Двухэтапная проверка

В этом разделе описывается использование двухэтапной проверки для снижения риска несанкционированного доступа к Kaspersky Security Center Web Console.

О двухэтапной проверке

Если для учетной записи включена двухэтапная проверка, для входа в Консоль администрирования или Kaspersky Security Center Web Console, помимо имени пользователя и пароля, требуется одноразовый код безопасности. Если доменная аутентификация включена, пользователю достаточно ввести одноразовый код безопасности.

Чтобы использовать двухэтапную проверку, установите на мобильное устройство или компьютер приложение для аутентификации, которое генерирует одноразовые коды безопасности. Вы можете использовать любое приложение проверки подлинности, которое поддерживает алгоритм формирования одноразового пароля на основе времени (TOTP), такие как:

• Google Authenticator.
• Microsoft Authenticator.
• Bitrix24 OTP.
• Яндекс ключ.
• Avanpost Authenticator.
• Aladdin 2FA.

Чтобы проверить, поддерживает ли Kaspersky Security Center приложение для аутентификации, которое вы хотите использовать, включите двухфакторную проверку для всех пользователей или для определенного пользователя.

Один из шагов предполагает, что вы указываете код безопасности, сгенерированный приложением для аутентификации. В случае успеха Kaspersky Security Center поддерживает выбранное приложение проверки подлинности.

Настоятельно рекомендуется сохранить секретный ключ или QR-код и хранить его в надежном месте. Это поможет вам восстановить доступ к Kaspersky Security Center Web Console в случае потери доступа к мобильному устройству.

Чтобы обезопасить использование Kaspersky Security Center, вы можете включить двухэтапную проверку для своей учетной записи и включить двухэтапную проверку для всех пользователей.

Вы можете исключить учетные записи из двухэтапной проверки. Это может быть необходимо для служебных учетных записей, которые не могут получить защитный код для аутентификации.

Правила и ограничения

Чтобы иметь возможность активировать двухэтапную проверку для всех пользователей и деактивировать двухэтапную проверку для отдельных пользователей:

• Убедитесь, что вашей учетной записи есть право Изменение списков управления доступом объектов в функциональной области Общий функционал: Права пользователей.
• Включите двухэтапную проверку для вашей учетной записи.

Чтобы выключить двухэтапную проверку для всех пользователей:

• Убедитесь, что вашей учетной записи есть право Изменение списков управления доступом объектов в функциональной области Общий функционал: Права пользователей.
• Войдите в Kaspersky Security Center Web Console с помощью двухэтапной проверки.

Если для учетной записи на Сервере администрирования Kaspersky Security Center версии 13 или выше включена двухэтапная проверка, то пользователь не сможет войти в программу Kaspersky Security Center Web Console версий 12, 12.1 или 12.2.

Перевыпуск секретного ключа

Любой пользователь может повторно выпустить секретный ключ, используемый для двухэтапной проверки. Когда пользователь входит на Сервер администрирования с перевыпущенным секретным ключом, новый секретный ключ сохраняется для учетной записи пользователя. Если пользователь неправильно вводит новый секретный ключ, новый секретный ключ не сохраняется, а текущий секретный ключ остается действительным.

Код безопасности имеет идентификатор, называемый также имя издателя. Имя издателя кода безопасности используется в качестве идентификатора Сервера администрирования в приложении для аутентификации. Имя издателя кода безопасности имеет значение по умолчанию, такое же, как имя Сервера администрирования. Вы можете изменить имя издателя кода безопасности. Если вы изменили имя издателя кода безопасности, необходимо выпустить новый секретный ключ и передать его приложению для аутентификации.

Сценарий: Настройка двухэтапной проверки для всех пользователей

В этом сценарии описывается, как включить двухэтапную проверку для всех пользователей и как исключить учетные записи пользователей из двухэтапной проверки. Если вы не включили двухэтапную проверку для своей учетной записи, прежде чем включить ее для других пользователей, программа сначала откроет окно включения двухэтапной проверки для вашей учетной записи. В этом сценарии также описано, как включить двухэтапную проверку для вашей учетной записи.

