ESET Secure Authentication

Transcript

ESET
SECURE
AUTHENTICATION
Manuale prodotto
(per la versione del prodotto 2.4)
ESET SECURE AUTHENTICATION
Copyright 2016 di ESET, spol. s r.o.
ESET Secure Authentication è stato sviluppato da ESET, spol. s r.o.
Per ulteriori informazioni, visitare il sito Web www.eset.it.
Tutti i diritti riservati. Sono vietate la riproduzione, l'archiviazione in sistemi di
registrazione o la trasmissione in qualsiasi forma o con qualsiasi mezzo, elettronico,
meccanico, tramite fotocopia, registrazione, scansione o altro della presente
documentazione in assenza di autorizzazione scritta dell'autore.
ESET, spol. s r.o. si riserva il diritto di modificare qualsiasi parte del software
dell'applicazione descritta senza alcun preavviso.
Supporto tecnico: https://www.eset.it/supporto/assistenza-tecnica
REV. 5/13/2016
Contenuti
1.
2.
2.1
Panoramica
.............................................................................................................5
Requisiti
.............................................................................................................5
.................................................................................................................................................................5
Si stemi o p er ati vi su p p o r tati
2.2 Ap p l i cazi o n i Web su p p o r tate
2.3
.................................................................................................................................................................6
Si stemi o p er ati vi d ei tel efo n i cel l u l ar i su p p.................................................................................................................................................................6
o r tati
2.4 Req u i si ti d i i n stal l azi o n e
.................................................................................................................................................................7
2.5 Amb i en ti Acti ve Di r ecto r y su p p o r tati
.................................................................................................................................................................8
2.6 Eccezi o n i fi r ewal l
.................................................................................................................................................................9
2.7 Cr i ter i
.................................................................................................................................................................9
3.
.............................................................................................................10
Installazione
3.1 In stal l azi o n e d ei co mp o n en ti p r i n ci p al i .................................................................................................................................................................11
to
3.2 In stal l azi o n e d el p l u g -i n d i Deskto p r emo.................................................................................................................................................................14
Web
3.3 In stal l azi o n e d el p l u g -i n d el l 'ap p l i cazi o n e.................................................................................................................................................................15
o ws
3.4 In stal l azi o n e d el p l u g -i n d i accesso Wi n d.................................................................................................................................................................16
3.5 Co n fi g u r azi o n e d i b ase
.................................................................................................................................................................17
4.
Gestione utenti: provisioning
5.
Opzioni di recapito personalizzate .............................................................................................................20
6.
Protezione accesso Window s
6.1 Ch i ave d i r i p r i sti n o master
7.
.............................................................................................................18
.............................................................................................................23
.................................................................................................................................................................24
.............................................................................................................25
Protezione VPN
7.1 Co n fi g u r azi o n e
.................................................................................................................................................................25
7.2
.................................................................................................................................................................27
Uti l i zzo
7.3 Mo d u l i RADIUS PAM su L i n u x/Mac
.................................................................................................................................................................27
7.3.1
Mac OS: ...................................................................................................................................................................................................27
conf igurazione
7.3.2
Linux: conf
...................................................................................................................................................................................................29
igurazione
7.3.3
Altre conf...................................................................................................................................................................................................32
igurazioni RADIUS
8.
Protezione dell'applicazione Web .............................................................................................................36
.................................................................................................................................................................36
8.1.1
Autorizzazione
...................................................................................................................................................................................................37
di utenti non 2FA
8.2 Uti l i zzo
9.
.................................................................................................................................................................37
Protezione di Desktop remoto
.............................................................................................................38
.................................................................................................................................................................38
9.1.1
Autorizzazione
...................................................................................................................................................................................................39
di utenti non 2FA
9.2 Uti l i zzo
.................................................................................................................................................................40
9.3 Accesso Web Deskto p r emo to
.................................................................................................................................................................40
10. Inserimento nella w hitelist degli indirizzi
.............................................................................................................41
IP
11. Hard token
.............................................................................................................42
11.1 Gesti o n e h ar d to ken
.................................................................................................................................................................42
11.1.1
Attiv a ...................................................................................................................................................................................................43
11.1.2
Importa ...................................................................................................................................................................................................43
11.1.3
Elimina ...................................................................................................................................................................................................45
11.1.4
Risincronizzazione
...................................................................................................................................................................................................45
11.2 Gesti o n e u ten ti h ar d to ken
.................................................................................................................................................................46
11.2.1
Attiv a e assegna
...................................................................................................................................................................................................46
11.2.2
Rev oca ...................................................................................................................................................................................................48
12. API
.............................................................................................................48
12.1 Pan o r ami ca su l l 'i n teg r azi o n e
.................................................................................................................................................................49
.................................................................................................................................................................49
12.3 So sti tu zi o n e d el cer ti fi cato SSL
.................................................................................................................................................................49
12.3.1
12.3.2
12.3.3
Prerequisiti
...................................................................................................................................................................................................49
Importazione
...................................................................................................................................................................................................50
del nuov o certif icato
Sostituzione
...................................................................................................................................................................................................51
del certif icato ESA
13. Gestione utenti avanzata
.............................................................................................................51
13.1 Stati u ten te
.................................................................................................................................................................52
13.2 Pr o vi si o n i n g d i tel efo n i mu l ti p l i
.................................................................................................................................................................61
13.3 Ig n o r a camp o n u mer o tel efo n o cel l u l ar e .................................................................................................................................................................63
13.4 Gesti o n e u ten ti b asata su i g r u p p i
.................................................................................................................................................................64
14. Argomenti VPN avanzati
.............................................................................................................64
14.1 Op zi o n i d i au ten ti cazi o n e VPN
.................................................................................................................................................................64
14.1.1
OTP basate
...................................................................................................................................................................................................65
su SMS
14.1.2
OTP basate
...................................................................................................................................................................................................65
su SMS su richiesta
14.1.3
Applicazione
...................................................................................................................................................................................................65
mobile
14.1.4
Hard token
...................................................................................................................................................................................................66
14.1.5
Migrazione
...................................................................................................................................................................................................66
dalle OTP basate su SMS all'applicazione mobile
14.1.6
Pass-through
...................................................................................................................................................................................................66
non 2FA
14.1.7
Controllo...................................................................................................................................................................................................66
