ESET Secure Authentication
Transcript
ESET Secure Authentication
ESET SECURE AUTHENTICATION Manuale prodotto (per la versione del prodotto 2.4) ESET SECURE AUTHENTICATION Copyright 2016 di ESET, spol. s r.o. ESET Secure Authentication è stato sviluppato da ESET, spol. s r.o. Per ulteriori informazioni, visitare il sito Web www.eset.it. Tutti i diritti riservati. Sono vietate la riproduzione, l'archiviazione in sistemi di registrazione o la trasmissione in qualsiasi forma o con qualsiasi mezzo, elettronico, meccanico, tramite fotocopia, registrazione, scansione o altro della presente documentazione in assenza di autorizzazione scritta dell'autore. ESET, spol. s r.o. si riserva il diritto di modificare qualsiasi parte del software dell'applicazione descritta senza alcun preavviso. Supporto tecnico: https://www.eset.it/supporto/assistenza-tecnica REV. 5/13/2016 Contenuti 1. 2. 2.1 Panoramica .............................................................................................................5 Requisiti .............................................................................................................5 .................................................................................................................................................................5 Si stemi o p er ati vi su p p o r tati 2.2 Ap p l i cazi o n i Web su p p o r tate 2.3 .................................................................................................................................................................6 Si stemi o p er ati vi d ei tel efo n i cel l u l ar i su p p.................................................................................................................................................................6 o r tati 2.4 Req u i si ti d i i n stal l azi o n e .................................................................................................................................................................7 2.5 Amb i en ti Acti ve Di r ecto r y su p p o r tati .................................................................................................................................................................8 2.6 Eccezi o n i fi r ewal l .................................................................................................................................................................9 2.7 Cr i ter i .................................................................................................................................................................9 3. .............................................................................................................10 Installazione 3.1 In stal l azi o n e d ei co mp o n en ti p r i n ci p al i .................................................................................................................................................................11 to 3.2 In stal l azi o n e d el p l u g -i n d i Deskto p r emo.................................................................................................................................................................14 Web 3.3 In stal l azi o n e d el p l u g -i n d el l 'ap p l i cazi o n e.................................................................................................................................................................15 o ws 3.4 In stal l azi o n e d el p l u g -i n d i accesso Wi n d.................................................................................................................................................................16 3.5 Co n fi g u r azi o n e d i b ase .................................................................................................................................................................17 4. Gestione utenti: provisioning 5. Opzioni di recapito personalizzate .............................................................................................................20 6. Protezione accesso Window s 6.1 Ch i ave d i r i p r i sti n o master 7. .............................................................................................................18 .............................................................................................................23 .................................................................................................................................................................24 .............................................................................................................25 Protezione VPN 7.1 Co n fi g u r azi o n e .................................................................................................................................................................25 7.2 .................................................................................................................................................................27 Uti l i zzo 7.3 Mo d u l i RADIUS PAM su L i n u x/Mac .................................................................................................................................................................27 7.3.1 Mac OS: ...................................................................................................................................................................................................27 conf igurazione 7.3.2 Linux: conf ...................................................................................................................................................................................................29 igurazione 7.3.3 Altre conf...................................................................................................................................................................................................32 igurazioni RADIUS 8. Protezione dell'applicazione Web .............................................................................................................36 8.1 Co n fi g u r azi o n e .................................................................................................................................................................36 8.1.1 Autorizzazione ...................................................................................................................................................................................................37 di utenti non 2FA 8.2 Uti l i zzo 9. .................................................................................................................................................................37 Protezione di Desktop remoto .............................................................................................................38 9.1 Co n fi g u r azi o n e .................................................................................................................................................................38 9.1.1 Autorizzazione ...................................................................................................................................................................................................39 di utenti non 2FA 9.2 Uti l i zzo .................................................................................................................................................................40 9.3 Accesso Web Deskto p r emo to .................................................................................................................................................................40 10. Inserimento nella w hitelist degli indirizzi .............................................................................................................41 IP 11. Hard token .............................................................................................................42 11.1 Gesti o n e h ar d to ken .................................................................................................................................................................42 11.1.1 Attiv a ...................................................................................................................................................................................................43 11.1.2 Importa ...................................................................................................................................................................................................43 11.1.3 Elimina ...................................................................................................................................................................................................45 11.1.4 Risincronizzazione ...................................................................................................................................................................................................45 11.2 Gesti o n e u ten ti h ar d to ken .................................................................................................................................................................46 11.2.1 Attiv a e assegna ...................................................................................................................................................................................................46 11.2.2 Rev oca ...................................................................................................................................................................................................48 12. API .............................................................................................................48 12.1 Pan o r ami ca su l l 'i n teg r azi o n e .................................................................................................................................................................49 12.2 Co n fi g u r azi o n e .................................................................................................................................................................49 12.3 So sti tu zi o n e d el cer ti fi cato SSL .................................................................................................................................................................49 12.3.1 12.3.2 