Ochrana prihlasovania do systému Windows
ESA obsahuje funkciu ochrany lokálneho prihlásenia do systému Windows v doméne alebo prostredí LAN. Ak chcete túto funkciu využiť, spolu s produktom ESA musíte nainštalovať aj komponent Windows Login. Po dokončení inštalácie otvorte ESA Web Console, kliknite na Components > Windows Login. Zobrazí sa zoznam počítačov, na ktorých je nainštalovaný komponent Windows Login programu ESA. Tu môžete zapnúť/vypnúť 2FA ochranu na jednotlivých počítačoch.
Ak je zoznam počítačov dlhý, konkrétny počítač môžete vyhľadať zadaním jeho názvu do poľa Filter.
Ak je komponent Windows Login programu ESA verzie 2.6 alebo novšej odinštalovaný z určitého počítača, tento počítač bude automaticky odstránený zo zoznamu počítačov (Computer List) v nástroji ESA Web Console. Záznam o počítači môžete z Web Console odstrániť aj manuálne. Vyberte danú položku a kliknite na Delete alebo prejdite kurzorom myši na daný počítač, kliknite na 
a vyberte Delete. V potvrdzovacom okne tiež kliknite na Delete. Ak je záznam o počítači odstránený zo zoznamu Computer List, ale komponent Windows Login sa z počítača neodstránil, počítač sa opäť objaví vo Web Console s predvolenými nastaveniami.
Kliknutím na kartu Settings zobrazíte dostupné nastavenia.
Na tejto obrazovke nájdete rôzne možnosti použitia 2FA vrátane možnosti použiť 2FA pre núdzový režim, obrazovku uzamknutia systému Windows a kontrolu používateľských účtov (UAC).
Ak počítač, na ktorom je nainštalovaný komponent Windows Login programu ESA, musí byť istú dobu offline a používatelia majú povolené overovanie cez SMS, môžete začiarknuť možnosť Allow access without 2FA for users with SMS-based OTP or Mobile Push authentication only.
Ak používateľ, ktorý využíva možnosť doručenia OTP cez SMS, chce znovu odoslať OTP, môže zatvoriť okno na zadanie OTP a po 30 sekundách znova zadať svoje prihlasovacie meno a heslo, aby mu bolo doručené nové OTP.
2FA ochranu nemôže obísť žiadny útočník, aj keby poznal prihlasovacie meno a heslo. Tak je zabezpečená lepšia ochrana citlivých údajov. Samozrejme, predpokladáme, že útočníci nemajú prístup k pevnému disku alebo že je obsah disku zašifrovaný.
Odporúčame kombinovať 2FA ochranu so šifrovaním celého disku, aby ste znížili riziko úniku údajov v prípade, že by útočník získal fyzický prístup k disku.
|
2FA povolené pre režim offline Ak je 2FA ochrana povolená pre režim offline, všetci používatelia, ktorých účty sú zabezpečené pomocou 2FA a ktorí chcú používať počítač zabezpečený pomocou 2FA, sa musia do tohto počítača prvýkrát prihlásiť v režime online. „online“ znamená, že na hlavný počítač, na ktorom je nainštalovaný autentifikačný server a na ktorom je spustená služba ESET Secure Authentication Service, je možné odoslať príkaz ping z počítača zabezpečeného pomocou 2FA. Ak je komponent Windows Login nainštalovaný na rovnakom počítači ako autentifikačný server a na tomto počítači je zapnutá 2FA ochrana pre núdzový režim a zároveň vypnutý režim offline (v sekcii Offline behavior je vybratá možnosť Do not allow access), potom sa používateľ bude môcť prihlásiť do núdzového režimu (bez použitia siete) bez OTP. |
Režim offline umožňuje používateľovi prihlásiť sa 20-krát vždy pomocou platného OTP. Ak limit prekročí, počítač musí byť pri ďalšom pokuse o prihlásenie online. Vždy, keď je zariadenie pri pokuse o prihlásenie online, počítadlo sa resetuje. Limit offline prihlásení je možné navýšiť vo Web Console v sekcii Components > Windows Login > Settings > Number of offline OTPs.
|
Časovo podmienené heslá OTP sa neukladajú do vyrovnávacej pamäte OTP generované časovo podmienenými hardvérovými tokenmi alebo OTP generované mobilnou aplikáciou sa neukladajú do offline vyrovnávacej pamäte pluginu Windows Login. |
Pri prihlasovaní do systému Windows 10, ktorý je zabezpečený programom ESA, budú používatelia po zadaní platného prihlasovacieho mena a hesla vyzvaní, aby prihlásenie schválili na svojom mobilnom zariadení so systémom Android/iOS alebo na hodinkách kompatibilných so systémom Android/Apple Watch, alebo aby zadali OTP.
