Как защитить локальные и удаленные входы в Windows с помощью многофакторной аутентификации конечной точки ADSelfService Plus

В связи с ростом числа кибератак использование только паролей в качестве защитного механизма уже небезопасно. Для ограничения неавторизованных пользователей требуется дополнительный фильтр. ADSelfService Plus решает эту задачу, поддерживая многофакторную аутентификацию (MFA) для всех попыток входа в Windows.

После включения этой функции пользователи будут проходить аутентификацию один раз с использованием своих учетных данных домена Active Directory, а затем еще раз с использованием любого из восемнадцати методов аутентификации, доступных в ADSelfService Plus.

Предварительные требования

1. Ваша лицензия ADSelfService Plus должна включать лицензию на MFA для конечных точек. Посетите наш магазин, чтобы приобрести MFA для конечных точек.
2. SSL должен быть включен: Войдите в веб-консоль ADSelfService Plus, используя учетные данные администратора. Перейдите на вкладку Администрирование → Настройки продукта → Подключение. Выберите параметр Порт ADSelfService Plus [https]. Обратитесь к этому руководству, чтобы узнать, как применить сертификат SSL и включить HTTPS.
3. URL-адрес доступа должен быть настроен на использование протокола HTTPS: Перейдите в раздел Администрирование > Настройки продукта > Подключение > Настройки подключения > Настроить URL-адрес доступа и установите для параметра Протокол значение HTTPS.
4. Включите требуемые методы аутентификации: Инструкции по включению методов аутентификации см.
5. Установите агент для входа в ADSelfService Plus для Windows, macOS и Linux на компьютеры, где требуется включить MFA. Нажмите здесь, чтобы получить инструкции по установке агента входа в ADSelfService Plus.

Необходимые шаги:

1. Войдите в веб-консоль ADSelfService Plus, используя учетные данные администратора.
2. Перейдите в раздел Конфигурация → Самообслуживание → Многофакторная аутентификация → MFA для конечных точек.
3. В раскрывающемся списке Выбрать политику выберите политику. Это определит, какие методы аутентификации включены для тех или иных групп пользователей.

   Примечание: ADSelfService Plus позволяет создавать политики на уровне подразделений и групп. Чтобы создать политику, перейдите в раздел "Конфигурация" → "Самообслуживание" → "Конфигурация политики" → "Добавить новую политику". Нажмите "Выбрать подразделения/группы" и сделайте выбор в соответствии с вашими требованиями. Выберите хотя бы одну функцию самообслуживания. Наконец, нажмите кнопку "Сохранить политику".

4. В разделе MFA для входа на компьютер» установите флажок Включить __факторную аутентификацию, выберите количество методов аутентификации и укажите, какие из них вы хотите использовать, в раскрывающемся списке.
5. Нажмите Сохранить настройки.

   

Примечание: В разделе "Дополнительно" → "Настройки конечной точки" ADSelfService Plus предлагает вариант Пропустить MFA, если сервер ADSelfService Plus не работает или недоступен. Если этот параметр не выбран, пользователи не смогут получить доступ к своим компьютерам, если ADSelfService Plus недоступен. Однако включать этот параметр не рекомендуется, поскольку ADSelfService Plus предлагает функции, обеспечивающие постоянную доступность продукта: Режим высокой доступности и балансировка нагрузки.

В режиме высокой доступности создаются два экземпляра продукта, и резервный экземпляр берет на себя функции, когда основной экземпляр выходит из строя. Балансировка нагрузки распределяет входящие запросы к серверу ADSelfService Plus между несколькими экземплярами, обеспечивая лучшую производительность продукта. Эти функции гарантируют пользователям постоянный доступ к MFA и, следовательно, постоянный доступ к своим устройствам.

Вот как работает MFA для входа в Windows: