Správa účtů ověřovacího agenta
Ověřovací agent je potřebný pro práci s jednotkami, které jsou chráněny technologií Kaspersky Disk Encryption (FDE). Před načtením operačního systému musí uživatel dokončit ověření agentem. Úloha Správa účtů ověřovacího agenta je navržena pro konfiguraci nastavení ověření uživatele. Můžete použít místní úkoly pro jednotlivé počítače i skupinové úkoly pro počítače ze samostatných skupin správy nebo z výběru počítačů.
Nemůžete nakonfigurovat plán pro spuštění úlohy Správa účtů ověřovacího agenta. Je také nemožné násilně zastavit úlohu.
Jak vytvořit úlohu Správa účtů ověřovacího agenta v konzole pro správu (MMC)
- V konzole pro správu přejděte do složky Administration Server → Tasks.
Otevře se seznam úloh.
- Klikněte na tlačítko New task.
Spustí se průvodce úlohou. Postupujte podle pokynů průvodce.
Krok 1. Volba typu úlohy
Vyberte Kaspersky Endpoint Security for Windows (11.11.0) → Správa účtů ověřovacího agenta.
Krok 2. Výběr příkazu pro správu účtu ověřovacího agenta
Vygenerujte seznam příkazů pro správu účtu ověřovacího agenta. Příkazy správy umožňují přidávat, upravovat a odstraňovat účty ověřovacího agenta (viz pokyny níže). Pouze uživatelé, kteří mají účet ověřovacího agenta, mohou dokončit proces ověření, načíst operační systém a získat přístup k šifrované jednotce.
Krok 3. Výběr zařízení, ke kterým bude úloha přiřazena
Vyberte počítače, na kterých bude úloha provedena. K dispozici jsou následující možnosti:
- Přiřaďte úlohu ke skupině pro správu. V tomto případě je úloha přiřazena k počítačům zahrnutým v dříve vytvořené skupině pro správu.
- Vyberte počítače zjištěné serverem pro správu v síti – nepřiřazená zařízení. Konkrétní zařízení mohou zahrnovat zařízení ve skupinách pro správu a také nepřiřazená zařízení.
- Zadejte adresy zařízení ručně nebo importujte adresy ze seznamu. Můžete zadat názvy rozhraní NetBIOS, IP adresy a podsítě IP zařízení, ke kterým chcete úlohu přiřadit.
Krok 4. Definování názvu úlohy
Zadejte název úlohy, například účty správce.
Krok 5. Dokončení vytvoření úlohy
Ukončete průvodce. V případě potřeby zaškrtněte políčko Run the task after the Wizard finishes. Průběh úlohy můžete sledovat ve vlastnostech úlohy.
Výsledkem je, že po dokončení úlohy při příštím spuštění počítače může nový uživatel dokončit proceduru ověření, načíst operační systém a získat přístup k šifrované jednotce.
Jak vytvořit úlohu Správa účtů ověřovacího agenta ve webové konzole
- V hlavním okně webové konzoly vyberte možnosti Devices → Tasks.
Otevře se seznam úloh.
- Klikněte na tlačítko Add.
Spustí se průvodce úlohou. Postupujte podle pokynů průvodce.
Krok 1. Konfigurace obecných nastavení úlohy
Konfigurace obecných nastavení úlohy:
- V rozevíracím seznamu Application vyberte možnost Kaspersky Endpoint Security for Windows (11.11.0).
- V rozevíracím seznamu Task type vyberte možnost Manage Authentication Agent accounts.
- Do pole Task name zadejte krátký popis, například Účty správce.
- V bloku Select devices to which the task will be assigned vyberte rozsah úlohy.
Krok 2. Správa účtů ověřovacího agenta
Vygenerujte seznam příkazů pro správu účtu ověřovacího agenta. Příkazy správy umožňují přidávat, upravovat a odstraňovat účty ověřovacího agenta (viz pokyny níže). Pouze uživatelé, kteří mají účet ověřovacího agenta, mohou dokončit proces ověření, načíst operační systém a získat přístup k šifrované jednotce.
Krok 3. Dokončení vytvoření úlohy
Ukončete průvodce. V seznamu úloh se zobrazí nová úloha.
