Autenticación multifactor para Windows Server

Iniciar prueba gratuita
Contrasñeas con auto servicio
 

La necesidad de proteger los inicios de sesión en Windows Server

A menudo, los servidores Windows son la columna vertebral de la infraestructura de TI. Por eso, son un objetivo clave para los atacantes. Las combinaciones tradicionales de nombre de usuario y contraseña, si bien son importantes, ya no bastan para proteger estos sistemas. Implementar MFA para los inicios de sesión en Windows Server proporciona una capa adicional de seguridad al requerir pasos adicionales de verificación. Esto dificulta el acceso a usuarios no autorizados. Adoptar la MFA no sólo refuerza sus servidores contra los ataques de fuerza bruta y robo de credenciales. También garantiza un entorno más resistente y seguro para su negocio.

Proteja sus inicios de sesión en Windows Server con ADSelfService Plus

ManageEngine ADSelfService Plus, una solución de seguridad de identidades, ayuda a reforzar los inicios de sesión en Windows Server mediante MFA adaptativa. Lo anterior incluye implementar métodos de verificación como la autenticación biométrica y las contraseñas de un solo uso (OTP) durante el inicio de sesión en Windows Server, además del nombre de usuario y las contraseñas tradicionales. ADSelfService Plus garantiza que las credenciales expuestas sean inútiles para los inicios de sesión no autorizados en Windows Server. Esto proporciona una capa adicional de seguridad.

Versiones compatibles de Windows Server

ADSelfService Plus permite a los administradores proteger con MFA las versiones de Windows Server mencionadas a continuación:

  • Windows Server 2022
  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008 R2
  • Windows Server 2008

¿Cómo funciona la MFA offline para los inicios de sesión en Windows Server?

Para configurar la MFA para los inicios de sesión en Windows Server, el agente de inicio de sesión de ADSelfService Plus debe estar instalado en los equipos que se protegerán con MFA. El agente actúa como intermediario entre Windows Server y ADSelfService Plus para habilitar la MFA durante los inicios de sesión. Una vez cumplidos estos requisitos, se realiza el proceso que se muestra a continuación.

A flow diagram on how ADSelfService Plus' MFA works with Windows server login
  1. El usuario inicia una solicitud de acceso en el equipo Windows Server.
  2. El sistema coteja las credenciales del usuario (contraseña) con el sistema de seguridad local.
  3. Una vez realizada correctamente la autenticación primaria, el sistema pasa a la verificación secundaria (MFA). Esta es gestionada por el agente de inicio de sesión de ADSelfService Plus.
  4. El agente de inicio de sesión de ADSelfService Plus envía la solicitud de MFA al servidor de ADSelfService Plus para verificarla.
  5. Si el usuario completa correctamente los niveles de autenticación requeridos, iniciará sesión en el equipo.

Métodos de autenticación compatibles

ADSelfService Plus es compatible con una amplia gama de autenticadores. Aquí se enumeran los que pueden configurarse para los inicios de sesión en Windows Server:

  1. Autenticación biométrica (huella dactilar/reconocimiento facial)
  2. Verificación con notificaciones emergentes
  3. Duo Security
  4. Google Authenticator
  5. Autenticación con YubiKey
  6. RSA SecurID
  7. RADIUS
  8. Contraseña de un solo uso basada en el tiempo (TOTP)
  9. Autenticador de TOTP personalizado
  10. TOTP de Zoho OneAuth
  11. Notificaciones emergentes
  12. Autenticación basada en código QR
  13. Preguntas y respuestas de seguridad
  14. Verificación por SMS y correo electrónico
  15. Preguntas de seguridad basadas en AD

Personalizar la MFA para Windows Server según sus necesidades organizacionales

Los administradores pueden personalizar la MFA para que se alinee con las necesidades de su empresa:

  • El número de factores de autenticación se puede personalizar para cada usuario en función de las UO y los grupos de los que forme parte.
  • Algunos factores de verificación pueden ser obligatorios.
  • A los usuarios seleccionados se les puede permitir saltarse el proceso de MFA cuando utilicen un dispositivo de confianza para los siguientes inicios de sesión. Un dispositivo de confianza es aquel que el usuario ha utilizado previamente para completar el proceso de MFA. Esta confianza es temporal y expira tras un periodo determinado. Lo anterior obliga al usuario a volver a autenticarse cuando utilice de nuevo dicho dispositivo.

MFA basada en el equipo

Mediante la MFA basada en equipos, puede activar la MFA durante el inicio de sesión basándose en los parámetros de la política del equipo y no en los de la cuenta del usuario. Cuando está activada, cualquier usuario que quiera iniciar sesión en un servidor específico debe autenticarse utilizando MFA. Los administradores pueden seleccionar entre varios métodos de verificación para configurar la MFA basada en dispositivos. Haga clic aquí para obtener más información.

MFA para el control de cuentas de usuario de Windows

ADSelfService Plus proporciona MFA para el UAC de Windows para reforzar la seguridad de las actividades elevadas del sistema que se realizan en cuentas de usuario estándar. Con esta función activada, los usuarios tendrán que autenticarse a través de MFA para todas las solicitudes de credenciales del UAC. Sólo pueden proceder con acciones administrativas una vez que su identidad se haya verificado correctamente. ADSelfService Plus es compatible con varios factores de autenticación MFA para el UAC de Windows. Dicha función es compatible con Windows Server 2008 y versiones más recientes. Haga clic aquí para obtener más información.

