- Быстрые ссылки
- Многофакторная аутентификация
- Многофакторная аутентификация Active Directory
- Многофакторная аутентификация конечной точки
- Многофакторная аутентификация входа в Windows
- Двухфакторная аутентификация
- MFA в автономном режиме
- Многофакторная аутентификация для входа через VPN
- Многофакторная аутентификация для входа через OWA
- Многофакторная аутентификация для пользователей Microsoft 365
- Многофакторная аутентификация для входа через VPN
- Многофакторная аутентификация для облачных приложения
- Управление паролями
- Самостоятельный сброс пароля
- Самостоятельное разблокирование учетной записи
- Синхронизация паролей
- Средство принудительного применения политики паролей
- Изменение пароля домена через веб-интерфейс
- Обновление кэшированных учетных данных
- Самостоятельное управление паролями с экранов входа в систему
- Автоматическая сброс пароля
- Единый вход
- Средство обеспечения соблюдения политики в отношении паролей
- Организация удаленной работы
- Безопасность
Зачем нужна многофакторная/двухфакторная аутентификация Active Directory?
Active Directory остается основой управления удостоверениями для большинства организаций, и по мере того, как кибератаки становятся все более изощренными, применение устаревшей аутентификации на основе имени пользователя и пароля для доступа к Active Directory становится недостаточным. Поскольку 80 % нарушений связаны с украденными или ненадежными учетными данными, двухфакторная аутентификация (2FA), подвид многофакторной аутентификации (MFA), может предотвратить атаки на основе учетных данных в среде Active Directory. И это понятно, поскольку всего один скомпрометированный пароль может предоставить злоумышленникам доступ ко всей вашей сети. Независимо от того, является ли ваша система гибридной или локальной, двухфакторная аутентификация Active Directory больше не является рекомендуемой практикой - это базовое требование.
Как работает многофакторная аутентификация Active Directory в локальной среде?
Когда пользователь пытается войти в систему на своем рабочем компьютере Windows, macOS или Linux, он проходит 2FA или MFA для Active Directory следующим образом:
- Пользователь вводит свои имя пользователя и пароль Active Directory, которые проверяются контроллером домена или с помощью кэшированных учетных данных.
- Если учетные данные действительны, пользователь проходит этапы MFA, настроенные администратором.
- ADSelfService Plus проверяет регистрацию пользователя и применимую политику, а затем предлагает ему требуемые аутентификаторы MFA из списка, включающего более 20 поддерживаемых вариантов.
- После успешного завершения MFA пользователь получает доступ к своему компьютеру.
Комплексная система многофакторной аутентификации Active Directory
ManageEngine ADSelfService Plus предлагает надежную, комплексную локальную MFA для Active Directory, подкрепленную современными методами аутентификации, простой настройкой и развертыванием, а также полным спектром средств защиты удостоверений.
Многофакторная аутентификация для входа на компьютер
Безопасный доступ к компьютеру (под управлением ОС Windows, macOS и Linux) с помощью MFA для пользователей Active Directory.
MFA для VPN
Предоставьте пользователям возможность безопасного доступа к ИТ-ресурсам через VPN после прохождения строгой процедуры аутентификации с использованием передовых методов корпоративной аутентификации.
Многофакторная аутентификация для OWA
Обеспечьте безопасный доступ к учетным записям OWA, развернув MFA для учетных записей Active Directory со строгими факторами проверки подлинности при входе в OWA.
MFA в автономном режиме
Защитите удаленных пользователей, работающих в автономном режиме, включив многофакторную аутентификацию Active Directory для входа в систему на компьютерах Windows и macOS в автономном режиме.
Многофакторная проверка подлинности для корпоративных приложений
Регулируйте доступ к корпоративным приложениям посредством единого входа, используя надежные аутентификаторы, такие как ключи доступа FIDO, YubiKey и биометрическую аутентификацию для пользователей Active Directory.
MFA для SSPR
Разрешите пользователям самостоятельно сбрасывать пароли Active Directory (SSPR) и самостоятельно разблокировать учетную запись только после проверки личности пользователя с использованием типов аутентификации MFA, поддерживаемых SSPR.