Chcete-li spustit úlohu, zaškrtněte políčko vedle úlohy a klikněte na tlačítko Start.
Výsledkem je, že po dokončení úlohy při příštím spuštění počítače může nový uživatel dokončit proceduru ověření, načíst operační systém a získat přístup k šifrované jednotce.
Chcete-li přidat účet ověřovacího agenta, musíte do úlohy Správa účtů ověřovacího agenta přidat zvláštní příkaz. Je vhodné použít skupinovou úlohu, například přidat účet správce do všech počítačů.
Aplikace Kaspersky Endpoint Security umožňuje automaticky vytvořit účty ověřovacího agenta před šifrováním jednotky. Automatické nastavení účtů ověřovacího agenta můžete povolit v nastavení zásad součásti Úplné šifrování disku. Můžete také použít technologii SSO (Single Sign-On).
Jak přidat účet ověřovacího agenta prostřednictvím konzoly pro správu (MMC)
- Otevřete vlastnosti úlohy Správa účtů ověřovacího agenta.
- Ve vlastnostech úlohy vyberte část Nastavení.
- Klikněte na možnosti Přidat → Příkaz přidání účtu.
- V okně, které se otevře, zadejte do pole Účet systému Windows název účtu systému Microsoft Windows, který bude použit k vytvoření účtu ověřovacího agenta.
- Pokud jste zadali název účtu Windows ručně, klikněte na tlačítko Povolit a určete identifikátor zabezpečení účtu (SID).
Pokud nebudete chtít SID určit kliknutím na tlačítko Povolit, bude určeno při provádění úlohy v počítači.
Definování identifikátoru zabezpečení účtu Windows je nutné k ověření správného zadání názvu účtu Windows. Pokud účet Windows neexistuje v počítači nebo v důvěryhodné doméně, skončí úloha Správa účtů ověřovacího agenta chybou.
- Zaškrtněte políčko Nahradit existující účet, pokud chcete, aby byl existující účet dříve vytvořený pro ověřovacího agenta nahrazen aktuálně vytvářeným účtem.
Tento krok je dostupný, když přidáváte příkaz k vytvoření účtu ověřovacího agenta do vlastností úlohy skupiny pro správu účtů ověřovacího agenta. Tento krok není dostupný, když přidáváte příkaz k vytvoření účtu ověřovacího agenta do vlastností místní úlohy Správa účtů ověřovacího agenta.
- Do pole Uživatelské jméno zadejte název účtu ověřovacího agenta, který musí být zadán během ověřování pro přístup k šifrovaným pevným diskům.
- Zaškrtněte políčko Povolit ověřování na základě hesla, pokud chcete, aby aplikace vyzvala uživatele k zadání hesla účtu ověřovacího agenta během ověřování pro přístup k šifrovaným pevným diskům. Nastavte heslo pro účet ověřovacího agenta. V případě potřeby můžete po prvním ověření požádat uživatele o nové heslo.
- Zaškrtněte políčko Povolit ověřování na základě certifikátu, pokud chcete, aby aplikace vyzvala uživatele k připojení tokenu nebo čipové karty k počítači během ověřování pro přístup k šifrovaným pevným diskům. Vyberte soubor certifikátu pro ověření pomocí čipové karty nebo tokenu.
- Je-li třeba, zadejte do pole Popis příkazu podrobnosti účtu ověřovacího agenta, které potřebujete ke správě příkazu.
- V bloku Přístup k ověření v ověřovacím agentovi nakonfigurujte přístup k ověření v ověřovacím agentovi pro uživatele, který používá účet zadaný v příkazu.
- Uložte změny.
Jak přidat účet ověřovacího agenta prostřednictvím webové konzoly
- V hlavním okně webové konzoly vyberte možnosti Devices → Tasks.
Otevře se seznam úloh.
- Klikněte na úlohu Manage Authentication Agent accounts pro aplikaci Kaspersky Endpoint Security.
Otevře se okno vlastností úlohy.
- Vyberte kartu Application settings.
- V seznamu účtů ověřovacího agenta klikněte na tlačítko Add.
Spustí se průvodce správou účtů ověřovacího agenta.
- Vyberte typ příkazu Add.
