Двухэтапная проверка

В этом разделе описывается использование двухэтапной проверки для снижения риска несанкционированного доступа к Консоли администрирования или Kaspersky Security Center Web Console.

О двухэтапной проверке

Если для учетной записи включена двухэтапная проверка, для входа в Консоль администрирования или Kaspersky Security Center Web Console, помимо имени пользователя и пароля, требуется одноразовый код безопасности. Если доменная аутентификация включена, пользователю достаточно ввести одноразовый код безопасности.

Чтобы использовать двухэтапную проверку, установите на мобильное устройство или компьютер приложение для аутентификации, которое генерирует одноразовые коды безопасности. Вы можете использовать любое приложение проверки подлинности, которое поддерживает алгоритм формирования одноразового пароля на основе времени (TOTP), такие как:

• Google Authenticator.
• Microsoft Authenticator.
• Bitrix24 OTP.
• Яндекс ключ.

Настоятельно рекомендуется сохранить секретный ключ или QR-код и хранить его в надежном месте. Это поможет вам восстановить доступ к Kaspersky Security Center Web Console в случае потери доступа к мобильному устройству.

Чтобы обезопасить использование Kaspersky Security Center, вы можете включить двухэтапную проверку для своей учетной записи и включить двухэтапную проверку для всех пользователей.

Вы можете исключить учетные записи из двухэтапной проверки. Это может быть необходимо для служебных учетных записей, которые не могут получить защитный код для аутентификации.

Правила и ограничения

Чтобы иметь возможность активировать двухэтапную проверку для всех пользователей и деактивировать двухэтапную проверку для отдельных пользователей:

• Убедитесь, что вашей учетной записи есть право Изменение списков управления доступом объектов в функциональной области Общий функционал: Права пользователей.
• Включите двухэтапную проверку для вашей учетной записи.

Чтобы выключить двухэтапную проверку для всех пользователей:

• Убедитесь, что вашей учетной записи есть право Изменение списков управления доступом объектов в функциональной области Общий функционал: Права пользователей.
• Войдите в Kaspersky Security Center Web Console с помощью двухэтапной проверки.

Если для учетной записи на Сервере администрирования Kaspersky Security Center версии 13 или выше включена двухэтапная проверка, то пользователь не сможет войти в программу Kaspersky Security Center Web Console версий 12, 12.1 или 12.2.

Перевыпуск секретного ключа

Любой пользователь может повторно выпустить секретный ключ, используемый для двухэтапной проверки. Когда пользователь входит на Сервер администрирования с перевыпущенным секретным ключом, новый секретный ключ сохраняется для учетной записи пользователя. Если пользователь неправильно вводит новый секретный ключ, новый секретный ключ не сохраняется, а текущий секретный ключ остается действительным.

Код безопасности имеет идентификатор, называемый также имя издателя. Имя издателя кода безопасности используется в качестве идентификатора Сервера администрирования в приложении для аутентификации. Имя издателя кода безопасности имеет значение по умолчанию, такое же, как имя Сервера администрирования. Вы можете изменить имя издателя кода безопасности. Если вы изменили имя издателя кода безопасности, необходимо выпустить новый секретный ключ и передать его приложению для аутентификации.

Сценарий: Настройка двухэтапной проверки для всех пользователей

В этом сценарии описывается, как включить двухэтапную проверку для всех пользователей и как исключить учетные записи пользователей из двухэтапной проверки. Если вы не включили двухэтапную проверку для своей учетной записи, прежде чем включить ее для других пользователей, программа сначала откроет окно включения двухэтапной проверки для вашей учетной записи. В этом сценарии также описано, как включить двухэтапную проверку для вашей учетной записи.

Если вы включили двухэтапную проверку для своей учетной записи, вы можете перейти к включению двухэтапной проверки для всех пользователей.

Предварительные требования

Прежде чем начать:

• Убедитесь, что ваша учетная запись имеет право Изменение списков управления доступом объектов в функциональной области Общий функционал: Права пользователей для изменения параметров безопасности учетных записей других пользователей.
• Убедитесь, что другие пользователи Сервера администрирования установили на свои устройства приложение для аутентификации.

