Tópico Anterior Próximo Tópico

MFA de usuário local para Windows

MFA de usuário local no ADSelfService Plus reforça a segurança de acesso para contas de usuário local que são criadas e armazenadas diretamente em uma máquina Windows, em vez de em um diretório centralizado como o Active Directory. Essas contas autenticam usando credenciais armazenadas localmente e são comumente usadas em ambientes de grupo de trabalho, em sistemas standalone ou DMZ, e para tarefas administrativas locais em endpoints associados a domínio.

O ADSelfService Plus aprimora a segurança dessas contas aplicando MFA para cenários-chave de login no Windows, incluindo:

• Logins em máquinas Windows
• Desbloqueios de máquina
• Prompt de Controle de Conta de Usuário (UAC)
• Sessões de Remote Desktop Protocol (RDP)

MFA baseado na máquina para computadores com usuários locais pode ser habilitado para os seguintes tipos de máquinas:

• Computadores em grupo de trabalho
• Máquinas dentro de uma DMZ
• Computadores associados a domínio

Como funciona o MFA de usuário local

Quando o MFA de usuário local está habilitado, o ADSelfService Plus cria um domínio virtual chamado localusers.domain. Todas as contas de usuário local e máquinas em grupo de trabalho com o agente de login do ADSelfService Plus instalado são agrupadas sob esse domínio virtual para facilitar a gestão. O fluxo de autenticação procede da seguinte forma:

• Um usuário local tenta fazer login, desbloquear a máquina ou iniciar uma sessão RDP.
• A Autoridade de Segurança Local (LSA) do Windows valida as credenciais do usuário (nome de usuário e senha).
• Após a autenticação primária bem-sucedida, o agente de login do ADSelfService Plus invoca métodos de autenticação secundária com base na política configurada para localusers.domain.
• O agente de login comunica-se com o servidor ADSelfService Plus para solicitar a verificação MFA.
• O ADSelfService Plus valida a resposta MFA e envia o status da autenticação de volta ao agente de login.
• Se o MFA for bem-sucedido, a LSA concede acesso e o usuário é logado na máquina Windows.

Fig.1: Como funciona o MFA de usuário local no ADSelfService Plus

Pré-requisitos

Certifique-se de atender aos seguintes requisitos antes de configurar o MFA de usuário local.

• Você deve ter a edição Professional do ADSelfService Plus com Endpoint MFA.
• SSL deve estar habilitado. Para habilitar, faça login no console web do ADSelfService Plus com credenciais de administrador. Navegue até Admin > Product Settings > Connection. Selecione a opção ADSelfService Plus Port [https]. Consulte este guia para aprender como solicitar um certificado SSL e habilitar HTTPS.
• A URL de acesso deve estar configurada para HTTPS. Para isso, navegue até Admin > Product Settings > Connection > Connection Settings > Configure Access URL e defina Protocol para HTTPS.
• O agente de login do Windows do ADSelfService Plus deve ser versão 6.12 ou superior.

Nota: Quaisquer agentes existentes em máquinas associadas a domínio onde você deseja habilitar o MFA de usuário local devem ser atualizados para a versão 6.12.

• As máquinas-alvo devem ter conectividade de rede com o servidor ADSelfService Plus para verificação MFA online.

Limitações

Geral:

• MFA de usuário local é suportado apenas em máquinas Windows.
• MFA de usuário local não é suportado para contas Microsoft (MSA).
• Autoinscrição não é suportada para usuários locais. Administradores devem inscrever usuários via importação CSV ou sincronização com banco de dados externo.
• O agente de login do Windows não pode ser instalado remotamente em máquinas não associadas a domínio (grupo de trabalho) via console do ADSelfService Plus; a instalação deve ser feita manualmente ou via ferramentas de implantação de terceiros.

Inscrição:

• Nomes de usuário devem ser únicos dentro do localusers.domain. Se duas máquinas diferentes em grupo de trabalho tiverem contas locais com o mesmo nome de usuário, apenas uma delas pode ser inscrita.
• Se o nome de usuário de um usuário local for alterado na máquina Windows, o usuário deve ser reinscrito no ADSelfService Plus com o nome atualizado.

MFA offline:

• MFA offline não é suportado para Windows 10 versão 1803. Para logins remotos, MFA offline não é suportado para autenticação de cliente RDP do Windows.

Instruções de configuração

Passo 1: Habilitar MFA de usuário local

1. Faça login no portal de administração do ADSelfService Plus.
2. Navegue até Configuration > Self-Service > Multi-Factor Authentication.
3. Clique em Local User MFA Settings no canto superior direito da página.
4. Na janela pop-up que aparecer, marque Enable local user MFA.
5. Clique em Save.



Fig.2: Ativando local user MFA no ADSelfService Plus.

Passo 2: Configurar autenticadores MFA para usuários locais

1. Navegue até Configuration > Self-Service > Multi-factor Authentication.
2. No menu suspenso Choose the Policy, selecione localusers.domain.
3. Clique na aba Authenticators Setup e configure os autenticadores necessários para local user MFA.



Fig.3: Configurando autenticadores para local user MFA.