- Vyberte uživatelský účet. Účet můžete vybrat ze seznamu doménových účtů nebo ručně zadat název účtu. Přejděte k dalšímu kroku.
Kaspersky Endpoint Security určuje identifikátor zabezpečení účtu (SID). To je nutné k ověření účtu. Pokud jste zadali uživatelské jméno nesprávně, aplikace Kaspersky Endpoint Security úlohu ukončí s chybou.
- Nakonfigurujte nastavení účtu ověřovacího agenta.
- Create a new Authentication Agent account to replace the existing account. Aplikace Kaspersky Endpoint Security prohledává stávající účty v počítači. Pokud se ID zabezpečení uživatele v počítači a v úloze shoduje, Kaspersky Endpoint Security změní nastavení účtu v souladu s úlohou.
- User name. Výchozí uživatelské jméno účtu ověřovacího agenta se shoduje názvu domény uživatele.
- Allow password-based authentication. Nastavte heslo pro účet ověřovacího agenta. V případě potřeby můžete po prvním ověření požádat uživatele o nové heslo. Pokud zvolíte tuto možnost, bude mít každý uživatel své vlastní jedinečné heslo. V zásadách můžete také nastavit požadavky na sílu hesla pro účet ověřovacího agenta.
- Allow certificate-based authentication. Vyberte soubor certifikátu pro ověření pomocí čipové karty nebo tokenu. Uživatel tak bude muset zadat heslo pro čipovou kartu nebo token.
- Account access to encrypted data. Zde můžete nakonfigurovat přístup uživatele k šifrované jednotce. Můžete například namísto odstranění účtu ověřovacího agenta dočasně zakázat ověřování uživatelů.
- Comment. V případě potřeby zadejte popis účtu.
- Uložte změny.
- Zaškrtněte políčko vedle úlohy a klikněte na tlačítko Start.
Výsledkem je, že po dokončení úlohy při příštím spuštění počítače může nový uživatel dokončit proceduru ověření, načíst operační systém a získat přístup k šifrované jednotce.
Chcete-li změnit heslo a další nastavení ověřovacího agenta, musíte do úlohy Správa účtů ověřovacího agenta přidat zvláštní příkaz. Je vhodné použít skupinovou úlohu, například nahradit certifikát tokenu správce na všech počítačích.
Jak změnit účet ověřovacího agenta prostřednictvím konzoly pro správu (MMC)
- Otevřete vlastnosti úlohy Správa účtů ověřovacího agenta.
- Ve vlastnostech úlohy vyberte část Nastavení.
- Klikněte na možnosti Přidat → Příkaz úprav účtu.
- V okně, které se otevře, zadejte do pole Účet systému Windows název uživatelského účtu systému Microsoft Windows, který chcete změnit.
- Pokud jste zadali název účtu Windows ručně, klikněte na tlačítko Povolit a určete identifikátor zabezpečení účtu (SID).
Pokud nebudete chtít SID určit kliknutím na tlačítko Povolit, bude určeno při provádění úlohy v počítači.
Definování identifikátoru zabezpečení účtu Windows je nutné k ověření správného zadání názvu účtu Windows. Pokud účet Windows neexistuje v počítači nebo v důvěryhodné doméně, skončí úloha Správa účtů ověřovacího agenta chybou.
- Zaškrtněte políčko Změnit uživatelské jméno a zadejte nový název účtu ověřovacího agenta, pokud chcete, aby aplikace Kaspersky Endpoint Security změnila uživatelské jméno pro všechny účty ověřovacího agenta vytvořené pomocí účtu systému Microsoft Windows s názvem uvedeným v poli Účet systému Windows na jméno zadané do pole níže.
- Zaškrtněte políčko Změnit nastavení ověření na základě hesla, pokud chcete, aby bylo možné upravit nastavení ověření pomocí hesla.
- Zaškrtněte políčko Povolit ověřování na základě hesla, pokud chcete, aby aplikace vyzvala uživatele k zadání hesla účtu ověřovacího agenta během ověřování pro přístup k šifrovaným pevným diskům. Nastavte heslo pro účet ověřovacího agenta.