Этапы

Включение двухэтапной проверки для всех пользователей состоит из следующих этапов:

1. Установка приложения для аутентификации на устройство

   Вы можете установить любое приложение проверки подлинности, которое поддерживает алгоритм формирования одноразового пароля на основе времени (TOTP), такие как:

   • Google Authenticator.
   • Microsoft Authenticator.
   • Bitrix24 OTP.
   • Яндекс ключ.

   Категорически не рекомендуется устанавливать приложение для аутентификации на том же устройстве, с которого выполняется подключение к Серверу администрирования.

2. Синхронизация времени приложения для аутентификации и время устройства, на котором установлен Сервер администрирования

   Убедитесь, что время, установленное в приложении для аутентификации, синхронизировано со временем Сервера администрирования.

3. Включение двухэтапной проверки и получение секретного ключа для своей учетной записи

   Инструкции:

   • Для Консоли администрирования на основе MMC: Включение двухэтапной проверки для вашей учетной записи.
   • Для Kaspersky Security Center Web Console: Включение двухэтапной проверки для вашей учетной записи.

   После включения двухэтапной проверки для своей учетной записи вы можете включить двухэтапную проверку для всех пользователей.

4. Включение двухэтапной проверки для всех пользователей

   Пользователи с включенной двухэтапной проверкой должны использовать ее для входа на Сервер администрирования.

   Инструкции:

   • Для Консоли администрирования на основе MMC: Включение двухэтапной проверки для всех пользователей.
   • Для Kaspersky Security Center Web Console: Включение двухэтапной проверки для всех пользователей.
5. Изменение имени издателя кода безопасности

   Если у вас несколько Серверов администрирования с похожими именами, возможно, вам придется изменить имена издателей кода безопасности для лучшего распознавания разных Серверов администрирования.

   Инструкции:

   • Для Консоли администрирования на основе MMC: Изменение имени издателя кода безопасности.
   • Для Kaspersky Security Center Web Console: Изменение имени издателя кода безопасности.
6. Исключение учетных записей пользователей, для которых не требуется включать двухэтапную проверку

   При необходимости исключите учетные записи пользователей из двухэтапной проверки. Пользователям с исключенными учетными записями не нужно использовать двухэтапную проверку для входа на Сервер администрирования.

   Инструкции:

   • Для Консоли администрирования на основе MMC: Исключение учетных записей из двухэтапной проверки.
   • Для Kaspersky Security Center Web Console: Исключение учетных записей из двухэтапной проверки.

Результаты

После выполнения этого сценария:

• Двухэтапная проверка для вашей учетной записи включена.
• Двухэтапная проверка включена для всех учетных записей пользователей Сервера администрирования, кроме исключенных учетных записей пользователей.

Включение двухэтапной проверки для вашей учетной записи

Перед тем как включить двухэтапную проверку для своей учетной записи, убедитесь, что на мобильном устройстве установлено приложение для аутентификации. Убедитесь, что время, установленное в приложении для аутентификации, синхронизировано со временем Сервера администрирования.

Чтобы включить двухэтапную проверку для учетной записи:

1. В дереве консоли Kaspersky Security Center откройте контекстное меню узла Сервер администрирования по правой клавише мыши и выберите пункт Свойства.
2. В окне свойств Сервера администрирования в панели Разделы перейдите в раздел Дополнительно, а затем Двухэтапная проверка.
3. В разделе Двухэтапная проверка нажмите на кнопку Настроить.

   Если для вашей учетной записи уже включена двухэтапная проверка, при нажатии на кнопку Настроить сбрасывается секретный ключ, чтобы можно было перенастроить двухэтапную проверку.

   В открывшемся окне свойств двухэтапной проверки отображается секретный ключ.

4. Введите секретный ключ в приложение для аутентификации, чтобы получить одноразовый код безопасности. Вы можете указать секретный ключ в приложении для аутентификации вручную или отсканировать QR-код с помощью приложения для аутентификации на мобильном устройстве.
5. Укажите код безопасности, сгенерированный приложением для аутентификации, а затем нажмите на кнопку ОК, чтобы закрыть окно свойств двухэтапной проверки.
6. Нажмите на кнопку Применить.
7. Нажмите на кнопку ОК.

