Windowsログイン保護

ESAドメインまたはLAN環境でのWindowsのローカルログイン保護を備えています。この機能を利用するには、ESAのインストール中にWindows Loginコンポーネントを選択します。インストールが完了したら、ESA Web Consoleにアクセスし、Components > Windows Loginをクリックします。ESAのWindows Loginコンポーネントがインストールされているコンピューターの一覧が表示されます。

コンピューターをクリックして、2FA保護または非二要素認証アクセスを有効/無効にします。一度に複数のコンピューターに対して2FA保護または非二要素認証アクセスを有効/無効にするには、次の手順を実行します。

1. 目的のコンピューターのチェックボックスをオンにします。
2. 二要素認証をクリックし、任意のオプションを選択します。

コンピューターのリストが長い場合は、Add filterを使用して、名前や会社などで特定のコンピューターを検索します。

ESAバージョン2.6以降のWindows Loginコンポーネントを特定のコンピューターからアンインストールすると、そのコンピューターはESA Web ConsoleのComputer Listから自動的に削除されます。コンピューターエントリは、手動で削除することも、Web Consoleから削除することもできます。コンピューターのエントリを選択し、Deleteをクリックします。確認ウィンドウでもDeleteをクリックします。コンピューターのエントリがComputer Listから削除され、Windows Loginコンポーネントは特定のコンピューターから削除されていないとします。その場合、コンピューターは既定の設定でWeb Consoleに再表示されます。

設定タブをクリックして、使用可能な設定を表示します。

この画面から、セーフモード、Windowsロック画面、ユーザーアカウント制御(UAC)の2FA保護を適用するオプションなど、2FAを適用するためのさまざまなオプションを確認できます。

ESAのWindows Loginコンポーネントがインストールされているコンピューターがオフラインである必要があり、SMS認証が有効になっているユーザーがいるとします。その場合、Allow access without 2FA for users with methods which do not work in offline mode (SMS-based OTP, Mobile Push, time-based OTP)を有効にできます。

OTPでSMS配信を使用しているユーザーがOTPの再送信が必要な場合は、OTPを要求しているウィンドウを閉じ、30秒後にユーザー名とパスワードを再入力して、新しいOTPを受け取ることができます。

2FA保護では、攻撃者がユーザー名とパスワードを知っていても、保護をバイパスすることはできないため、機密データの保護が向上します。当然ながら、攻撃者がハードディスクにアクセスできないか、ドライブのコンテンツが暗号化されていることが前提です。

2FA保護とディスク全体の暗号化を組み合わせて、攻撃者がディスクに物理的にアクセスできる場合の侵害リスクを軽減することをお勧めします。

オフラインモードでは、毎回有効なOTPを使用して20回ログインできます。制限を超えた場合、ログインを試みるときはコンピューターがオンラインである必要があります。制限カウンターは、ログインを試みているときにコンピューターがオンラインになるたびにリセットされます。Components > Windows Login > Settings > Number of offline OTPsでWebコンソールのオフラインログインの制限回数を増やすことができます。

ESAがWindows 10ログインを保護しているとします。有効なユーザー名とパスワードを入力すると、ユーザーはAndroid/iOSモバイルデバイスまたはAndroid/Apple Watchでログインを承認するか、OTPを入力するように求められます。