accessi tramite l'appartenenza a gruppi
14.2 OTP e sp azi vu o ti
.................................................................................................................................................................66
i tà PPP
14.3 Meto d i d i au ten ti cazi o n e ESA e co mp ati b i l.................................................................................................................................................................67
15. AD FS 3
.............................................................................................................68
16. Controlli e gestione della licenza
.............................................................................................................70
16.1 Co n tr o l l o
.................................................................................................................................................................70
16.2 Gesti o n e d el l a l i cen za
.................................................................................................................................................................71
16.2.1
Panoramica
...................................................................................................................................................................................................71
16.2.2
Av v isi ...................................................................................................................................................................................................71
16.2.3
Stati della...................................................................................................................................................................................................71
licenza
16.2.4
Imposizione
...................................................................................................................................................................................................72
della licenza
17. Vista alta disponibilità
.............................................................................................................72
18. Glossario
.............................................................................................................73
1. Panoramica
ESET Secure Authentication (ESA) aggiunge Two Factor Authentication (2FA) nei domini Microsoft Active Directory. Ciò significa che
viene generata una password monouso (OTP), che deve essere fornita insieme al nome utente e alla password generalmente
richiesti. Il prodotto ESA presenta i seguenti componenti:
Il plug-in ESA Web Application fornisce l'autenticazione 2FA a varie Microsoft Web Applications.
Il plug-in ESA Remote Desktop fornisce l'autenticazione 2FA per il Remote Desktop Protocol.
ESA RADIUS Server aggiunge 2FA nell'autenticazione della VPN.
Lo strumento della riga di comando ESA Authentication Service include unaAPI basata su REST che può essere utilizzata per
aggiungere l'autenticazione 2FA nelle applicazioni personalizzate.
ESA Management Tools:
o Il plug-in ESA User Management per Active Directory Users and Computers (ADUC) è utilizzato per la gestione degli utenti.
o ESA Management Console, denominata impostazioni ESET Secure Authentication, è utilizzata per la configurazione di ESA.
ESA richiede l'infrastruttura Active Directory, in quanto consente di archiviare i dati nell'archivio Active Directory. Ciò significa
che non sono necessari criteri di back-up aggiuntivi, in quanto i dati ESA sono inclusi automaticamente nei back-up di Active
Directory.
2. Requisiti
È richiesto un dominio Active Directory per installare ESET Secure Authentication. Il livello funzionale minimo supportato per un
dominio Active Directory è Windows 2000 Native.
Il programma di installazione seleziona automaticamente i componenti Authentication Service e Management Tools. Nel caso in
cui l'utente selezioni un componente che non può essere installato, il programma di installazione segnalerà i prerequisiti
necessari mancanti.
2.1 Sistemi operativi supportati
ESET Secure Authentication Services eManagement Tools sono stati testati e sono supportati sui seguenti sistemi operativi:
Sistemi operativi server (SOS)
Windows Server 2003
Windows Server 2003 R2
Windows Server 2008
Windows Server 2012
Windows Small Business Server 2008
Windows Small Business Server 2011
Windows Server 2012 Essentials
Windows Server 2012 R2 Essentials
Sistemi operativi client (COS)
Windows 7
Windows 8
Windows 8.1
Windows 10
5
Anche i Management Tools sono supportati sui sistemi operativi client di Windows 7.
NOTA: quando si installa un RADIUS Server su Windows Small Business Server 2008 o 2011, la porta NPS predefinita deve essere
modificata da 1812 a 1645. Verificare che non siano presenti processi in ascolto sulla porta 1812 prima di installare ESA
eseguendo il seguente comando: C:\> netstat -a -p udp | more
2.2 Applicazioni Web supportate
ESET Secure Authentication offre l'autenticazione 2FA per i seguenti prodotti Microsoft:
Microsoft Exchange 2007
o Outlook Web Access - Exchange Client Access Server (CAS)
o Outlook Web App - Exchange Client Access Server (CAS)
o Pannello di controllo di Exchange
o Outlook Web App - Exchange Client Access Server (CAS)
o Interfaccia di amministrazione di Exchange
Microsoft Dynamics CRM 2011
Microsoft SharePoint 2010 *
Microsoft SharePoint 2013 *
Accesso Web Desktop remoto di Microsoft
Accesso Web di Servizi terminal di Microsoft
Accesso Web remoto di Microsoft
* La versione Foundation non è supportata
2.3 Sistemi operativi dei telefoni cellulari supportati
L'app ESET Secure Authentication Mobile è compatibile con i seguenti sistemi operativi dei telefoni cellulari:
iPhone iOS 4.3 su iOS9
Android™ 2.1 su Android M
Windows Phone 7 su Windows Phone 10
Windows Mobile 6
BlackBerry® 4.3 su 7.1
BlackBerry® 10
Symbian®: tutte le versioni che supportano l'abilitazione J2ME
Tutti i telefoni con abilitazione J2ME
6
2.4 Requisiti di installazione
L'installazione protetta richiede la connettività in uscita a esa.eset.com sulla porta 443 del protocollo TCP. Il programma di
installazione deve essere eseguito da un membro del gruppo di protezione "Domain Administrators". Un altro requisito per
eseguire il programma di installazione è .NET Framework Version 4 (Full Install). Il programma di installazione tenterà di
installare .NET 4 automaticamente, se non già installato.
ESA supporta l'installazione di componenti in un ambiente distribuito, con tutti i componenti installati sui computer che vengono
aggiunti nello stesso dominio Windows.
Le eccezioni Windows Firewall, essenziali per il corretto funzionamento di ESET Secure Authentication, saranno aggiunte
automaticamente come parte dell'installazione. In caso di utilizzo di una soluzione firewall diversa, consultare Eccezioni Firewall
per ulteriori informazioni sulle eccezioni importanti che è necessario creare.
I prerequisiti per l'installazione di ciascun componente sono i seguenti:
Authentication Service:
o Windows 2003 Server SP2 o SOS successivo nell'elenco di Sistemi operativi supportati
o La prima volta che un Authentication Service viene installato sul dominio, il programma di installazione deve essere eseguito
come un utente membro del gruppo di protezione "Schema Admins".
Management Tools:
o Windows7 o COS successivo nell'elenco di Sistemi operativi supportati, Windows 2003 Server SP2 o SOS successivo
nell'elenco di Sistemi operativi supportati
o .NET Framework versione 3.5
o Windows Remote Server Administration Tools, componente Active Directory Domain Services (RSAT AD DS)
o NOTA: RSAT, precedentemente conosciuto come Remote Administration Pack (adminpack), può essere scaricato da Microsoft.
In Windows Server 2008 e versioni successive, questo componente può essere installato dalla procedura guidata "Add
Feature" in Server Manager. Su tutti i controller di dominio questi componenti sono già installati.
RADIUS Server:
o Windows 2003 Server SP2 o SOS successivo nell'elenco di Sistemi operativi supportati
Plug-in Web App per Microsoft Exchange Server:
o Microsoft Exchange Server 2007 o versioni successive (solo 64 bit), con il ruolo Client Access (Outlook Web App / Outlook
Web Access) installato
o Internet Information Services 7 (IIS7) o versioni successive
Plug-in Web App per Microsoft SharePoint Server:
o Microsoft SharePoint Server 2010 o 2013 (solo 64 bit)
Plug-in Web App per Microsoft Dynamics CRM:
o Microsoft Dynamics CRM 2011, 2013 o 2015
Plug-in Web App per Microsoft Terminal Services Web Access:
o Il ruolo Terminal Services con il servizio ruolo Terminal Services installato su Windows Server 2008
Plug-in Web App per Microsoft Remote Desktop Services Web Access:
o Il ruolo Remote Desktop Services con il servizio ruolo Remote Desktop Web Access installato su Windows Server 2008 R2 e
versioni successive SOS nell'elenco di Sistemi operativi supportati
7
Plug-in Web App per Microsoft Remote Web Access:
o Il servizio ruolo Remote Web Access installato su Windows SBS 2008 , dove è chiamato Remote Web Access, Windows SBS
2011, Windows Server 2012 Essentials e Windows Server 2012 Essentials R2
Remote Desktop Protection:
o Windows Server 2008 R2 o SOS successivo nell'elenco di Sistemi operativi supportati
o Microsoft Windows 7 o COS successivo nell'elenco di Sistemi operativi supportati
o Sono supportati solo i sistemi operativi a 64 bit
Windows login protection:
o Windows Server 2008 R2 o SOS successivo nell'elenco di Sistemi operativi supportati
o Windows 7 o COS successivo nell'elenco di Sistemi operativi supportati
ADFS 3.0 protection:
o Windows Server 2012 R2
Requisiti .NET:
Tutti i componenti: .NET 4 o 4.5 Full Install
Core Server: .NET 4 o 4.5 Full Install
RADIUS Server: .NET 4 o 4.5 Full Install
Management Tools: .NET 3.5 (4 su Windows Server 2012)
Plug-in Web App: .NET 3.5
NOTA: I componenti Authentication Service e RADIUS Server sono compatibili con Windows7 e COS successivo nell'elenco di
Sistemi operativi supportati, ma non saranno supportati su questi sistemi operativi client.
2.5 Ambienti Active Directory supportati
ESET Secure Authentication supporta ambienti Active Directory con dominio singolo o multiplo. Le differenze tra questi ambienti e
i relativi requisiti di installazione sono illustrate di seguito.
Singolo dominio, Singola foresta
Questa è la configurazione più semplice in cui il programma di installazione potrebbe essere eseguito come un qualsiasi
amministratore di dominio. ESET Secure Authentication è disponibile per tutti gli utenti presenti nel dominio.
Dominio multiplo, Singola foresta
In questo scenario di utilizzo, un dominio padre come example.corp possiede sottodomini multipli come
branch1.example.corp e branch2.example.corp . ESET Secure Authentication può essere utilizzato su un qualsiasi dominio
nella foresta. Tuttavia, non sono presenti comunicazioni incrociate tra le installazioni. Ciascuna installazione richiederà la
propria licenza di ESET Secure Authentication.
Per installare ESET Secure Authentication su un sottodominio, il programma di installazione deve essere lanciato come utente
amministratore di dominio di livello superiore.
Ad esempio, utilizzando gli esempi di dominio definiti in precedenza:
Per installare ESET Secure Authentication su server01.branch1.example.corp , accedere a server01 come utente
example.corp\Administrator (o qualsiasi altro amministratore da example.corp ). In seguito all'installazione, ESET Secure
Authentication sarà disponibile per qualsiasi utente all'interno del dominio branch1.example.corp .
Dominio multiplo, Foresta multipla
Questo ambiente è identico al precedente, in cui ciascuna installazione di ESET Secure Authentication su foreste separate non è
consapevole della presenza delle altre installazioni.
8
2.6 Eccezioni firewall
Le eccezioni Windows Firewall, essenziali per il corretto funzionamento di ESET Secure Authentication, saranno aggiunte
automaticamente come parte dell'installazione. In caso di utilizzo di un firewall diverso, è necessario definire manualmente le
seguenti eccezioni:
Nome dell'eccezione: servizio principale di ESET Secure Authentication
Ambito: qualunque
Protocollo: TCP
Porta locale: 8000
Porte remote: tutte
Nome dell'eccezione: API di ESET Secure Authentication
Ambito: qualunque
Protocollo: TCP
Porta locale: 8001
Porte remote: tutte
Nome dell'eccezione: servizio RADIUS di ESET Secure Authentication
Ambito: qualunque
Protocollo: UDP
Porta locale: 1812
Porte remote: tutte
Nome dell'eccezione: servizio RADIUS di ESET Secure Authentication (porta alternativa)
Ambito: qualunque
Protocollo: UDP
Porta locale: 1645
Porte remote: tutte
2.7 Criteri
Durante l'installazione, ESA aggiunge l'utente ESA_<nome computer> nell'entità Log on as a service trovata negli Local Security
Policies > Local Policies > User Rights Assignments, mentre il <nome computer> è sostituito con il nome del computer su cui è
installato ESA. Questa operazione è essenziale per eseguire il servizio ESET Secure Authentication Service avviato
automaticamente all'avvio del sistema operativo.
Se si utilizza un Group Policy e si è in possesso dell'entità Log on as service definita (Group Policy Management > <Forest> >
Domains > <domain> > Default Domain Policy > Settings > Computer Configuration > Policies > Windows Settins > Security Settings
> Local Policies),è necessario aggiungere l'utente ESA_<nome computer> nell'entità Log on as a service. In caso contrario, evitare
completamente di definire l'entità Log on as a service.
Per trovare il nome del computer su cui si sta installando ESA:
o Premere il tasto Windows
e contemporaneamente E in modo da far comparire il File Explorer
o Nel riquadro sulla destra, fare clic con il pulsante destro del mouse su Questo PC o Risorse del computer e selezionare
Proprietà.
In una finestra compariranno il Nome del computer e il nome del computer in questione.
9
3. Installazione
Per la prima installazione di ESA sono necessari tutti i seguenti componenti:
Almeno un'istanza dell'Authentication Server
Almeno un'istanza dei Management Tools
Almeno uno degli endpoint di autenticazione API, Web Application, Remote Desktop, o RADIUS)
Tutti i componenti possono essere installati su una singola macchina o su più macchine in un ambiente distribuito. Come nel
caso dei sistemi distribuiti, i possibili scenari di installazione sono molteplici.
L'esempio sottostante illustra uno scenario di installazione generico; questo esempio funge tuttavia da guida di base per altri
scenari di distribuzione. L'installazione illustrata nell'esempio prevede due sequenze. Al termine dell'installazione di entrambe, lo
scenario di distribuzione presenterà le caratteristiche indicate nella figura sottostante.
10
3.1 Installazione dei componenti principali
Eseguire il file .exe fornito per avviare l'installazione sulla macchina che ospita ESA Authentication Service. In caso di mancato
rilevamento, sarà installata automaticamente la versione .NET Framework 4.0.
11
Verranno eseguiti alcuni controlli dei prerequisiti per garantire l'integrità del dominio e la possibilità di installare ESA. Eventuali
errori devono essere corretti prima di procedere con l'installazione. L'installazione continuerà nel momento in cui tutti i
prerequisiti saranno completati correttamente.
Se il pulsante Next non è disponibile per più di 5 secondi, scorrere verso il basso per visualizzare i requisiti che sono ancora
sottoposti a controllo.
12
Se richiesto, accertarsi che siano selezionati i componenti "Management Tools", "Authentication Server" e "RADIUS Server for
VPN Protection", come illustrato nella figura sottostante.
Procedere con i restanti passaggi quando richiesto dal programma di installazione e chiuderlo quando completato.
13
3.2 Installazione del plug-in di Desktop remoto
Dalla macchina Remote Desktop Access che si desidera proteggere, eseguire il file exe fornito per avviare l'installazione. Il
programma di installazione eseguirà una serie di controlli dei prerequisiti come accade durante l'Installazione dei componenti
principali.
Nella figura sottostante viene mostrata la selezione del componente per l'installazione del plug-in di Remote Desktop.
I controlli dei prerequisiti saranno eseguiti per garantire che il plug-in di ESA Remote Desktop può essere installato. Eventuali
errori devono essere corretti prima di poter procedere con l'installazione. Procedere con i restanti passaggi quando richiesto dal
programma di installazione e chiuderlo quando completato.
14
3.3 Installazione del plug-in dell'applicazione Web
Dalla macchina che esegue la Web App che si desidera proteggere, eseguire il file .exe fornito per avviare l'installazione. Il
programma di installazione eseguirà una serie di controlli dei prerequisiti come nel caso dell'Installazione dei componenti
principali.
Quando richiesto, accertarsi che sia selezionato il componente per la Web App appropriata. Nella figura sottostante viene
mostrata la selezione del componente per l'installazione del plug-in di SharePoint Server.
I controlli dei prerequisiti saranno eseguiti per garantire che la Web App è in esecuzione sul server e che il plug-in di ESA Web
App può essere installato. Eventuali errori devono essere corretti prima di poter procedere con l'installazione.
Procedere con i restanti passaggi quando richiesto dal programma di installazione e chiuderlo quando completato.
15
3.4 Installazione del plug-in di accesso Windows
Durante l'installazione di ESA sulla macchina Windows che si desidera proteggere con la protezione 2FA, assicurarsi di
selezionare il componente Windows Login nella pagina Select components dell'installazione guidata.
NOTA: non è necessario installare il componente Management Tools su ciascun computer che si desidera proteggere con la
protezione 2FA (questo componente è necessario solo sul server ESA primario dell'utente). La protezione Windows Login funziona
solo in un ambiente di dominio. Ciò significa che sia il computer specifico sia l'account utente devono appartenere a un dominio
stabilito dagli Active Directory Domain Services.
16
3.5 Configurazione di base
Dopo aver installato i componenti richiesti, è necessario eseguire una configurazione di base. L'intera configurazione del sistema
ESA viene eseguita attraverso ESA Management Console. The ESA Management Console è aggiunta come snap-in alla console MMC
standard. È possibile accedere a ESA Management Console sotto a Strumenti di amministrazione, come illustrato nella figura
sottostante.
Attivare innanzitutto il sistema ESA tramite una licenza ESA. La licenza può essere ottenuta dal distributore ESET oppure è
possibile utilizzare la licenza demo (in License.txt) fornita insieme al programma di installazione.
Per attivare ESA Server:
1. Lanciare ESA Management Console.
2. Accedere al nodo del dominio.
3. Immettere il nome utente e la password per la licenza ESA.
4. ESA Server otterrà la licenza automaticamente e verranno visualizzate le informazioni aggiornate sulla licenza.
Quando la licenza è attiva, configurare il nome del token sotto a Basic Settings. Sarà il nome token dell'azienda che sarà
visualizzato nella Mobile Application sui telefoni degli utenti.
Se si desidera configurare una Web Application, consultare il capitolo Protezione dell'applicazione Web. Per configurare 2FA
sulla VPN, consultare il capitolo Protezione VPN. Per configurare 2FA per Remote Desktop, consultare il capitolo Protezione di
Desktop remoto.
17
4. Gestione utenti: provisioning
Tutte le attività di gestione degli utenti vengono eseguite attraverso l'interfaccia di gestione Active Directory Users and Computers.
Tutti gli utenti ESA devono avere un numero di telefono cellulare valido nel campo Mobile della scheda Telephones.
Provisioning di una nuova Mobile App:
1. Aprire la normale vista utente ADUC.
2. Fare clic con il pulsante destro del mouse su User e selezionare Properties.
3. Immettere il numero di telefono cellulare dell'utente nel campo Mobile.
NOTA: i numeri di telefono cellulare devono contenere esclusivamente cifre (ad esempio, devono avere il formato 421987654321,
dove 4 è il prefisso internazionale e 21 il prefisso nazionale).
Fare clic sulla scheda ESET Secure Authentication per gestire le impostazioni di ESET Secure Authentication per un utente specifico.
18
Abilitazione di una OTP con token software per un utente specifico:
1. Verificare che la casella di controllo accanto a Mobile Applicationsia selezionata.
2. Fare clic su Send Application.
3. L'utente riceverà un messaggio SMS contenente un collegamento da utilizzare per installare l'applicazione.
Istruzioni sull'installazione e sull'utilizzo dell'applicazione mobile (fare clic sul sistema operativo del dispositivo mobile
desiderato per essere reindirizzati all'articolo corrispondente):
Android
BlackBerry
iPhone
Windows Phone
19
5. Opzioni di recapito personalizzate
Le opzioni di recapito predefinite della password OTP (sms, app mobile) funzionano perfettamente per la maggior parte degli
utenti. ESA può anche adattare opzioni di recapito personalizzate.
Aprire ESA Management Console sul computer principale in uso, accedere al nodo del dominio specifico (nell'esempio
considerato acswin2012.com), fare clic su Advanced Settings, quindi su Delivery Options.
Qui è possibile specificare il percorso allo script personalizzato dell'utente (oppure ricercare lo script personalizzato facendo
clic sul pulsante
) tramite il quale si desidera gestire il provisioning o l'invio della password OTP. Fare clic su
per
visualizzare un elenco di parametri da trasmettere allo script personalizzato. Per esempio, per recapitare la password OTP, è
necessario utilizzare il parametro [OTP]. È inoltre possibile specificare una stringa personalizzata da trasmettere allo script
dell'utente (vedere parameter1 nello screenshot visualizzato in precedenza).
Esempio di scenario: invio della password OTP tramite e-mail
Prerequisito:
Conoscere i dettagli del protocollo SMTP del gateway di posta elettronica che si desidera utilizzare per l'invio del messaggio di
posta elettronica contenente la password OTP
Essere in possesso di uno script personalizzato per l'invio di messaggi di posta elettronica
Essere in possesso di uno script .bat personalizzato per il quale si definisce il percorso in ESA Management Console, come
20
illustrato nello screenshot visualizzato in precedenza; lo script .bat chiama lo script personalizzato considerato nell'esempio
che dovrebbe inviare il messaggio di posta elettronica
Ogni utente per il quale è attiva la protezione 2FA e che riceve OTP passwords tramite e-mail, deve avere il proprio indirizzo di
posta elettronica definito nel campo E-mail della scheda General durante la visualizzazione dei propri dettagli nell'interfaccia
di gestione Active Directory Users and Computers.
Esempio di script python per l'invio dell'e-mail: si assegna il nome sendmail.py al file:
import sys, smtplib
server = smtplib.SMTP('smtpserver:port')
server.starttls()
server.login('username','password')
server.sendmail(sys.argv[1] , sys.argv[1], 'Subject: OTP is '+sys.argv[2])
server.quit()
NOTA: nell'esempio di script python indicato in precedenza, smtpserver:port, username e password dovrebbero essere sostituiti
con i dettagli del protocollo SMTP corrispondente.
Esempio di script .bat per la chiamata dello script sendmail.py durante la trasmissione dei parametri essenziali: si assegna il
nome CustomMail.bat al file:
c:\Python\python.exe c:\work\sendmail.py %1 %2
NOTA: in questo scenario di esempio si presuppone che la libreria python sia installata sul computer principale dell'utente, dove è
installato ESA Core component e che l'utente conosca il percorso al file python.exe.
Nel campo Sending OTP by si definisce il percorso che conduce allo script CustomMail.bat in questione, si selezionano i
parametri essenziali, quali [E-mail-Addresses] e [OTP], e si fa clic su Save
21
Il provisioning (invio dell'applicazione mobile) può essere personalizzato allo stesso modo utilizzando i parametri essenziali
[PHONE] e [URL].
NOTA: rispetto al recapito tramite SMS (o all'utilizzo di un' applicazione mobile sulla quale è stato effettuato il provisioning),
l'utilizzo dell'e-mail come strumento di distribuzione della password OTP rappresenta un metodo un po' meno sicuro in quanto il
messaggio di posta elettronica può essere letto su qualsiasi dispositivo dell'utente. Questo metodo non conferma che il
destinatario previsto sia in possesso del telefono registrato (numero di telefono).
22
6. Protezione accesso Windows
ESA offre una protezione all'accesso locale per Windows in un ambiente di dominio stabilito da Active Directory Domain Services.
Per utilizzare questa funzione, è essenziale installare il componente Windows Login durante l'installazione di ESA. Al termine
dell'installazione, aprire ESA Management Console sul computer principale, accedere al nodo di dominio in uso (nell'esempio
fornito acswin2012.com) e fare clic su Windows Login Settings.
In questa schermata compaiono varie opzioni per l'applicazione dell'autenticazione 2FA,, inclusa l'opzione per l'applicazione
della protezione 2FA per la Modalità provvisoria, la schermata di blocco di Windows e il Controllo dell'account utente (UAC). È
inoltre disponibile l'elenco di computer su cui è installato il componente Windows Login di ESA.
Se la macchina su cui è installato il componente Windows Login di ESA deve essere off-line per una parte del tempo e sono
presenti utenti per i quali è attiva un'autenticazione tramite SMS, è possibile attivare Allow access without 2FA for SMS users
when offline.
Se un utente che utilizza un metodo di recapito tramite SMS per la password OTP desidera ricevere nuovamente una password
OTP, dovrà chiudere la finestra in cui si richiede la password OTP e inserire dopo 30 secondi il nome utente e la password AD.
23
La protezione 2FA non può essere ignorata dagli autori di attacchi anche se questi ultimi conoscono il nome utente e la password
AD. Ciò consente di aumentare il livello di protezione dei dati sensibili. Naturalmente, si presuppone che l'hard disk non sia
accessibile dagli autori degli attacchi o che il contenuto dell'unità sia crittografato.
NOTA: se è stata attivata la protezione 2FA per la modalità off-line, tutti gli utenti i cui account sono protetti da 2FA e che
desiderano utilizzare un PC protetto da 2FAdevono effettuare l'accesso a quel PC per la primissima volta mentre il PC è on-line. Per
'online' si intende che il computer principale su cui sono installati i Componenti principali di ESA ed è in esecuzione il servizio ESET
Secure Authentication Service può essere sottoposto a ping dal computer protetto con autenticazione 2FA.
Se il componente Windows Login è installato sullo stesso computer su cui sono installati i ESA Core Components e la protezione
2FA per la Modalità provvisoria è stata attivata su quel computer, con modalità off-line disattivata (è stato selezionatoDo not allow
access when offline ), l'utente sarà autorizzato a effettuare l'accesso in Modalità provvisoria (senza collegamento in rete) senza OTP.
Accesso a Windows 8 protetto da ESA: dopo aver inserito un nome utente e una password AD validi, users will be prompted for
their OTP :
6.1 Chiave di ripristino master
Una chiave di ripristino master (MRK) è una OTP alternativa che è possibile utilizzare per effettuare l'accesso a una macchina
Windows protetta dall'autenticazione 2FA in situazioni in cui l'utente non può inserire una OTP valida. Per esempio, l'utente ha
smarrito il telefono su cui era installata l'Applicazione mobile ESA. Una MRK è una chiave univoca per un utente e un computer.
