Tvåfaktorsautentisering för Windows-inloggningar
Lösenordsintrång inträffar dagligen och det räcker inte längre med att enbart använda användarnamn och lösenord för inloggning i Windows. Det är viktigt att lägga till ytterligare säkerhetslager för att filtrera bort obehöriga användare. Genom att implementera en lösning för tvåfaktorsautentisering (2FA) i organisationen läggs ytterligare säkerhetslager till genom autentiseringsmetoder som t.ex. lösennycklar, biometri, Google Authenticator och YubiKey för att blockera obehörig åtkomst.
Implementering av 2FA för Windows-inloggning med ADSelfService Plus
Med ADSelfService Plus 2FA för Windows-inloggning aktiverad måste användarna autentisera sig i två steg för att komma åt sina Windows-maskiner. Den första autentiseringsnivån sker med hjälp av deras vanliga Windows AD-autentiseringsuppgifter. Administratörer kan välja mellan ett brett utbud av autentiseringsfaktorer för den andra autentiseringsnivån. Förutom inloggningar på Windows-maskiner tillhandahåller ADSelfService Plus 2FA för RDP-inloggningar, UAC-meddelanden (User Account Control) i Windows och Windows-servrar.
ADSelfService Plus erbjuder följande autentiseringsfaktorer:
- Biometrisk autentisering (t.ex. fingeravtryck, ansiktsigenkänning)
- FIDO-lösennycklar
- Duo Security
- RSA SecurID
- Entra ID MFA
- RADIUS
- Microsoft Authenticator
- Google Authenticator
- YubiKey-autentisering
- E-postverifiering
- Sms-verifiering
- Tidsbaserade engångslösenkoder
- Anpassad TOTP-autentiserare
- Zoho OneAuth TOTP
- Push-aviseringar
- QR-kodbaserad autentisering
- SAML-autentisering
- Smart Card-autentisering
- Frågor och svar om säkerhet
- AD-baserade säkerhetsfrågor
ADSelfService Plus erbjuder 20 olika autentiseringsfaktorer som administratörer kan välja mellan. Dessa säkerställer att även om en obehörig användare får tillgång till en användares inloggningsuppgifter, kommer maskinen fortfarande att skyddas av en andra autentiseringsfaktor.
Hur fungerar 2FA för Windows-inloggningar?
- När den är konfigurerad måste användare som loggar in på sina Windows-datorer först verifiera sin identitet med hjälp av sina AD-domänautentiseringsuppgifter.
- Därefter slutför de Windows 2FA-processen genom att autentisera sig med en tidskänslig kod som skickas via sms, e-post eller en 2FA-metod som konfigurerats av administratören. Beroende på konfigurationen kan användarna behöva verifiera sig med en eller flera autentiseringsmetoder.
- Slutligen loggas användarna in på sina Windows-maskiner när de har verifierat sina identiteter mot de konfigurerade autentiseringsmetoderna.
- Denna 2FA-lösning för företag stöder både lokal och RDP 2FA, vilket ger förbättrad inloggningssäkerhet.
Anpassa Windows 2FA så att det passar dina organisatoriska krav
Administratörer kan anpassa ADSelfService Plus Windows 2FA-funktion för att anpassa sig till organisationens specifika säkerhetskrav.
- Konfigurera olika antal autentiseringsfaktorer för användare baserat på deras OU:er och grupper.
- Tillämpa obligatoriska autentiseringsfaktorer för ökad säkerhet.
- Tillåt utvalda användare att hoppa över Windows 2FA-processen när de använder en betrodd enhet. Med betrodda enheter avses enheter som tidigare har autentiserats genom 2FA-processen. Detta förtroende är giltigt under en viss period, varefter ny autentisering är nödvändig.
Denna flexibla 2FA-lösning för Windows-inloggning ger säker åtkomst samtidigt som den balanserar säkerhet och bekvämlighet. Förutom 2FA för Windows-inloggningar tillhandahåller ADSelfService Plus även 2FA för följande slutpunkter.
