, не нужно клеить стикеры под клавиатуру (нарушая все мыслимые и немыслимые политики безопасности), пароль даже не нужно менять раз в 90 дней (хотя это уже и не считается лучшими практиками, но много где всё равно практикуется). Пользователю нужно будет просто придумать не очень сложный PIN-код и не потерять токен. Сам токен же может быть выполнен в виде смарт-карты, которую можно удобно носить в бумажнике. В токен и смарт-карту могут быть имплантированы RFID-метки для доступа в офисные помещения.
PIN-код используется при аутентификации, для предоставления доступа к ключевой информации и выполнения криптографических преобразований и проверок, потерять токен не страшно, так как подобрать PIN-код невозможно, через несколько попыток произойдёт блокировка. При этом смарт-карточный чип защищает ключевую информацию от извлечения, клонирования и других атак.

Что ещё?

Если решение вопроса по удалённому доступу от Microsoft по какой-то причине не подходит, то внедрить инфраструктуру PKI и настроить двухфакторную аутентификацию по нашим смарт-картам можно в различные VDI-инфраструктуры (Citrix Virtual Apps and Desktops, Citrix ADC, VMware Horizon, VMware Unified Gateway, Huawei Fusion) и аппаратные комплексы безопасности (PaloAlto, CheckPoint, Cisco) и другие продукты.

Некоторые из примеров рассматривались в том числе и в наших предыдущих статьях.

В следующей статье расскажем о настройке OpenVPN c аутентификацией по сертификатам из MSCA.

Не сертификатом единым

Если внедрение PKI-инфраструктуры и закупка аппаратных устройств для каждого сотрудника выглядит слишком сложно или, например, нет технической возможности подключения смарт-карты, то есть решение с одноразовыми паролями на основе нашего сервера аутентификации JAS. В качестве аутентификаторов можно использовать программные (Google Authenticator, Яндекс Ключ), аппаратный (любой соответствующий RFC, например, JaCarta WebPass). Поддерживаются практически все те же решения, что и для смарт-карт/токенов. О некоторых примерах настройки мы также рассказывали в наших прошлых постах.

Способы аутентификации можно комбинировать, то есть по OTP – пускать, например, только мобильных пользователей, а классические ноутбуки/десктопы аутентифицировать только по сертификату на токене.

Ввиду специфики работы лично ко мне за последнее время обращались многие нетехнические друзья за помощью в настройке удалённого доступа. Так что удалось немного подсмотреть, кто и как выходит из положения. Были приятные удивления, когда не очень большие компании используют именитые бренды, в том числе и с решениями по двухфакторной аутентификации. Были также и случаи, удивляющие в обратную сторону, когда действительно очень большие и широко известные компании (не ИТ) рекомендовали просто установить TeamViewer на свои офисные компьютеры.

В сложившейся ситуации специалисты компании «Аладдин Р.Д.» рекомендуют ответственно относиться к решению проблем удалённого доступа к вашей корпоративной инфраструктуре. По этому случаю в самом начале режима общей самоизоляции мы запустили акцию «Организация безопасной удалённой работы сотрудников».

Добавить комментарий

Ваш адрес email не будет опубликован.