Если вы включили двухэтапную проверку для своей учетной записи, вы можете перейти к включению двухэтапной проверки для всех пользователей.

Предварительные требования

Прежде чем начать:

• Убедитесь, что ваша учетная запись имеет право Изменение списков управления доступом объектов в функциональной области Общий функционал: Права пользователей для изменения параметров безопасности учетных записей других пользователей.
• Убедитесь, что другие пользователи Сервера администрирования установили на свои устройства приложение для аутентификации.

Этапы

Включение двухэтапной проверки для всех пользователей состоит из следующих этапов:

1. Установка приложения для аутентификации на устройство

   Вы можете установить любое приложение проверки подлинности, которое поддерживает алгоритм формирования одноразового пароля на основе времени (TOTP), такие как:

   • Google Authenticator.
   • Microsoft Authenticator.
   • Bitrix24 OTP.
   • Яндекс ключ.

   Категорически не рекомендуется устанавливать приложение для аутентификации на том же устройстве, с которого выполняется подключение к Серверу администрирования.

2. Синхронизация времени приложения для аутентификации и время устройства, на котором установлен Сервер администрирования

   Убедитесь, что время, установленное в приложении для аутентификации, синхронизировано со временем Сервера администрирования.

3. Включение двухэтапной проверки и получение секретного ключа для своей учетной записи

   Инструкции:

   • Для Консоли администрирования на основе MMC: Включение двухэтапной проверки для вашей учетной записи.
   • Для Kaspersky Security Center Web Console: Включение двухэтапной проверки для вашей учетной записи.

   После включения двухэтапной проверки для своей учетной записи вы можете включить двухэтапную проверку для всех пользователей.

4. Включение двухэтапной проверки для всех пользователей

   Пользователи с включенной двухэтапной проверкой должны использовать ее для входа на Сервер администрирования.

   Инструкции:

   • Для Консоли администрирования на основе MMC: Включение двухэтапной проверки для всех пользователей.
   • Для Kaspersky Security Center Web Console: Включение двухэтапной проверки для всех пользователей.
5. Изменение имени издателя кода безопасности

   Если у вас несколько Серверов администрирования с похожими именами, возможно, вам придется изменить имена издателей кода безопасности для лучшего распознавания разных Серверов администрирования.

   Инструкции:

   • Для Консоли администрирования на основе MMC: Изменение имени издателя кода безопасности.
   • Для Kaspersky Security Center Web Console: Изменение имени издателя кода безопасности.
6. Исключение учетных записей пользователей, для которых не требуется включать двухэтапную проверку

   При необходимости исключите учетные записи пользователей из двухэтапной проверки. Пользователям с исключенными учетными записями не нужно использовать двухэтапную проверку для входа на Сервер администрирования.

   Инструкции:

   • Для Консоли администрирования на основе MMC: Исключение учетных записей из двухэтапной проверки.
   • Для Kaspersky Security Center Web Console: Исключение учетных записей из двухэтапной проверки.

Результаты

После выполнения этого сценария:

• Двухэтапная проверка для вашей учетной записи включена.
• Двухэтапная проверка включена для всех учетных записей пользователей Сервера администрирования, кроме исключенных учетных записей пользователей.

Включение двухэтапной проверки для вашей учетной записи

Вы можете включить двухэтапную проверку только для своей учетной записи.

Перед тем как включить двухэтапную проверку для своей учетной записи, убедитесь, что на мобильном устройстве установлено приложение для аутентификации. Убедитесь, что время, установленное в приложении для аутентификации, синхронизировано со временем устройства, на котором установлен Сервер администрирования.

Чтобы включить двухэтапную проверку для учетной записи пользователя:

1. В главном окне программы перейдите в раздел Пользователи и роли → Пользователи.
2. Нажмите на имя вашей учетной записи.
3. В открывшемся окне свойств пользователя выберите закладку Проверка подлинности.
4. На закладке Проверка подлинности:
   1. Выберите параметр Запрашивать только имя пользователя, пароль и код безопасности (двухэтапная проверка). Нажмите на кнопку Сохранить.
   2. В открывшемся окне двухэтапной проверки нажмите Узнайте, как настроить двухэтапную проверку.