Ciò significa che l'Utente1 e l'Utente2 possiedono una MRK diversa per il PC1. L'accesso tramite MRK è disponibile anche in
modalità on-line e off-line. L'uso off-line della password MRK è disponibile solo se la modalità off-line per un dato computer è
attivata in ESA Management Console nella sezione delle Impostazioni di accesso Windows. In caso di attivazione della modalità
off-line, la password MRK è archiviata anche localmente nella cache crittografata e protetta del computer.
Da utilizzare MRK per l'autenticazione:
1. Poiché l'utente non può ottenere una OTP, deve effettuare una chiamata a un amministratore.
24
2. L'amministratore apre l'interfaccia ADUC, accede al nome di dominio Active Directory corrispondente (in questo esempio
acswin2012.com) > Users > fa doppio clic sull'utente in questione > scheda ESET Secure Authentication > fa clic sul pulsante Show
MRK > seleziona il computer in questione dalla casella di riepilogo Choose computer e fa clic su Show MRK. A questo punto,
viene generata una password MRK.
3. L'amministratore fornisce la password MRK ottenuta all'utente, che potrà effettuare l'accesso inserendola al posto della OTP.
Mentre il computer è in modalità off-line, è possibile utilizzare una password MRK più di una volta.
Dopo la prima connessione con esito positivo al Componente principale ESA, la password MRK generata in precedenza è
invalidata e non può essere più utilizzata, anche se non è mai stata utilizzata prima d'ora.
7. Protezione VPN
ESA viene distribuito con un server RADIUS autonomo utilizzato per autenticare le connessioni VPN. Dopo aver installato il
componente del server ESA RADIUS, il servizio verrà avviato automaticamente. Verificare che sia in esecuzione controllandone lo
stato nella console Servizi di Windows.
7.1 Configurazione
Per configurare la protezione 2FA per la VPN in uso, è necessario aggiungere prima gli accessori della VPN come client RADIUS.
Per eseguire questa operazione, seguire la procedura illustrata di seguito:
1. Da ESA Management Console, fare clic con il pulsante destro del mouse sul server RADIUS e selezionare Add Client.
2. Selezionare il nuovo client e Properties nell'elenco di azioni disponibili.
3. Assegnare al client RADIUS un nome facile da ricordare a titolo di riferimento.
4. Configurare l'IP Address e lo Shared Secret per il Client per fare in modo che corrispondano alla configurazione dell'appliance
VPN. L'indirizzo IP è l'indirizzo IP interno dell'appliance in uso. Il segreto condiviso è il segreto condiviso di RADIUS per
l'autenticatore esterno che verrà configurato sull'appliance.
5. Selezionare "Mobile Application" come metodo di autenticazione. Il metodo ottimale di autenticazione dipende dalla marca e
25
dal modello dell'appliance VPN. Per maggiori informazioni, consultare ESA VPN Integration Guide. Le guide all'integrazione
della VPN sono disponibili nella Knowledge Base ESET.
6. Facoltativamente, è possibile autorizzare qualsiasi utente non-2FA a utilizzare la VPN.
NOTA: se si consente agli utenti non-2FA di accedere alla VPN senza limitare l'accesso a un gruppo di protezione, tutti gli utenti
nel dominio potranno accedere tramite la VPN. L'utilizzo di tale configurazione non è consigliato.
7. Facoltativamente, limitare l'accesso alla VPN a un gruppo di protezione di Active Directory esistente.
8. Una volta completate le modifiche, fare clic su OK.
9. Riavviare il server RADIUS .
a. Individuare ESA RADIUS Service nei Servizi Windows (in Control Panel - Administrative Tools - View Local Services).
b. Fare clic con il pulsante destro del mouse su ESA Radius Service e selezionare Restart from the context menu.
Sono disponibili le seguenti opzioni relative al VPN Type:
VPN does not validate AD user name and password
VPN validates AD user name and password
Use Access-Challenge feature of RADIUS
I seguenti client RADIUS supportano la funzione di Verifica accesso RADIUS:
Junos Pulse (VPN)
modulo Linux PAM
I seguenti client RADIUS non devono essere utilizzati con la funzione Verifica accesso:
Microsoft RRAS
26
7.2 Utilizzo
Dopo aver configurato il client RADIUS, è consigliabile verificarne la connettività tramite un'utilità di verifica quale NTRadPing
prima di riconfigurare l'appliance VPN. Dopo aver verificato la connettività RADIUS, è possibile configurare l'appliance affinché
utilizzi il serverESA RADIUS come autenticatore esterno per gli utenti VPN.
Poiché il metodo di autenticazione ottimale e l'utilizzo dipendono entrambi dal modello e dalla marca degli accessori, consultare
la Guida all'integrazione di ESET Secure Authentication VPN appropriata disponibile nella Knowledge Base ESET.
7.3 Moduli RADIUS PAM su Linux/Mac
Le macchine Linux/Mac possono usare ESA per l'autenticazione 2FA attraverso l'implementazione di un Pluggable Authentication
Module (PAM), che fungerà da client RADIUS che comunica con il server ESA RADIUS.
PAM è un set di librerie dinamiche C (.so) utilizzate per l'aggiunta di livelli personalizzati nel processo di autenticazione. Questi
strumenti possono eseguire controlli aggiuntivi e consentire/negare l'accesso successivamente. In questo caso, si utilizza un
modulo PAM per richiedere all'utente una password OTP su un computer Linux o Mac aggiunto in un dominio Active Directory e
verificarla sul server ESA RADIUS.
In questa guida viene utilizzato il modulo The PAM di autenticazione e di creazione di account di FreeRADIUS. È anche possibile
utilizzare altri client RADIUS PAM.
La configurazione di base descritta in questa sede utilizzerà la funzione Access-Challenge di RADIUS supportata sia dal server ESA
RADIUS sia dal client RADIUS PAM utilizzato. Esistono altre opzioni che non utilizzano il metodo Verifica accesso descritto
brevemente nella sezione Altre configurazioni RADIUS di questo manuale.
Innanzitutto, configurare il client Linux/Mac RADIUS in ESA Management Console. Type the IP address of your Linux/Mac computer
nel campo IP Address. Selezionare Use Access-Challenge feature of RADIUS f dalVPN Type drop-down menu.
Dopo aver completato questa procedura, configurare il computer Linux o Mac in uso in base alle istruzioni fornite nei
sottoparagrafi che seguono.
7.3.1 Mac OS: configurazione
La procedura sottostante è stata eseguita su OS X - Yosemite 10.10.5.
Nota: in caso di attivazione della protezione 2FA in base alle istruzioni fornite in questa guida, per impostazione predefinita gli
utenti locali che non appartengono al dominio AD dell'utente non potranno eseguire l'accesso. Per autorizzare gli utenti locali a
effettuare l'accesso anche in caso di attivazione della protezione 2FA , seguire la procedura aggiuntiva descritta nell'argomento
Altre configurazioni RADIUS : consultare Utenti non 2FA (account utente che non utilizzano l'autenticazione 2FA ).
Per utilizzare la protezione 2FA sul computer Mac in uso, assicurarsi che la macchina sia stata aggiunta nel dominio Active
Directory. È possibile configurare questa impostazione in Preferenze di sistema... > Utenti e gruppi > Opzioni di accesso. Fare clic su
Aggiungi... accanto a Server account di rete inserendo le credenziali Active Directory.
Modulo di autenticazione PAM
1. Scaricare PAM RADIUS tar.gz da http://freeradius.org/pam_radius_auth/
2. Costruire la libreria .so eseguendo i comandi indicati di seguito in una finestra terminale:
./configure
make
3. Copiare la libreria creata nei moduli PAM
cp pam_radius_auth.so /usr/lib/pam
Su OS X El Capitan e versioni successive, questo percorso è protetto da System Integrity Protection. Per utilizzarlo, è necessario
disattivarlo per il comando copia.
4. Creare un file di configurazione del server chiamato server su /etc/raddb/. e inserirvi i dettagli del server RADIUS nel seguente
formato:
<radius server>:<porta> <segreto condiviso> <timeout in secondi>
Per esempio:
27
1.1.1.1 test 30
Consultare INSTALLA per ulteriori informazioni sulle raccomandazioni in materia di protezione per il file di configurazione e
UTILIZZO per i parametri che possono essere trasmessi alla libreria. Per esempio, è possibile utilizzare il parametro 'debug' per
identificare problemi potenziali.
Integrazione del modulo PAM
I moduli PAM possono essere integrati in vari tipi di accesso, per esempio, login, sshd, su, sudo, e così via. L'elenco di tipi di
accesso disponibili è posizionato in /etc/pam.d/ .
Modificare il file appropriato in /etc/pam.d/ per integrare il modulo RADIUS PAM in tipi di accesso specifici.
Integrazione del modulo PAM nel protocollo SSH
Per integrare il modulo PAM nel protocollo SSH, modificare /etc/pam.d/sshd e aggiungere la seguente riga alla fine del file:
auth required /usr/lib/pam/pam_radius_auth.so
Successivamente, attivare il protocollo SSH su OS X. In Preferenze di sistema... > Condivisione, attivare Accesso remoto.
Segue un esempio di accesso SSH tramite ESA (modulo PAM integrato in /etc/pam.d/sshd):
Segue un esempio di accesso sudo tramite ESA (modulo PAM integrato in /etc/pam.d/sudo):
Integrazione del modulo PAM negli accessi Desktop
Per l'accesso Desktop, non è possibile utilizzare RADIUS Accept-Challenge come VPN Type durante la configurazione del client
RADIUS in ESA Management Tool. La configurazione del client RADIUS dovrebbe comparire nella sezione VPN Type - VPN does not
validate AD username and password dell'argomento Altre configurazioni RADIUS e il modulo PAM dovrebbe essere integrato nel
file /etc/pam.d/authorization.
Utilizzando queste impostazioni:
La OTP is è inviata tramite SMS: quando compare il primo prompt di richiesta della password, l'utente deve inserire la
password AD. Quando compare il secondo prompt di richiesta della password, l'utente deve inserire la password OTP.
28
Altro tipo di OTP (autenticazione composta): inserire contemporaneamente sia la password AD sia la password OTP come
ADpasswordOTP. Per esempio, se la password AD è Test e la password OTP ricevuta è 123456, è necessario inserire
Test123456.
7.3.2 Linux : configurazione
La procedura descritta qui è stata eseguita su OpenSUSE Leap 42.1.
Nota: in caso di attivazione della protezione 2FA in base alle istruzioni fornite in questa guida, per impostazione predefinita gli
utenti locali che non appartengono al dominio AD dell'utente non potranno eseguire l'accesso. Per autorizzare gli utenti locali a
effettuare l'accesso anche in caso di attivazione della protezione 2FA , seguire la procedura aggiuntiva descritta nell'argomento
Altre configurazioni RADIUS : consultare Utenti non 2FA (account utente che non utilizzano l'autenticazione 2FA ).
Assicurarsi che il computer Linux in uso sia stato aggiunto nel dominio Active Directory. Accedere a YaST > Hardware >
Impostazioni di rete > Nome host/DNS e inserire l'indirizzo IP della macchina Domain Controller (DC) e il nome di dominio Active
Directory. Successivamente, accedere a YaST > Servizi di rete > Appartenenza a dominio Windows. Inserire il nome di dominio AD
nel quale si desidera aggiungere il computer Linux in uso nel campo Dominio o Gruppo di lavoro e fare clic su OK. All'utente sarà
richiesto di inserire il nome utente e la password dell'amministratore del dominio.
NOTA: il processo di aggiunta di un dominio varia in base alle distribuzioni Linux.
29
PAM Modulo di autenticazione
1. Scaricare PAM RADIUS tar.gz da http://freeradius.org/pam_radius_auth/
2. Costruire la libreria .so eseguendo i comandi indicati di seguito in una finestra terminale:
./configure
make
In base all'output del comando configure , potrebbe essere necessario installare delle dipendenze.
sudo zypper install gcc make pam-devel
3. Copiare la libreria creata nei moduli PAM
sudo cp pam_radius_auth.so /lib/security/
4. Creare un file di configurazione del server su /etc/raddb/ chiamato server.. In questo file, inserire i dettagli del server RADIUS
nel seguente formato:
<radius server>:<porta> <segreto condiviso> <timeout in secondi>
Per esempio:
1.1.1.1 test 30
Consultare INSTALLA per ulteriori informazioni sulle raccomandazioni in materia di protezione per il file di configurazione e
UTILIZZO per i parametri che possono essere trasmessi alla libreria. Per esempio, è possibile utilizzare il parametro 'debug' per
identificare problemi potenziali.
Integrazione del modulo PAM
I moduli PAM variano in base alle distribuzioni Linux. Gli scenari di integrazione dipendono anche dall'ambiente Desktop
utilizzato sulla macchina Linux in uso. In questo esempio, è stato utilizzato Xfce su una macchina OpenSUSE. Di conseguenza, il
modulo PAM è stato integrato in /etc/pam.d/xdm (vedere gli esempi sottostanti). È possibile che alcuni moduli non richiedano un
secondo fattore, come illustrato nell'esempio sottostante.
Il metodo di integrazione del modulo PAM nel protocollo SSH su Linux è uguale a quello utilizzato su Mac OS: consultare
Integrazione del modulo PAM nel protocollo SSH su Mac OS: argomento configurazione. Tuttavia, la riga di codice da aggiungere
nel file /etc/pam.d/sshd presenta delle differenze:
auth required /lib/security/pam_radius_auth.so
Integrazione del modulo PAM nell'accesso console
Per integrare il modulo PAM nell'accesso console, modificare /etc/pam.d/login e aggiungere la seguente riga alla fine del file:
Segue un esempio di accesso console con protezione tramite ESA :
30
Integrazione del modulo PAM nell' Xfce accesso desktop
Per integrare il modulo PAM nell'accesso Xfce desktop , è necessario modificare /etc/pam.d/xdm e aggiungere la seguente riga
alla fine del file:
Segue un esempio di accesso desktop Xfce con protezione tramite ESA:
31
7.3.3 Altre configurazioni RADIUS
VPN Type - VPN does not validate AD username and password
Se il VPN Type è stato impostato su VPN does not validate AD username and password durante la configurazione di un client
RADIUS in ESA Management Tool, entrambi i fattori (nome utente e password AD come primo fattore e OTP come secondo fattore)
sono verificati da ESA:
