Статьи

Захист входу в Windows

В ESA доступна захист локального входу в ОС Windows в доменній середовищі, встановленої за допомогою доменних служб Active Directory (Active Directory Domain Services). Щоб скористатися цією функцією, необхідно включити компонент Windows Login (Вхід в Windows) під час установки ESA. По завершенні установки відкрийте консоль управління ESA (ESA Management Console) на головному комп'ютері, перейдіть в вузол свого домену (в нашому прикладі - acswin2012.com) і клацніть Windows Login Settings (Параметри входу в Windows).

установки

У цьому вікні ви побачите різні варіанти застосування двофакторної аутентифікації (2FA,), в тому числі її (2FA) застосування для безпечного режиму, екрану блокування Windows і контролю облікових записів (UAC). Клацніть Show Settings ... (Показати параметри), щоб відкрити список комп'ютерів, на яких встановлено компонент Windows Login (Вхід в Windows) рішення ESA, і включити двухфакторную аутентифікацію (2FA) для необхідних комп'ютерів. Якщо список комп'ютерів занадто довгий, введіть в поле Фільтр ім'я конкретного комп'ютера, щоб знайти його.

Якщо компонент Windows Login (Вхід в Windows) рішення ESA версії 2.6 і вище видалений з певного комп'ютера, цей комп'ютер буде автоматично видалений з розділу Computer list консолі управління ESA. В консолі управління також можна вручну видалити запис комп'ютера. Клацніть правою кнопкою миші запис комп'ютера і натисніть Delete Selected (Видалити вибрані). Якщо запис комп'ютера видалена з консолі управління, але компонент Windows Login (Вхід в Windows) не було видалено з конкретного комп'ютера, цей комп'ютер знову з'явиться в консолі управління з настройками за замовчуванням.

Якщо комп'ютер, на якому встановлений компонент Windows Login (Вхід в Windows) рішення ESA, іноді повинен працювати в автономному режимі і на ньому будуть працювати користувачі, для яких включена аутентифікація за допомогою SMS, ви можете включити параметр Allow access without 2FA for SMS or Push only users (Дозволити доступ без двофакторної аутентифікації для користувачів SMS, якщо комп'ютер в автономному режимі).

Якщо користувач, що використовує доставку одноразових паролів (OTP) за допомогою SMS-повідомлень, хоче запросити повторну відправку одноразового пароля (OTP), йому потрібно закрити вікно введення одноразового пароля (OTP) і через 30 секунд ввести свої ім'я користувача та пароль AD, щоб отримати новий одноразовий пароль (OTP).

Захист, яку забезпечує двухфакторная аутентифікація (2FA), не може обійти жоден зловмисник, навіть якщо він знає ім'я користувача та пароль AD, тому ця функція забезпечує більш надійний захист конфіденційних даних. Звичайно, передбачається, що жорсткий диск не доступний зловмисникам або що вміст диска зашифровано.

Рекомендуємо поєднувати захист 2FA з шифруванням всього диска, щоб зменшити ризик порушення конфіденційності, якщо зловмисник отримає фізичний доступ до диску.

ПРИМІТКА. Якщо захист 2FA включена для автономного режиму, всі користувачі, облікові записи яких захищені за допомогою методу 2FA і які хочуть використовувати комп'ютер, захищений за допомогою 2FA, повинні ввести ім'я користувача і пароль лише при першому вході на цей комп'ютер, коли він підключений до мережі. Термін online означає, що головний комп'ютер, на якому встановлено ключові компоненти служби ESA і на якому працює служба ESET Secure Authentication Service відповідає на запити перевірки зв'язку, що відправляються з комп'ютера, захищеного за допомогою методу 2FA.

Якщо компонент Windows Login встановлений на тому ж комп'ютері, на якому встановлені ключові компоненти ESA Core Components і для безпечного режиму на цьому комп'ютері включена захист 2FA, а автономний режим для цього комп'ютера вимкнено (обраний параметр Do not allow access when offline (Не дозволяти доступ в автономному режимі)), користувач зможе увійти в безпечному режимі (локально) без введення пароля OTP.

В автономному режимі можна увійти в систему 20 разів, використовуючи кожен раз дійсний пароль OTP. Якщо це обмеження перевищено, комп'ютер повинен бути підключений до мережі під час спроби входу на нього. Якщо комп'ютер підключений до мережі під час спроби входу, лічильник обмеження скидається.

Щоб дозволити конкретним користувачам входити тільки на конкретні комп'ютери, налаштуйте політику Заборонити вхід локально .

Вхід в Windows 8, захищений за допомогою рішення ESA, - після введення правильних імені користувача та пароля AD користувачі повинні ввести одноразовий пароль (OTP).

Вхід в Windows 8, захищений за допомогою рішення ESA, - після введення правильних імені користувача та пароля AD користувачі повинні ввести одноразовий пароль (OTP)

Новости