O ADSelfService Plus suporta os seguintes autenticadores para local user MFA:

Online local user MFA

• Perguntas e Respostas de Segurança
• Verificação por Email
• Verificação por SMS
• Google Authenticator
• Microsoft Authenticator
• Duo Security
• RSA SecurID
• Zoho OneAuth TOTP
• Autenticador TOTP personalizado

Offline local user MFA

• Google Authenticator
• Microsoft Authenticator
• Zoho OneAuth TOTP
• Autenticador TOTP personalizado

Para passos detalhados para configurar esses métodos de autenticação, consulte a seção Authenticators.

Passo 3: Atribuir métodos MFA para logins de usuários locais

1. Navegue até Configuration> Multi-factor Authentication.
2. Selecione localusers.domain no menu suspenso Choose the Policy.
3. Vá para a aba MFA for Endpoints.
4. Na seção MFA for Machine Login, marque a caixa Enable _ authentication factor(s) for machine logins. Use o menu suspenso para selecionar o número de fatores de autenticação que serão solicitados durante os logins.
5. Use o menu suspenso Choose Authenticators for Machine login MFA para selecionar os autenticadores necessários configurados no step 2.
6. (Opcional) Se desejar configurar MFA offline para usuários locais que precisam ser autenticados quando desconectados da rede, marque a caixa Choose authenticators for offline MFA. Selecione os autenticadores necessários no menu suspenso.



Fig.4: Ativando local user MFA para login na máquina.

Para configurar MFA para usuários locais durante prompts UAC, logins RDP e desbloqueios do sistema:

1. Clique em Advanced. Vá para a aba Endpoint MFA.
2. Use o menu suspenso da caixa Enable MFA for _ para selecionar User Account Control e System unlocks.
3. Marque a caixa Enable MFA for Remote Desktop access during RDP server authentication.
4. Clique em Save.



Fig. 5: Configuração MFA baseada em política para RDP, UAC e desbloqueios do sistema para local user MFA.

Para configurar MFA local baseada em dispositivo para máquinas:

1. Navegue até Configuration > Administrative Tools > GINA/Mac/Linux (Ctrl+Alt+Del) > GINA/Mac/Linux Installation > Installed Machines.
2. No menu suspenso Select Domain, selecione Workgroup.
3. Clique em Advanced Machine MFA Settings no canto inferior direito da página.
4. Na janela pop-up Advanced Machine MFA Settings, selecione os endpoints Windows que deseja proteger com MFA.
5. Clique em Save para aplicar a nova configuração.



Fig.6: Ativando local user MFA baseada em dispositivo.

Passo 4: Instalar o agente de login do Windows

O agente de login do Windows do ADSelfService Plus facilita a comunicação entre a máquina local e o servidor ADSelfService Plus. Você deve instalar o agente em todas as máquinas-alvo.

Para máquinas ingressadas em domínio: Você pode instalar o agente de login do ADSelfService Plus em máquinas Windows ingressadas em domínio através do portal administrativo do ADSelfService Plus, manualmente, via GPO ou por meio de ferramentas como Microsoft Configuration Manager ou ManageEngine Endpoint Central.

Para máquinas em grupo de trabalho: O agente de login não pode ser instalado ou gerenciado em máquinas Windows em grupo de trabalho pelo ADSelfService Plus. Você precisará realizar essas ações manualmente ou por meio de ferramentas como Microsoft Configuration Manager ou ManageEngine Endpoint Central.

Passo 5: Registrar usuários locais

Após a instalação do agente, importe e registre os usuários locais conforme segue:

1. Navegue até Configuration > Administrative Tools > Quick Enrollment.
2. No menu suspenso Select the policy, escolha localusers.domain.
3. You can enroll users using:
   • Importação CSV: Navegue até Quick Enrollment > Import enrollment data from CSV file. Saiba mais

   

   Fig.7: Inscrição de usuários locais via arquivo CSV.

   • Banco de dados externo: Navegue até Quick Enrollment > Import enrollment data from external database. Saiba mais

Usuários importados por qualquer um dos métodos serão listados em localusers.domain.

Gerencie usuários inscritos via relatórios

Administradores podem monitorar e auditar inscrições, atividades, falhas, implantação de agentes e uso de autenticadores nos seguintes relatórios:

• Relatório de Usuários Inscritos em MFA
• Relatório de Auditoria de Inscrição em MFA
• Relatório de Auditoria de Uso de MFA
• Uso de MFA para Máquinas/VPN/OWA
• Relatório de Auditoria de Falhas em MFA
• Relatório de Máquinas Confiáveis em MFA
• Relatório de Perguntas de Segurança
• Relatório de Uso de Código de Backup
• Relatório de Máquinas Inscritas em MFA Offline
• Relatório de Usuários Bloqueados
• Relatório de Máquinas com Agente Instalado
• Relatório de Auditoria de Tentativas de Usuário
• Relatório de Usuários Licenciados
• Relatório de Entrega de Notificações

Gerencie máquinas com agente instalado

Após a implantação, visualize todos os sistemas com o agente de login instalado em Configuration > Administrative Tools > GINA/mac/Linux Installation > Installed Machines.

Fig.8: Lista de máquinas em grupo de trabalho com o agente de login ADSelfService Plus instalado.

Este relatório pode ser visualizado tanto para máquinas Windows ingressadas em domínio quanto em grupo de trabalho.

Máquinas em grupo de trabalho com o agente instalado aparecerão em localusers.domain.

Tópico Anterior Próximo Tópico