Successivamente, in /etc/pam.d/sshd (o altra integrazione), aggiungere la seguente riga:
auth required /usr/lib/pam/pam_radius_auth.so
e commentare (posizionando un tag # all'inizio) tutte le altre righe auth .
NOTA: l'amministratore di dominio deve verificare, disattivando tutti gli altri moduli, se questo scenario sia adatto o meno alla
distribuzione.
In questo caso, un processo di accesso SSH dovrebbe assumere il seguente aspetto:
Recapito tramite SMS della OTP: al primo tentativo di inserimento della password, all'utente è richiesto di inserire una
password AD. Al secondo tentativo di inserimento della password, l'utente inserisce la password OTP.
32
Altro tipo di OTP (autenticazione composta): l'utente deve inserire contemporaneamente sia la password AD sia la password
OTP come ADpasswordOTP. Per esempio, se la password AD è Test e la password OTP ricevuta è 123456, è necessario inserire
Test123456.
Tipo di VPN: la VPN convalida un nome utente e una password AD
Se il VPN Type è stato impostato su VPN validates AD username and password durante la configurazione di un client RADIUS in
ESA Management Tool, il primo fattore (nome utente e password AD) è convalidato dall'altro modulo PAM:
33
Durante questa configurazione del modulo RADIUS, aggiungere la seguente riga in /etc/pam.d/sshd (o nell'integrazione
appropriata):
auth required /usr/lib/pam/pam_radius_auth.so force_prompt prompt=RADIUS
In questo caso, un processo di accesso SSH dovrebbe assumere il seguente aspetto:
I prompt che iniziano con la stringa Password: sono gestiti dagli altri moduli PAM. I prompt che iniziano con la stringa RADIUS:
sono gestiti dal modulo PAM in uso. Consultare l'argomento 'prompt=RADIUS' nel codice di esempio fornito in precedenza
SMS: al primo prompt, l'utente deve inserire la password AD. Al secondo prompt, l'utente deve inserire il testo 'sms' (senza
apostrofi). Al terzo prompt, l'utente deve inserire la password AD. Al quarto prompt, l'utente deve inserire la password OTP
ricevuta.
34
Altro tipo di OTP (OTP ricevuta tramite applicazione mobile o hard token): inserire la password AD al primo tentativo. Al
secondo tentativo inserire la password OTP.
Non-2FA Utenti non 2FA (account utente che non utilizzano l'autenticazione 2FA)
Durante la configurazione del modulo PAM per ESA, ricordare l'esperienza degli utenti non-2FA, per esempio gli utenti locali
Linux/Mac rispetto agli utenti di dominio.
Linux:
Utilizzando questa configurazione, un server RADIUS non riuscirebbe a eseguire l'autenticazione per gli utenti locali a meno che il
codice fornito di seguito (o il codice appropriato per il sistema in uso) non venga aggiunto in /etc/pam.d/sshd (o nel file
appropriato per il modulo PAM in uso):
auth sufficient pam_unix.so try_first_pass
Questa modifica rende l'autenticazione Unix standard sufficiente per effettuare l'accesso. Di conseguenza, qualsiasi utente locale
sarà autorizzato all'accesso dopo aver inserito una password locale. Per autorizzare gli utenti di dominio i cui account non sono
protetti con 2FA, attivare Active Directory Passwords without OTPs durante la configurazione del client RADIUS in ESA
Management Console.
Mac:
Non esiste alcun modulo predefinito PAM per autenticare gli utenti locali come accadeva su Linux (v. sezione precedente). Per
eseguire tale operazione, è necessario utilizzare un altro modulo PAM. In questa guida, è stato scelto di scaricare una raccolta di
moduli per PAM e di costruire successivamente il modulo attraverso l'esecuzione dei comandi indicati di seguito in una finestra
terminale:
./configure --disable-pgsql --disable-mysql --disable-ldaphome
make
make install
I passaggi successivi dipendono dall'eventuale possibilità di utilizzare l'integrazione 2FA con accessi desktop o con accessi nondesktop (per esempio, ssh).
Integrazione accesso non-desktop Mac:
Nel file di integrazione /etc/pam.d/, aggiungere la seguente riga prima di pam_radius_auth.so:
35
auth sufficient /usr/local/lib/security/pam_regex.so sense=allow regex=^user$
dove user è uno username locale che si desidera consentire senza il requisito di una OTP.
Assicurarsi che i moduli Mac predefiniti (non aggiunti dall'utente) siano definiti come "required" o "requisite", in modo tale
che questo modulo "sufficient" aggiunto non causi un'operazione con esito positivo se il primo fattore non dovesse riuscire
È possibile anche utilizzare moduli diversi da pam_regex disponibili nella raccolta di moduli per PAM. Per esempio, è
possibile utilizzare pam_groupmember per autorizzare l'accesso di gruppi di utenti anziché di singoli utenti.
Integrazione accesso desktop Mac:
Modificare il file /etc/pam.d/authorization affinché assuma il seguente aspetto:
# authorization: auth account
auth sufficient /usr/lib/pam/pam_radius_auth.so
auth requisite /usr/local/lib/security/pam_regex.so sense=allow regex=^user$
auth optional pam_krb5.so use_first_pass use_kcminit
auth optional pam_ntlm.so use_first_pass
auth required pam_opendirectory.so use_first_pass nullok
account required pam_opendirectory.so
Queste modifiche consentono di:
1. Indicare il modulo RADIUS PAM come primo modulo 'sufficient'
2. Indicare il modulo PAM regex come secondo modulo 'requisite'
3. Indicare di seguito gli altri moduli posizionati prima nel file
8. Protezione dell'applicazione Web
Il modulo ESA Web Application Protection aggiunge automaticamente l'autenticazione 2FA al processo di autenticazione di tutte
le Web Applications supportate. Il modulo verrà caricato al successivo accesso alla Web Application protetta dopo aver
installato ESA.
Gli utenti accederanno utilizzando l'abituale processo di autenticazione della Web Application. Dopo essere stati autenticati
dalla Web Application, gli utenti verranno reindirizzati a una pagina Web ESA e verrà richiesto di immettere una OTP. Gli utenti
potranno inoltre accedere alla Web Application solo se immettono una OTP valida.
La sessione 2FA dell'utente rimarrà attiva fino a quando viene eseguita la disconnessione dalla sessione della Web Application o
il browser viene chiuso.
8.1 Configurazione
L'integrazione della Web Application può essere configurata dalla pagina delle Basic Settings del dominio nella console di
gestione di ESET Secure Authentication.
Le impostazioni per i plug-in del server Exchange, Outlook Web App e il Pannello di controllo di Exchange, sono applicabili a tutto
il dominio. Le impostazioni per tutti gli altri plug-in delle Web Application dipendono dal singolo server.
Per ciascuna Web Application, è possibile abilitare o disabilitare la protezione 2FA. Per impostazione predefinita, la protezione
2FA è abilitata in seguito all'installazione. Per caricare nuovamente le modifiche a questa opzione di configurazione, sarà
necessario riavviare il servizio World Wide Web Publishing su tutti i server che ospitano la Web Application.
36
8.1.1 Autorizzazione di utenti non 2FA
Il modulo può essere configurato per autorizzare o impedire agli utenti che non hanno abilitato 2FA di accedere alla Web
Application attraverso l'opzione di configurazione "Users without 2FA enabled may still log in".
Questo scenario si verifica se l'utente non è configurato né per le OTP basate su SMS né per la Mobile Application e l'opzione di
configurazione Web Application per consentire l'accesso degli utenti non-2FA è abilitata. L'opzione di configurazione per
consentire gli utenti non-2FA viene abilitata per impostazione predefinita dopo l'installazione.
In questa configurazione, un utente può eseguire l'accesso alla Web Application con la password Active Directory.
Se l'opzione di configurazione per consentire gli utenti non-2FA è disabilitata, l'utente non potrà accedere alla Web Application.
8.2 Utilizzo
Per tutte le Web Apps supportate viene seguito lo stesso processo 2FA.
Il funzionamento del modulo Web Application Protection può essere verificato come descritto di seguito:
1. Per eseguire la verifica è necessario un utente per il quale sia abilitata l'autenticazione ESA 2FA nello strumento di gestione
ADUC. All'utente deve inoltre essere consentito l'accesso alla Web App.
2. Aprire la Web App in un browser desktop ed eseguire l'autenticazione come di consueto utilizzando le credenziali di Active
Directory dell'utente test.
3. Comparirà la pagina di autenticazione ESA, come mostrato nella figura sottostante. Il plug-in Remote Desktop Web Access su
Windows Server 2008 e il plug-in Microsoft Dynamics CRM 2011 non consentiranno di visualizzare il pulsante "Cancel".
4. Comparirà la pagina di autenticazione ESA, come mostrato nella figura sottostante. Il plug-in Remote Desktop Web Access su
Windows Server 2008 e i plug-in Microsoft Dynamics CRM non consentiranno di visualizzare il pulsante "Cancel".
a. Se l'utente è abilitato per le SMS OTP, riceverà un messaggio SMS contenente una OTP che può essere immessa per eseguire
l'autenticazione.
b. Se l'utente ha installato l'applicazione mobile ESA sul proprio telefono, questa potrebbe essere utilizzata per generare una
OTP per eseguire l'autenticazione. Al fine di migliorare la leggibilità, le OTP sono visualizzate nell'applicazione mobile con
uno spazio tra la terza e la quarta cifra. Il modulo di Web Application Protection rimuove lo spazio vuoto in modo tale che
l'utente può includerlo o meno quando immette una OTP senza influenzare l'autenticazione.
5. Se la OTP immessa è valida, l'utente verrà reindirizzato alla pagina originariamente richiesta. L'utente potrà inoltre interagire
con la Web App.
6. Se viene immessa una OTP non valida, verrà visualizzato un messaggio di errore e all'utente non verrà consentito l'accesso
all'applicazione Web, come mostrato nella figura sottostante.
37
7.
9. Protezione di Desktop remoto
Il modulo ESA Remote Desktop Protection aggiunge 2FA al processo di autenticazione degli utenti di Remote Desktop. Il modulo
sarà caricato al successivo utilizzo, da parte di un utente con autenticazione 2FA, di Remote Desktop per accedere a un computer
remoto sul quale è stato installato ESA Credential Provider.
Gli utenti accederanno utilizzando l'abituale processo di autenticazione di Remote Desktop. Dopo essere stati autenticati da
Remote Desktop, agli utenti verrà richiesto di immettere una OTP. e potranno accedere al computer solo se immettono una OTP
valida.
La sessione 2FA dell'utente rimarrà attiva fino a quando viene eseguita la disconnessione dalla sessione di Remote Desktop.
NOTA: ESA non può proteggere i client RDP che non forniscono nome utente e password. Ciò significa che, in presenza di un client
RDP privo di nome utente e password configurati e per il quale queste credenziali non sono nemmeno richieste, non sarà richiesta
alcuna password OTP .
9.1 Configurazione
Per configurare Remote Desktop 2FA per gli utentiADUC, è necessario attivare la protezione 2FA per l'(gli) utente(i) desiderato(i).
Questi utenti devono anche essere utenti Remote Desktop autorizzati.
Per utilizzare la protezione Desktop remoto, è necessario configurare l'host della sessione RD per l'utilizzo di SSL (TLS 1.0) o
Negotiate.
Per modificare le impostazioni su Windows Server 2008 o versioni precedenti, seguire la procedura sottostante:
1.
2.
3.
4.
Accedere al menu Start > Administrative Tools > Remote Desktop Services > Remote Desktop Session Host Configuration
Nella sezione Connections, aprire RDP-Tcp
Fare clic sulla scheda General
Nella sezione Security, il valore Security Layer deve essere impostato su SSL (TLS 1.0) o Negotiate
Per modificare le impostazioni su Windows Server 2012, seguire la procedura sottostante:
1.
2.
3.
4.
38
Aprire Server Manager
Fare clic su Remote Desktop Services nel riquadro sulla sinistra
Aprire le proprietà Collections
Nella sezione Security, il valore Security Layer deve essere impostato su SSL (TLS 1.0) o Negotiate
9.1.1 Autorizzazione di utenti non 2FA
Il modulo può essere configurato per autorizzare o impedire agli utenti che non hanno abilitato 2FA di accedere ai computer
remoti con Remote Desktop Protocol attraverso l'opzione di configurazione "Users without 2FA enabled may still log in".
Questo scenario si verifica se l'utente non è configurato né per le OTP basate su SMS né per la Mobile Application e l'opzione di
configurazione Remote Desktop per consentire l'accesso degli utenti non-2FA è abilitata. L'opzione di configurazione per
consentire gli utenti non-2FA viene abilitata per impostazione predefinita dopo l'installazione.
In questa configurazione, un utente può eseguire l'accesso al computer remoto con la password di Active Directory.
Se l'opzione di configurazione per consentire gli utenti non-2FA è disabilitata, l'utente non potrà accedere ai computer remoti con
Remote Desktop Protocol.
39
9.2 Utilizzo
Il funzionamento del modulo Remote Desktop Protection può essere verificato come descritto di seguito:
1. Per eseguire la verifica è necessario un utente del dominio per il quale sia abilitata l'autenticazione ESA 2FA nello strumento di
gestione ADUC. Tale utente deve essere aggiunto come un utente di Remote Desktop consentito sul computer remoto.
2. È inoltre necessario un computer sul quale sia abilitato il Remote Desktop Access.
3. Connettersi al computer remoto tramite un client Remote Desktop ed eseguire l'autenticazione come di consueto utilizzando le
credenziali di Active Directory dell'utente test.
4. Verrà visualizzata la schermata di richiesta della OTP, come mostrato nella figura sottostante.
a. Se l'utente è abilitato per le OTP tramite SMS, riceverà un SMS contenente una OTP che può essere immessa per
eseguire l'autenticazione.
b. Se l'utente ha installato l'applicazione mobile ESA sul proprio telefono, questa potrebbe essere utilizzata per generare
una OTP per eseguire l'autenticazione. Al fine di migliorare la leggibilità, le OTP sono visualizzate nell'applicazione
mobile con uno spazio tra la terza e la quarta cifra. Il modulo di Remote Desktop Protection rimuove lo spazio vuoto in
modo tale che l'utente può includerlo o meno quando immette una OTP senza influenzare l'autenticazione.
5. Se la OTP immessa è valida, all'utente viene concesso l'accesso al computer al quale ha tentato di connettersi.
6. Se la OTP immessa non è valida, verrà visualizzato un messaggio di errore e all'utente non verrà consentito l'accesso al
computer remoto.
9.3 Accesso Web Desktop remoto
In caso di utilizzo di una protezione 2FA di un client RDP sul server in uso che ospita l'Accesso Web Desktop remoto (RDWA), le
impostazioni predefinite richiedono l'autenticazione 2FA per il lancio delle applicazioni disponibili nell'RDWA in uso.
Ciò significa che, se un utente tenta di accedere al sito Web dell'RDWA in uso, gli verrà richiesto di inserire una password OTP. Se
l'utente inserisce una OTP, valida, accede e tenta di lanciare un'applicazione disponibile nel sito Web in uso, gli verrà
nuovamente richiesto di fornire una password OTP.
Se si desidera che a un utente autenticato (che ha utilizzato una OTP valida per accedere al sito Web dell'RDWA in uso) non venga
richiesta una password OTP durante il lancio di un'applicazione nel sito Web in uso, è necessario seguire la procedura
sottostante:
1. In ESA Management Console accedere a ESET Secure Authentication > <dominio> > Basic Settings > Trusted Networks
2. Fare clic sulla riga Inserimento di IP nella whitelist
3. Inserire l'indirizzo IP localhost: 127.0.1.0,::1 in the text box
4. Selezionare la casella di controllo accanto a RDP
40
5. Fare clic su Save.
10. Inserimento nella whitelist degli indirizzi IP
Nel caso di utenti specifici per i quali si desidera garantire l'accesso a Remote Desktop o ad applicazioni Web supportate protette
dall'autenticazione 2FA senza il bisogno di inserire una password OTP, è possibile inserire i relativi indirizzi IP nella whitelist.
Per eseguire tale operazione, aprire ESA Management Console nell'applicazione ESET Secure Authentication Settings e accedere a
ESET Secure Authentication > < dominio > > Basic Settings > Trusted Networks.
Selezionare la casella di controllo accanto a Allow access without OTP from trusted networks, definire gli indirizzi IP desiderati,
selezionare i servizi da inserire nella whitelist e fare clic su Save.
NOTA:
durante l'analisi delle connessioni RDP per scoprire se l'utente (indirizzo IP) sia stato o meno inserito nella whitelist, si
analizzano gli indirizzi IP che effettuano la connessione tramite la porta RDP . Tale operazione potrebbe generare un errore in
presenza di connessioni RDP multiple contemporanee, in quanto non è possibile distinguere l'indirizzo IP degli utenti che sono
41
già connessi da quelli che stanno tentando di effettuare la connessione. Per eliminare il prompt OTP , è necessario inserire nella
whitelist tutti gli indirizzi IP che stanno eseguendo la connessione. Di conseguenza, se un utente non inserito nella whitelist è già
connesso e un utente inserito nella whitelist sta effettuando una connessione, a quest'ultimo sarà richiesto di inserire una
password OTP.
Se la VPN in uso è protetta dall'autenticazione 2FA e si desidera che gli utenti i cui indirizzi IP sono stati inseriti nella whitelist
accedano alla VPN in uso senza password OTP, è necessario soddisfare i seguenti criteri:
Nella configurazione del client RADIUS, selezionare le caselle di controllo accanto a VPN validates username and password e
Active Directory passwords without OTPs
Assicurarsi che l'utente a cui appartiene l'indirizzo IP inserito nella whitelist non presenti opzioni 2FA abilitate: consultare
Gestione utenti
Se si soddisfano questi criteri, l'utente può accedere alla VPN senza inserire una password o utilizzando come password la
parola none
Tenere presente che Accesso Web remoto e Accesso Web Desktop remoto sono due cose distinte.
11. Hard token
Un hard token è un dispositivo che genera una OTP e che può essere utilizzato insieme a una password come chiave elettronica
per l'accesso a un sistema. Gli hard token sono dispositivi che presentano forme diverse, come ad esempio portachiavi da
agganciare a un anello o carte di credito da conservare nel portafoglio.
ESA supporta tutti gli hard token HOTP conformi all'autenticazione OATH, ma non forniti da ESET. Gli hard token HOTP possono
essere utilizzati allo stesso modo delle OTPs generate dall'applicazione mobile o inviate all'utente tramite SMS. Gli scenari di
utilizzo di tali strumenti sono il supporto della migrazione dei token legacy per motivi di conformità o di adeguamento alle
politiche aziendali. Si tenga presente che le OATH TOTP (OTP basate sul tempo) non sono supportate.
11.1 Gestione hard token
Questa sezione illustra le modalità di abilitazione e di gestione degli hard token attraverso l'utilizzo di ESA Management Console.
Questo strumento consiste principalmente di tre funzioni:
1. Importazione degli hard token nel sistema
2. Eliminazione degli hard token
3. Risincronizzazione degli hard token
42
11.1.1 Attiva
Per impostazione predefinita, gli hard token sono disabilitati e devono essere abilitati prima dell'uso. Una volta abilitati, gli hard
token devono essere importati prima che la funzionalità completa sia disponibile.
Gli hard token vengono abilitati come segue:
1. Lanciare ESET Secure Authentication Management Console e accedere al nodo "Advanced Settings" per il dominio di riferimento.
2. Espandere la sezione "Hard Tokens" e selezionare la casella di controllo "Hard tokens are enabled". Salvare le modifiche.
3. Se l'operazione viene eseguita correttamente, comparirà un nodo "Hard Tokens". La gestione degli hard token può essere
eseguita qui.
11.1.2 Importa
Per utilizzare tutte le funzionalità degli hard token, è necessario importarli. Una volta eseguita questa operazione, gli hard token
potranno essere assegnati agli utenti.
Per importare i token attenersi alle seguenti istruzioni:
1. Lanciare ESET Secure Authentication Management Console e accedere al nodo "Hard Tokens" per il dominio di riferimento.
2. Fare clic sull'azione "Import Tokens".
3. Selezionare il file da importare. Il file deve essere un XML in formato PSKC. NOTA: se il fornitore dell'hard token non ha ricevuto
il file, è necessario contattare il Supporto ESA.
4. Fare clic sul pulsante Import tokens.
5. Comparirà una finestra dei risultati in cui viene indicato il numero di hard token importati.
6. Facendo clic su OK , le finestre si chiuderanno e verranno visualizzati gli hard token importati.
43
44
11.1.3 Elimina
Potrebbe essere necessario eliminare un token dal sistema.
Per eliminare i token attenersi alle seguenti istruzioni:
2. Selezionare l'hard token da eliminare.
3. Fare clic sull'azione Delete per l'hard token selezionato.
4. Fare clic sul pulsante "Yes" nella casella di conferma.
11.1.4 Risincronizzazione
È possibile che un hard token non sia più sincronizzato con il sistema. Tale condizione può verificarsi se un utente genera un
numero elevato di nuove OTP in un breve lasso di tempo. Questo scenario richiederà una risincronizzazione.
La risincronizzazione di un hard token può essere eseguita come segue:
2. Selezionare l'hard token da risincronizzare.
3. Fare clic sull'azione "Resynchronize Token" per l'hard token selezionato.
4. Questa operazione apre la finestra Hard Token Resync.
5. Generare e inserire due OTP consecutive utilizzando l'hard token selezionato.
6. Fare clic sul pulsante Resync .
7. A questo punto, dovrebbe comparire un messaggio di completamento dell'operazione.
45
11.2 Gestione utenti hard token
Questa sezione illustra la gestione degli utenti di hard token. Per un corretto funzionamento di questa funzionalità, è necessario
abilitare e importare gli hard token nel sistema.
La gestione degli utenti avviene attraverso la scheda ESET Secure Authentication nello strumento ADUC.
Sono disponibili due funzioni:
1. Abilita l'autenticazione degli hard token per un utente e ne assegna uno.
2. Revoca un hard token collegato a un utente.
11.2.1 Attiva e assegna
In caso di attivazione di hard token per un utente, è necessario assegnarne uno prima di procedere.
Eseguire l'attivazione e l'assegnazione in base alle istruzioni che seguono:
1. Aprire il profilo dell'utente dall'ADUC.
2. Accedere alla scheda ESET Secure Authentication.
3. Attivare il tipo di token Hard Token.
4. Nel gruppo Hard Token Management, selezionare un token da assegnare.
5. Fare clic sul pulsante Apply . L'hard token è ora assegnato all'utente.
46
47
11.2.2 Revoca
La revoca di un hard token per un utente disabiliterà anche quell'utente per l'autenticazione dell'hard token.
La revoca di un hard token può essere eseguita come segue:
1. Aprire il profilo dell'utente dallo strumento ADUC.
2. Accedere alla scheda ESET Secure Authentication.
3. Fare clic sul pulsante Revoke.
12. API
ESA API è un servizio Web basato su REST che può essere utilizzato per aggiungere facilmente il metodo 2FA alle applicazioni
esistenti.
Nella maggior parte delle applicazioni basate sul Web, gli utenti vengono autenticati prima di poter accedere alle risorse
protette. La richiesta di un fattore di autenticazione aggiuntivo durante il processo di accesso consente a tali applicazioni di
essere più resilienti agli attacchi.
La documentazione completa sull'API per gli sviluppatori è disponibile nel Manuale dell'utente sull'API.
48
12.1 Panoramica sull'integrazione
L' API è costituita da due endpoint che vengono entrambi chiamati da testo formattato POSTing JSON agli URL API rilevanti. Tutte le
risposte sono inoltre codificate come testo formattato JSON contenente il risultato del metodo ed eventuali messaggi di errore
applicabili. Il primo endpoint ( Authentication API) viene utilizzato per l'autenticazione dell'utente e il secondo endpoint (User
Management API) viene utilizzato per la gestione degli utenti.
L'API è disponibile su tutti i server sui quali è installato il componente Authentication Core e viene eseguito sul protocollo HTTPS
sicuro sulla porta 8001.
L'API di autenticazione è disponibile su URL con il formato https://127.0.0.1:8001/auth/v1/ e User Management API è disponibile
su URL con il formato https://127.0.0.1:8001/manage/users/v1/.. Entrambi gli endpoint sono protetti dall'accesso non
autorizzato tramite l'HTTP Basic Authentication standard, che richiede una serie valida di API Credentials prima dell'elaborazione
di qualsiasi richiesta.
Il programma di installazione ESET Secure Authentication utilizza automaticamente un certificato di protezione SSL appropriato
installato sulla macchina oppure genera un nuovo certificato autofirmato nel caso in cui non riesca a trovarne un altro.
12.2 Configurazione
Per impostazione predefinita, l'API è disabilitata e deve essere abilitata prima dell'uso. Una volta abilitata, è necessario creare le
credenziali API per autorizzare le richieste:
1. Lanciare ESET Secure Authentication Management Console e accedere al nodo "Advanced Settings" per il dominio di riferimento.
2. Espandere la sezione "API" e selezionare la casella di controllo "API is enabled". Salvare le modifiche.
3. Aprire la console Servizi standard di Windows e riavviare il servizio ESET Secure Authentication Core per rendere effettive le
modifiche.
4. Accedere al nodo "API Credentials" appena visualizzato per il dominio.
5. Fare clic sull'azione "Add Credentials" per creare una nuova serie di credenziali.
6. Fare doppio clic sulle credenziali appena create per ricevere il nome utente e la password da utilizzare per l'autenticazione
API.
7. Selezionare la casella di controllo "Enabled for Auth API", la casella di controllo "Enabled for User Management API" o
entrambe.
È possibile creare molteplici serie di credenziali API. È consigliabile creare serie differenti per ciascuna applicazione da
proteggere, oltre a una serie per l'esecuzione di test.
Se l'API è abilitata, tutti i server sui quali è installato il componente Authentication Core risponderanno alle richieste API
autorizzate dopo il riavvio. Non è necessario riavviare il servizio Authentication Core quando si creano o eliminano credenziali.
12.3 Sostituzione del certificato SSL
L' API utilizza un certificato SSL che consente di proteggere le comunicazioni API dalle intercettazioni. Il programma di
installazione seleziona automaticamente un certificato appropriato installato sulla macchina oppure genera un nuovo certificato
autofirmato nel caso in cui non riesca a trovarne uno.
In questa sezione viene illustrato come sostituire il certificato con uno altro scelto dall'utente. Verrà innanzitutto spiegato come
importare il nuovo certificato in Windows e successivamente come utilizzarlo per ESA.
12.3.1 Prerequisiti
Per eseguire le istruzioni presenti in questa guida è necessario osservare quanto segue:
Tutti i sistemi operativi:
o Un'installazione del componente ESET Secure Authentication Core
o Accesso dell'amministratore al computer in cui è installato ESET Secure Authentication
o Il certificato SSL che si desidera utilizzare in formato PKCS12 (.pfx o .p12)
Il file del certificato deve contenere una copia della chiave privata nonché della chiave pubblica
Solo Windows 2003:
49
o Lo strumento httpcfg.exe contenuto nel pacchetto di Windows Support Tools (sul CD di installazione o scaricabile
dall'indirizzo http://www.microsoft.com/en-us/download/details.aspx?id=18546)
NOTA: per sostituire il certificato non è necessario che l'ESA Authentication API sia abilitata.
12.3.2 Importazione del nuovo certificato
Prima di poter essere utilizzato, il nuovo certificato deve essere posizionato nell'archivio Macchina locale\Personale.
1. Avviare Microsoft Management Console (MMC):
o Windows Server 2003: Start -> Esegui -> Digitare "mmc.exe" e premere il tasto "Enter"
o Windows Server 2008+: Start -> Esegui "mmc.exe" e premere il tasto "Enter"
2. Aggiungere lo snap-in dei certificati:
