Windowsログイン保護

ESAドメインまたはLAN環境でのWindowsのローカルログイン保護機能を備えています。この機能を利用するには、ESAのインストール中にWindows Loginコンポーネントを選択します。インストールが完了したら、ESA Web Consoleにアクセスし、Components > Windows Loginをクリックします。ESAのWindows Loginコンポーネントがインストールされているコンピューターの一覧が表示されます。

コンピューターをクリックして、2FA保護または非二要素認証アクセスを有効/無効にします。一度に複数のコンピューターに対して2FA保護または非二要素認証アクセスを有効/無効にするには:

1. 目的のコンピューターのチェックボックスをオンにします。
2. 二要素認証をクリックし、任意のオプションを選択します。

コンピューターのリストが長い場合は、Add filterを使用して、名前や会社などで特定のコンピューターを検索します。

ESAバージョン2.6以降のWindows Loginコンポーネントを特定のコンピューターからアンインストールすると、そのコンピューターはESA Web ConsoleのComputer Listから自動的に削除されます。コンピューターのエントリは、Web Consoleから手動で削除することもできます。コンピューターのエントリを選択し、Deleteをクリックします。確認ウィンドウでもDeleteをクリックします。コンピューターのエントリがComputer Listから削除され、Windows Loginコンポーネントが特定のコンピューターから削除されていないとします。その場合、コンピューターは既定の設定でWeb Consoleに再度表示されます。

設定タブをクリックして、使用可能な設定を表示します。

この画面から、セーフモード、Windowsロック画面、ユーザーアカウント制御(UAC)の2FA保護を適用するオプションなど、2FAを適用するためのさまざまなオプションを確認できます。

ESAのWindows Loginコンポーネントがインストールされているコンピューターが一定時間オフラインである必要があり、SMS認証が有効になっているユーザーがいるとします。その場合は、Allow access without 2FA for users with methods which do not work in offline mode (SMS-based OTP, Mobile Push, time-based OTP)を有効にすることができます。

OTPでSMS配信を使用しているユーザーがOTPの再送信が必要な場合は、OTPを要求しているウィンドウを閉じ、30秒後にユーザー名とパスワードを再入力して、新しいOTPを受け取ることができます。

2FA保護では、攻撃者がユーザー名とパスワードを知っていても、保護をバイパスすることはできないため、機密データの保護が向上します。当然、攻撃者がハードドライブにアクセスできないか、ドライブのコンテンツが暗号化されていることが前提です。

2FA保護とディスク全体の暗号化を組み合わせて、攻撃者がディスクに物理的にアクセスできる場合の侵害リスクを軽減することをお勧めします。

オフラインモードでは、毎回有効なOTPを使用して20回ログインできます。制限を超えた場合、ログインを試みるときに、コンピューターがオンラインである必要があります。ログインを試みている間にコンピューターがオンラインになるたびに、制限カウンターはリセットされます。Components > Windows Login > Settings > Number of offline OTPsでWebコンソールでオフラインログインの制限を増やすことができます。

Windows 10ログインがESAによって保護されているとします。有効なユーザー名とパスワードを入力すると、ユーザーはAndroid/iOSモバイルデバイスまたはAndroid/Apple Watchでログインを承認するか、OTPを入力するように求められます。