- Zaškrtněte políčko Upravit pravidlo změny hesla při ověření v ověřovacím agentovi, pokud chcete, aby aplikace Kaspersky Endpoint Security změnila hodnotu nastavení změny hesla pro všechny účty ověřovacího agenta vytvořené pomocí účtu systému Microsoft Windows s názvem uvedeným v poli Účet systému Windows na hodnotu nastavení zadanou níže.
- Zadejte hodnotu nastavení změny hesla při ověřování v rámci ověřovacího agenta.
- Zaškrtněte políčko Změnit nastavení ověření na základě certifikátu, pokud chcete, aby bylo možné upravit nastavení ověření na základě elektronického certifikátu tokenu nebo čipové karty.
- Zaškrtněte políčko Povolit ověřování na základě certifikátu, pokud chcete, aby aplikace vyzvala uživatele k zadání hesla tokenu nebo čipové karty připojené k počítači během ověřování pro přístup k šifrovaným pevným diskům. Vyberte soubor certifikátu pro ověření pomocí čipové karty nebo tokenu.
- Zaškrtněte políčko Upravit popis příkazu a upravte popis příkazu, pokud chcete, aby aplikace Kaspersky Endpoint Security změnila popis příkazu pro všechny účty ověřovacího agenta vytvořené pomocí účtu systému Microsoft Windows s názvem uvedeným v poli Účet systému Windows.
- Zaškrtněte políčko Upravit pravidlo přístupu k ověření v ověřovacím agentovi, pokud chcete, aby aplikace Kaspersky Endpoint Security změnila pravidlo pro přístup uživatele k ověřovacímu dialogu ověřovacího agenta na hodnotu zadanou níže pro všechny účty ověřovacího agenta vytvořené pomocí účtu systému Microsoft Windows s názvem uvedeným v poli Účet systému Windows.
- Zadejte pravidlo přístupu k ověřovacímu dialogu v rámci ověřovacího agenta.
- Uložte změny.
Jak změnit účet ověřovacího agenta prostřednictvím webové konzoly
- V hlavním okně webové konzoly vyberte možnosti Devices → Tasks.
Otevře se seznam úloh.
- Klikněte na úlohu Manage Authentication Agent accounts pro aplikaci Kaspersky Endpoint Security.
Otevře se okno vlastností úlohy.
- Vyberte kartu Application settings.
- V seznamu účtů ověřovacího agenta klikněte na tlačítko Add.
Spustí se průvodce správou účtů ověřovacího agenta.
- Vyberte typ příkazu Change.
- Vyberte uživatelský účet. Účet můžete vybrat ze seznamu doménových účtů nebo ručně zadat název účtu. Přejděte k dalšímu kroku.
Kaspersky Endpoint Security určuje identifikátor zabezpečení účtu (SID). To je nutné k ověření účtu. Pokud jste zadali uživatelské jméno nesprávně, aplikace Kaspersky Endpoint Security úlohu ukončí s chybou.
- Zaškrtněte políčka vedle nastavení, která chcete upravit.
- Nakonfigurujte nastavení účtu ověřovacího agenta.
- Create a new Authentication Agent account to replace the existing account. Aplikace Kaspersky Endpoint Security prohledává stávající účty v počítači. Pokud se ID zabezpečení uživatele v počítači a v úloze shoduje, Kaspersky Endpoint Security změní nastavení účtu v souladu s úlohou.
- User name. Výchozí uživatelské jméno účtu ověřovacího agenta se shoduje názvu domény uživatele.
- Allow password-based authentication. Nastavte heslo pro účet ověřovacího agenta. V případě potřeby můžete po prvním ověření požádat uživatele o nové heslo. Pokud zvolíte tuto možnost, bude mít každý uživatel své vlastní jedinečné heslo. V zásadách můžete také nastavit požadavky na sílu hesla pro účet ověřovacího agenta.
- Allow certificate-based authentication. Vyberte soubor certifikátu pro ověření pomocí čipové karty nebo tokenu. Uživatel tak bude muset zadat heslo pro čipovou kartu nebo token.
- Account access to encrypted data. Zde můžete nakonfigurovat přístup uživatele k šifrované jednotce. Můžete například namísto odstranění účtu ověřovacího agenta dočasně zakázat ověřování uživatelů.
- Comment. V případě potřeby zadejte popis účtu.
- Uložte změny.
