Base di conoscenza
Gestione password self-service » Base di conoscenza

Come proteggere gli accessi a Windows in locale e da remoto con l'autenticazione a più fattori di ADSelfService Plus

Con l'aumento degli attacchi informatici, le password come unico meccanismo di difesa non sono più sicure. È necessario un altro filtro per impedire l'accesso agli utenti non autorizzati. ADSelfService Plus gestisce questa situazione supportando l'autenticazione a più fattori (MFA) per tutti i tentativi di accesso a Windows.

Una volta abilitata questa funzionalità, gli utenti vengono autenticati dopo aver inserito le loro credenziali di dominio Active Directory ed effettuato l'autenticazione tramite uno dei diciotto metodi di autenticazione a più fattori disponibili in ADSelfService Plus.

Prerequisiti:

  1. La tua licenza ADSelfService Plus deve includere il componente aggiuntivo di autenticazione a più fattori degli endpoint. Vai al negozio per acquistare il componente aggiuntivo.
  2. SSL deve essere abilitato: Effettua l'accesso alla console web di ADSelfService Plus con le credenziali di amministratore. Vai alla scheda Amministrazione → Impostazioni del prodotto → Connessione. Seleziona l'opzione Porta ADSelfService Plus [https]. Consulta questa guida per scoprire come applicare un certificato SSL e abilitare HTTPS.
  3. L'URL di accesso deve essere impostato a HTTPS: Vai a Amministrazione > Impostazioni del prodotto > Connessione > Impostazioni di connessione > Configura l'URL di accesso e imposta l'opzione Protocollo a HTTPS.
  4. Abilita i metodi di autenticazione necessari. Per la procedura di abilitazione dei metodi di autenticazione, consulta questa pagina.
  5. Installa l'agente di accesso ADSelfService per le macchine Windows, macOS e Linux su cui vuoi abilitare l'autenticazione a più fattori. Fai clic qui per la procedura di installazione dell'agente di accesso ADSelfService Plus.

Procedura:

  1. Effettua l'accesso alla console web di ADSelfService Plus con le credenziali di amministratore.
  2. Vai a Configurazione > Self-service > Autenticazione a più fattori > Autenticazione a più fattori per gli endpoint.
  3. Seleziona un criterio dall'elenco di selezione Scegli il criterio. Questa scelta determina i metodi di autenticazione che vengono abilitati per gli insiemi di utenti.

    Nota: ADSelfService Plus ti consente di creare criteri in base a gruppi e unità organizzative. Per creare un criterio, vai a Configurazione → Self-service → Configurazione dei criteri → Aggiungi un nuovo criterio. Fai clic su Seleziona i gruppi o le unità organizzative e scegli in base ai tuoi requisiti. Devi selezionare almeno una funzionalità self-service. Fai clic su Salva il criterio.

  4. Nella sezione Autenticazione a più fattori per l'accesso alle macchine, seleziona la casella Abilita __ fattori di autenticazione, seleziona il numero di metodi di autenticazione e indica quali vuoi utilizzare dall'elenco di selezione.
  5. Fai clic su Salva le impostazioni.

    multi-factor-authentication

Nota: In Avanzate → Impostazioni degli endpoint, ADSelfService Plus offre l'opzione Salta l'autenticazione a più fattori quando il server ADSelfService Plus è inattivo o non è raggiungibile. Se questa opzione non è selezionata, gli utenti non potranno accedere alle loro macchine quando ADSelfService Plus non è accessibile. Tuttavia, l'abilitazione di questa opzione non è consigliata, perché ADSelfService Plus offre funzionalità che garantiscono la continua disponibilità del prodotto: Disponibilità elevata e bilanciamento del carico.

Con la disponibilità elevata, vengono create due istanze del prodotto, con l'istanza secondaria che viene utilizzata quando l'istanza primaria è inattiva. Il bilanciamento del carico suddivide le richieste in arrivo al server ADSelfService Plus su più istanza per garantire le migliori prestazioni del prodotto. Queste funzionalità garantiscono che gli utenti abbiano un continuo accesso alla funzionalità di autenticazione a più fattori e quindi alle loro macchine.

Questo è il funzionamento dell'autenticazione a più fattori per l'accesso a Windows:

windows-logon-tfa-workflow

FAQs

1. Perché devo proteggere l'accesso alle macchine dei miei utenti con l'autenticazione a più fattori?

Affidarsi solo ai nomi utente e alle password per proteggere le macchine e le workstation dei tuoi utenti non è consigliato a causa della sofisticatezza degli attacchi informatici di oggi. L'adozione di una cultura di lavoro ibrido comporta un aumento dei rischi di sicurezza delle organizzazioni perché ora gli utenti possono lavorare da qualsiasi luogo e a volte utilizzano anche i propri dispositivi personali.

È fondamentale aggiungere livelli di sicurezza alle macchine, in modo che gli utenti non autorizzati non ottengano l'accesso alle informazioni riservate dell'organizzazione. L'utilizzo dell'autenticazione a più fattori per l'accesso alle macchine porta a questo risultato effettuando una verifica degli utenti mediante metodi addizionali di autenticazione come gli elementi biometrici, Microsoft Authenticator e YubiKey.

2. Come posso proteggere dagli attacchi gli endpoint della mia organizzazione?

Puoi proteggere gli endpoint nella tua organizzazione con l'autenticazione a più fattori adattiva utilizzando ADSelfService Plus. L'autenticazione a più fattori degli endpoint di ADSelfService Plus ti permette di proteggere:

  • Accessi alle macchine Windows, macOS e Linux
  • Accessi VPN per i principali fornitori di VPN tra cui Fortinet, Cisco AnyConnect e Pulse
  • Accessi OWA e Outlook su web
  • Accessi agli endpoint che supportano l'autenticazione RADIUS come Citrix Gateway, VMware Horizon e Remote Desktop Gateway (RDP) di Microsoft

Per comprendere meglio la funzionalità di autenticazione a più fattori degli endpoint di ADSelfService Plus, puoi pianificare una demo via web personalizzata con uno dei nostri esperti del prodotto. Per ulteriore assistenza, contatta il nostro team vendite al +1-312-528-3085 o scrivendo a or sales@manageengine.com.

3. Quali sono i diversi tipi di strumenti di autenticazione che ADSelfService Plus offre per l'autenticazione a più fattori degli endpoint?

ADSelfService Plus offre 19 diversi metodi di autenticazione moderna per proteggere i tuoi endpoint. Questo elenco include gli strumenti di autenticazione resistenti al phishing come YubiKey, elementi biometrici e smart card. Puoi scegliere da un'ampia gamma di strumenti di autenticazione facili da installare come Microsoft Authenticator, Duo Security, RSA SecurID, notifica push, codice QR e TOTP personalizzato per erigere una barriera tra i tuoi endpoint e gli attacchi informatici.

4. Come posso garantire la sicurezza del lavoro da remoto per la mia forza lavoro offline da remoto?

ADSelfService Plus supporta l'autenticazione a più fattori offline per l'accesso alle macchine Windows. Quando configurata, gli utenti che sono offline, cioè non sono connessi al server di autenticazione a più fattori, potranno utilizzare l'autenticazione a più fattori per l'accesso alle macchine. Gli amministratori possono configurare uno o più strumenti di autenticazione per l'autenticazione a più fattori offline.