情境:為所有使用者配置兩步驟驗證
此情境說明如何為所有使用者啟用雙步驟驗證,以及如何從雙步驟驗證中排除使用者帳戶。如果在為其他使用者啟用帳戶前未啟用帳戶的雙步驟驗證,則應用程式會先開啟用於為帳戶啟用雙步驟驗證的視窗。此情境還說明如何為您自己的帳戶啟用雙步驟驗證。
如果您為帳戶啟用了雙步驟驗證,則可以進入為所有使用者啟用雙步驟驗證的階段。
先決條件
開始之前:
- 確保您的使用者帳戶具有一般功能:使用者權限功能區域的修改物件 ACL 權限,用於修改其他使用者帳戶的安全設定。
- 確保管理伺服器的其他使用者在其裝置上安裝驗證應用程式。
階段
為所有使用者啟用雙步驟驗證將分階段進行:
- 在裝置上安裝驗證應用程式
您可以安裝任何支援基於時間的一次性密碼演算法 (TOTP) 的應用程式,例如:
- Google Authenticator
- Microsoft Authenticator
- Bitrix24 OTP
- Yandex Key
- Avanpost 驗證器
- Aladdin 2FA
要檢查 Kaspersky Security Center Linux 是否支援您要使用的身分驗證器應用程式,請為所有使用者或特定使用者啟用雙步驟驗證。
其中步驟之一建議您指定由身分驗證器應用程式產生的安全代碼。如果成功,則 Kaspersky Security Center Linux 支援所選的身分驗證器。
- 將驗證應用程式時間與安裝了管理伺服器的裝置時間同步
透過使用外部時間來源,確保具有身分驗證器應用程式的裝置上的時間和具有管理伺服器的裝置上的時間與 UTC 同步。否則,雙步驟驗證的認證和啟動過程中可能會出現失敗。
- 對您的帳戶啟用雙步驟驗證,並為您的帳戶接收金鑰
為帳戶啟用兩步驟驗證後,您可以為所有使用者啟用兩步驟驗證。
- 對所有使用者啟用雙步驟驗證
啟用了兩步驟驗證的使用者必須使用它登入管理伺服器。
- 禁止新使用者自行設定雙步驟驗證
為了進一步提高卡巴斯基安全管理中心網頁主控台存取安全性,您可以禁止新使用者為自己設定雙步驟驗證。
- 編輯安全碼簽發者的名稱
如果您有多個具有相似名稱的管理伺服器,則可能必須變更安全碼簽發者的名稱,以便更進一步識別不同的管理伺服器。
- 排除不需要啟用兩步驟驗證的使用者帳戶
如有需要,您可以從兩步驟驗證中排除使用者。具有被排除帳戶的使用者不必使用雙步驟驗證即可登入管理伺服器。
- 為您自己的帳戶配置兩步驟驗證
如果使用者未被排除在雙步驟驗證之外,並且尚未為其帳戶配置雙步驟驗證,則他們需要在登入卡巴斯基安全管理中心網頁主控台時打開的窗口中進行配置。否則,他們將無法按照其權限存取管理伺服器。
結果
完成此情境後:
- 對帳戶啟用雙步驟驗證。
- 為管理伺服器的所有使用者帳戶啟用了雙步驟驗證,但已排除的使用者帳戶除外。