12.3.3 Prerequisiti ...................................................................................................................................................................................................49 Importazione ...................................................................................................................................................................................................50 del nuov o certif icato Sostituzione ...................................................................................................................................................................................................51 del certif icato ESA 13. Gestione utenti avanzata .............................................................................................................51 13.1 Stati u ten te .................................................................................................................................................................52 13.2 Pr o vi si o n i n g d i tel efo n i mu l ti p l i .................................................................................................................................................................61 13.3 Ig n o r a camp o n u mer o tel efo n o cel l u l ar e .................................................................................................................................................................63 13.4 Gesti o n e u ten ti b asata su i g r u p p i .................................................................................................................................................................64 14. Argomenti VPN avanzati .............................................................................................................64 14.1 Op zi o n i d i au ten ti cazi o n e VPN .................................................................................................................................................................64 14.1.1 OTP basate ...................................................................................................................................................................................................65 su SMS 14.1.2 OTP basate ...................................................................................................................................................................................................65 su SMS su richiesta 14.1.3 Applicazione ...................................................................................................................................................................................................65 mobile 14.1.4 Hard token ...................................................................................................................................................................................................66 14.1.5 Migrazione ...................................................................................................................................................................................................66 dalle OTP basate su SMS all'applicazione mobile 14.1.6 Pass-through ...................................................................................................................................................................................................66 non 2FA 14.1.7 Controllo...................................................................................................................................................................................................66 accessi tramite l'appartenenza a gruppi 14.2 OTP e sp azi vu o ti .................................................................................................................................................................66 i tà PPP 14.3 Meto d i d i au ten ti cazi o n e ESA e co mp ati b i l.................................................................................................................................................................67 15. AD FS 3 .............................................................................................................68 16. Controlli e gestione della licenza .............................................................................................................70 16.1 Co n tr o l l o .................................................................................................................................................................70 16.2 Gesti o n e d el l a l i cen za .................................................................................................................................................................71 16.2.1 Panoramica ...................................................................................................................................................................................................71 16.2.2 Av v isi ...................................................................................................................................................................................................71 16.2.3 Stati della...................................................................................................................................................................................................71 licenza 16.2.4 Imposizione ...................................................................................................................................................................................................72 della licenza 17. Vista alta disponibilità .............................................................................................................72 18. Glossario .............................................................................................................73 1. Panoramica ESET Secure Authentication (ESA) aggiunge Two Factor Authentication (2FA) nei domini Microsoft Active Directory. Ciò significa che viene generata una password monouso (OTP), che deve essere fornita insieme al nome utente e alla password generalmente richiesti. Il prodotto ESA presenta i seguenti componenti: Il plug-in ESA Web Application fornisce l'autenticazione 2FA a varie Microsoft Web Applications. Il plug-in ESA Remote Desktop fornisce l'autenticazione 2FA per il Remote Desktop Protocol. ESA RADIUS Server aggiunge 2FA nell'autenticazione della VPN. Lo strumento della riga di comando ESA Authentication Service include unaAPI basata su REST che può essere utilizzata per aggiungere l'autenticazione 2FA nelle applicazioni personalizzate. ESA Management Tools: o Il plug-in ESA User Management per Active Directory Users and Computers (ADUC) è utilizzato per la gestione degli utenti. o ESA Management Console, denominata impostazioni ESET Secure Authentication, è utilizzata per la configurazione di ESA. ESA richiede l'infrastruttura Active Directory, in quanto consente di archiviare i dati nell'archivio Active Directory. Ciò significa che non sono necessari criteri di back-up aggiuntivi, in quanto i dati ESA sono inclusi automaticamente nei back-up di Active Directory. 2. Requisiti È richiesto un dominio Active Directory per installare ESET Secure Authentication. Il livello funzionale minimo supportato per un dominio Active Directory è Windows 2000 Native. Il programma di installazione seleziona automaticamente i componenti Authentication Service e Management Tools. Nel caso in cui l'utente selezioni un componente che non può essere installato, il programma di installazione segnalerà i prerequisiti necessari mancanti. 2.1 Sistemi operativi supportati ESET Secure Authentication Services eManagement Tools sono stati testati e sono supportati sui seguenti sistemi operativi: Sistemi operativi server (SOS) Windows Server 2003 Windows Server 2003 R2 Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Small Business Server 2008 Windows Small Business Server 2011 Windows Server 2012 Essentials Windows Server 2012 R2 Essentials Sistemi operativi client (COS) Windows 7 Windows 8 Windows 8.1 Windows 10 5 Anche i Management Tools sono supportati sui sistemi operativi client di Windows 7. NOTA: quando si installa un RADIUS Server su Windows Small Business Server 2008 o 2011, la porta NPS predefinita deve essere modificata da 1812 a 1645. Verificare che non siano presenti processi in ascolto sulla porta 1812 prima di installare ESA eseguendo il seguente comando: C:\> netstat -a -p udp | more 2.2 Applicazioni Web supportate ESET Secure Authentication offre l'autenticazione 2FA per i seguenti prodotti Microsoft: Microsoft Exchange 2007 o Outlook Web Access - Exchange Client Access Server (CAS) Microsoft Exchange 2010 o Outlook Web App - Exchange Client Access Server (CAS) o Pannello di controllo di Exchange Microsoft Exchange 2013 o Outlook Web App - Exchange Client Access Server (CAS) o Interfaccia di amministrazione di Exchange Microsoft Dynamics CRM 2011 Microsoft Dynamics CRM 2013 Microsoft Dynamics CRM 2015 Microsoft SharePoint 2010 * Microsoft SharePoint 2013 * Accesso Web Desktop remoto di Microsoft Accesso Web di Servizi terminal di Microsoft Accesso Web remoto di Microsoft * La versione Foundation non è supportata 2.3 Sistemi operativi dei telefoni cellulari supportati L'app ESET Secure Authentication Mobile è compatibile con i seguenti sistemi operativi dei telefoni cellulari: iPhone iOS 4.3 su iOS9 Androidâ„¢ 2.1 su Android M Windows Phone 7 su Windows Phone 10 Windows Mobile 6 BlackBerry® 4.3 su 7.1 BlackBerry® 10 Symbian®: tutte le versioni che supportano l'abilitazione J2ME Tutti i telefoni con abilitazione J2ME 6 2.4 Requisiti di installazione L'installazione protetta richiede la connettività in uscita a esa.eset.com sulla porta 443 del protocollo TCP. Il programma di installazione deve essere eseguito da un membro del gruppo di protezione "Domain Administrators". Un altro requisito per eseguire il programma di installazione è .NET Framework Version 4 (Full Install). Il programma di installazione tenterà di installare .NET 4 automaticamente, se non già installato. ESA supporta l'installazione di componenti in un ambiente distribuito, con tutti i componenti installati sui computer che vengono aggiunti nello stesso dominio Windows. Le eccezioni Windows Firewall, essenziali per il corretto funzionamento di ESET Secure Authentication, saranno aggiunte automaticamente come parte dell'installazione. In caso di utilizzo di una soluzione firewall diversa, consultare Eccezioni Firewall per ulteriori informazioni sulle eccezioni importanti che è necessario creare. I prerequisiti per l'installazione di ciascun componente sono i seguenti: Authentication Service: o Windows 2003 Server SP2 o SOS successivo nell'elenco di Sistemi operativi supportati o La prima volta che un Authentication Service viene installato sul dominio, il programma di installazione deve essere eseguito come un utente membro del gruppo di protezione "Schema Admins". Management Tools: o Windows7 o COS successivo nell'elenco di Sistemi operativi supportati, Windows 2003 Server SP2 o SOS successivo nell'elenco di Sistemi operativi supportati o .NET Framework versione 3.5 o Windows Remote Server Administration Tools, componente Active Directory Domain Services (RSAT AD DS) o NOTA: RSAT, precedentemente conosciuto come Remote Administration Pack (adminpack), può essere scaricato da Microsoft. In Windows Server 2008 e versioni successive, questo componente può essere installato dalla procedura guidata "Add Feature" in Server Manager. Su tutti i controller di dominio questi componenti sono già installati. RADIUS Server: o Windows 2003 Server SP2 o SOS successivo nell'elenco di Sistemi operativi supportati Plug-in Web App per Microsoft Exchange Server: o Microsoft Exchange Server 2007 o versioni successive (solo 64 bit), con il ruolo Client Access (Outlook Web App / Outlook Web Access) installato o .NET Framework versione 3.5 o Internet Information Services 7 (IIS7) o versioni successive Plug-in Web App per Microsoft SharePoint Server: o Microsoft SharePoint Server 2010 o 2013 (solo 64 bit) o .NET Framework versione 3.5 Plug-in Web App per Microsoft Dynamics CRM: o Microsoft Dynamics CRM 2011, 2013 o 2015 o .NET Framework versione 3.5 Plug-in Web App per Microsoft Terminal Services Web Access: o Il ruolo Terminal Services con il servizio ruolo Terminal Services installato su Windows Server 2008 o .NET Framework versione 3.5 Plug-in Web App per Microsoft Remote Desktop Services Web Access: o Il ruolo Remote Desktop Services con il servizio ruolo Remote Desktop Web Access installato su Windows Server 2008 R2 e versioni successive SOS nell'elenco di Sistemi operativi supportati o .NET Framework versione 3.5 7 Plug-in Web App per Microsoft Remote Web Access: o Il servizio ruolo Remote Web Access installato su Windows SBS 2008 , dove è chiamato Remote Web Access, Windows SBS 2011, Windows Server 2012 Essentials e Windows Server 2012 Essentials R2 o .NET Framework versione 3.5 Remote Desktop Protection: o Windows Server 2008 R2 o SOS successivo nell'elenco di Sistemi operativi supportati o Microsoft Windows 7 o COS successivo nell'elenco di Sistemi operativi supportati o Sono supportati solo i sistemi operativi a 64 bit Windows login protection: o Windows Server 2008 R2 o SOS successivo nell'elenco di Sistemi operativi supportati o Windows 7 o COS successivo nell'elenco di Sistemi operativi supportati ADFS 3.0 protection: o Windows Server 2012 R2 Requisiti .NET: Tutti i componenti: .NET 4 o 4.5 Full Install Core Server: .NET 4 o 4.5 Full Install RADIUS Server: .NET 4 o 4.5 Full Install Management Tools: .NET 3.5 (4 su Windows Server 2012) Plug-in Web App: .NET 3.5 NOTA: I componenti Authentication Service e RADIUS Server sono compatibili con Windows7 e COS successivo nell'elenco di Sistemi operativi supportati, ma non saranno supportati su questi sistemi operativi client. 2.5 Ambienti Active Directory supportati ESET Secure Authentication supporta ambienti Active Directory con dominio singolo o multiplo. Le differenze tra questi ambienti e i relativi requisiti di installazione sono illustrate di seguito. Singolo dominio, Singola foresta Questa è la configurazione più semplice in cui il programma di installazione potrebbe essere eseguito come un qualsiasi amministratore di dominio. ESET Secure Authentication è disponibile per tutti gli utenti presenti nel dominio. Dominio multiplo, Singola foresta In questo scenario di utilizzo, un dominio padre come example.corp possiede sottodomini multipli come branch1.example.corp e branch2.example.corp . ESET Secure Authentication può essere utilizzato su un qualsiasi dominio nella foresta. Tuttavia, non sono presenti comunicazioni incrociate tra le installazioni. Ciascuna installazione richiederà la propria licenza di ESET Secure Authentication. Per installare ESET Secure Authentication su un sottodominio, il programma di installazione deve essere lanciato come utente amministratore di dominio di livello superiore. Ad esempio, utilizzando gli esempi di dominio definiti in precedenza: Per installare ESET Secure Authentication su server01.branch1.example.corp , accedere a server01 come utente example.corp\Administrator (o qualsiasi altro amministratore da example.corp ). In seguito all'installazione, ESET Secure Authentication sarà disponibile per qualsiasi utente all'interno del dominio branch1.example.corp . Dominio multiplo, Foresta multipla Questo ambiente è identico al precedente, in cui ciascuna installazione di ESET Secure Authentication su foreste separate non è consapevole della presenza delle altre installazioni. 8 2.6 Eccezioni firewall Le eccezioni Windows Firewall, essenziali per il corretto funzionamento di ESET Secure Authentication, saranno aggiunte automaticamente come parte dell'installazione. In caso di utilizzo di un firewall diverso, è necessario definire manualmente le seguenti eccezioni: Nome dell'eccezione: servizio principale di ESET Secure Authentication Ambito: qualunque Protocollo: TCP Porta locale: 8000 Porte remote: tutte Nome dell'eccezione: API di ESET Secure Authentication Ambito: qualunque Protocollo: TCP Porta locale: 8001 Porte remote: tutte Nome dell'eccezione: servizio RADIUS di ESET Secure Authentication Ambito: qualunque Protocollo: UDP Porta locale: 1812 Porte remote: tutte Nome dell'eccezione: servizio RADIUS di ESET Secure Authentication (porta alternativa) Ambito: qualunque Protocollo: UDP Porta locale: 1645 Porte remote: tutte 2.7 Criteri Durante l'installazione, ESA aggiunge l'utente ESA_<nome computer> nell'entità Log on as a service trovata negli Local Security Policies > Local Policies > User Rights Assignments, mentre il <nome computer> è sostituito con il nome del computer su cui è installato ESA. Questa operazione è essenziale per eseguire il servizio ESET Secure Authentication Service avviato automaticamente all'avvio del sistema operativo. Se si utilizza un Group Policy e si è in possesso dell'entità Log on as service definita (Group Policy Management > <Forest> > Domains > <domain> > Default Domain Policy > Settings > Computer Configuration > Policies > Windows Settins > Security Settings > Local Policies),è necessario aggiungere l'utente ESA_<nome computer> nell'entità Log on as a service. In caso contrario, evitare completamente di definire l'entità Log on as a service. Per trovare il nome del computer su cui si sta installando ESA: o Premere il tasto Windows e contemporaneamente E in modo da far comparire il File Explorer o Nel riquadro sulla destra, fare clic con il pulsante destro del mouse su Questo PC o Risorse del computer e selezionare Proprietà. In una finestra compariranno il Nome del computer e il nome del computer in questione. 9 3. Installazione Per la prima installazione di ESA sono necessari tutti i seguenti componenti: Almeno un'istanza dell'Authentication Server Almeno un'istanza dei Management Tools Almeno uno degli endpoint di autenticazione API, Web Application, Remote Desktop, o RADIUS) Tutti i componenti possono essere installati su una singola macchina o su più macchine in un ambiente distribuito. Come nel caso dei sistemi distribuiti, i possibili scenari di installazione sono molteplici. L'esempio sottostante illustra uno scenario di installazione generico; questo esempio funge tuttavia da guida di base per altri scenari di distribuzione. L'installazione illustrata nell'esempio prevede due sequenze. Al termine dell'installazione di entrambe, lo scenario di distribuzione presenterà le caratteristiche indicate nella figura sottostante. 10 3.1 Installazione dei componenti principali Eseguire il file .exe fornito per avviare l'installazione sulla macchina che ospita ESA Authentication Service. In caso di mancato rilevamento, sarà installata automaticamente la versione .NET Framework 4.0. 11 Verranno eseguiti alcuni controlli dei prerequisiti per garantire l'integrità del dominio e la possibilità di installare ESA. Eventuali errori devono essere corretti prima di procedere con l'installazione. L'installazione continuerà nel momento in cui tutti i prerequisiti saranno completati correttamente. Se il pulsante Next non è disponibile per più di 5 secondi, scorrere verso il basso per visualizzare i requisiti che sono ancora sottoposti a controllo. 12 Se richiesto, accertarsi che siano selezionati i componenti "Management Tools", "Authentication Server" e "RADIUS Server for VPN Protection", come illustrato nella figura sottostante. Procedere con i restanti passaggi quando richiesto dal programma di installazione e chiuderlo quando completato. 13 3.2 Installazione del plug-in di Desktop remoto Dalla macchina Remote Desktop Access che si desidera proteggere, eseguire il file exe fornito per avviare l'installazione. Il programma di installazione eseguirà una serie di controlli dei prerequisiti come accade durante l'Installazione dei componenti principali. Nella figura sottostante viene mostrata la selezione del componente per l'installazione del plug-in di Remote Desktop. I controlli dei prerequisiti saranno eseguiti per garantire che il plug-in di ESA Remote Desktop può essere installato. Eventuali errori devono essere corretti prima di poter procedere con l'installazione. Procedere con i restanti passaggi quando richiesto dal programma di installazione e chiuderlo quando completato. 14 3.3 Installazione del plug-in dell'applicazione Web Dalla macchina che esegue la Web App che si desidera proteggere, eseguire il file .exe fornito per avviare l'installazione. Il programma di installazione eseguirà una serie di controlli dei prerequisiti come nel caso dell'Installazione dei componenti principali. Quando richiesto, accertarsi che sia selezionato il componente per la Web App appropriata. Nella figura sottostante viene mostrata la selezione del componente per l'installazione del plug-in di SharePoint Server. I controlli dei prerequisiti saranno eseguiti per garantire che la Web App è in esecuzione sul server e che il plug-in di ESA Web App può essere installato. Eventuali errori devono essere corretti prima di poter procedere con l'installazione. Procedere con i restanti passaggi quando richiesto dal programma di installazione e chiuderlo quando completato. 15 3.4 Installazione del plug-in di accesso Windows Durante l'installazione di ESA sulla macchina Windows che si desidera proteggere con la protezione 2FA, assicurarsi di selezionare il componente Windows Login nella pagina Select components dell'installazione guidata. NOTA: non è necessario installare il componente Management Tools su ciascun computer che si desidera proteggere con la protezione 2FA (questo componente è necessario solo sul server ESA primario dell'utente). La protezione Windows Login funziona solo in un ambiente di dominio. Ciò significa che sia il computer specifico sia l'account utente devono appartenere a un dominio stabilito dagli Active Directory Domain Services. 16 3.5 Configurazione di base Dopo aver installato i componenti richiesti, è necessario eseguire una configurazione di base. L'intera configurazione del sistema ESA viene eseguita attraverso ESA Management Console. The ESA Management Console è aggiunta come snap-in alla console MMC standard. È possibile accedere a ESA Management Console sotto a Strumenti di amministrazione, come illustrato nella figura sottostante. Attivare innanzitutto il sistema ESA tramite una licenza ESA. La licenza può essere ottenuta dal distributore ESET oppure è possibile utilizzare la licenza demo (in License.txt) fornita insieme al programma di installazione. Per attivare ESA Server: 1. Lanciare ESA Management Console. 2. Accedere al nodo del dominio. 3. Immettere il nome utente e la password per la licenza ESA. 4. ESA Server otterrà la licenza automaticamente e verranno visualizzate le informazioni aggiornate sulla licenza. Quando la licenza è attiva, configurare il nome del token sotto a Basic Settings. Sarà il nome token dell'azienda che sarà visualizzato nella Mobile Application sui telefoni degli utenti. Se si desidera configurare una Web Application, consultare il capitolo Protezione dell'applicazione Web. Per configurare 2FA sulla VPN, consultare il capitolo Protezione VPN. Per configurare 2FA per Remote Desktop, consultare il capitolo Protezione di Desktop remoto. 17 4. Gestione utenti: provisioning Tutte le attività di gestione degli utenti vengono eseguite attraverso l'interfaccia di gestione Active Directory Users and Computers. Tutti gli utenti ESA devono avere un numero di telefono cellulare valido nel campo Mobile della scheda Telephones. Provisioning di una nuova Mobile App: 1. Aprire la normale vista utente ADUC. 2. Fare clic con il pulsante destro del mouse su User e selezionare Properties. 3. Immettere il numero di telefono cellulare dell'utente nel campo Mobile. NOTA: i numeri di telefono cellulare devono contenere esclusivamente cifre (ad esempio, devono avere il formato 421987654321, dove 4 è il prefisso internazionale e 21 il prefisso nazionale). Fare clic sulla scheda ESET Secure Authentication per gestire le impostazioni di ESET Secure Authentication per un utente specifico. 18 Abilitazione di una OTP con token software per un utente specifico: 1. Verificare che la casella di controllo accanto a Mobile Applicationsia selezionata. 2. Fare clic su Send Application. 3. L'utente riceverà un messaggio SMS contenente un collegamento da utilizzare per installare l'applicazione. Istruzioni sull'installazione e sull'utilizzo dell'applicazione mobile (fare clic sul sistema operativo del dispositivo mobile desiderato per essere reindirizzati all'articolo corrispondente): Android BlackBerry iPhone Windows Phone 19 5. Opzioni di recapito personalizzate Le opzioni di recapito predefinite della password OTP (sms, app mobile) funzionano perfettamente per la maggior parte degli utenti. ESA può anche adattare opzioni di recapito personalizzate. Aprire ESA Management Console sul computer principale in uso, accedere al nodo del dominio specifico (nell'esempio considerato acswin2012.com), fare clic su Advanced Settings, quindi su Delivery Options. Qui è possibile specificare il percorso allo script personalizzato dell'utente (oppure ricercare lo script personalizzato facendo clic sul pulsante ) tramite il quale si desidera gestire il provisioning o l'invio della password OTP. Fare clic su per visualizzare un elenco di parametri da trasmettere allo script personalizzato. Per esempio, per recapitare la password OTP, è necessario utilizzare il parametro [OTP]. È inoltre possibile specificare una stringa personalizzata da trasmettere allo script dell'utente (vedere parameter1 nello screenshot visualizzato in precedenza). Esempio di scenario: invio della password OTP tramite e-mail Prerequisito: Conoscere i dettagli del protocollo SMTP del gateway di posta elettronica che si desidera utilizzare per l'invio del messaggio di posta elettronica contenente la password OTP Essere in possesso di uno script personalizzato per l'invio di messaggi di posta elettronica Essere in possesso di uno script .bat personalizzato per il quale si definisce il percorso in ESA Management Console, come 20 illustrato nello screenshot visualizzato in precedenza; lo script .bat chiama lo script personalizzato considerato nell'esempio che dovrebbe inviare il messaggio di posta elettronica Ogni utente per il quale è attiva la protezione 2FA e che riceve OTP passwords tramite e-mail, deve avere il proprio indirizzo di posta elettronica definito nel campo E-mail della scheda General durante la visualizzazione dei propri dettagli nell'interfaccia di gestione Active Directory Users and Computers. Esempio di script python per l'invio dell'e-mail: si assegna il nome sendmail.py al file: import sys, smtplib server = smtplib.SMTP('smtpserver:port') server.starttls() server.login('username','password') server.sendmail(sys.argv[1] , sys.argv[1], 'Subject: OTP is '+sys.argv[2]) server.quit() NOTA: nell'esempio di script python indicato in precedenza, smtpserver:port, username e password dovrebbero essere sostituiti con i dettagli del protocollo SMTP corrispondente. Esempio di script .bat per la chiamata dello script sendmail.py durante la trasmissione dei parametri essenziali: si assegna il nome CustomMail.bat al file: c:\Python\python.exe c:\work\sendmail.py %1 %2 NOTA: in questo scenario di esempio si presuppone che la libreria python sia installata sul computer principale dell'utente, dove è installato ESA Core component e che l'utente conosca il percorso al file python.exe. Nel campo Sending OTP by si definisce il percorso che conduce allo script CustomMail.bat in questione, si selezionano i parametri essenziali, quali [E-mail-Addresses] e [OTP], e si fa clic su Save 21 Il provisioning (invio dell'applicazione mobile) può essere personalizzato allo stesso modo utilizzando i parametri essenziali [PHONE] e [URL]. NOTA: rispetto al recapito tramite SMS (o all'utilizzo di un' applicazione mobile sulla quale è stato effettuato il provisioning), l'utilizzo dell'e-mail come strumento di distribuzione della password OTP rappresenta un metodo un po' meno sicuro in quanto il messaggio di posta elettronica può essere letto su qualsiasi dispositivo dell'utente. Questo metodo non conferma che il destinatario previsto sia in possesso del telefono registrato (numero di telefono). 22 6. Protezione accesso Windows ESA offre una protezione all'accesso locale per Windows in un ambiente di dominio stabilito da Active Directory Domain Services. Per utilizzare questa funzione, è essenziale installare il componente Windows Login durante l'installazione di ESA. Al termine dell'installazione, aprire ESA Management Console sul computer principale, accedere al nodo di dominio in uso (nell'esempio fornito acswin2012.com) e fare clic su Windows Login Settings. In questa schermata compaiono varie opzioni per l'applicazione dell'autenticazione 2FA,, inclusa l'opzione per l'applicazione della protezione 2FA per la Modalità provvisoria, la schermata di blocco di Windows e il Controllo dell'account utente (UAC). È inoltre disponibile l'elenco di computer su cui è installato il componente Windows Login di ESA. Se la macchina su cui è installato il componente Windows Login di ESA deve essere off-line per una parte del tempo e sono presenti utenti per i quali è attiva un'autenticazione tramite SMS, è possibile attivare Allow access without 2FA for SMS users when offline. Se un utente che utilizza un metodo di recapito tramite SMS per la password OTP desidera ricevere nuovamente una password OTP, dovrà chiudere la finestra in cui si richiede la password OTP e inserire dopo 30 secondi il nome utente e la password AD. 23 La protezione 2FA non può essere ignorata dagli autori di attacchi anche se questi ultimi conoscono il nome utente e la password AD. Ciò consente di aumentare il livello di protezione dei dati sensibili. Naturalmente, si presuppone che l'hard disk non sia accessibile dagli autori degli attacchi o che il contenuto dell'unità sia crittografato. NOTA: se è stata attivata la protezione 2FA per la modalità off-line, tutti gli utenti i cui account sono protetti da 2FA e che desiderano utilizzare un PC protetto da 2FAdevono effettuare l'accesso a quel PC per la primissima volta mentre il PC è on-line. Per 'online' si intende che il computer principale su cui sono installati i Componenti principali di ESA ed è in esecuzione il servizio ESET Secure Authentication Service può essere sottoposto a ping dal computer protetto con autenticazione 2FA. Se il componente Windows Login è installato sullo stesso computer su cui sono installati i ESA Core Components e la protezione 2FA per la Modalità provvisoria è stata attivata su quel computer, con modalità off-line disattivata (è stato selezionatoDo not allow access when offline ), l'utente sarà autorizzato a effettuare l'accesso in Modalità provvisoria (senza collegamento in rete) senza OTP. Accesso a Windows 8 protetto da ESA: dopo aver inserito un nome utente e una password AD validi, users will be prompted for their OTP : 6.1 Chiave di ripristino master Una chiave di ripristino master (MRK) è una OTP alternativa che è possibile utilizzare per effettuare l'accesso a una macchina Windows protetta dall'autenticazione 2FA in situazioni in cui l'utente non può inserire una OTP valida. Per esempio, l'utente ha smarrito il telefono su cui era installata l'Applicazione mobile ESA. Una MRK è una chiave univoca per un utente e un computer. Ciò significa che l'Utente1 e l'Utente2 possiedono una MRK diversa per il PC1. L'accesso tramite MRK è disponibile anche in modalità on-line e off-line. L'uso off-line della password MRK è disponibile solo se la modalità off-line per un dato computer è attivata in ESA Management Console nella sezione delle Impostazioni di accesso Windows. In caso di attivazione della modalità off-line, la password MRK è archiviata anche localmente nella cache crittografata e protetta del computer. Da utilizzare MRK per l'autenticazione: 1. Poiché l'utente non può ottenere una OTP, deve effettuare una chiamata a un amministratore. 