- Zaškrtněte políčko vedle úlohy a klikněte na tlačítko Start.
Chcete-li odstranit účet ověřovacího agenta, musíte do úlohy Správa účtů ověřovacího agenta přidat zvláštní příkaz. Je vhodné použít skupinovou úlohu, například odstranit účet propuštěného zaměstnance.
Jak odstranit účet ověřovacího agenta prostřednictvím konzoly pro správu (MMC)
- Otevřete vlastnosti úlohy Správa účtů ověřovacího agenta.
- Ve vlastnostech úlohy vyberte část Nastavení.
- Klikněte na možnosti Přidat → Příkaz odstranění účtu.
- V okně, které se otevře, do pole Účet systému Windows zadejte název uživatelského účtu systému Microsoft Windows použitého k vytvoření účtu ověřovacího agenta, který chcete odstranit.
- Pokud jste zadali název účtu Windows ručně, klikněte na tlačítko Povolit a určete identifikátor zabezpečení účtu (SID).
Pokud nebudete chtít SID určit kliknutím na tlačítko Povolit, bude určeno při provádění úlohy v počítači.
Definování identifikátoru zabezpečení účtu Windows je nutné k ověření správného zadání názvu účtu Windows. Pokud účet Windows neexistuje v počítači nebo v důvěryhodné doméně, skončí úloha Správa účtů ověřovacího agenta chybou.
- Uložte změny.
Jak odstranit účet ověřovacího agenta prostřednictvím webové konzoly
- V hlavním okně webové konzoly vyberte možnosti Devices → Tasks.
Otevře se seznam úloh.
- Klikněte na úlohu Manage Authentication Agent accounts pro aplikaci Kaspersky Endpoint Security.
Otevře se okno vlastností úlohy.
- Vyberte kartu Application settings.
- V seznamu účtů ověřovacího agenta klikněte na tlačítko Add.
Spustí se průvodce správou účtů ověřovacího agenta.
- Vyberte typ příkazu Delete.
- Vyberte uživatelský účet. Účet můžete vybrat ze seznamu doménových účtů nebo ručně zadat název účtu.
- Uložte změny.
- Zaškrtněte políčko vedle úlohy a klikněte na tlačítko Start.
Výsledkem je, že po dokončení úlohy při příštím spuštění počítače nebude uživatel schopen dokončit proceduru ověření a načíst operační systém. Aplikace Kaspersky Endpoint Security zakáže přístup k šifrovaným datům.
Chcete-li zobrazit seznam uživatelů, kteří mohou dokončit ověřování pomocí agenta a načíst operační systém, musíte přejít do vlastností spravovaného počítače.
Jak zobrazit seznam účtů ověřovacího agenta prostřednictvím konzoly pro správu (MMC)
- Otevřete konzolu pro správu aplikace Kaspersky Security Center.
- Ve složce Managed devices stromu konzole pro správu otevřete složku s názvem skupiny správy, do které patří příslušné klientské počítače.
- V pracovním prostoru vyberte kartu Devices.
- Dvojitým kliknutím otevřete okno vlastností počítače.
- V okně vlastností počítače vyberte část Tasks.
- V seznamu úloh vyberte úlohu Správa účtů ověřovacího agenta a dvojitým kliknutím otevřete její vlastnosti.
- Ve vlastnostech úlohy vyberte část Nastavení.
Díky tomu budete mít přístup k seznamu účtů ověřovacího agenta v tomto počítači. Pouze uživatelé ze seznamu mohou dokončit ověřování pomocí agenta a načíst operační systém.
Jak zobrazit seznam účtů ověřovacího agenta prostřednictvím webové konzoly
- V hlavním okně webové konzoly vyberte možnosti Devices → Managed devices.
- Klikněte na název počítače, na kterém chcete zobrazit seznam účtů ověřovacího agenta.
- Ve vlastnostech počítače vyberte kartu Tasks.
- V rozevíracím seznamu vyberte možnost Manage Authentication Agent accounts.
- Ve vlastnostech úlohy vyberte část Application Settings.
Díky tomu budete mít přístup k seznamu účtů ověřovacího agenta v tomto počítači. Pouze uživatelé ze seznamu mohou dokončit ověřování pomocí agenta a načíst operační systém.