Основные преимущества внедрения многофакторной аутентификации Active Directory
Включение MFA AD локально с помощью ADSelfService Plus обеспечивает вашей организации многочисленные преимущества, напрямую устраняя распространенные проблемы ИТ-безопасности:
- Непревзойденная безопасность. Значительно снижает риск любых атак с использованием паролей, включая фишинг, подбор паролей и подмену учетных данных, делая скомпрометированные учетные данные бесполезными без второго фактора.
- Снижение рисков внутренних атак. Обеспечивает необходимый уровень безопасности от взлома внутренних учетных записей, случайных неверных настроек или злоумышленников, пытающихся получить доступ путем повышения уровня прав.
- Защита критически важных ресурсов. Защитите конфиденциальные данные, критически важные бизнес-приложения и системы, интегрированные с вашей инфраструктурой AD и зависящие от нее.
- Гибкие методы проверки подлинности. Поддержка широкого спектра факторов, включая биометрию, push-уведомления, одноразовые пароли с ограниченным сроком действия (TOTP), ключи безопасности (например, YubiKey) и многое другое.
- Адаптивные политики безопасности. Реализуйте политики условного доступа на основе местоположения пользователя, надежности устройства или времени доступа, добавив интеллектуальный уровень защиты.
Передовые методики развертывания многофакторной аутентификации Active Directory
- Включите MFA для всех учетных записей администраторов. Защитите среду Active Directory от атак путем повышения уровня прав, внедрив обязательную многофакторную аутентификацию для администраторов домена, администраторов предприятия и других привилегированных пользователей.
- Настройка нескольких методов проверки подлинности. Обеспечьте доступность для пользователей и предоставьте варианты резервного копирования, используя сочетание push-уведомлений, кодов по SMS, аппаратных маркеров, биометрической аутентификации и ключей безопасности FIDO2 для удовлетворения предпочтений и различных сценариев использования. T
- Использование политики условного доступа. Повысьте удобство использования за счет автоматизации потоков двухфакторной аутентификации Active Directory на основе оценки рисков и контекста.
- Мониторинг журналов входа в систему. Постоянно отслеживайте и анализируйте события MFA в своей инфраструктуре Active Directory, включая успешные операции проверки подлинности, неудачные попытки, необычные схемы доступа и потенциальные попытки обхода.
- Обучение пользователей. Заблаговременно информируйте конечных пользователей о важнейших преимуществах многофакторной аутентификации Active Directory и проводите комплексное обучение по ее правильному использованию.
Почему стоит выбрать ADSelfService Plus в качестве локального решения для многофакторной аутентификации Active Directory?
Детальная настройка двухфакторной аутентификации Active Directory
Администраторы могут применять разные аутентификаторы для разных групп пользователей в зависимости от подразделений, доменов и членства в группах.
Детально применяйте MFA на основе доменов, подразделений или групп.
Многофакторная аутентификация Active Directory включена для нескольких доменов с одной консоли.
Беспроблемная регистрация для многофакторной аутентификации
Автоматически предлагайте пользователям зарегистрироваться для многофакторной аутентификации Active Directory во время входа в систему или применяйте политики обязательной регистрации, чтобы гарантировать полный охват без вмешательства вручную или задержек.
Сформулируйте убедительное сообщение для сценария входа в систему, которое будет отображаться каждый раз, когда незарегистрированный пользователь входит в систему на своем компьютере.
Настройте сценарий входа в систему, чтобы предоставить пользователям возможность зарегистрироваться для MFA позже или потребовать немедленной регистрации.
Улучшенные удобство использования и безопасность
Сбалансированное сочетание безопасности и удобства использования благодаря 20 различным методам аутентификации, включая биометрию и TOTP, позволяет пользователям выбирать из уже знакомых, удобных и безопасных вариантов MFA.
Применяйте определенные методы аутентификации к различным политикам пользователей.
Комплексные отчетность и аудит
Отслеживайте статус регистрации для MFA, попытки аутентификации и сбои с помощью более 14 подробных отчетов, готовых к аудиту, чтобы получить представление об активности пользователей и соответствии требованиям в вашей среде Active Directory.
