Управление парком аппаратных ключей 2FA: учет, выдача, отзыв и замена токенов в организации — Контур.Эгида

В этой статье

Управление парком аппаратных ключей 2FA: учет, выдача, отзыв и замена токенов в организации

5 июня 2026

Аппаратные ключи 2FA требуют такого же учета, как любое ценное имущество компании: нужен реестр, контроль выдач, своевременная замена и отзыв при увольнении сотрудника. В этой статье разберем, как организовать полный цикл работы с ключами 2FA.

Фотография Игорь Суставов Игорь Суставов Менеджер проектов по внедрению

Что такое ключи 2FA и почему важно централизованно ими управлять

Аппаратный токен — это физическое устройство (YubiKey, Rutoken, JaCarta), которое генерирует или хранит криптографический ключ для второго фактора аутентификации. В отличие от SMS или TOTP, код с токена невозможно перехватить фишинговой страницей или подменить атакой «человек посередине». Кроме того токен не требует интернета для генерации кода — достаточно USB-порта или NFC.

Этот метод 2FA выбирают в трех основных сценариях:

  1. Нужна устойчивая к фишингу аутентификация.

  2. Сотрудники работают в условиях нестабильной связи.

  3. Регулятор прямо требует аппаратный фактор.

Однако ключевая уязвимость токенов — в том, что компания теряет контроль над ними после выдачи. Сотрудник уволился, потерял токен, уехал в командировку — администратор не знает, где устройство и кому оно принадлежит. Без системы управления токен перестает быть надежной защитой.

Централизованное управление решает три задачи.

Задача 1. Контролировать доступы сотрудников

Самый частый сценарий потери контроля — не кража, а увольнение сотрудника, который не вернул токен. Аутентификация проверяет только сам ключ и учетную запись, но не статус человека в кадровой системе. Поэтому токен продолжает работать неделями или месяцами после ухода. Без журнала учета вы не подтвердите факт выдачи, без процедуры отзыва — не заблокируете доступ. То же касается смены должности в компании: сотрудник может сохранить избыточные права на старом токене.

Задача 2. Соответствовать требованиям безопасности и аудита

Приказ ФСТЭК №21 и 152-ФЗ обязывают операторов персональных данных использовать двухфакторную аутентификацию. А для систем высоких уровней защищенности — строгую аутентификацию с криптографией. Но мало внедрить 2FA. Нужно доказать на проверке, что вы ведете учет токенов, фиксируете выдачу и своевременно отзываете ключи при увольнении сотрудников.

Аудитор запросит реестр ключей, журнал выдач, процедуры блокировки. Если этих документов нет — даже работающая 2FA не спасет от предписания или штрафа по ст. 13.11 КоАП РФ.

Задача 3. Проще масштабировать 2FA

Управление токенами завязано на вашу инфраструктуру напрямую. Выдача YubiKey или JaCarta, автоматизация через Active Directory (AD) — все это требует согласованной архитектуры.

Если в компании развернуты AD и удостоверяющий центр, централизованное управление ключами позволяет привязать токен к учетной записи и правам доступа. Это не только повышает безопасность, но и снижает нагрузку на администратора: не нужно вручную сверять серийные номера и править журналы.

Управлять парком аппаратных токенов — задача решаемая, но требующая инфраструктуры и регламентов. Если вы только присматриваетесь к 2FA и не хотите возиться с выдачей, заменой и возвратом, посмотрите в сторону облачных решений. ID — решение для двухфакторной аутентификации без токенов: сотрудники используют приложение на телефоне, вы управляете политиками через веб-интерфейс.

Как организовать выдачу ключей

Регистрация и учет новых токенов

Поступившая партия токенов вносится в реестр. Минимальный набор данных: серийный номер, тип устройства, дата поступления, статус («на складе», «выдан», «списан»). Учет можно вести в таблице (до 50–70 устройств) или в ITSM-системе (ServiceNow, Naumen, 1С). Запись создается при приемке, до выдачи сотруднику. Это база для всей дальнейшей работы — замены, отзыва, аудита.

Выдача через Active Directory

Если в компании развернуты AD и удостоверяющий центр, токен можно использовать как смарт-карту. Пользователю выпускается сертификат, который записывается на токен. При увольнении администратор отзывает сертификат и отключает учетную запись. Автоматический отзыв при отключении учетной записи работает только если шаблоны сертификатов настроены соответствующим образом. Без этой настройки отзыв делается вручную.

Способы выдачи сертификата:

  • Через портал самообслуживания (пользователь сам запрашивает сертификат).

  • Через заявку в техподдержку — сертификат выпускается автоматически после подтверждения.

Выдача YubiKey (FIDO2 и смарт-карта)

Для YubiKey возможны два режима работы:

  1. FIDO2/WebAuthn. Администратор вносит токен в реестр и фиксирует выдачу за сотрудником. Пользователь самостоятельно регистрирует ключ через корпоративный портал или сервис, например, Microsoft 365, Google Workspace. Регистрация привязывает публичный ключ к учетной записи, секрет не покидает токен. Такой метод не требует сертификатов и инфраструктуры УЦ.
  2. Смарт-карта. Требует установки мини-драйвера от Yubico, чтобы ОС видела токен как устройство для входа с сертификатом. В этом случае нужен раздельный учет самого устройства и выпущенных на него сертификатов — один YubiKey может хранить несколько сертификатов, например, для входа в Windows и для подписи писем.