24 2. L'amministratore apre l'interfaccia ADUC, accede al nome di dominio Active Directory corrispondente (in questo esempio acswin2012.com) > Users > fa doppio clic sull'utente in questione > scheda ESET Secure Authentication > fa clic sul pulsante Show MRK > seleziona il computer in questione dalla casella di riepilogo Choose computer e fa clic su Show MRK. A questo punto, viene generata una password MRK. 3. L'amministratore fornisce la password MRK ottenuta all'utente, che potrà effettuare l'accesso inserendola al posto della OTP. Mentre il computer è in modalità off-line, è possibile utilizzare una password MRK più di una volta. Dopo la prima connessione con esito positivo al Componente principale ESA, la password MRK generata in precedenza è invalidata e non può essere più utilizzata, anche se non è mai stata utilizzata prima d'ora. 7. Protezione VPN ESA viene distribuito con un server RADIUS autonomo utilizzato per autenticare le connessioni VPN. Dopo aver installato il componente del server ESA RADIUS, il servizio verrà avviato automaticamente. Verificare che sia in esecuzione controllandone lo stato nella console Servizi di Windows. 7.1 Configurazione Per configurare la protezione 2FA per la VPN in uso, è necessario aggiungere prima gli accessori della VPN come client RADIUS. Per eseguire questa operazione, seguire la procedura illustrata di seguito: 1. Da ESA Management Console, fare clic con il pulsante destro del mouse sul server RADIUS e selezionare Add Client. 2. Selezionare il nuovo client e Properties nell'elenco di azioni disponibili. 3. Assegnare al client RADIUS un nome facile da ricordare a titolo di riferimento. 4. Configurare l'IP Address e lo Shared Secret per il Client per fare in modo che corrispondano alla configurazione dell'appliance VPN. L'indirizzo IP è l'indirizzo IP interno dell'appliance in uso. Il segreto condiviso è il segreto condiviso di RADIUS per l'autenticatore esterno che verrà configurato sull'appliance. 5. Selezionare "Mobile Application" come metodo di autenticazione. Il metodo ottimale di autenticazione dipende dalla marca e 25 dal modello dell'appliance VPN. Per maggiori informazioni, consultare ESA VPN Integration Guide. Le guide all'integrazione della VPN sono disponibili nella Knowledge Base ESET. 6. Facoltativamente, è possibile autorizzare qualsiasi utente non-2FA a utilizzare la VPN. NOTA: se si consente agli utenti non-2FA di accedere alla VPN senza limitare l'accesso a un gruppo di protezione, tutti gli utenti nel dominio potranno accedere tramite la VPN. L'utilizzo di tale configurazione non è consigliato. 7. Facoltativamente, limitare l'accesso alla VPN a un gruppo di protezione di Active Directory esistente. 8. Una volta completate le modifiche, fare clic su OK. 9. Riavviare il server RADIUS . a. Individuare ESA RADIUS Service nei Servizi Windows (in Control Panel - Administrative Tools - View Local Services). b. Fare clic con il pulsante destro del mouse su ESA Radius Service e selezionare Restart from the context menu. Sono disponibili le seguenti opzioni relative al VPN Type: VPN does not validate AD user name and password VPN validates AD user name and password Use Access-Challenge feature of RADIUS I seguenti client RADIUS supportano la funzione di Verifica accesso RADIUS: Junos Pulse (VPN) modulo Linux PAM I seguenti client RADIUS non devono essere utilizzati con la funzione Verifica accesso: Microsoft RRAS 26 7.2 Utilizzo Dopo aver configurato il client RADIUS, è consigliabile verificarne la connettività tramite un'utilità di verifica quale NTRadPing prima di riconfigurare l'appliance VPN. Dopo aver verificato la connettività RADIUS, è possibile configurare l'appliance affinché utilizzi il serverESA RADIUS come autenticatore esterno per gli utenti VPN. Poiché il metodo di autenticazione ottimale e l'utilizzo dipendono entrambi dal modello e dalla marca degli accessori, consultare la Guida all'integrazione di ESET Secure Authentication VPN appropriata disponibile nella Knowledge Base ESET. 7.3 Moduli RADIUS PAM su Linux/Mac Le macchine Linux/Mac possono usare ESA per l'autenticazione 2FA attraverso l'implementazione di un Pluggable Authentication Module (PAM), che fungerà da client RADIUS che comunica con il server ESA RADIUS. PAM è un set di librerie dinamiche C (.so) utilizzate per l'aggiunta di livelli personalizzati nel processo di autenticazione. Questi strumenti possono eseguire controlli aggiuntivi e consentire/negare l'accesso successivamente. In questo caso, si utilizza un modulo PAM per richiedere all'utente una password OTP su un computer Linux o Mac aggiunto in un dominio Active Directory e verificarla sul server ESA RADIUS. In questa guida viene utilizzato il modulo The PAM di autenticazione e di creazione di account di FreeRADIUS. È anche possibile utilizzare altri client RADIUS PAM. La configurazione di base descritta in questa sede utilizzerà la funzione Access-Challenge di RADIUS supportata sia dal server ESA RADIUS sia dal client RADIUS PAM utilizzato. Esistono altre opzioni che non utilizzano il metodo Verifica accesso descritto brevemente nella sezione Altre configurazioni RADIUS di questo manuale. Innanzitutto, configurare il client Linux/Mac RADIUS in ESA Management Console. Type the IP address of your Linux/Mac computer nel campo IP Address. Selezionare Use Access-Challenge feature of RADIUS f dalVPN Type drop-down menu. Dopo aver completato questa procedura, configurare il computer Linux o Mac in uso in base alle istruzioni fornite nei sottoparagrafi che seguono. 7.3.1 Mac OS: configurazione La procedura sottostante è stata eseguita su OS X - Yosemite 10.10.5. Nota: in caso di attivazione della protezione 2FA in base alle istruzioni fornite in questa guida, per impostazione predefinita gli utenti locali che non appartengono al dominio AD dell'utente non potranno eseguire l'accesso. Per autorizzare gli utenti locali a effettuare l'accesso anche in caso di attivazione della protezione 2FA , seguire la procedura aggiuntiva descritta nell'argomento Altre configurazioni RADIUS : consultare Utenti non 2FA (account utente che non utilizzano l'autenticazione 2FA ). Per utilizzare la protezione 2FA sul computer Mac in uso, assicurarsi che la macchina sia stata aggiunta nel dominio Active Directory. È possibile configurare questa impostazione in Preferenze di sistema... > Utenti e gruppi > Opzioni di accesso. Fare clic su Aggiungi... accanto a Server account di rete inserendo le credenziali Active Directory. Modulo di autenticazione PAM 1. Scaricare PAM RADIUS tar.gz da http://freeradius.org/pam_radius_auth/ 2. Costruire la libreria .so eseguendo i comandi indicati di seguito in una finestra terminale: ./configure make 3. Copiare la libreria creata nei moduli PAM cp pam_radius_auth.so /usr/lib/pam Su OS X El Capitan e versioni successive, questo percorso è protetto da System Integrity Protection. Per utilizzarlo, è necessario disattivarlo per il comando copia. 4. Creare un file di configurazione del server chiamato server su /etc/raddb/. e inserirvi i dettagli del server RADIUS nel seguente formato: <radius server>:<porta> <segreto condiviso> <timeout in secondi> Per esempio: 27 1.1.1.1 test 30 Consultare INSTALLA per ulteriori informazioni sulle raccomandazioni in materia di protezione per il file di configurazione e UTILIZZO per i parametri che possono essere trasmessi alla libreria. Per esempio, è possibile utilizzare il parametro 'debug' per identificare problemi potenziali. Integrazione del modulo PAM I moduli PAM possono essere integrati in vari tipi di accesso, per esempio, login, sshd, su, sudo, e così via. L'elenco di tipi di accesso disponibili è posizionato in /etc/pam.d/ . Modificare il file appropriato in /etc/pam.d/ per integrare il modulo RADIUS PAM in tipi di accesso specifici. Integrazione del modulo PAM nel protocollo SSH Per integrare il modulo PAM nel protocollo SSH, modificare /etc/pam.d/sshd e aggiungere la seguente riga alla fine del file: auth required /usr/lib/pam/pam_radius_auth.so Successivamente, attivare il protocollo SSH su OS X. In Preferenze di sistema... > Condivisione, attivare Accesso remoto. Segue un esempio di accesso SSH tramite ESA (modulo PAM integrato in /etc/pam.d/sshd): Segue un esempio di accesso sudo tramite ESA (modulo PAM integrato in /etc/pam.d/sudo): Integrazione del modulo PAM negli accessi Desktop Per l'accesso Desktop, non è possibile utilizzare RADIUS Accept-Challenge come VPN Type durante la configurazione del client RADIUS in ESA Management Tool. La configurazione del client RADIUS dovrebbe comparire nella sezione VPN Type - VPN does not validate AD username and password dell'argomento Altre configurazioni RADIUS e il modulo PAM dovrebbe essere integrato nel file /etc/pam.d/authorization. Utilizzando queste impostazioni: La OTP is è inviata tramite SMS: quando compare il primo prompt di richiesta della password, l'utente deve inserire la password AD. Quando compare il secondo prompt di richiesta della password, l'utente deve inserire la password OTP. 28 Altro tipo di OTP (autenticazione composta): inserire contemporaneamente sia la password AD sia la password OTP come ADpasswordOTP. Per esempio, se la password AD è Test e la password OTP ricevuta è 123456, è necessario inserire Test123456. 