Guida online ESET

Ricerca Italiano
Seleziona l'argomento

Protezione accesso Windows

ESA offre una protezione autenticazione locale per Windows in un dominio o in un ambiente LAN. Per utilizzare questa funzionalità, selezionare il componente Windows Login (Login Windows) durante l’installazione di ESA. Al termine dell'installazione, accedere a ESA Web Console e fare clic su Components (Componenti) > Windows Login (Login Windows). Verrà visualizzato l'elenco di computer sui quali è installato il componente Windows Login (Login Windows) di ESA. Da questa schermata, è possibile abilitare/disabilitare la protezione 2FA (Autenticazione a due fattori) per ciascun computer.

windows_login_computers

Se è disponibile un lungo elenco di computer, utilizzare il campo Filter (Filtro) per ricercare un computer specifico digitandone il nome.

Se il componente Windows Login (Login Windows) di ESA versione 2.6 o successive viene disinstallato da un computer specifico, il computer verrà rimosso automaticamente da Computer List (Elenco di computer) di ESA Web Console. È possibile eliminare manualmente anche una voce del computer da Web Console. Selezionare una voce del computer e fare clic su Delete (Rimuovi) oppure posizionare il mouse su un computer, fare clic su icon_hard_token_actions e selezionare Delete (Rimuovi). Fare clic su Delete (Rimuovi) anche nella finestra di conferma. Si supponga che una voce del computer venga rimossa da Computer List (Elenco computer), ma il componente Windows Login (Login Windows) non venga rimosso dal computer in questione. In tal caso, il computer verrà visualizzato nuovamente in Web Console con le impostazioni predefinite.

Fare clic sulla scheda Impostazioni per visualizzare le impostazioni disponibili.

windows_login_settings

Da questa schermata, è possibile visualizzare varie opzioni per applicare l’autenticazione 2FA (Autenticazione a due fattori), tra cui l'opzione per l'applicazione della protezione 2FA (Autenticazione a due fattori) per la modalità provvisoria, la schermata di blocco di Windows e il Controllo account utente (User Account Control, UAC).

Si supponga che la macchina su cui è installato il componente Windows Login (Login Windows) di ESA debba essere offline per parte del tempo e avere utenti che hanno abilitato l'autenticazione tramite SMS. In tal caso, è possibile abilitare Allow access without 2FA for users with SMS-based OTP or Mobile Push authentication only (Consenti accesso senza autenticazione a due fattori solo per gli utenti con autenticazione con password monouso basate su SMS o push dispositivi mobili).

Se un utente che utilizza un metodo di recapito tramite SMS per la OTP (Password monouso) desidera ricevere nuovamente una OTP (Password monouso), dovrà chiudere la finestra in cui si richiede la OTP (Password monouso) e inserire nuovamente dopo 30 secondi il nome utente e la password per ricevere una nuova OTP (Password monouso).

L’autore di un attacco non può aggirare la protezione 2FA (Autenticazione a due fattori) anche se conosce il nome utente e la password. In tal modo sarà possibile garantire una maggiore protezione dei dati sensibili. Si presuppone, ovviamente, che l'hard disk non sia accessibile dall'autore dell'attacco o che il suo contenuto sia crittografato.

Si consiglia di combinare la protezione 2FA (Autenticazione a due fattori) con la crittografia dell'intero disco per ridurre il rischio di violazione in caso di accesso fisico al disco da parte dell’autore di un attacco.


note

Autenticazione a due fattori abilitata per la modalità offline

Se la protezione 2FA è attivata per la modalità off-line, tutti gli utenti i cui account sono protetti da 2FA e chi desidera utilizzare un PC protetto con l’autenticazione 2FA, devono effettuare l'accesso a quel PC per la primissima volta mentre il PC è on-line. Per 'online' si intende che il computer principale su cui è installato il server di autenticazione di e sul quale è in esecuzione il servizio ESET Secure Authentication On-Prem Service (Servizio di autenticazione protetta ESET) può essere sottoposto a ping dal computer protetto con autenticazione 2FA.

Se il componente Windows Login (Accesso Windows) è installato sullo stesso computer su cui è installato Server di autenticazione e la protezione 2FA per la Modalità provvisoria è stata attivata su quel computer con modalità off-line disattivata (è stato selezionato Do not allow access (Non consentire l’accesso) in Offline behavior (Comportamento off-line), l’utente sarà autorizzato a effettuare l’accesso in Modalità provvisoria (senza collegamento in rete) senza OTP.

La modalità offline consente di effettuare l’autenticazione 20 volte utilizzando ogni volta una OTP valida. In caso di superamento del limite, è necessario che la macchina sia online durante il tentativo di autenticazione. Ogni volta che la macchina è online durante il tentativo di autenticazione, il contatore viene ripristinato. È possibile aumentare il numero limite di autenticazioni offline in Web Console su Components(Componenti) > Windows Login > Settings (Ipostazioni) > Number of offline OTPs (Numero di OTP offline).


note

Le OTP basate sul tempo non vengono memorizzate nella cache

Le OTP generate da un hard token basato su tempo o le OTP basate su tempo generate dall'applicazione mobile non sono archiviate nella cache offline del plug-in Windows Login.

Accesso a Windows 10 protetto da ESA: dopo aver inserito un nome utente e una password validi, agli utenti verrà richiesto di approvare l’accesso sul dispositivo mobile Android/iOS o sull’Android/Apple watch o di inserire una OTP.

win10_login_OTP_required