MatchLogon расширяет функциональность стандартной Windows MMC-консоли "Active Directory Users and Computers" (сокращенно ADUC), предназначенной для управления доменными пользователями и компьютерами. Для этого, в существующем диалоге просмотра свойств учетной записи пользователя "User Properties" добавляется новая вкладка "MatchLogon", содержащая все необходимые настройки системы.

Данный подход позволяет системным администраторам использовать привычную для них среду управления пользователями, выполняя с ее помощью редактирование как стандартных настроек учетной записи Active Directory, так и настроек, специфичных для системы MatchLogon. Запуск и работа с оснасткой ADUC возможна из любой точки домена организации.

Закладка свойств MatchLogon, интегрированная в диалог "User Properties" MMC-консоли ADUC

Добавление нового пользователя в MatchLogon

Процесс добавления нового пользователя MatchLogon выполняется из стандартной MMC консоли Active Directory Users and Computers и состоит из следующих шагов:

1. Запустив стандартный мастер "New Object - User", системный администратор создает в домене новую учетную запись пользователя, назначая для нее начальный пароль, который сообщается сотруднику. Данный шаг может быть пропущен, если учетная запись уже была создана и ее пароль известен и используется пользователем. На данный момент учетная запись еще не является учетной записью пользователя MatchLogon, но зная свой пароль, сотрудник может выполнять обычный вход в сеть или компьютер;
2. На следующем шаге, администратор открывает диалоговое окно "User Properties" для выбранной учетной записи и переходит на закладку "MatchLogon". Включение администратором опции "Пользователю разрешено использовать устройства аутентификации", означает, что данный пользователь домена теперь является и пользователем системы MatchLogon. Администратор также имеет возможность изменить свойства MatchLogon для этого пользователя, чтобы они соответствовали политике безопасности в организации;
3. Когда сотрудник в следующий раз выполнит вход в сеть (используя обычный (или начальный) пароль), система MatchLogon отобразит на экране окно-приветствие и предложит пользователю пройти процедуру регистрации первого аутентификатора. Как только это произошло (поведение зависит от настроек администратора) пароль учетной записи пользователя автоматически заменяется на случайную последовательностью в 63 UNICODE символа (127 байт) и более не известен ни самому пользователю, ни администратору. Таким образом, MatchLogon блокирует для пользователя возможность входа по паролю учетной записи, оставляя возможность входа только по аутентификатору.

MatchLogon User Viewer

MatchLogon предлагает специальную MMC оснастку "MatchLogon - User Viewer". Оснастка является удобным и полезным инструментом, как для системных администраторов, так и для сотрудников отделов информационной безопасности. С ее помощью возможно перечислить всех пользователей домена, просмотреть их свойства и настройки, относящиеся к системе MatchLogon, проконтролировать процесс внедрения MatchLogon в организации, тип используемого оборудования и т.п.

Информация, отображаемая в консоли может быть отсортирована по любому из полей, а также экспортирована для дальнейшего анализа и формирования наглядных отчетов в более мощных приложениях, таких как Microsoft Excel и Crystal Reports.

Политики безопасности

Политики безопасности MatchLogon позволяют администратору централизованно определить ряд специфичных настроек системы, которые могут быть применены как на весь домен организации, так и на отдельные подразделения (в терминологии Active Directory - Organization Unit). Изменение конфигурации политик MatchLogon позволяет быстро изменить поведение различных компонент системы в подразделениях.

? едактирование политик безопасности MatchLogon выполняется уполномоченным лицом с использованием стандартной MMC оснастки - Group Policy Objects Editor.

Аудит системы

MatchLogon расширяет стандартный журнал событий Windows Event Log, добавляя новый узел "MatchLogon".

MatchLogon предоставляет мощный инструмент ведения мульти-централизованного аудита. Определяя произовльное количество журнальных серверов, сотрудники отделов безопасности гарантируют отказоустойчивость данной службы, а также противостоят ситуациям "чистки логов" недобросовестными системными администраторами.

В событиях MatchLogon фиксируются идентификатор события, текстовая расшифровка, категория, имя и IP-адрес компьютера источника, имя учетной записи пользователя, дата и время возникновения.