7.3.2 Linux : configurazione La procedura descritta qui è stata eseguita su OpenSUSE Leap 42.1. Nota: in caso di attivazione della protezione 2FA in base alle istruzioni fornite in questa guida, per impostazione predefinita gli utenti locali che non appartengono al dominio AD dell'utente non potranno eseguire l'accesso. Per autorizzare gli utenti locali a effettuare l'accesso anche in caso di attivazione della protezione 2FA , seguire la procedura aggiuntiva descritta nell'argomento Altre configurazioni RADIUS : consultare Utenti non 2FA (account utente che non utilizzano l'autenticazione 2FA ). Assicurarsi che il computer Linux in uso sia stato aggiunto nel dominio Active Directory. Accedere a YaST > Hardware > Impostazioni di rete > Nome host/DNS e inserire l'indirizzo IP della macchina Domain Controller (DC) e il nome di dominio Active Directory. Successivamente, accedere a YaST > Servizi di rete > Appartenenza a dominio Windows. Inserire il nome di dominio AD nel quale si desidera aggiungere il computer Linux in uso nel campo Dominio o Gruppo di lavoro e fare clic su OK. All'utente sarà richiesto di inserire il nome utente e la password dell'amministratore del dominio. NOTA: il processo di aggiunta di un dominio varia in base alle distribuzioni Linux. 29 PAM Modulo di autenticazione 1. Scaricare PAM RADIUS tar.gz da http://freeradius.org/pam_radius_auth/ 2. Costruire la libreria .so eseguendo i comandi indicati di seguito in una finestra terminale: ./configure make In base all'output del comando configure , potrebbe essere necessario installare delle dipendenze. sudo zypper install gcc make pam-devel 3. Copiare la libreria creata nei moduli PAM sudo cp pam_radius_auth.so /lib/security/ 4. Creare un file di configurazione del server su /etc/raddb/ chiamato server.. In questo file, inserire i dettagli del server RADIUS nel seguente formato: <radius server>:<porta> <segreto condiviso> <timeout in secondi> Per esempio: 1.1.1.1 test 30 Consultare INSTALLA per ulteriori informazioni sulle raccomandazioni in materia di protezione per il file di configurazione e UTILIZZO per i parametri che possono essere trasmessi alla libreria. Per esempio, è possibile utilizzare il parametro 'debug' per identificare problemi potenziali. Integrazione del modulo PAM I moduli PAM variano in base alle distribuzioni Linux. Gli scenari di integrazione dipendono anche dall'ambiente Desktop utilizzato sulla macchina Linux in uso. In questo esempio, è stato utilizzato Xfce su una macchina OpenSUSE. Di conseguenza, il modulo PAM è stato integrato in /etc/pam.d/xdm (vedere gli esempi sottostanti). È possibile che alcuni moduli non richiedano un secondo fattore, come illustrato nell'esempio sottostante. Il metodo di integrazione del modulo PAM nel protocollo SSH su Linux è uguale a quello utilizzato su Mac OS: consultare Integrazione del modulo PAM nel protocollo SSH su Mac OS: argomento configurazione. Tuttavia, la riga di codice da aggiungere nel file /etc/pam.d/sshd presenta delle differenze: auth required /lib/security/pam_radius_auth.so Integrazione del modulo PAM nell'accesso console Per integrare il modulo PAM nell'accesso console, modificare /etc/pam.d/login e aggiungere la seguente riga alla fine del file: auth required /lib/security/pam_radius_auth.so Segue un esempio di accesso console con protezione tramite ESA : 30 Integrazione del modulo PAM nell' Xfce accesso desktop Per integrare il modulo PAM nell'accesso Xfce desktop , è necessario modificare /etc/pam.d/xdm e aggiungere la seguente riga alla fine del file: auth required /lib/security/pam_radius_auth.so Segue un esempio di accesso desktop Xfce con protezione tramite ESA: 31 7.3.3 Altre configurazioni RADIUS VPN Type - VPN does not validate AD username and password Se il VPN Type è stato impostato su VPN does not validate AD username and password durante la configurazione di un client RADIUS in ESA Management Tool, entrambi i fattori (nome utente e password AD come primo fattore e OTP come secondo fattore) sono verificati da ESA: Successivamente, in /etc/pam.d/sshd (o altra integrazione), aggiungere la seguente riga: auth required /usr/lib/pam/pam_radius_auth.so e commentare (posizionando un tag # all'inizio) tutte le altre righe auth . NOTA: l'amministratore di dominio deve verificare, disattivando tutti gli altri moduli, se questo scenario sia adatto o meno alla distribuzione. In questo caso, un processo di accesso SSH dovrebbe assumere il seguente aspetto: Recapito tramite SMS della OTP: al primo tentativo di inserimento della password, all'utente è richiesto di inserire una password AD. Al secondo tentativo di inserimento della password, l'utente inserisce la password OTP. 32 Altro tipo di OTP (autenticazione composta): l'utente deve inserire contemporaneamente sia la password AD sia la password OTP come ADpasswordOTP. Per esempio, se la password AD è Test e la password OTP ricevuta è 123456, è necessario inserire Test123456. Tipo di VPN: la VPN convalida un nome utente e una password AD Se il VPN Type è stato impostato su VPN validates AD username and password durante la configurazione di un client RADIUS in ESA Management Tool, il primo fattore (nome utente e password AD) è convalidato dall'altro modulo PAM: 33 Durante questa configurazione del modulo RADIUS, aggiungere la seguente riga in /etc/pam.d/sshd (o nell'integrazione appropriata): auth required /usr/lib/pam/pam_radius_auth.so force_prompt prompt=RADIUS In questo caso, un processo di accesso SSH dovrebbe assumere il seguente aspetto: I prompt che iniziano con la stringa Password: sono gestiti dagli altri moduli PAM. I prompt che iniziano con la stringa RADIUS: sono gestiti dal modulo PAM in uso. Consultare l'argomento 'prompt=RADIUS' nel codice di esempio fornito in precedenza SMS: al primo prompt, l'utente deve inserire la password AD. Al secondo prompt, l'utente deve inserire il testo 'sms' (senza apostrofi). Al terzo prompt, l'utente deve inserire la password AD. Al quarto prompt, l'utente deve inserire la password OTP ricevuta. 34 Altro tipo di OTP (OTP ricevuta tramite applicazione mobile o hard token): inserire la password AD al primo tentativo. Al secondo tentativo inserire la password OTP. Non-2FA Utenti non 2FA (account utente che non utilizzano l'autenticazione 2FA) Durante la configurazione del modulo PAM per ESA, ricordare l'esperienza degli utenti non-2FA, per esempio gli utenti locali Linux/Mac rispetto agli utenti di dominio. Linux: Utilizzando questa configurazione, un server RADIUS non riuscirebbe a eseguire l'autenticazione per gli utenti locali a meno che il codice fornito di seguito (o il codice appropriato per il sistema in uso) non venga aggiunto in /etc/pam.d/sshd (o nel file appropriato per il modulo PAM in uso): auth sufficient pam_unix.so try_first_pass Questa modifica rende l'autenticazione Unix standard sufficiente per effettuare l'accesso. Di conseguenza, qualsiasi utente locale sarà autorizzato all'accesso dopo aver inserito una password locale. Per autorizzare gli utenti di dominio i cui account non sono protetti con 2FA, attivare Active Directory Passwords without OTPs durante la configurazione del client RADIUS in ESA Management Console. Mac: Non esiste alcun modulo predefinito PAM per autenticare gli utenti locali come accadeva su Linux (v. sezione precedente). Per eseguire tale operazione, è necessario utilizzare un altro modulo PAM. In questa guida, è stato scelto di scaricare una raccolta di moduli per PAM e di costruire successivamente il modulo attraverso l'esecuzione dei comandi indicati di seguito in una finestra terminale: ./configure --disable-pgsql --disable-mysql --disable-ldaphome make make install I passaggi successivi dipendono dall'eventuale possibilità di utilizzare l'integrazione 2FA con accessi desktop o con accessi nondesktop (per esempio, ssh). Integrazione accesso non-desktop Mac: Nel file di integrazione /etc/pam.d/, aggiungere la seguente riga prima di pam_radius_auth.so: 35 auth sufficient /usr/local/lib/security/pam_regex.so sense=allow regex=^user$ dove user è uno username locale che si desidera consentire senza il requisito di una OTP. Assicurarsi che i moduli Mac predefiniti (non aggiunti dall'utente) siano definiti come "required" o "requisite", in modo tale che questo modulo "sufficient" aggiunto non causi un'operazione con esito positivo se il primo fattore non dovesse riuscire È possibile anche utilizzare moduli diversi da pam_regex disponibili nella raccolta di moduli per PAM. Per esempio, è possibile utilizzare pam_groupmember per autorizzare l'accesso di gruppi di utenti anziché di singoli utenti. Integrazione accesso desktop Mac: Modificare il file /etc/pam.d/authorization affinché assuma il seguente aspetto: # authorization: auth account auth sufficient /usr/lib/pam/pam_radius_auth.so auth requisite /usr/local/lib/security/pam_regex.so sense=allow regex=^user$ auth optional pam_krb5.so use_first_pass use_kcminit auth optional pam_ntlm.so use_first_pass auth required pam_opendirectory.so use_first_pass nullok account required pam_opendirectory.so Queste modifiche consentono di: 1. Indicare il modulo RADIUS PAM come primo modulo 'sufficient' 2. Indicare il modulo PAM regex come secondo modulo 'requisite' 3. Indicare di seguito gli altri moduli posizionati prima nel file 8. Protezione dell'applicazione Web Il modulo ESA Web Application Protection aggiunge automaticamente l'autenticazione 2FA al processo di autenticazione di tutte le Web Applications supportate. Il modulo verrà caricato al successivo accesso alla Web Application protetta dopo aver installato ESA. Gli utenti accederanno utilizzando l'abituale processo di autenticazione della Web Application. Dopo essere stati autenticati dalla Web Application, gli utenti verranno reindirizzati a una pagina Web ESA e verrà richiesto di immettere una OTP. Gli utenti potranno inoltre accedere alla Web Application solo se immettono una OTP valida. La sessione 2FA dell'utente rimarrà attiva fino a quando viene eseguita la disconnessione dalla sessione della Web Application o il browser viene chiuso. 