Запланируйте периодическое создание отчетов о многофакторной аутентификации Active Directory и их сохранение на сервере или отправку на определенные адреса электронной почты.
Примените фильтр по определенным записям журналам во всем отчете.
Многофакторная аутентификация Active Directory и соответствие требованиям
Многофакторная аутентификация Active Directory позволяет напрямую обеспечить соответствие требованиям отраслевых стандартов. Такие стандарты, как NIST, PCI DSS, GDPR и HIPAA, явно требуют применения многофакторной аутентификации.
| Отраслевые | Соответствие требованиям | Требование |
|---|---|---|
| Государственные | NIST |
NIST SP 800-171 Rev. 2 - Защита контролируемой несекретной информации (CUI) Пункт 3.5.3 - для идентификации и аутентификации специально предусматривается применение MFA как для привилегированных, так и для непривилегированных учетных записей. Пункт NIST 800-171 3.5.3 специально требует применения MFA как для привилегированных, так и для непривилегированных учетных записей. Это означает, что все пользователи, независимо от уровня доступа, должны проходить процесс MFA, чтобы получить доступ к системе или данным. |
| Здравоохранение | HIPAA | Раздел § 164.308(а)(3)(i): Standard: Безопасность сотрудников. Внедрить политики и процедуры, обеспечивающие всем сотрудникам надлежащий доступ к защищенной электронной информации о состоянии здоровья и не допускающие доступа к защищенной электронной информации о состоянии здоровья тех сотрудников, у которых нет такого доступа. |
| Финансы | PCI DSS | Раздел 8.4.2: Для обеспечения безопасности доступа к среде данных держателей карт (CDE) необходимо внедрить MFA. |
| ИТ | GDPR | GDPR не требует применения MFA. Тем не менее, организациям, стремящимся к полному соблюдению GDPR, рекомендуется принять MFA в качестве передовой практики обеспечения безопасности данных. |
Вопросы и ответы
Нет, для внедрения многофакторной аутентификации Active Directory требуются дополнительные инструменты, такие как многофакторная проверка подлинности Azure, расширение NPS или сторонние решения.
Да, с помощью ADSelfService Plus можно включить двухфакторную аутентификацию Active Directory для локального и удаленного входа в систему.
Да, ADSelfService Plus интегрируется с локальной службой Active Directory для MFA.
Это мера безопасности, которая требует от пользователей подтверждения своей личности с помощью нескольких факторов перед входом в системы, подключенные к AD.
Да. Оба термина означают добавление дополнительных уровней аутентификации для входа в Active Directory. Хотя двухфакторная аутентификация AD является подвидом многофакторной аутентификации AD, требующим дополнительного уровня аутентификации помимо имени пользователя и пароля, многофакторная аутентификация AD может включать два или более уровней аутентификации.
Да, ADSelfService Plus поддерживает многофакторную аутентификацию как при локальном, так и при удаленном входе в систему.
Особенности ADSelfService Plus
Самостоятельное управление паролями
Избавьте пользователей Windows AD от длительных звонков в службу поддержки, предоставив им возможность самостоятельного сброса пароля и разблокировки учетной записи.
Многофакторная аутентификация
Включите контекстную многофакторную аутентификацию с 20 различными факторами для входа в конечные точки, приложения, VPN, OWA и RDP.
Одно удостоверение с возможностью единого входа
Обеспечьте беспроблемный доступ одним щелчком мыши к более чем 100 облачным приложениям. С помощью корпоративного единого входа пользователи могут получать доступ ко всем своим облачным приложениям (SSO), используя свои учетные данные Windows AD.
Уведомления об истечении срока действия пароля/учетной записи
Уведомляйте пользователей Windows AD о приближающемся истечении срока действия их пароля и учетной записи с помощью уведомлений по электронной почте и SMS.
Синхронизация паролей
Синхронизируйте изменения паролей или учетных записей пользователей Windows AD в разных системах в автоматическом режиме, включая Microsoft 365, Google Workspace, IBM iSeries и т. п.
Средство принудительного применения политики паролей
Надежные пароли противостоят различным хакерским атакам. Обеспечьте соблюдение пользователями Windows AD правил в отношении паролей, указав требования к сложности паролей.