Настройка двухфакторной аутентификации для всех пользователей

В этом сценарии описывается, как включить двухфакторную аутентификацию для всех пользователей и как исключить учетные записи пользователей из двухфакторной аутентификации. Если вы не включили двухфакторную аутентификацию для своей учетной записи, прежде чем включить ее для других пользователей, приложение сначала откроет окно включения двухфакторной аутентификации для вашей учетной записи. В этом сценарии также описано, как включить двухфакторную аутентификацию для вашей учетной записи.

Если вы включили двухфакторную аутентификацию для своей учетной записи, вы можете перейти к включению двухфакторной аутентификации для всех пользователей.

Предварительные требования

Прежде чем начать:

• Убедитесь, что ваша учетная запись имеет право Изменение списков управления доступом объектов в функциональной области Общие функции: Права пользователей для изменения параметров безопасности учетных записей других пользователей.
• Убедитесь, что другие пользователи Сервера администрирования установили на свои устройства приложение для аутентификации.

Этапы

Включение двухфакторной аутентификации для всех пользователей состоит из следующих этапов:

1. Установка приложения для аутентификации на устройство

   Вы можете установить любое приложение для аутентификации, которое поддерживает алгоритм формирования одноразового пароля на основе времени (TOTP), такие как:

   • Google Authenticator.
   • Microsoft Authenticator.
   • Bitrix24 OTP.
   • Яндекс ключ.
   • Avanpost Authenticator.
   • Aladdin 2FA.

   Чтобы проверить, поддерживает ли Kaspersky Security Center Linux приложение для аутентификации, которое вы хотите использовать, включите двухфакторную аутентификацию для всех пользователей или для определенного пользователя.

   Один из шагов предполагает, что вы указываете код безопасности, сгенерированный приложением для аутентификации. В случае успеха Kaspersky Security Center Linux поддерживает выбранное приложение для аутентификации.

   Категорически не рекомендуется устанавливать приложение для аутентификации на том же устройстве, с которого выполняется подключение к Серверу администрирования.

2. Синхронизация времени приложения для аутентификации и времени устройства, на котором установлен Сервер администрирования

   Убедитесь, что время на устройстве с приложением для аутентификации и время на устройстве с Сервером администрирования синхронизированы с UTC с помощью внешних источников времени. Иначе возможны сбои при аутентификации и активации двухфакторной аутентификации.

3. Включение двухфакторной аутентификации и получение секретного ключа для своей учетной записи

   После включения двухфакторной аутентификации для своей учетной записи вы можете включить двухфакторную аутентификацию для всех пользователей.

4. Включение двухэтапной проверки для всех пользователей

   Пользователи с включенной двухфакторной аутентификацией должны использовать ее для входа на Сервер администрирования.

5. Изменение имени издателя кода безопасности

   Если у вас несколько Серверов администрирования с похожими именами, возможно, вам придется изменить имена издателей кода безопасности для лучшего распознавания разных Серверов администрирования.

6. Исключение учетных записей пользователей, для которых не требуется включать двухфакторную аутентификацию

   При необходимости исключите учетные записи пользователей из двухэтапной проверки, чтобы разрешить им войти на Сервер администрирования, даже если у них не настроена двухэтапная проверка. Исключение учетных записей из двухэтапной проверки может потребоваться для учетных записей, которые не могут предоставить код безопасности во время аутентификации. Интеграционные учетные записи используются для запуска скриптов с помощью OpenAPI.

7. Настройка двухфакторной аутентификации для вашей учетной записи

   Если пользователи, для которых требуется доступ к Серверу администрирования, не исключены из двухэтапной проверки и двухэтапная проверка еще не настроена для их учетных записей, им необходимо настроить ее в окне, открывающемся при входе в Kaspersky Security Center Web Console. Иначе они не смогут получить доступ к Серверу администрирования в соответствии со своими правами.

8. Запрет новым пользователям настраивать для себя двухэтапную проверку

   Чтобы повысить безопасность доступа к Kaspersky Security Center Web Console, после того как все пользователи, которым требуется доступ к Серверу администрирования, настроили его, вы можете запретить новым пользователям настраивать для себя двухэтапную проверку.

Результаты

После выполнения этого сценария:

• Двухфакторная аутентификация для вашей учетной записи включена.
• Двухфакторная аутентификация включена для всех учетных записей пользователей Сервера администрирования, кроме исключенных учетных записей пользователей.

См. также: О двухэтапной проверке учетной записи Включение двухфакторной аутентификации для вашей учетной записи Включение обязательной двухфакторной аутентификации для всех пользователей Выключение двухфакторной аутентификации для учетной записи пользователя Выключение обязательной двухфакторной аутентификации для всех пользователей Исключение учетных записей из двухфакторной аутентификации

В начало