Tweeledige verificatie voor Windows-aanmelding

Dubbele bescherming tegen beveiligingsinbreuk

Met een aantal beveiligingsinbreuken dat elke dag toeneemt, is het alleen vertrouwen op gebruikersnamen en wachtwoorden voor het beveiligen van de accounts van gebruikers geen optie meer. In plaats van het alleen maar sterker maken van wachtwoorden, is een meer realistische oplossing het toevoegen van een extra beveiligingslaag voor het uitfilteren van onbevoegde gebruikers. Tweeledige verificatie (TFA): een methode waarbij gebruikers worden geverifieerd met iets dat ze weten en iets dat ze hebben, maakt dit mogelijk.

Aanmelden bij Windows met ADSelfService Plus

Als de functie Windows Logon TFA van ADSelfService Plus'’ is ingeschakeld, moeten gebruikers zichzelf verifiëren in twee opeenvolgende fasen voor toegang tot hun Windows-computer. Het eerste niveau van verificatie is door iets dat zij kennen: hun gebruikelijke Windows-gegevens. Het tweede niveau van verificatie—iets dat ze hebben—kan via een van het volgende zijn:

1. Beveiligingsvragen en -antwoorden
2. Verificatie via e-mail
3. Verificatie via SMS
4. Google Authenticator
5. Duo Security
6. RSA SecurID
7. RADIUS-verificatie
8. Verificatie door push-melding
9. Verificatie door vingerafdruk
10. Verificatie op basis van QR-code
11. Microsoft Authenticator
12. TOTP-verificatie
13. Op AD gebaseerde beveiligingsvragen

Tweeledige verificatie voor Windows-aanmelding zorgt ervoor dat er geen risico bestaat voor gevoelige gegevens. Zelfs in gevallen waarbij wachtwoorden zijn aangetast. Dat betekent dat, zelfs als onbevoegde gebruikers toegang verkrijgen tot het wachtwoord van een gebruiker, zij nog steeds toegang nodig hebben tot de telefoon of e-mail van de gebruiker om de verificatiecodes te krijgen. Bovendien zijn de verificatiecodes per sms en e-mail alsook de verificatiecodes van Duo Security en RSA SecurID uniek voor elke gebruiker. Deze codes kunnen slechts eenmaal worden gebruikt en verlopen als ze niet binnen een bepaalde tijd worden gebruikt.

Wanneer tweeledige verificatie voor Windows-aanmelding is ingeschakeld, voegt het tweeledige verificatie toe aan alle lokale en externe aanmeldpogingen bij Windows.

ADSelfService Plus ondersteunt tweeledige verificatie voor Windows-aanmelding op de volgende besturingssystemen:

• Windows 8.1 en hoger.
• Windows Server 2008 en hoger.

Hoe het werkt

• Wanneer een geconfigureerde gebruiker probeert om aan te melden bij zijn/haar Windows-computer, heeft hij/zij Active Directory-domeinaanmeldgegevens nodig om zijn/haar identiteit te bewijzen.
• Daarna moeten gebruikers zichzelf verifiëren met gebruik van de tijdgevoelige verificatiecode die is verzonden naar hun sms of e-mail, of via een externe verificatie-aanbieder.
• De gebruiker is nu succesvol aangemeld bij zijn/haar Windows-computer.

Afbeelding 1: Hoe werkt tweeledige verificatie voor Windows-aanmelding?

Voordelen

Met tweeledige verificatie voor Windows-aanmelding biedt ADSelfService Plus verbeterde beveiliging voor de accounts van uw gebruikers, waardoor ze worden beveiligd tegen potentiële veiligheidsbedreigingen. Aangezien het uiterst onwaarschijnlijk is dat elke gebruiker in een domein het inschakelen van tweeledige verificatie voor Windows-aanmelding nodig zou hebben, biedt ADSelfService Plus u ook het vermogen om tweeledige verificatie te configureren gebaseerd op domein, OE of groepslidmaatschap.

Hier vindt u een GIF van hoe het werkt: