Uwierzytelnianie dwuskładnikowe logowania do systemu Windows

Podwójna ochrona przed naruszeniami zabezpieczeń

Ponieważ liczba naruszeń zabezpieczeń rośnie każdego dnia, nie można polegać wyłącznie na nazwach użytkowników i hasłach w celu zabezpieczenia kont użytkowników. Zamiast wzmacniać hasła, bardziej opłacalnym rozwiązaniem jest dodanie dodatkowej warstwy zabezpieczeń w celu odfiltrowania nieautoryzowanych użytkowników. Uwierzytelnianie dwuskładnikowe (TFA) — metoda, w której użytkownicy są uwierzytelniani za pomocą czegoś, co znają i co mają — sprawia, że jest to możliwe.

Logowanie do systemu Windows za pomocą usługi ADSelfService Plus

Po włączeniu funkcji ADSelfService PlusUwierzytelniania dwuskładnikowego logowania do systemu Windows użytkownicy muszą uwierzytelnić się w dwóch kolejnych etapach, aby uzyskać dostęp do swoich komputerów z systemem Windows. Pierwszym poziomem uwierzytelniania jest coś, co użytkownicy znają: ich standardowe poświadczenia systemu Windows. Drugi poziom uwierzytelniania — coś, co mają — może być realizowany w ramach jednej z następujących metod:

  1. Kody weryfikacyjne SMS lub e-mail
  2. DUO Security
  3. RSA SecurID
  4. Uwierzytelnianie RADIUS

Uwierzytelnianie dwuskładnikowe logowania do systemu Windows gwarantuje bezpieczeństwo danych poufnych, nawet w przypadku złamania haseł. Oznacza to, że nawet jeśli nieautoryzowani użytkownicy uzyskają dostęp do hasła użytkownika, nadal potrzebują dostępu do telefonu lub poczty elektronicznej użytkownika, aby uzyskać kody weryfikacyjne. Ponadto kody weryfikacyjne SMS i e-mail oraz kody uwierzytelniające z Duo Security i RSA SecurID są unikatowe dla każdego użytkownika. Kodów można użyć tylko raz i wygasają one, jeśli nie zostaną użyte w określonym czasie.

Gdy uwierzytelnianie dwuskładnikowe logowania do systemu Windows jest włączone, ta metoda jest stosowana w przypadku wszystkich prób lokalnego i zdalnego logowania do systemu Windows.

ADSelfService Plus obsługuje uwierzytelnianie dwuskładnikowe logowania do systemu Windows w następujących systemach operacyjnych:

  • Windows Vista i nowsze wersje
  • Windows Server 2008 i nowsze wersje

Jak to działa

  • Kiedy skonfigurowany użytkownik próbuje zalogować się na komputerze z systemem Windows, będzie potrzebował poświadczeń do domeny Active Directory, aby udowodnić swoją tożsamość.
  • Następnie użytkownicy muszą uwierzytelnić się za pomocą kodu uwierzytelniającego przesyłanego do nich w wiadomości SMS lub e-mail albo za pośrednictwem zewnętrznego dostawcy usług uwierzytelniania.
  • Użytkownik jest teraz pomyślnie zalogowany na swoim komputerze z systemem Windows.

windows-logon-tfa-workflow
Ilustracja 1: jak działa uwierzytelnianie dwuskładnikowe logowania do systemu Windows.

Zalety

Funkcja uwierzytelniania dwuskładnikowego logowania do systemu Windows obsługiwana przez ADSelfService Plus poprawia bezpieczeństwo kont użytkowników, zabezpieczając je przed potencjalnymi zagrożeniami. Ponieważ jest mało prawdopodobne, aby każdy użytkownik w domenie wymagał włączenia uwierzytelniania dwuskładnikowego logowania do systemu Windows, ADSelfService Plus daje również możliwość konfiguracji uwierzytelniania dwuskładnikowego w oparciu o domenę, jednostkę organizacyjną lub członkostwo w grupie. 

Oto GIF z prezentacją działania:

windows-logon-tfa-workflow

Najważniejsze funkcje

Samoobsługa haseł

Spraw, by użytkownicy usługi Active Directory nie musieli prowadzić długich rozmów z działem pomocy technicznej, pozwalając im na samoobsługowe resetowanie haseł/odblokowywanie konta. Bezproblemowa zmiana hasła dla użytkowników Active Directory za pomocą konsoli zmiany hasła w ADSelfService Plus. 

Jedna tożsamość w ramach logowania jednokrotnego

Uzyskaj bezproblemowy dostęp jednym kliknięciem do ponad 100 aplikacji w chmurze. W ramach logowania jednokrotnego w przedsiębiorstwie użytkownicy mogą uzyskać dostęp do wszystkich swoich aplikacji w chmurze, korzystając z poświadczeń usługi Active Directory. Jest to możliwe dzięki ADSelfService Plus! 

Powiadomienie o wygaśnięciu hasła/konta

Informuj użytkowników usługi Active Directory o zbliżającym się wygaśnięciu ich hasła/konta, wysyłając im powiadomienia o wygaśnięciu hasła/konta.

Narzędzie do synchronizacji haseł

Automatycznie synchronizuj zmiany hasła/konta użytkownika w usłudze Windows Active Directory w wielu systemach, w tym w pakiecie Office 365, G Suite, IBM iSeries i innych. 

Funkcja wymuszania zasad haseł

Spraw za pomocą ADSelfService Plus, aby użytkownicy mieli silne hasła odporne na różne zagrożenia hakerskie, wymuszając na użytkownikach usługi zgodność z zasadami haseł przez wyświetlanie wymagań dotyczących złożoności hasła.

Samodzielna aktualizacja kataloguwyszukiwanie w katalogu firmowym

Portal pozwalający użytkownikom usługi Active Directory na aktualizację ich najnowszych informacji oraz szybkie wyszukiwanie informacji o współpracownikach za pomocą kluczy wyszukiwania, takich jak numer kontaktowy poszukiwanej osoby.