Двухэтапная проверка для вашей учетной записи включена.

Включение двухэтапной проверки для всех пользователей

Вы можете включить двухэтапную проверку для всех пользователей Сервера администрирования, если у вашей учетной записи есть право Изменение списков управления доступом объектов в функциональной области Общий функционал: Права пользователей и если вы выполнили аутентификацию с помощью двухэтапной проверки. 

Чтобы включить двухэтапную проверку для всех пользователей:

1. В дереве консоли Kaspersky Security Center откройте контекстное меню узла Сервер администрирования по правой клавише мыши и выберите пункт Свойства.
2. В окне свойств Сервера администрирования в панели Разделы выберите раздел Дополнительно, а затем Двухэтапная проверка.
3. Нажмите на кнопку Установить как обязательную, чтобы включить двухэтапную проверку для всех пользователей.
4. Если вы не включили двухэтапную проверку для своей учетной записи, программа откроет окно включения двухэтапной проверки для вашей учетной записи.
   1. Введите секретный ключ в приложение для аутентификации, чтобы получить одноразовый код безопасности. Введите секретный ключ вручную в приложении для аутентификации или отсканируйте QR-код с помощью приложения для аутентификации на мобильном устройстве, чтобы получить одноразовый код безопасности.
   2. Укажите код безопасности, сгенерированный приложением для аутентификации, а затем нажмите на кнопку ОК, чтобы закрыть окно свойств двухэтапной проверки.
5. В разделе Двухэтапная проверка нажмите на кнопку Применить и нажмите на кнопку ОК.

Двухэтапная проверка для всех пользователей включена. Пользователям Сервера администрирования, включая пользователей, которые были добавлены после включения этого параметра, необходимо настроить двухэтапную проверку для своих учетных записей, за исключением пользователей, учетные записи которых исключены из двухэтапной проверки.

Выключение двухэтапной проверки для учетной записи пользователя

Чтобы выключить двухэтапную проверку для вашей учетной записи:

1. В дереве консоли Kaspersky Security Center откройте контекстное меню узла Сервер администрирования по правой клавише мыши и выберите пункт Свойства.
2. В окне свойств Сервера администрирования в панели Разделы выберите раздел Дополнительно, а затем Двухэтапная проверка.
3. В разделе Двухэтапная проверка нажмите на кнопку Выключить.
4. Нажмите на кнопку Применить.
5. Нажмите на кнопку ОК.

Двухэтапная проверка для вашей учетной записи выключена.

Вы можете выключить двухэтапную проверку для других учетных записей пользователей. Эта защита используется, например, если пользователь потеряет или сломает мобильное устройство.

Вы можете выключить двухэтапную проверку для другой учетной записи пользователя, только если у вашей учетной записи есть право Изменение списков управления доступом объектов в функциональной области Общий функционал: Права пользователей и если вы выполнили аутентификацию с помощью двухэтапной проверки. Следуя приведенным ниже инструкциям, вы также можете выключить двухэтапную проверку для своей учетной записи.

Чтобы выключить двухэтапную проверку для учетной записи любого пользователя:

1. В дереве консоли откройте папку Учетные записи пользователей.

   Папка Учетные записи пользователей по умолчанию вложена в папку Дополнительно.

2. В рабочей области папки нажмите на учетную запись пользователя, для которой вы хотите выключить двухэтапную проверку.

   Для всех учетных записей пользователей, для которых включена двухэтапная проверка, в столбце Требуется 2FA установите значение Да.

3. В окне Свойства: <Имя пользователя> выберите раздел Двухэтапная проверка.
4. В разделе Двухэтапная проверка выберите следующие параметры:
   • Если вы хотите выключить двухэтапную проверку для выбранной учетной записи пользователя, нажмите на кнопку Выключить.
   • Если вы хотите исключить эту учетную запись пользователя из двухэтапной проверки, выберите параметр Пользователь может пройти аутентификацию, используя только имя пользователя и пароль.
5. Нажмите на кнопку Применить.
6. Нажмите на кнопку ОК.

Двухэтапная проверка учетной записи пользователя выключена.