o Windows Server 2003:
Fare clic su "File" -> "Aggiungi/Rimuovi snap-in" -> Pulsante "Aggiungi"
Selezionare "Certificati" nell'elenco
Fare clic sul pulsante "Aggiungi"
Selezionare "Account del computer"
Fare clic su "Avanti"
Selezionare "Computer locale"
Fare clic su "Fine"
Fare clic su "Chiudi"
Fare clic su "OK"
o Windows Server 2008+:
Fare clic su "File" -> "Aggiungi/Rimuovi snap-in"
Selezionare "Certificati" nella colonna a sinistra
Fare clic sul pulsante "Aggiungi >"
Selezionare "Account del computer"
Fare clic su "Avanti"
Selezionare "Computer locale"
Fare clic su "Fine"
Fare clic su "OK"
3. Facoltativamente salvare lo snap-in per uso futuro ("File" -> "Salva")
4. Selezionare i "Certificati (Computer locale)" -> nodo "Personale" nella struttura ad albero
5. Fare clic con il pulsante destro del mouse -> "Tutte le attività" -> "Importa"
6. Seguire le istruzioni della procedura di importazione guidata, prestando attenzione a posizionare il certificato nell'archivio dei
certificati "Personale"
7. Fare doppio clic sul certificato e accertarsi che sia visualizzata la riga "Si dispone di una chiave privata che corrisponde a
questo certificato"
50
12.3.3 Sostituzione del certificato ESA
NOTA: il servizio ESA Core Authentication non verrà avviato se non è configurato un certificato. Se si rimuove il certificato, è
necessario aggiungerne un altro prima di poter eseguire correttamente il servizio Core.
Determinare il certificato corretto da utilizzare:
1. Aprire lo strumento di gestione certificati di MMC eseguendo i passaggi precedenti
2. Individuare il certificato che si desidera utilizzare nella cartella "Personale" e fare doppio clic su di esso
3. Verificare che sulla scheda "Generale" sia visualizzato il messaggio "Si dispone di una chiave privata che corrisponde a questo
certificato"
4. Nella scheda "Dettagli" selezionare il campo "Identificazione personale"
5. L'identificazione personale del certificato viene visualizzata nel riquadro inferiore (serie di due cifre esadecimali separate da
spazi)
Windows Server 2003:
1. Fare clic su "Start" -> "Programmi" -> "Strumenti di supporto di Windows" -> "Prompt dei comandi"
2. Digitare "httpcfg query ssl -i 0.0.0.0:8001" e premere il tasto "Enter"
3. Copiare e incollare il campo "Hash" in un posto sicuro nel caso in cui si desideri aggiungere nuovamente il certificato
esistente
4. Digitare "httpcfg delete ssl -i 0.0.0.0:8001" e premere il tasto "Invio"
5. Dovrebbe essere visualizzato il messaggio "HttpDeleteServiceConfiguration completed with 0."
6. Digitare "httpcfg set ssl -i 0.0.0.0:8001 -g {BA5393F7-AEB1-4AC6-B759-1D824E61E442} -h <THUMBPRINT>", sostituendo
<THUMBPRINT> con i valori dell'identificazione personale del certificato senza spazi e premere il tasto "Enter"
7. Dovrebbe essere visualizzato il messaggio "HttpSetServiceConfiguration completed with 0"
8. Riavviare il servizio ESET Secure Authentication Core per rendere effettivo il nuovo certificato
Windows Server 2008+
Fare clic su "Start" -> Digitare "cmd.exe"
Nell'elenco dei programmi, fare clic con il pulsante destro del mouse sulla voce "cmd.exe" e selezionare "Esegui come
amministratore"
Digitare "netsh http show sslcert ipport=0.0.0.0:8001" e premere il tasto "Enter"
Copiare e incollare il campo "Certificate Hash" in un posto sicuro nel caso in cui si desideri aggiungere nuovamente il
certificato esistente
Digitare "netsh http delete sslcert ipport=0.0.0.0:8001" e premere il tasto "Enter"
Dovrebbe essere visualizzato il messaggio "SSL Certificate successfully deleted"
Digitare "netsh http add sslcert ipport=0.0.0.0:8001 appid={BA5393F7-AEB1-4AC6-B759-1D824E61E442}
certhash=<THUMBPRINT>", sostituendo <THUMBPRINT> con i valori dell'identificazione personale del certificato senza spazi e
premere il tasto "Enter"
Dovrebbe essere visualizzato il messaggio "SSL Certificate successfully added"
Riavviare il servizio ESET Secure Authentication Core per rendere effettivo il nuovo certificato
13. Gestione utenti avanzata
La scheda ESET Secure Authentication per un utente nell'ADUC è suddivisa in quattro sezioni:
User State (indicato mediante un contrassegno colorato a titolo di riferimento rapido)
Enabled Token Types (caselle di controllo)
Administrator Actions (pulsanti)
Auditing Data (dati di testo che segnalano gli eventi di autenticazione)
51
13.1 Stati utente
Durante il normale utilizzo, gli stati dell'utente possono essere molteplici. Prima di abilitare un utente per l'autenticazione 2FA, è
necessario che si trovi nello stato non inizializzato:
52
Un utente può essere abilitato per OTP basate su SMS, Mobile Application OTP o entrambe. Se è abilitato per entrambe, si trova
nello stato noto come transitorio:
53
In questo stato, riceverà OTP tramite SMS quando tenta di accedere ma non appena viene utilizzata una OTP mobile valida per
l'autenticazione, le SMS OTP verranno disabilitate e l'utente potrà eseguire l'autenticazione utilizzando esclusivamente le OTP
mobili. Quando un utente esegue l'autenticazione tramite una OTPgenerata dall'applicazione mobile, viene visualizzato un
contrassegno verde:
54
Durante l'autenticazione delle OTP, un utente ha a disposizione 10 tentativi per immettere una OTP non corretta. All'undicesimo
tentativo di immissione della OTP, l'autenticazione 2FA di un utente viene bloccata. In questo modo si impedisce il
riconoscimento di forza bruta delle OTP. Quando l'autenticazione 2FA di un utente viene bloccata, viene visualizzato un
contrassegno rosso:
Se viene confermato che l'identità di un utente non sta subendo un attacco, è sufficiente fare clic sul pulsante Unlock 2FA per
sbloccare l'autenticazione 2FA dell'utente.
55
Se le Hard Token OTPs sono state attivate nell'MMC, la casella di controllo hard token diventerà attiva. Ci sono altri stati in cui
l'utente potrebbe trovarsi. L'utente potrebbe essere abilitato per una qualsiasi combinazione dei tre tipi di OTP, compreso uno
stato di transizione. Le varie possibilità sono elencate di seguito.
L'utente potrebbe trovarsi solo in uno stato di Hard Token OTP:
56
Oppure in uno stato di transizione in cui tutti e tre i tipi di OTP sono abilitati. In questo stato, riceverà OTP tramite SMS quando
tenta di accedere ma non appena viene utilizzata una OTP mobile valida per l'autenticazione, le SMS OTP verranno disabilitate e
l'utente potrà eseguire l'autenticazione utilizzando esclusivamente le OTP mobili o Hard Token OTPs:
57
Nello stato che segue, l'utente viene abilitato sia per le OTP Hard Token sia per le OTPs: mobili
58
Se l'applicazione mobile è stata inviata ma non ancora installata, l'utente si troverà nel seguente stato:
59
L'utente potrebbe inoltre trovarsi in uno stato in cui sono consentiti sia gli SMS sia le Hard Token OTPs:
60
13.2 Provisioning di telefoni multipli
È possibile distribuire l'applicazione mobile o il servizio di messaggi di testo SMS di ESET Secure Authentication a più telefoni
cellulari tramite ADUC. Affinché l'esecuzione del provisioning su più telefoni cellulari riesca, è necessario che tutti gli utenti
abbiano inserito un numero di telefono cellulare valido nel campo User Properties sotto a 'Mobile' (per informazioni su come
immettere un numero di telefono cellulare di un utente nel campo User Properties, consultare la sezione Gestione utenti).
1. Aprire la normale vista utente ADUC.
2. Tenere premuto il tasto CTRL e fare clic per selezionare gli utenti per i quali eseguire il provisioning.
3. Fare clic con il pulsante destro del mouse sul gruppo di utenti per il quale si desidera eseguire il provisioning e selezionare
Properties dal menu contestuale.
4. Nella finestra Properties for Multiple Items, fare clic sulla scheda ESET Secure Authentication.
5. Selezionare le caselle di controllo accanto a Update Enabled Token Types e Mobile Application (lasciare deselezionata la
casella di controllo accanto a OTP basate su SMS).
61
6. Fare clic su Send Application. Sui telefoni client verrà ricevuto un messaggio di testo contenente un collegamento alla pagina di
download dell'applicazione mobile ESA.
Istruzioni sull'installazione e sull'utilizzo dell'applicazione mobile (fare clic sul sistema operativo del dispositivo mobile
desiderato per essere reindirizzati all'articolo corrispondente):
Android
BlackBerry
iPhone
Windows Phone
62
13.3 Ignora campo numero telefono cellulare
È possibile specificare il campo Active Directory dal quale viene caricato il numero di telefono cellulare di un utente. Per
impostazione predefinita, viene utilizzato il campo "Mobile".
Per modificare il campo relativo al numero di telefono cellulare, procedere come descritto di seguito:
1. Lanciare ESA Management Console.
2. Espandere il nodo del dominio.
3. Accedere al nodo Advanced Settings.
4. Espandere il riquadro Default Mobile Number Field.
5. Sarà possibile selezionare un campo differente da utilizzare per caricare il numero di telefono cellulare di un utente.
6. Dopo aver selezionato un campo differente da utilizzare, fare clic su Save.
7. Riavviare ESET Secure Authentication Core Authentication Service:
a. Individuare ESET Secure Authentication Core Service nei Windows Services (sotto a Control Panel - Administrative Tools
- View Local Services).
b. Fare clic con il pulsante destro del mouse su ESET Secure Authentication Radius Service e selezionare Restart.
63
13.4 Gestione utenti basata sui gruppi
Il monitoraggio degli utenti attivati nel dominio in uso per l'autenticazione a due fattori rappresenta un'operazione complessa
all'interno di domini di grandi dimensioni. Per risolvere questo problema, ESET Secure Authentication offre un sistema
automatico di attività di manutenzione per gli utenti 2FA attraverso l'appartenenza ai gruppi Active Directory.
In pratica, durante l'installazione, vengono creati tre gruppi Active Directory attivi:
Utenti ESA
Il gruppo di utenti ESA non contiene direttamente utenti, ma gli utenti degli SMS ESA e il gruppo di utenti dell'applicazione mobile
ESA. L'appartenenza al gruppo transitivo può quindi essere utilizzata per individuare tutti gli utenti 2FA nel dominio di riferimento
attraverso l'utilizzo di questo gruppo.
Utenti degli SMS ESA
Il gruppo di utenti degli SMS ESA contiene tutti gli utenti nel dominio in uso che sono stati abilitati per le OTP tramite SMS.
Utenti dell'applicazione mobile ESA
Il gruppo di utenti dell'applicazione mobile ESA contiene tutti gli utenti che sono stati abilitati per le OTP tramite applicazione
mobile.
L'appartenenza al gruppo viene aggiornata in tempo reale durante la configurazione degli utenti nell'ADUC. La ricerca di tutti gli
utenti che sono stati abilitati, ad esempio, per le OTP tramite SMS è semplice:
1. Lanciare l'ADUC
2. Fare clic con il pulsante destro del mouse sul nodo del dominio e selezionare Find
3. Digitare "ESA SMS" e premere Invio: il gruppo verrà visualizzato nella sezione Search Result
4. Fare doppio clic sul gruppo e selezionare la scheda Members per visualizzare tutti gli utenti nel dominio in uso che sono stati
abilitati per le OTP tramite SMS.
14. Argomenti VPN avanzati
In questo capitolo sono illustrati i dettagli di tutte le opzioni disponibili quando si configura l'autenticazione a due fattori per la
VPN.
14.1 Opzioni di autenticazione VPN
In questa sezione sono illustrati i dettagli di tutte le opzioni disponibili quando si configura un client RADIUS tramite ESA
Management Console.
64
14.1.1 OTP basate su SMS
Questo scenario si verifica se l'utente è configurato per l'utilizzo delle sole OTP basate su SMS e il client RADIUS è configurato per
l'utilizzo dell'autenticazione di OTP basate su SMS.
In questa configurazione, un utente esegue l'accesso con la password di Active Directory. Il primo tentativo di autenticazione da
parte del client VPN non riuscirà e all'utente verrà richiesto di immettere nuovamente la password. Contemporaneamente, l'utente
riceverà un SMS contenente la OTP. L'utente esegue quindi l'accesso con la OTP inviata nell'SMS. Se la OTP è corretta, il secondo
tentativo di autenticazione riuscirà.
Questa sequenza è illustrata nella Figura 1: RADIUS SMS OTP Authentication.
Protocolli di autenticazione supportati: PAP, MSCHAPv2.
14.1.2 OTP basate su SMS su richiesta
ESET Secure Authentication supporta "On-demand SMS OTP" per determinati sistemi che supportano l'autenticazione primaria
rispetto ad Active Directory e l'autenticazione secondaria rispetto a un server RADIUS. In questo scenario, gli utenti che sono già
stati autenticati su Active Directory devono digitare le lettere 'sms' (senza apostrofi) nel campo ESA OTP per ricevere una One
Time Password tramite SMS.
NOTA: utilizzare questa funzionalità solo quando previsto da una ESET Secure Authentication Integration Guide ufficiale poiché,
se non utilizzata in maniera corretta, potrebbe consentire agli utenti di eseguire l'autenticazione solo con una OTP.
14.1.3 Applicazione mobile
Questo scenario si verifica se l'utente è configurato per utilizzare esclusivamente la Mobile Application e il client RADIUS è
configurato per l'utilizzo dell'autenticazione OTP tramite applicazione mobile.
L'utente accede con una OTP generata dalla Mobile Application. Si noti che in questa configurazione è fortemente consigliata
l'applicazione del PIN per assicurare un secondo fattore di autenticazione.
Protocolli PPTP supportati: PAP, MSCHAPv2.
NOTA: se sulla Mobile Application è stata attivata la protezione con PIN, l'utente potrà accedere utilizzando un codice PIN errato
per proteggere il codice PIN corretto da attacchi di forza bruta. Per esempio, se un autore di attacchi tenta di accedere alla Mobile
Application utilizzando un codice PIN errato, il suo accesso potrebbe essere autorizzato, ma la OTP non funzionerà. Dopo aver
digitato svariate volte una password OTPerrata, l'autenticazione 2FA dell'account utente (a cui appartiene la Mobile Application )