В обоих случаях запись в реестре обновляется автоматически: токен закрепляется за сотрудником, фиксируются дата выдачи и срок службы. Пользователь активирует второй фактор: ввод ПИН-кода или касание. Без этого токен остается неактивным.

Выдача удаленным сотрудникам

Аппаратный токен нельзя выдать удаленному сотруднику через AD или портал самообслуживания — физическое устройство нужно доставить. Два рабочих сценария:

1. Доставка курьером. Токен отправляется по адресу сотрудника. В реестре фиксируется статус «отправлен». При получении сотрудник подтверждает личность по видеозвонку или через корпоративный чат, затем активирует токен по инструкции.

2. Выдача в региональном офисе. Если у компании есть представительство в городе сотрудника, токен выдается там под запись в локальном журнале, данные затем передаются в центральный реестр.

В обоих сценариях политика должна включать: процедуру подтверждения личности, инструкцию по активации, порядок блокировки при утере или увольнении.

Отзыв или замена токенов: когда и как прекращать доступ

Токены перестают использоваться по трем причинам. Для каждой — своя процедура отзыва.

Отзыв при увольнении сотрудника

Обязательная процедура, которая должна срабатывать синхронно с отключением учетной записи. Включает три действия:

  • блокировка учетной записи в каталоге,

  • программный отзыв токена в системе 2FA — удаление сертификата или отзыв ключа,

  • физический возврат устройства, если токен аппаратный и это возможно.

Если сотрудник в другом городе или стране и не вернул ключ, приоритет — программный отзыв. Физический возврат в такой ситуации не обязателен, но желателен. Без программного отзыва бывший сотрудник сохраняет доступ к почте, VPN или внутренним сервисам спустя месяцы после увольнения.

Блокировка утерянных или скомпрометированных ключей

Сотрудник потерял токен — нужна немедленная блокировка. Пользователь сообщает в техподдержку, администратор находит устройство в реестре и меняет статус на «утерян». После этого токен не принимается при попытке входа.

После блокировки оформляется замена. Новый экземпляр вносится в реестр и выдается пользователю. Старый токен остается в реестре, но при попытке его использования система отклонит запрос.

Массовый отзыв при смене политики

Иногда отозвать ключи нужно всем сразу: например, сменился стандарт шифрования, поставщик токенов прекратил поддержку старых моделей, или компания переходит с одного типа 2FA на другой. В такой ситуации без автоматической массовой операции не обойтись. Централизованная система управления отправляет команды на блокировку всех токенов заданной группы, после чего сотрудники получают новые ключи и проходят перерегистрацию. Если такой системы нет, массовый отзыв придется делать вручную — что при парке от 100 токенов практически нереализуемо.

Замена по истечении срока службы

У аппаратных токенов ограниченный ресурс: батарея, число криптоопераций, срок сертификата. За 2–3 месяца до окончания срока система должна предупредить администратора. Вручную отслеживать это для сотен устройств невозможно. Единственный рабочий способ — автоматизация, которая сама подсвечивает ключи, близкие к выработке ресурса.

Плановая замена выглядит так: администратор видит в панели управления, какие ключи подходят к концу ресурса, формирует заявку на новые, выдаёт их сотрудникам и отзывает старые.

Учет, аудит и регламенты работы с токенами

Реестр и регламент — это две стороны одного процесса. Первый фиксирует, что у вас есть и у кого. Второй описывает, как с этим работать, чтобы не терять ключи и проходить аудиты.

Журнал учета токенов

База любой системы учета — журнал, где по каждому токену зафиксированы: серийный номер, тип, дата поступления, закрепленный сотрудник, даты выдачи и замены, статус. Вручную, например в Excel, такой учет можно вести при небольшом парке — до 50–70 устройств это допустимо. При росте количества токенов возрастает риск ошибок: дублирование записей, пропуск сроков замены, отсутствие отзыва при увольнении сотрудника. Дальнейшее увеличение парка требует автоматизированной системы учета ключей безопасности.

Регулярный аудит

Даже при идеальном журнале нужны периодические сверки. Раз в квартал проверяйте: токен числится в реестре, закреплен за действующим сотрудником, не просрочен, не помечен как утерянный. Аудит токенов особенно важен перед внешней проверкой регуляторов — это единственный способ быть уверенным, что все в порядке.

Правила хранения и передачи токенов

Пропишите в регламенте: где хранятся невыданные токены (сейф, опечатываемая комната), как фиксируется передача сотруднику (роспись в журнале или отметка в электронной системе), как происходит возврат. Передача токена от одного сотрудника другому — рискованный сценарий. Лучше его избегать: каждый ключ должен быть закреплен за одним пользователем. Любое перемещение оформляйте как возврат старому сотруднику и новую выдачу следующему.

Заключение

В управлении парком аппаратных ключей есть три обязательных процесса: учет в реестре, где каждый выданный токен привязан к сотруднику, автоматический отзыв при увольнении и плановая замена до истечения срока службы. Без них даже самые надежные токены не столько защищают, сколько создают иллюзию безопасности. Начните с ревизии — посчитайте, сколько токенов в компании, у кого они находятся и в каком статусе. Если внятных ответов нет, первым делом внедрите реестр, а следом — процедуры отзыва и замены. Это база, на которой строится все остальное.

Фотография Игорь Суставов Игорь Суставов Менеджер проектов по внедрению
Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Подписаться

Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Пришлем ссылку на результаты исследований о человеческом факторе в ИБ на почту, которую вы указали
Подписаться