8.1 Configurazione L'integrazione della Web Application può essere configurata dalla pagina delle Basic Settings del dominio nella console di gestione di ESET Secure Authentication. Le impostazioni per i plug-in del server Exchange, Outlook Web App e il Pannello di controllo di Exchange, sono applicabili a tutto il dominio. Le impostazioni per tutti gli altri plug-in delle Web Application dipendono dal singolo server. Per ciascuna Web Application, è possibile abilitare o disabilitare la protezione 2FA. Per impostazione predefinita, la protezione 2FA è abilitata in seguito all'installazione. Per caricare nuovamente le modifiche a questa opzione di configurazione, sarà necessario riavviare il servizio World Wide Web Publishing su tutti i server che ospitano la Web Application. 36 8.1.1 Autorizzazione di utenti non 2FA Il modulo può essere configurato per autorizzare o impedire agli utenti che non hanno abilitato 2FA di accedere alla Web Application attraverso l'opzione di configurazione "Users without 2FA enabled may still log in". Questo scenario si verifica se l'utente non è configurato né per le OTP basate su SMS né per la Mobile Application e l'opzione di configurazione Web Application per consentire l'accesso degli utenti non-2FA è abilitata. L'opzione di configurazione per consentire gli utenti non-2FA viene abilitata per impostazione predefinita dopo l'installazione. In questa configurazione, un utente può eseguire l'accesso alla Web Application con la password Active Directory. Se l'opzione di configurazione per consentire gli utenti non-2FA è disabilitata, l'utente non potrà accedere alla Web Application. 8.2 Utilizzo Per tutte le Web Apps supportate viene seguito lo stesso processo 2FA. Il funzionamento del modulo Web Application Protection può essere verificato come descritto di seguito: 1. Per eseguire la verifica è necessario un utente per il quale sia abilitata l'autenticazione ESA 2FA nello strumento di gestione ADUC. All'utente deve inoltre essere consentito l'accesso alla Web App. 2. Aprire la Web App in un browser desktop ed eseguire l'autenticazione come di consueto utilizzando le credenziali di Active Directory dell'utente test. 3. Comparirà la pagina di autenticazione ESA, come mostrato nella figura sottostante. Il plug-in Remote Desktop Web Access su Windows Server 2008 e il plug-in Microsoft Dynamics CRM 2011 non consentiranno di visualizzare il pulsante "Cancel". 4. Comparirà la pagina di autenticazione ESA, come mostrato nella figura sottostante. Il plug-in Remote Desktop Web Access su Windows Server 2008 e i plug-in Microsoft Dynamics CRM non consentiranno di visualizzare il pulsante "Cancel". a. Se l'utente è abilitato per le SMS OTP, riceverà un messaggio SMS contenente una OTP che può essere immessa per eseguire l'autenticazione. b. Se l'utente ha installato l'applicazione mobile ESA sul proprio telefono, questa potrebbe essere utilizzata per generare una OTP per eseguire l'autenticazione. Al fine di migliorare la leggibilità, le OTP sono visualizzate nell'applicazione mobile con uno spazio tra la terza e la quarta cifra. Il modulo di Web Application Protection rimuove lo spazio vuoto in modo tale che l'utente può includerlo o meno quando immette una OTP senza influenzare l'autenticazione. 5. Se la OTP immessa è valida, l'utente verrà reindirizzato alla pagina originariamente richiesta. L'utente potrà inoltre interagire con la Web App. 6. Se viene immessa una OTP non valida, verrà visualizzato un messaggio di errore e all'utente non verrà consentito l'accesso all'applicazione Web, come mostrato nella figura sottostante. 37 7. 9. Protezione di Desktop remoto Il modulo ESA Remote Desktop Protection aggiunge 2FA al processo di autenticazione degli utenti di Remote Desktop. Il modulo sarà caricato al successivo utilizzo, da parte di un utente con autenticazione 2FA, di Remote Desktop per accedere a un computer remoto sul quale è stato installato ESA Credential Provider. Gli utenti accederanno utilizzando l'abituale processo di autenticazione di Remote Desktop. Dopo essere stati autenticati da Remote Desktop, agli utenti verrà richiesto di immettere una OTP. e potranno accedere al computer solo se immettono una OTP valida. La sessione 2FA dell'utente rimarrà attiva fino a quando viene eseguita la disconnessione dalla sessione di Remote Desktop. NOTA: ESA non può proteggere i client RDP che non forniscono nome utente e password. Ciò significa che, in presenza di un client RDP privo di nome utente e password configurati e per il quale queste credenziali non sono nemmeno richieste, non sarà richiesta alcuna password OTP . 9.1 Configurazione Per configurare Remote Desktop 2FA per gli utentiADUC, è necessario attivare la protezione 2FA per l'(gli) utente(i) desiderato(i). Questi utenti devono anche essere utenti Remote Desktop autorizzati. Per utilizzare la protezione Desktop remoto, è necessario configurare l'host della sessione RD per l'utilizzo di SSL (TLS 1.0) o Negotiate. Per modificare le impostazioni su Windows Server 2008 o versioni precedenti, seguire la procedura sottostante: 1. 2. 3. 4. Accedere al menu Start > Administrative Tools > Remote Desktop Services > Remote Desktop Session Host Configuration Nella sezione Connections, aprire RDP-Tcp Fare clic sulla scheda General Nella sezione Security, il valore Security Layer deve essere impostato su SSL (TLS 1.0) o Negotiate Per modificare le impostazioni su Windows Server 2012, seguire la procedura sottostante: 1. 2. 3. 4. 38 Aprire Server Manager Fare clic su Remote Desktop Services nel riquadro sulla sinistra Aprire le proprietà Collections Nella sezione Security, il valore Security Layer deve essere impostato su SSL (TLS 1.0) o Negotiate 9.1.1 Autorizzazione di utenti non 2FA Il modulo può essere configurato per autorizzare o impedire agli utenti che non hanno abilitato 2FA di accedere ai computer remoti con Remote Desktop Protocol attraverso l'opzione di configurazione "Users without 2FA enabled may still log in". Questo scenario si verifica se l'utente non è configurato né per le OTP basate su SMS né per la Mobile Application e l'opzione di configurazione Remote Desktop per consentire l'accesso degli utenti non-2FA è abilitata. L'opzione di configurazione per consentire gli utenti non-2FA viene abilitata per impostazione predefinita dopo l'installazione. In questa configurazione, un utente può eseguire l'accesso al computer remoto con la password di Active Directory. Se l'opzione di configurazione per consentire gli utenti non-2FA è disabilitata, l'utente non potrà accedere ai computer remoti con Remote Desktop Protocol. 39 9.2 Utilizzo Il funzionamento del modulo Remote Desktop Protection può essere verificato come descritto di seguito: 1. Per eseguire la verifica è necessario un utente del dominio per il quale sia abilitata l'autenticazione ESA 2FA nello strumento di gestione ADUC. Tale utente deve essere aggiunto come un utente di Remote Desktop consentito sul computer remoto. 2. È inoltre necessario un computer sul quale sia abilitato il Remote Desktop Access. 3. Connettersi al computer remoto tramite un client Remote Desktop ed eseguire l'autenticazione come di consueto utilizzando le credenziali di Active Directory dell'utente test. 4. Verrà visualizzata la schermata di richiesta della OTP, come mostrato nella figura sottostante. a. Se l'utente è abilitato per le OTP tramite SMS, riceverà un SMS contenente una OTP che può essere immessa per eseguire l'autenticazione. b. Se l'utente ha installato l'applicazione mobile ESA sul proprio telefono, questa potrebbe essere utilizzata per generare una OTP per eseguire l'autenticazione. Al fine di migliorare la leggibilità, le OTP sono visualizzate nell'applicazione mobile con uno spazio tra la terza e la quarta cifra. Il modulo di Remote Desktop Protection rimuove lo spazio vuoto in modo tale che l'utente può includerlo o meno quando immette una OTP senza influenzare l'autenticazione. 5. Se la OTP immessa è valida, all'utente viene concesso l'accesso al computer al quale ha tentato di connettersi. 6. Se la OTP immessa non è valida, verrà visualizzato un messaggio di errore e all'utente non verrà consentito l'accesso al computer remoto. 9.3 Accesso Web Desktop remoto In caso di utilizzo di una protezione 2FA di un client RDP sul server in uso che ospita l'Accesso Web Desktop remoto (RDWA), le impostazioni predefinite richiedono l'autenticazione 2FA per il lancio delle applicazioni disponibili nell'RDWA in uso. Ciò significa che, se un utente tenta di accedere al sito Web dell'RDWA in uso, gli verrà richiesto di inserire una password OTP. Se l'utente inserisce una OTP, valida, accede e tenta di lanciare un'applicazione disponibile nel sito Web in uso, gli verrà nuovamente richiesto di fornire una password OTP. Se si desidera che a un utente autenticato (che ha utilizzato una OTP valida per accedere al sito Web dell'RDWA in uso) non venga richiesta una password OTP durante il lancio di un'applicazione nel sito Web in uso, è necessario seguire la procedura sottostante: 1. In ESA Management Console accedere a ESET Secure Authentication > <dominio> > Basic Settings > Trusted Networks 2. Fare clic sulla riga Inserimento di IP nella whitelist 3. Inserire l'indirizzo IP localhost: 127.0.1.0,::1 in the text box 4. Selezionare la casella di controllo accanto a RDP 40 5. Fare clic su Save. 10. Inserimento nella whitelist degli indirizzi IP Nel caso di utenti specifici per i quali si desidera garantire l'accesso a Remote Desktop o ad applicazioni Web supportate protette dall'autenticazione 2FA senza il bisogno di inserire una password OTP, è possibile inserire i relativi indirizzi IP nella whitelist. Per eseguire tale operazione, aprire ESA Management Console nell'applicazione ESET Secure Authentication Settings e accedere a ESET Secure Authentication > < dominio > > Basic Settings > Trusted Networks. Selezionare la casella di controllo accanto a Allow access without OTP from trusted networks, definire gli indirizzi IP desiderati, selezionare i servizi da inserire nella whitelist e fare clic su Save. NOTA: durante l'analisi delle connessioni RDP per scoprire se l'utente (indirizzo IP) sia stato o meno inserito nella whitelist, si analizzano gli indirizzi IP che effettuano la connessione tramite la porta RDP . Tale operazione potrebbe generare un errore in presenza di connessioni RDP multiple contemporanee, in quanto non è possibile distinguere l'indirizzo IP degli utenti che sono 41 già connessi da quelli che stanno tentando di effettuare la connessione. Per eliminare il prompt OTP , è necessario inserire nella whitelist tutti gli indirizzi IP che stanno eseguendo la connessione. Di conseguenza, se un utente non inserito nella whitelist è già connesso e un utente inserito nella whitelist sta effettuando una connessione, a quest'ultimo sarà richiesto di inserire una password OTP. Se la VPN in uso è protetta dall'autenticazione 2FA e si desidera che gli utenti i cui indirizzi IP sono stati inseriti nella whitelist accedano alla VPN in uso senza password OTP, è necessario soddisfare i seguenti criteri: Nella configurazione del client RADIUS, selezionare le caselle di controllo accanto a VPN validates username and password e Active Directory passwords without OTPs Assicurarsi che l'utente a cui appartiene l'indirizzo IP inserito nella whitelist non presenti opzioni 2FA abilitate: consultare Gestione utenti Se si soddisfano questi criteri, l'utente può accedere alla VPN senza inserire una password o utilizzando come password la parola none Tenere presente che Accesso Web remoto e Accesso Web Desktop remoto sono due cose distinte. 