Über die Zwei-Faktor-Authentifizierung für ein Benutzerkonto
Benutzern der Kaspersky Security Center Web Console stellt Kaspersky Security Center Linux eine Zwei-Faktor-Authentifizierung zur Verfügung. Die Zwei-Faktor-Authentifizierung basiert auf dem Standard RFC 6238 (TOTP: Time-based One-time Password-Algorithmus).
Jedes Mal, wenn Sie sich bei der Kaspersky Security Center Web Console anmelden, geben Sie Ihren Benutzernamen, Ihr Passwort und einen zusätzlichen Einmal-Sicherheitscode ein. Um einen Einmal-Sicherheitscode zu erhalten, müssen Sie eine Authenticator-App auf Ihrem Mobilgerät oder Computer installiert haben.
Jede Authentifizierungssoftware, die den Time-based One-time Password-Algorithmus (TOTP) unterstützt, ist als Authenticator-App geeignet, z. B. der Google Authenticator. Um den Einmal-Sicherheitscode zu generieren, müssen Sie die auf dem Gerät mit der Authenticator-App eingestellte Uhrzeit mit der auf dem Administrationsserver-Gerät eingestellten Uhrzeit synchronisieren. Für eine höhere Genauigkeit empfehlen wir, in Ihrer gesamten Infrastruktur dieselben NTP-Server zu verwenden.
Um zu überprüfen, ob Kaspersky Security Center Linux die von Ihnen gewünschte Authentifizierungs-App unterstützt, versuchen Sie, die Zwei-Faktor-Authentifizierung mit dieser Authentifizierungs-App zu konfigurieren.
In einem der Schritte wird empfohlen, den von der Authenticator-App generierten Einmal-Sicherheitscode anzugeben. Wenn dies erfolgreich ist, unterstützt Kaspersky Security Center Linux den ausgewählten Authenticator.
Erstellen Sie einen geheimen Code mithilfe einer Authenticator-App
Eine Authenticator-App generiert den Sicherheitscode wie folgt:
- Der Administrationsserver erstellt einen speziellen geheimen Schlüssel sowie einen QR-Code.
- Sie übergeben den erstellten geheimen Schlüssel oder QR-Code an die Authenticator-App.
- Die Authenticator-App generiert einen Einmal-Sicherheitscode, den Sie an das Authentifizierungsfenster des Administrationsservers übergeben.
Ein Sicherheitscode besitzt eine Kennung, die als Aussteller-Name bezeichnet wird. Der Name des Sicherheitscode-Ausstellers wird als Kennung des Administrationsservers in der Authenticator-App verwendet. Sie können den Namen des Sicherheitscode-Ausstellers ändern. Der Standardwert für den Namen des Sicherheitscode-Ausstellers entspricht dem Namen des Administrationsservers. Nach der nächsten Anmeldung wird dem Administrationsserver ein neuer Name für die Ausgabe von Sicherheitscodes zugewiesen. Ein Sicherheitscode ist einmalig verwendbar und bis zu 30 Sekunden lang gültig (die genaue Zeit kann variieren).
Es wird dringend empfohlen, dass Sie den geheimen Schlüssel (oder den QR-Code) speichern und an einem sicheren Ort aufbewahren. Dies hilft Ihnen dabei, den Zugriff auf die Kaspersky Security Center Web Console wiederherzustellen, falls Sie den Zugriff auf das Gerät mit der Authenticator-App verlieren.
Die Zwei-Faktor-Authentifizierung hat folgende Eigenschaften:
- Ab der Administrationsserver-Version 16.1 ist die Zwei-Faktor-Authentifizierung automatisch aktiviert und die Option zur Konfiguration der Zwei-Faktor-Authentifizierung bei der Anmeldung ist standardmäßig deaktiviert. Die Konfiguration der Zwei-Faktor-Authentifizierung bei der Anmeldung ist nur für Benutzer verfügbar, die in der Allow-Liste für Zwei-Faktor-Authentifizierung enthalten sind.
- Ein Benutzer kann die Zwei-Faktor-Authentifizierung nur für sein eigenes Konto konfigurieren.
- Ein Benutzer kann Konten von der Zwei-Faktor-Authentifizierung ausschließen. Dies kann für Integrationskonten erforderlich sein, die keinen Einmal-Sicherheitscode zur Authentifizierung empfangen können. Integrationskonten werden verwendet, um Skripte über OpenAPI auszuführen.
- Um einen geheimen Schlüssel für die Zwei-Faktor-Authentifizierung neu zu generieren, muss ein Benutzer den geheimen Schlüssel für sein eigenes Konto zurücksetzen.
- Um einen geheimen Schlüssel für die Zwei-Faktor-Authentifizierung für das Konto eines anderen Benutzers zurückzusetzen oder zu löschen, muss ein Benutzer über ein Konto mit konfigurierter Zwei-Faktor-Authentifizierung und über die Berechtigung Objekt-ACLs ändern im Funktionsbereich Allgemeine Funktionen: Benutzerberechtigungen verfügen.
- Um Konten anderer Benutzer von der Zwei-Faktor-Authentifizierung auszuschließen oder die Allow-Liste für die Zwei-Faktor-Authentifizierung zu ändern, muss ein Benutzer über ein Konto mit konfigurierter Zwei-Faktor-Authentifizierung und über die Berechtigung Objekt-ACLs ändern im Funktionsbereich Allgemeine Funktionen: Benutzerberechtigungen verfügen.
- Die Zwei-Faktor-Authentifizierung wird automatisch nur für die Administrationsserver-Version 16.1 aktiviert. Wenn andere primäre oder sekundäre Administrationsserver mit Version 16 oder früher laufen, bleiben ihre Einstellungen für die Zwei-Faktor-Authentifizierung unverändert.
- Ein virtueller Verwaltungsserver übernimmt die Einstellungen für die Zwei-Faktor-Authentifizierung vom physischen Administrationsserver, sodass die Zwei-Faktor-Authentifizierung, wenn sie auf dem physischen Administrationsserver aktiviert ist, auch auf einem virtuellen Administrationsserver aktiviert ist. Sie können die Einstellungen für die Zwei-Faktor-Authentifizierung nicht auf einem virtuellen Administrationsserver konfigurieren.
- Damit die Zwei-Faktor-Authentifizierung korrekt funktioniert, müssen Sie den Administrationsserver und die Web Console auf Version 16.1 oder höher aktualisieren.
Um einen umfassenden Schutz durch die Verwendung der Zwei-Faktor-Authentifizierung zu gewährleisten, muss nicht nur der Administrationsserver, sondern auch das Gerät, auf dem er installiert ist, gesichert werden. Um dies zu tun, betrachten Sie die Härtungsleitfaden-Empfehlungen.
Nach oben