Если вы хотите восстановить доступ пользователя, который не может войти в Консоль администрирования с помощью двухэтапной проверки, выключите двухэтапную проверку для этой учетной записи пользователя и выберите параметр Пользователь может пройти аутентификацию, используя только имя пользователя и пароль в разделе Двухэтапная проверка, как описано выше. После этого войдите в Консоль администрирования под учетной записью пользователя, для которого вы выключили двухэтапную проверку, и снова включите проверку.

Выключение обязательной двухэтапной проверки для всех пользователей

Вы можете выключить обязательную двухэтапную проверку для всех пользователей Сервера администрирования, если у вас есть право Изменение списков управления доступом объектов в функциональной области Общий функционал: Права пользователей и если вы выполнили аутентификацию с помощью двухэтапной проверки.

Чтобы выключить двухэтапную проверку для всех пользователей:

1. В дереве консоли Kaspersky Security Center откройте контекстное меню узла Сервер администрирования по правой клавише мыши и выберите пункт Свойства.
2. В окне свойств Сервера администрирования в панели Разделы выберите раздел Дополнительно, а затем Двухэтапная проверка.
3. Нажмите на кнопку Установить как необязательную, чтобы выключить двухэтапную проверку для всех пользователей.
4. Нажмите на кнопку Применить в разделе Двухэтапная проверка.
5. Нажмите на кнопку ОК в разделе Двухэтапная проверка.

Двухэтапная проверка для всех пользователей выключена. Выключение двухэтапной проверки для всех пользователей не применяется к конкретным учетным записям, для которых двухэтапная проверка ранее была включена отдельно.

Исключение учетных записей из двухэтапной проверки

Вы можете исключить учетную запись из двухэтапной проверки, если у вашей учетной записи есть право Изменение списков управления доступом объектов в функциональной области Общий функционал: Права пользователей.

Если учетная запись пользователя исключена из двухэтапной проверки, этот пользователь может войти в Консоль администрирования или Kaspersky Security Center Web Console без использования двухэтапной проверки.

Исключение учетных записей из двухэтапной проверки может быть необходимо для служебных учетных записей, которые не могут передать код безопасности во время аутентификации.

Чтобы исключить учетную запись пользователя из двухэтапной проверки:

1. Если вы хотите исключить учетную запись Active Directory, выполните опрос Active Directory, чтобы обновить список пользователей Сервера администрирования.
2. В дереве консоли откройте папку Учетные записи пользователей.

   Папка Учетные записи пользователей по умолчанию вложена в папку Дополнительно.

3. В рабочей области папки нажмите на учетную запись пользователя, которую вы хотите исключить из двухэтапной проверки.
4. В окне Свойства: <Имя пользователя> выберите раздел Двухэтапная проверка.
5. В открывшемся разделе выберите параметр Пользователь может пройти аутентификацию, используя только имя пользователя и пароль.
6. В разделе Двухэтапная проверка нажмите на кнопку Применить и нажмите на кнопку ОК.

Эта учетная запись пользователя исключена из двухэтапной проверки. Вы можете проверить исключенные учетные записи в списке учетных записей пользователей.

Изменение имени издателя кода безопасности

У вас может быть несколько идентификаторов (также их называют издателями) для разных Серверов администрирования. Вы можете изменить имя издателя кода безопасности, например, Сервер администрирования уже использует аналогичное имя издателя кода безопасности для другого Сервера администрирования. По умолчанию имя издателя кода безопасности совпадает с именем Сервера администрирования.

После изменения имени издателя кода безопасности необходимо повторно выпустить новый секретный ключ и передать его приложению для аутентификации.

Чтобы указать новое имя издателя кода безопасности:

1. В дереве консоли Kaspersky Security Center откройте контекстное меню узла Сервер администрирования по правой клавише мыши и выберите пункт Свойства.
2. В окне свойств Сервера администрирования в панели Разделы выберите раздел Дополнительно, а затем Двухэтапная проверка.
3. Укажите новое имя издателя кода безопасности в поле Кем выдан код безопасности.
4. Нажмите на кнопку Применить в разделе Двухэтапная проверка.
5. Нажмите на кнопку ОК в разделе Двухэтапная проверка.

Для Сервера администрирования указано новое имя издателя кода безопасности.