      Введите секретный ключ в приложении для аутентификации или нажмите Просмотреть QR-код и отсканируйте QR-код с помощью приложения для аутентификации на мобильном устройстве, чтобы получить одноразовый код безопасности.

   3. В окне двухэтапной проверки укажите код безопасности, сгенерированный приложением для аутентификации и нажмите на кнопку Проверить и применить.
5. Нажмите на кнопку Сохранить.

Двухэтапная проверка для вашей учетной записи включена.

Включение обязательной двухэтапной проверки для всех пользователей

Вы можете включить двухэтапную проверку для всех пользователей Сервера администрирования, если у вашей учетной записи есть право Изменение списков управления доступом объектов в функциональной области Общий функционал: Права пользователей и если вы выполнили аутентификацию с помощью двухэтапной проверки. 

Чтобы включить двухэтапную проверку для всех пользователей:

1. В главном меню нажмите на значок параметров () рядом с именем требуемого Сервера администрирования.

   Откроется окно свойств Сервера администрирования.

2. На закладке Проверка подлинности окна свойств включите двухэтапную проверку для всех пользователей.
3. Если вы не включили двухэтапную проверку для своей учетной записи, программа откроет окно включения двухэтапной проверки для вашей учетной записи.
   1. В открывшемся окне двухэтапной проверки нажмите Узнайте, как настроить двухэтапную проверку.
   2. Введите секретный ключ вручную в приложении для аутентификации или нажмите Просмотреть QR-код и отсканируйте QR-код с помощью приложения для аутентификации на мобильном устройстве, чтобы получить одноразовый код безопасности.
   3. В окне двухэтапной проверки укажите код безопасности, сгенерированный приложением для аутентификации и нажмите на кнопку Проверить и применить

Двухэтапная проверка для всех пользователей включена. Пользователям Сервера администрирования, включая пользователей, которые были добавлены после включения двухэтапной проверки для всех пользователей, необходимо настроить двухэтапную проверку для своих учетных записей, за исключением пользователей, учетные записи которых исключены из двухэтапной проверки.

Выключение двухэтапной проверки для учетной записи пользователя

Вы можете выключить двухэтапную проверку для своей учетной записи, а также для учетной записи любого другого пользователя.

Вы можете выключить двухэтапную проверку для другой учетной записи пользователя, если у вашей учетной записи есть право Изменение списков управления доступом объектов в функциональной области Общий функционал: Права пользователей и если вы выполнили аутентификацию с помощью двухэтапной проверки.

Чтобы выключить двухэтапную проверку для учетной записи пользователя:

1. В главном окне программы перейдите в раздел Пользователи и роли → Пользователи.
2. Нажмите на учетную запись внутреннего пользователя, для которой вы хотите выключить двухэтапную проверку. Это может быть ваша собственная учетная запись или учетная запись любого другого пользователя.
3. В открывшемся окне свойств пользователя выберите закладку Защита учетной записи.
4. На закладке Защита учетной записи выберите параметр Запрашивать только имя пользователя и пароль, если вы хотите выключить двухэтапную проверку для учетной записи пользователя.
5. Нажмите на кнопку Сохранить.

Двухэтапная проверка для вашей учетной записи выключена.

Если вы хотите восстановить доступ пользователя, который не может войти в Kaspersky Security Center Web Console с помощью двухэтапной проверки, выключите двухэтапную проверку для этой учетной записи пользователя и выберите параметр Запрашивать только имя пользователя и пароль как описано выше. После этого войдите в Kaspersky Security Center Web Console под учетной записью пользователя, для которого вы выключили двухэтапную проверку и снова включите проверку.

Выключение обязательной двухэтапной проверки для всех пользователей

Вы можете выключить обязательную двухэтапную проверку для всех пользователей, если двухэтапная проверка включена для вашей учетной записи и у вашей учетной записи есть право Изменение списков ACL объекта в разделе Общий функционал: Права пользователей. Если двухэтапная проверка не включена для вашей учетной записи, вы должны включить двухэтапную проверку для своей учетной записи, прежде чем выключить ее для всех пользователей.