MFA offline

ADSelfService Plus es compatible con la MFA offline para equipos Windows Server. Esto proporciona seguridad a los trabajadores y usuarios remotos sin acceso a Internet o cuando el servidor de ADSelfService Plus no está disponible. Los administradores pueden establecer uno o varios métodos de MFA que los usuarios pueden utilizar durante el inicio de sesión. Para acceder a sus equipos sin conexión, los usuarios deben inscribirse en los autenticadores necesarios mientras están en línea.

MFA para desktops remotos

ADSelfService Plus proporciona MFA para RDP al añadir capas adicionales de seguridad a los inicios de sesión remotos en Windows. Los administradores pueden configurar los avisos de MFA para las conexiones RDP al equipo cliente (host) o al equipo de destino. Habilitar la MFA basada en el cliente RDP permite el acceso condicional basado en la dirección IP durante los inicios de sesión RDP. Además, ADSelfService Plus ofrece a los administradores la flexibilidad de seleccionar y personalizar los métodos de autenticación entre los múltiples autenticadores que ofrece.

MFA for local admin  

ADSelfService Plus provides MFA for local admin accounts on Windows servers that are standalone or domain-joined. With local user MFA enabled, admins must authenticate using MFA during login, protecting standalone and domain-joined servers and systems from credential-based threats. Admins can choose from a variety of authenticators to strengthen local account security.

¿Por qué debería elegir ADSelfService Plus?

Usar la MFA para Windows Server en ADSelfService Plus ofrece las siguientes ventajas:

  • Políticas de acceso condicional: automatice las decisiones de control de acceso mediante una autenticación contextual basada en factores de riesgo. Estos pueden ser la dirección IP, el tipo de dispositivo, la hora de acceso y la geolocalización.
  • Configuración personalizable y granular: habilite métodos de autenticación específicos y múltiples factores de verificación para los usuarios que pertenezcan a determinados dominios, grupos y unidades organizativas
  • Informes de auditoría en tiempo real: vea informes detallados sobre los intentos de inicio de sesión en Windows Server con datos como la hora de inicio de sesión, los métodos de autenticación utilizados y el resultado exitoso o fallido de la verificación
  • Mayor seguridad: la MFA para los inicios de sesión en Windows Server mejora la seguridad al requerir otra autenticación además de las credenciales de usuario. Aunque estas últimas se vieran comprometidas, los usuarios no autorizados seguirían necesitando acceder al correo electrónico o al teléfono del usuario autorizado para iniciar sesión en el sistema.

Preguntas frecuentes

Normalmente, los usuarios se autentican utilizando sus credenciales de usuario. La MFA para Windows Server garantiza que los usuarios verifiquen sus identidades con múltiples autenticadores, junto con sus credenciales de usuario, al iniciar sesión en equipos con Windows Server.

Sí, es esencial proteger todos los inicios de sesión en Windows Server de su negocio utilizando la MFA. Para evitar accesos maliciosos, se recomienda utilizar medidas seguras de verificación de la identidad —tales como la biometría— en lugar del método tradicional que sólo incluye las credenciales de usuario. Al habilitar la MFA para Windows Server, puede evitar que los equipos con Windows Server se vean comprometidos. Esto aplica incluso si sus contraseñas son comprometidas por atacantes.

Puede implementar fácilmente la MFA para Windows Server en unos sencillos pasos utilizando ADSelfService Plus. Esta solución le permite habilitar más de dos autenticadores durante el inicio de sesión e incluye verificadores seguros. Entre estos se encuentra la biometría y YubiKey.

Proteja sus servidores Windows con MFA adaptativa usando ADSelfService Plus

Obtener una prueba gratis

Funciones destacadas de ADSelfService Plus

Autoservicio de gestión de contraseñas  

Libere a los usuarios de Active Directory de las largas llamadas a la mesa de ayuda. Empodérelos con funciones de autoservicio para el restablecimiento de contraseñas y el desbloqueo de cuentas.

Una identidad con un inicio de sesión único (SSO) 

Obtenga acceso a más de 100 aplicaciones en la nube con un solo clic. Con el inicio de sesión único empresarial, los usuarios pueden acceder a todas sus aplicaciones en la nube con sus credenciales de Active Directory.

Notificación de caducidad de contraseñas y cuentas  

Alerte a los usuarios de Active Directory sobre la inminente caducidad de sus contraseñas y cuentas mediante notificaciones por correo electrónico y SMS.

Sincronización de contraseñas  

Sincronice automáticamente los cambios de contraseñas y cuentas de Windows Active Directory en múltiples sistemas. Estos incluyen Microsoft 365, Google Workspace, IBM iSeries, etc.

Password Policy Enforcer  

¡Blinde a su negocio contra varias amenazas de hackeo! Exija a los usuarios de Active Directory usar contraseñas seguras mostrando los requisitos de complejidad de las mismas.

Autoactualización de directorio y búsqueda corporativa 

Permita que los usuarios de Active Directory actualicen su información más reciente por su cuenta. Las funciones de búsqueda rápida ayudan a los administradores a encontrar información de sus pares utilizando valores clave, tales como los números de contacto.

Grandes compañías de latinoamérica confían en ADSelfService Plus

ArusBanistmoIndra
BantrapCanal De PanamaSwiss Medical
CarloCNDTeleperformance
EDUK GroupEntelUmiversity of Peurto Rico
GapmxDPWorld

Para una gestión de activos fácil y efectiva en la que confían las siguientes empresas

Emprenda un viaje hacia la seguridad de identidad y Zero Trust
Gestión de contraseñasMFA adaptable SSO para empresasAutoservicio y seguridadProductos relacionados