关于账户的双重身份验证
Kaspersky Security Center Linux为Kaspersky Security Center云控制台用户提供双重身份验证。双重身份验证基于RFC 6238标准(TOTP:基于时间的一次性密码算法)。
每次登录Kaspersky Security Center云控制台时,您都需要输入用户名、密码以及额外的一次性安全码。若要接收一次性安全码,移动设备或电脑上必须安装了身份验证应用。
任何支持基于时间的一次性密码算法 (TOTP) 的认证软件都可以用作认证应用,例如 Google Authenticator。为了生成一次性安全码,您必须将安装了认证应用的设备上的时间与管理服务器设备上的时间同步。为了提高准确性,我们建议在整个基础设施中使用相同的NTP服务器。
若要检查Kaspersky Security Center Linux是否支持您要使用的身份验证应用,请尝试使用此身份验证应用配置双重身份验证。
其中一个步骤建议您指定由身份验证应用程序生成的一次性安全码。如果成功,则 Kaspersky Security Center Linux 支持所选的身份验证器。
使用身份验证应用生成验证码
认证应用会生成安全代码,如下所示:
- 管理服务器生成一个特殊的 secret key 和 QR 码。
- 您将生成的 secret key 或 QR 码传递给认证应用。
- 认证应用生成一次性安全代码,您将其传递到管理服务器的身份验证窗口。
安全代码具有一个称为颁发者名称的标识符。安全代码颁发者名称用作管理服务器在认证应用中的标识符。您可以更改安全码颁发者的名称。安全代码颁发者名称的默认值与管理服务器的名称相同。下次登录后,新的安全码颁发者名称会被分配给管理服务器。安全码为一次性,有效期最长为 30 秒(具体时间可能会有所不同)。
我们强烈建议您保存密钥或二维码,并将其保管在安全的地方。如果您无法使用身份验证应用程序访问设备,这将帮助您恢复对Kaspersky Security Center云控制台的访问。
双重身份验证具有以下功能:
- 从管理服务器版本 16.1 开始,双重身份验证默认自动启用,并默认禁用登录时配置双重身份验证的选项。登录时配置双重身份验证仅适用于包含在双重身份验证允许列表中的用户。
- 用户只能为自己的账户配置双重身份验证。
- 您可以从双重身份验证中排除指定账户。对于无法接收一次性安全码进行身份验证的集成账户,此功能可能非常重要。集成账户用于通过 OpenAPI 运行脚本。
- 若要重新生成双重身份验证的密钥,用户必须重置其自身帐户的密钥。
- 若要重置或删除其他用户帐户的双重身份验证的密钥,用户必须拥有已配置双重身份验证的帐户,并且在常规功能常规功能用户权限用户权限修改对象ACL权限。
- 要将其他用户的帐户从双重身份验证中排除或修改双重身份验证允许列表,用户必须拥有已配置双重身份验证的帐户,并且在常规功能常规功能用户权限用户权限修改对象ACL权限。
- 双重身份验证仅在管理服务器 16.1 版本中自动启用。如果其他主要管理服务器或从属管理服务器运行的是版本 16 或更早版本,则它们的双重身份验证设置将保持不变。
- 虚拟管理服务器会继承物理管理服务器的双重身份验证设置,因此,如果物理管理服务器启用了双重身份验证,虚拟管理服务器也会启用该功能。您无法在虚拟管理服务器上配置双重身份验证设置。
- 要使双重身份验证正常运行,您需要将管理服务器和云控制台升级到16.1或更高版本。
若要通过双重身份认证实现全面保护,不仅需要对管理服务器采取安全防护措施,还需保障其部署设备的安全性。为此,请参照强化指南中的建议。
Page top