Чтобы выключить двухэтапную проверку для всех пользователей:

1. В главном меню нажмите на значок параметров () рядом с именем требуемого Сервера администрирования.

   Откроется окно свойств Сервера администрирования.

2. На закладке Проверка подлинности окна свойств выключите переключатель двухэтапной проверки для всех пользователей.
3. Введите учетные данные своей учетной записи в окне аутентификации.

Двухэтапная проверка для всех пользователей выключена. Выключение двухэтапной проверки для всех пользователей не применяется к конкретным учетным записям, для которых двухэтапная проверка ранее была включена отдельно.

Исключение учетных записей из двухэтапной проверки

Вы можете исключить учетные записи пользователей из двухэтапной проверки, если у вас есть право Изменение списков ACL объекта в функциональной области Общий функционал: Права пользователей.

Если учетная запись пользователя исключена из списка двухэтапной проверки для всех пользователей, этому пользователю не нужно использовать двухэтапную проверку.

Исключение учетных записей из двухэтапной проверки может быть необходимо для служебных учетных записей, которые не могут передать код безопасности во время аутентификации.

Если вы хотите исключить некоторые учетные записи пользователей из двухэтапной проверки:

1. Сначала необходимо выполнить опрос Active Directory, чтобы обновить список пользователей Сервера администрирования, если вы хотите исключить учетные записи Active Directory.
2. В главном меню нажмите на значок параметров () рядом с именем требуемого Сервера администрирования.

   Откроется окно свойств Сервера администрирования.

3. На закладке Проверка подлинности окна свойств в таблице исключений для двухэтапной проверки нажмите на кнопку Добавить.
4. В открывшемся окне:
   1. Выберите учетную запись пользователя, которую вы хотите исключить.
   2. Нажмите на кнопку ОК.

Выбранные учетные записи пользователей исключены из двухэтапной проверки.

Генерация нового секретного ключа

Вы можете сгенерировать новый секретный ключ для двухэтапной проверки своей учетной записи, только если вы авторизованы с помощью двухэтапной проверки.

Чтобы сгенерировать новый секретный ключ для учетной записи пользователя:

1. В главном окне программы перейдите в раздел Пользователи и роли → Пользователи.
2. Нажмите на учетную запись пользователя, для которой вы хотите сгенерировать новый секретный ключ для двухэтапной проверки.
3. В открывшемся окне свойств пользователя выберите закладку Защита учетной записи.
4. На закладке Защита учетной записи перейдите по ссылке Сгенерировать секретный ключ.
5. В открывшемся окне двухэтапной проверки укажите новый ключ безопасности, сгенерированный приложением для аутентификации.
6. Нажмите на кнопку Проверить и применить.

Новый секретный ключ для пользователя создан.

Если вы потеряете мобильное устройство, можно установить приложение для аутентификации на другое мобильное устройство и сгенерировать новый секретный ключ для восстановления доступа к Kaspersky Security Center Web Console.

Изменение имени издателя кода безопасности

У вас может быть несколько идентификаторов (также их называют издателями) для разных Серверов администрирования. Вы можете изменить имя издателя кода безопасности, например, если Сервер администрирования уже использует аналогичное имя издателя кода безопасности для другого Сервера администрирования. По умолчанию имя издателя кода безопасности совпадает с именем Сервера администрирования.

После изменения имени издателя кода безопасности необходимо повторно выпустить новый секретный ключ и передать его приложению для аутентификации.

Чтобы указать новое имя издателя кода безопасности:

1. В главном меню нажмите на значок параметров () рядом с именем требуемого Сервера администрирования.

   Откроется окно свойств Сервера администрирования.

2. В открывшемся окне свойств пользователя выберите закладку Защита учетной записи.
3. На закладке Защита учетной записи, перейдите по ссылке Редактировать.

   Откроется раздел Изменить издателя кода безопасности.

4. Укажите новое имя издателя кода безопасности.
5. Нажмите на кнопку ОК.

Для Сервера администрирования указано новое имя издателя кода безопасности.