Maskinbaserad 2FA
ADSelfService Plus erbjuder maskinbaserad 2FA, där 2FA för Windows-inloggning utlöses baserat på enhetens policyinställningar snarare än individuella användarkontoinställningar. När den är aktiverad måste alla användare som loggar in på en specifik maskin verifiera sin identitet med 2FA. Administratörer kan konfigurera autentiseringsmetoder för maskinbaserad 2FA och välja bland en rad autentiserare som liknar dem som finns tillgängliga i Windows standardfunktion för inloggning 2FA. Läs mer
2FA för fjärrskrivbord
ADSelfService Plus erbjuder 2FA för RDP, vilket säkrar Windows-inloggningar på distans med ytterligare autentiseringsmetoder. Det gör det möjligt för administratörer att begära 2FA för RDP-anslutningar till klientmaskinen (även känd som värdmaskinen) eller målmaskinen. När RDP-klientbaserad 2FA-funktion aktiveras kan IP-baserad villkorad åtkomst uppnås för RDP-baserade inloggningar. ADSelfService Plus gör det möjligt för administratörer att anpassa de autentiserare som ska uppmanas till RDP 2FA från de flera autentiserare som den erbjuder. Läs mer
2FA för Windows Server
Det är viktigt att verkställa 2FA för Windows Server-inloggningar för att skydda kritiska servrar från obehörig åtkomst. Windows Server lagrar ofta känsliga data och kör viktiga tjänster, vilket gör den till en guldgruva för hotaktörer. Genom att implementera Windows Server 2FA med autentiseringsmetoder som biometri och engångslösenord säkerställer ADSelfService Plus att angripare inte kan få åtkomst till dina Windows Server-instanser, även om inloggningsuppgifterna skulle äventyras. Den här funktionen är kompatibel med Windows Server 2008 och senare. Läs mer
2FA för Windows UAC
ADSelfService Plus erbjuder 2FA för Windows User Account Control (UAC), vilket säkerställer att förhöjda systemaktiviteter på vanliga användarkonton är skyddade. När den är aktiverad utlöses 2FA för alla UAC-legitimationsfrågor, vilket gör att användare kan utföra administrativa åtgärder först efter framgångsrik identitetsverifiering. ADSelfService Plus erbjuder flera autentiseringsfaktorer för Windows UAC 2FA. Denna funktion är kompatibel med Windows 7 och senare samt Windows Server 2008 och senare. Läs mer
2FA offline
ADSelfService Plus tillhandahåller 2FA offline för Windows-datorer, vilket garanterar säker Windows-inloggning även när användarna är på distans, offline eller inte kan ansluta till ADSelfService Plus-servern. Administratörer kan konfigurera flera 2FA-metoder för säkra inloggningar. Om du vill aktivera offlineåtkomst måste användarna registrera sig för sina valda autentiseringsfaktorer när de är online. Denna 2FA-lösning för Windows förbättrar säkerheten för distansarbetare och säkerställer kontinuerligt skydd även utan internetanslutning. Läs mer
Systemkrav för inloggningsagenten ADSelfService Plus 2FA
Följande är de Windows OS-versioner som ADSelfService Plus inloggningsagent stöder för att aktivera 2FA för Windows-inloggning och RDP-baserad åtkomst.
| Windows Server | Client machines |
|---|---|
| Windows Server 2022 | Windows 11 |
| Windows Server 2019 | Windows 10 |
| Windows Server 2016 | Windows 8.1 |
| Windows Server 2012 R2 | Windows 8 |
| Windows Server 2012 | Windows 7 |
| Windows Server 2008 R2 | Windows Vista |
| Windows Server 2008 |
Förutom Windows OS stöder ADSelfService Plus även 2FA för macOS- och Linux-operativsystem.
Benefits of implementing password policies using ADSelfService Plus
- Förbättrad säkerhet: Windows 2FA garanterar förbättrad säkerhet, vilket innebär att även om lösenorden äventyras måste obehöriga användare fortfarande ha tillgång till en auktoriserad användares e-post eller telefon för att kunna logga in på Windows-maskinerna.
- Stort utbud av autentiserare: Det finns 20 olika autentiserare i ADSelfService Plus, vilket ger IT-administratörer en mängd olika alternativ att välja mellan för att skapa en autentiseringsmekanism för sina användare.