sarà automaticamente bloccata. Tale situazione rappresenta un problema di minore entità per un utente generico: se l'utente
accede alla Mobile Application utilizzando un codice PIN errato e modifica successivamente il codice PIN creandone uno nuovo,
tutti i token inclusi nella Mobile Application diventeranno inutilizzabili. Non esiste alcun modo per riparare questi token; l'unica
soluzione consiste nell'esecuzione di un nuovo provisioning dei token sulla Mobile Application. Si consiglia pertanto agli utenti
di provare una OTP prima di modificare il codice PIN; se la OTP funziona, la modifica del codice PIN rappresenta una procedura
sicura.
Compound Authentication Enforced
Questo scenario si verifica se il client RADIUS è configurato per l'utilizzo di Compound Authentication. Questo metodo di
identificazione è limitato agli utenti che sono configurati per l'utilizzo della Mobile Application.
In questo scenario, un utente accede alla VPN immettendo la password di Active Directory (AD) concatenata a una OTP generata
65
dalla Mobile Application. Ad esempio, data una password AD 'password' e una password OTP '123456', l'utente inserisce
'password123456' nel campo password del relativo client della VPN.
Protocolli di autenticazione supportati: PAP.
14.1.4 Hard token
Questo scenario si verifica nel caso in cui sia l'utente sia il client RADIUS sono configurati per l'utilizzo di OTPs. dell'Hard Token.
In base alla configurazione del client della VPN dell'utente, è possibile utilizzare l'autenticazione singola dell'Hard Token o
l'autenticazione composta dell'Hard Token.
In caso di utilizzo dell'autenticazione composta dell'Hard Token, un utente effettua l'accesso alla VPN inserendo la relativa
password Active Directory (AD) concatenata con una password OTP generata dal relativo Hard Token. Ad esempio, data una
password AD 'password' e una password OTP '123456', l'utente inserisce 'password123456' nel campo password del relativo
client della VPN.
Protocolli di autenticazione supportati: PAP.
14.1.5 Migrazione dalle OTP basate su SMS all'applicazione mobile
Questo scenario si verifica se l'utente è configurato per l'utilizzo sia delle OTP basate su SMS sia della Mobile Application e il
client RADIUS è configurato per l'utilizzo dell'autenticazione OTP.
In questa configurazione, l'utente può utilizzare gli scenari OTP basate su SMS oppure Mobile Application OTP (come descritto in
precedenza) per eseguire l'accesso.
Se l'utente accede con una OTP generata tramite Mobile Application, l'autenticazione con SMS OTP sarà automaticamente
disabilitata. Durante i successivi tentativi di accesso, le OTP basate su SMS non saranno accettate come credenziali di accesso.
14.1.6 Pass-through non 2FA
Questo scenario si verifica se l'utente non è configurato per SMS-, Mobile Application- o Hard Token-based OTPs, ed è selezionata
l'opzione di configurazione del client RADIUS per consentire le Active Directory passwords without OTPs.
In questa configurazione, l'utente esegue l'accesso con la password Active Directory.
NOTA: per Microsoft Routing & Remote Access Server (RRAS) PPTP VPN, la crittografia della connessione VPN non viene eseguita in
caso di utilizzo del protocollo di autenticazione PAP ed è, pertanto, sconsigliata. La maggior parte degli altri provider di VPN
crittografa la connessione indipendentemente dal protocollo di autenticazione in uso.
14.1.7 Controllo accessi tramite l'appartenenza a gruppi
ESA supporta la capacità di consentire solo ai membri di un gruppo specifico di protezione AD di accedere alla VPN tramite il
metodo 2FA. Tale capacità è configurata in base al client RADIUS singolo con l'intestazione Access Control.
14.2 OTP e spazi vuoti
Al fine di migliorare la leggibilità, le OTP sono visualizzate nell'applicazione mobile con uno spazio tra la terza e la quarta cifra.
Tutti i metodi di autenticazione, ad eccezione di MS-CHAPv2, rimuovono lo spazio vuoto dalle credenziali fornite in modo tale che
un utente può includerlo o meno senza influenzare l'autenticazione.
66
14.3 Metodi di autenticazione ESA e compatibilità PPP
In questa sezione vengono illustrati i metodi di autenticazione PPP che sono compatibili con i metodi di autenticazione ESA. Per
consentire tutti i protocolli che i client potrebbero voler utilizzare, è necessario configurare il server VPN. I client VPN degli utenti
finali devono essere configurati solo per un singolo protocollo.
Qualora venga supportato più di un protocollo, è necessario configurare i client VPN per poter utilizzare MS-CHAPv2 con 128-bit
MPPE. Ciò significa che PAP è consigliabile solo per la Compound Authentication.
Metodo di autenticazione
PAP
MS-CHAPv2
MS-CHAPv2 con MPPE
SMS-Based OTPs
Supportato
Supportato
Supportato
On-demand SMS-Based OTPs
Supportato
Non supportato Non supportato
Mobile-Application (OTP solo) Supportato
Supportato
Supportato
Mobile Application (Compound
Supportato
Authentication)
Hard Token OTPs
Supportato
password Active Directory
senza OTPs
Supportato
Supportato
Supportato
67
15. AD FS 3
ESA è un ottimo strumento di protezione in caso di utilizzo di Active Directory Federation Services (AD FS) 3 e qualora si desideri
attuare una protezione con 2FA.
Durante l'installazione di ESA sul computer su cui è in esecuzione AD FS 3, selezionare il componente AD FS 3 e completare
l'installazione.
Durante l'installazione di AD FS, viene modificata la configurazione: viene aggiunto il metodo di autenticazione ESET Secure
Authentication e, se non viene specificato alcun percorso, si include sia il percorso Intranet sia il percorso Extranet. L'immagine
sottostante mostra le modifiche della configurazione con il percorso Intranet selezionato prima dell'installazione del
componente AD FS 3 di ESA.
68
Al termine dell'installazione, aprire ESA Management Console, accedere a Basic Settings ed espandereActive Directory Federation
Services (AD FS) Protection per visualizzare Protect AD FS 3 on this machine with 2FA e le opzioni Users without 2FA enabled may
still log in attivate.
69
Se un sito Web che richiede l'autenticazione verifica l'identità in base all'AD FS 3 e viene applicata la protezione 2FA tramite ESA
all'AD FS 3 in questione, all'utente sarà richiesto di inserire una password OTP se la verifica dell'identità dà esito positivo:
16. Controlli e gestione della licenza
16.1 Controllo
ESA registra le voci dei controlli nei Registri eventi di Windows, nello specifico nel Registro Application nella sezione Windows
Logs. Per visualizzare le voci del controllo è possibile utilizzare Windows Event Viewer.
Le voci del controllo rientrano nelle seguenti categorie:
Controllo utente
o Tentativi di autenticazione riusciti e non riusciti
o Modifiche allo stato 2FA, ad esempio, quando un account utente viene bloccato
Controllo del sistema
o Modifiche alle impostazioni ESA
o Avvio o interruzione dei servizi ESA
70
L'utilizzo dell'architettura di registrazione degli eventi standard di Windows facilita l'uso di strumenti di segnalazione e
aggregazione di terze parti quali LogAnalyzer.
16.2 Gestione della licenza
16.2.1 Panoramica
La licenza ESA prevede tre parametri:
User Total
Expiry Date
SMS Credits
I dettagli della licenza vengono inviati dal sistema di ESET Licensing e il sistema ESA controlla automaticamente la validità della
licenza.
Il server ESA Provisioning potrebbe imporre la licenza limitando il numero di OTP tramite SMS e il provisioning degli utenti. Il
server di autenticazione ESA impone inoltre la licenza limitando le azioni di gestione degli utenti e (in casi estremi) disabilitando
l'autenticazione utente.
16.2.2 Avvisi
Gli avvisi sono comunicati a ESA Administrator nel plug-in User Management nella console ADUC e in ESA Management Console.
Durante la gestione utenti
Quando la licenza non si trova nello stato normale, nell'interfaccia ADUC (gestione utenti) verrà visualizzato un messaggio di
avviso. A causa dello spazio limitato, l'avviso indica il livello di gravità del problema ma non i dettagli.
Durante l'amministrazione di sistema
Nell'interfaccia di gestione del sistema viene visualizzato lo stato completo della licenza. Verrà quindi visualizzato lo stato
generale della licenza, oltre ai dettagli di utilizzo (numero di utenti, crediti SMS residui, giorni residui della licenza).
16.2.3 Stati della licenza
La licenza di un server ESA può trovarsi in uno dei seguenti sei possibili stati:
1. OK: tutti i parametri della licenza rientrano nei limiti previsti
2. Warning: almeno un parametro della licenza è vicino al limite consentito
3. SMS Credits Expired: i crediti SMS sono scaduti e non verrà inviata alcuna OTP o SMS per il provisioning.
4. Violation (full functionality): uno dei parametri della licenza ha superato i limiti consentiti ma non viene eseguita alcuna
imposizione
5. Violation (limited functionality): un parametro della licenza è stato superato per più di 7 giorni e alcune funzioni di gestione
utente sono disabilitate
6. ESA Disabled: la data di scadenza della licenza ESA è trascorsa da più di 30 giorni e l'autenticazione è disabilitata. In questo
caso, tutte le chiamate di autenticazione non riusciranno, saranno bloccati tutti i tipi di autenticazione fino a quando ESA non
verrà disinstallato e disabilitato dall'amministratore o verrà concessa una nuova licenza.
Dati relativi ai License States
Nella tabella seguente viene riepilogato in che modo ciascuno dei parametri della licenza può indurre uno degli stati di avviso o
di errore della licenza riportati sopra.
Warning
SMS Credits
depleted
Violation (full
functionality)
Violation (limited
functionality)
ESA Disabled
License Expiry
meno di 30 giorni prima
N/D
della scadenza
0 più della data di
più di 7 giorni dopo la
scadenza della licenza
scadenza
più/pari a 7 giorni
User Numbers
meno del 10% o 10
postazioni a
Gli utenti attivi hanno più di 7 giorni dopo che gli
Mai
superato il numero di utenti attivi hanno
N/D
più di 30 giorni
dopo la scadenza
71
disposizione, a seconda
del valore più basso
SMS Credits
meno di 10 crediti SMS
rimasti (integrati +
ricaricati)
utenti ai quali è stata
superato la licenza
concessa una licenza
0 crediti SMS
residui
Mai
Mai
Mai
16.2.4 Imposizione della licenza
Nella tabella seguente viene illustrata come viene imposta la licenza sul server di autenticazione ESA. In tutti i casi, un
amministratore sarà in grado di disabilitare l'autenticazione ESA per una sottoserie di utenti (disabilitando l'autenticazione 2FA
per tali utenti) o per tutti gli utenti (mediante la configurazione di sistema o la disinstallazione del prodotto).
OK
Warning
SMS Credits
depleted
Violation (full
functionality)
Violation (limited
functionality)
ESA Disabled
Enable Users for
2FA
Consentito Consentito
Consentito
Consentito
Disabilitato
Disabilitato
Provision Users
Disabilitato
Consentito
Disabilitato
Disabilitato
Authenticate with Consentito Consentito
SMS OTP
Disabilitato
Consentito
Consentito
Disabilitato
mobile app
Consentito
Consentito
Consentito
Disabilitato
hard token
Consentito
Consentito
Consentito
Disabilitato
Manage system
configuration
Consentito
Consentito
Consentito
Consentito
Disable Users for
2FA
Consentito
Consentito
Consentito
Consentito
17. Vista alta disponibilità
Tutti i server installati sono visualizzati nel riquadro "servers" della console di gestione ESA. Quando più di un servizio principale
viene rilevato sulla rete, vengono visualizzati tutti i server. I server on-line e attivi sono visualizzati in verde, mentre quelli off-line
sono visualizzati in rosso.
Ciascun ESA Authentication Service installato sul dominio si registra in AD DNS utilizzando un record SRV (come
_esetsecauth._tcp). Quando un endpoint (ad esempio un'applicazione Web o un'appliance VPN) inizia l'autenticazione, controlla
innanzitutto il proprio elenco interno di server noti. Se l'elenco è vuoto, esegue una ricerca SRV. La ricerca SRV restituirà tutti gli
Authentication Servers sul dominio. L'endpoint sceglie quindi un Authentication Server al quale connettersi. Se la connessione
non riesce, seleziona un altro server dall'elenco e tenta di eseguire nuovamente la connessione.
Se la ridondanza di rete costituisce una criticità quando si protegge la VPN con ESA, è consigliabile configurare autenticatori
RADIUS primari e secondari sull'appliance VPN. Installare quindi due server ESA RADIUS sulla rete e configurarli di conseguenza.
72
18. Glossario
ADUC: Active Directory Users and Computers interfaccia di gestione
COS: sistema operativo client
ESA: ESET Secure Authentication
ESA core: server di autenticazione che verifica la validità di una password OTP inserita.
MRK: chiave di ripristino master
Online (modalità on-line): macchina sulla quale sono installati i componenti principali di ESA (almeno il server di
autenticazione) ed è in esecuzione il servizio ESET Secure Authentication Service. Disponibile tramite connessione TCP/IP.
Offline (modalità off-line): macchina sulla quale sono installati i componenti principali di ESA, il servizio ESET Secure
Authentication Service non è in esecuzione o la connessione tramite TCP/IP non è disponibile.
OTP: password monouso con validità temporale limitata
RDP: protocollo Desktop remoto. Protocollo proprietario sviluppato da Microsoft che fornisce agli utenti un'interfaccia grafica
per effettuare la connessione a un altro computer con una connessione di rete.
SOS: sistema operativo server
73

ESET Secure Authentication

Transcript

Documenti analoghi

Protiva .NET: una sicurezza per uffici e reti aziendali

Biografia

documento programmatico sulla sicurezza dei dati personali

Wireless Network Esercitazioni

Biografia

RELAZIONE ESERCIZIO 2013 Assemblea Ordinaria

Advanced PDF Password Recovery

Esercitazione BGP 22-05-2009

Curriculum Vitae - Osservatorio Astronomico di Trieste

a.s. 2012/2013 - ISIS "Vincenzo Manzini"

stampa - Debianizzati.Org