- Olika autentiserare för olika användare: ADSelfService Plus ger också administratörer möjlighet att konfigurera 2FA baserat på användarnas OU:er, grupper och domänmedlemskap. På så sätt kan användare med olika behörigheter ha olika autentiseringsnivåer.
- Alternativ för enhetsförtroende för en förbättrad användarupplevelse: Med ADSelfService Plus kan användare aktivera alternativet betrodda enheter för att snabbt logga in på sina maskiner utan att utföra 2FA under en viss tid efter den första identitetsverifieringen.
Vanliga frågor
Windows tvåfaktorsautentisering (2FA) innebär att inloggningar till Windows-maskiner säkras med hjälp av mer än en autentiseringsfaktor för att verifiera en användares identitet innan de får tillgång till nätverket.
Windows har stöd för MFA, men inte inbyggt. Du måste implementera det via en 2FA-lösning från tredje part som ADSelfService Plus.
Ja, genom att implementera 2FA för Windows-inloggningar kan du lägga till extra lager av säkerhet för användarnas maskiner. Om man skyddar maskininloggningar med endast en faktor — traditionellt ett användarnamn och lösenord — gör dem sårbara för attacker. Men genom att införa ytterligare autentiseringsåtgärder förstärks maskinerna i din organisation och skyddas mot intrång och attacker.
Genom att använda ADSelfService Plus för att säkra Windows- och RDP-baserade inloggningar kan du välja dina föredragna metoder från en rad olika autentiseringsmetoder, t.ex biometri, Duo Security, autentisering med push-avisering, Microsoft Authenticator, Google Authenticator, YubiKey och e-postverifiering.
Du kan skydda Windows-maskiner i din organisation genom att implementera ManageEngine ADSelfService Plus Windows logon 2FA för lokala och fjärranslutna inloggningar. Förutom Windows-maskiner erbjuder ADSelfService Plus 2FA för Linux- och macOS-maskiner också. Du kan också använda andra 2FA-funktioner i ADSelfService Plus, t.ex:
- Maskinbaserad 2FA
- 2FA för Windows UAC
- 2FA offline
- 2FA för RDP-baserad åtkomst
- Windows Server 2FA
Om du vill ha en bättre förståelse för ADSelfService Plus 2FA-kapacitet kan du boka en personlig webbdemo med en av våra lösningsexperter eller ladda ner en kostnadsfri 30-dagars utvärderingsversion för att utforska lösningen på egen hand.
Du kan enkelt distribuera 2FA för maskinerna i din organisation med några enkla steg med hjälp av ADSelfService Plus. Med ADSelfService Plus kan du aktivera fler än två autentiserare vid inloggning och inkluderar starka autentiserare som t.ex biometri och YubiKey.
Höjdpunkter i ADSelfService Plus
Lösenordssjälvbetjäning
Befria Windows AD-användare från långa samtal till helpdesk genom att ge dem möjlighet att återställa lösenord och låsa upp konton med självbetjäning.
En identitet med enkel inloggning
Få sömlös åtkomst med ett klick till mer än 100 molnapplikationer. Med enkel inloggning för företag kan användarna komma åt alla sina molnapplikationer med hjälp av sina Windows AD-autentiseringsuppgifter.
Avisering om att lösenord och konto upphör att gälla
Meddela Windows AD-användare om att deras lösenord och konton snart kommer att upphöra att gälla via e-post och sms.
Lösenordssynkronisering
Synkronisera Windows AD-användarlösenord och kontoändringar mellan flera system automatiskt, inklusive Microsoft 365, Google Workspace, IBM iSeries med mera.
Verkställare av lösenordspolicyer
Starka lösenord motstår olika hackningshot. Tvinga Windows AD-användare att använda kompatibla lösenord genom att visa krav på lösenordskomplexitet.
Självuppdatering av katalog och företagssökning
Gör det möjligt för Windows AD-användare att själva uppdatera sin senaste information. Snabbsökningsfunktioner hjälper administratörer att söka efter information om kollegor med hjälp av söknycklar som kontaktnummer.