11. Hard token Un hard token è un dispositivo che genera una OTP e che può essere utilizzato insieme a una password come chiave elettronica per l'accesso a un sistema. Gli hard token sono dispositivi che presentano forme diverse, come ad esempio portachiavi da agganciare a un anello o carte di credito da conservare nel portafoglio. ESA supporta tutti gli hard token HOTP conformi all'autenticazione OATH, ma non forniti da ESET. Gli hard token HOTP possono essere utilizzati allo stesso modo delle OTPs generate dall'applicazione mobile o inviate all'utente tramite SMS. Gli scenari di utilizzo di tali strumenti sono il supporto della migrazione dei token legacy per motivi di conformità o di adeguamento alle politiche aziendali. Si tenga presente che le OATH TOTP (OTP basate sul tempo) non sono supportate. 11.1 Gestione hard token Questa sezione illustra le modalità di abilitazione e di gestione degli hard token attraverso l'utilizzo di ESA Management Console. Questo strumento consiste principalmente di tre funzioni: 1. Importazione degli hard token nel sistema 2. Eliminazione degli hard token 3. Risincronizzazione degli hard token 42 11.1.1 Attiva Per impostazione predefinita, gli hard token sono disabilitati e devono essere abilitati prima dell'uso. Una volta abilitati, gli hard token devono essere importati prima che la funzionalità completa sia disponibile. Gli hard token vengono abilitati come segue: 1. Lanciare ESET Secure Authentication Management Console e accedere al nodo "Advanced Settings" per il dominio di riferimento. 2. Espandere la sezione "Hard Tokens" e selezionare la casella di controllo "Hard tokens are enabled". Salvare le modifiche. 3. Se l'operazione viene eseguita correttamente, comparirà un nodo "Hard Tokens". La gestione degli hard token può essere eseguita qui. 11.1.2 Importa Per utilizzare tutte le funzionalità degli hard token, è necessario importarli. Una volta eseguita questa operazione, gli hard token potranno essere assegnati agli utenti. Per importare i token attenersi alle seguenti istruzioni: 1. Lanciare ESET Secure Authentication Management Console e accedere al nodo "Hard Tokens" per il dominio di riferimento. 2. Fare clic sull'azione "Import Tokens". 3. Selezionare il file da importare. Il file deve essere un XML in formato PSKC. NOTA: se il fornitore dell'hard token non ha ricevuto il file, è necessario contattare il Supporto ESA. 4. Fare clic sul pulsante Import tokens. 5. Comparirà una finestra dei risultati in cui viene indicato il numero di hard token importati. 6. Facendo clic su OK , le finestre si chiuderanno e verranno visualizzati gli hard token importati. 43 44 11.1.3 Elimina Potrebbe essere necessario eliminare un token dal sistema. Per eliminare i token attenersi alle seguenti istruzioni: 1. Lanciare ESET Secure Authentication Management Console e accedere al nodo "Hard Tokens" per il dominio di riferimento. 2. Selezionare l'hard token da eliminare. 3. Fare clic sull'azione Delete per l'hard token selezionato. 4. Fare clic sul pulsante "Yes" nella casella di conferma. 11.1.4 Risincronizzazione È possibile che un hard token non sia più sincronizzato con il sistema. Tale condizione può verificarsi se un utente genera un numero elevato di nuove OTP in un breve lasso di tempo. Questo scenario richiederà una risincronizzazione. La risincronizzazione di un hard token può essere eseguita come segue: 1. Lanciare ESET Secure Authentication Management Console e accedere al nodo "Hard Tokens" per il dominio di riferimento. 2. Selezionare l'hard token da risincronizzare. 3. Fare clic sull'azione "Resynchronize Token" per l'hard token selezionato. 4. Questa operazione apre la finestra Hard Token Resync. 5. Generare e inserire due OTP consecutive utilizzando l'hard token selezionato. 6. Fare clic sul pulsante Resync . 7. A questo punto, dovrebbe comparire un messaggio di completamento dell'operazione. 45 11.2 Gestione utenti hard token Questa sezione illustra la gestione degli utenti di hard token. Per un corretto funzionamento di questa funzionalità, è necessario abilitare e importare gli hard token nel sistema. La gestione degli utenti avviene attraverso la scheda ESET Secure Authentication nello strumento ADUC. Sono disponibili due funzioni: 1. Abilita l'autenticazione degli hard token per un utente e ne assegna uno. 2. Revoca un hard token collegato a un utente. 11.2.1 Attiva e assegna In caso di attivazione di hard token per un utente, è necessario assegnarne uno prima di procedere. Eseguire l'attivazione e l'assegnazione in base alle istruzioni che seguono: 1. Aprire il profilo dell'utente dall'ADUC. 2. Accedere alla scheda ESET Secure Authentication. 3. Attivare il tipo di token Hard Token. 4. Nel gruppo Hard Token Management, selezionare un token da assegnare. 5. Fare clic sul pulsante Apply . L'hard token è ora assegnato all'utente. 46 47 11.2.2 Revoca La revoca di un hard token per un utente disabiliterà anche quell'utente per l'autenticazione dell'hard token. La revoca di un hard token può essere eseguita come segue: 1. Aprire il profilo dell'utente dallo strumento ADUC. 2. Accedere alla scheda ESET Secure Authentication. 3. Fare clic sul pulsante Revoke. 12. API ESA API è un servizio Web basato su REST che può essere utilizzato per aggiungere facilmente il metodo 2FA alle applicazioni esistenti. Nella maggior parte delle applicazioni basate sul Web, gli utenti vengono autenticati prima di poter accedere alle risorse protette. La richiesta di un fattore di autenticazione aggiuntivo durante il processo di accesso consente a tali applicazioni di essere più resilienti agli attacchi. La documentazione completa sull'API per gli sviluppatori è disponibile nel Manuale dell'utente sull'API. 48 12.1 Panoramica sull'integrazione L' API è costituita da due endpoint che vengono entrambi chiamati da testo formattato POSTing JSON agli URL API rilevanti. Tutte le risposte sono inoltre codificate come testo formattato JSON contenente il risultato del metodo ed eventuali messaggi di errore applicabili. Il primo endpoint ( Authentication API) viene utilizzato per l'autenticazione dell'utente e il secondo endpoint (User Management API) viene utilizzato per la gestione degli utenti. L'API è disponibile su tutti i server sui quali è installato il componente Authentication Core e viene eseguito sul protocollo HTTPS sicuro sulla porta 8001. L'API di autenticazione è disponibile su URL con il formato https://127.0.0.1:8001/auth/v1/ e User Management API è disponibile su URL con il formato https://127.0.0.1:8001/manage/users/v1/.. Entrambi gli endpoint sono protetti dall'accesso non autorizzato tramite l'HTTP Basic Authentication standard, che richiede una serie valida di API Credentials prima dell'elaborazione di qualsiasi richiesta. Il programma di installazione ESET Secure Authentication utilizza automaticamente un certificato di protezione SSL appropriato installato sulla macchina oppure genera un nuovo certificato autofirmato nel caso in cui non riesca a trovarne un altro. 12.2 Configurazione Per impostazione predefinita, l'API è disabilitata e deve essere abilitata prima dell'uso. Una volta abilitata, è necessario creare le credenziali API per autorizzare le richieste: 1. Lanciare ESET Secure Authentication Management Console e accedere al nodo "Advanced Settings" per il dominio di riferimento. 2. Espandere la sezione "API" e selezionare la casella di controllo "API is enabled". Salvare le modifiche. 3. Aprire la console Servizi standard di Windows e riavviare il servizio ESET Secure Authentication Core per rendere effettive le modifiche. 4. Accedere al nodo "API Credentials" appena visualizzato per il dominio. 5. Fare clic sull'azione "Add Credentials" per creare una nuova serie di credenziali. 6. Fare doppio clic sulle credenziali appena create per ricevere il nome utente e la password da utilizzare per l'autenticazione API. 7. Selezionare la casella di controllo "Enabled for Auth API", la casella di controllo "Enabled for User Management API" o entrambe. È possibile creare molteplici serie di credenziali API. È consigliabile creare serie differenti per ciascuna applicazione da proteggere, oltre a una serie per l'esecuzione di test. Se l'API è abilitata, tutti i server sui quali è installato il componente Authentication Core risponderanno alle richieste API autorizzate dopo il riavvio. Non è necessario riavviare il servizio Authentication Core quando si creano o eliminano credenziali. 12.3 Sostituzione del certificato SSL L' API utilizza un certificato SSL che consente di proteggere le comunicazioni API dalle intercettazioni. Il programma di installazione seleziona automaticamente un certificato appropriato installato sulla macchina oppure genera un nuovo certificato autofirmato nel caso in cui non riesca a trovarne uno. In questa sezione viene illustrato come sostituire il certificato con uno altro scelto dall'utente. Verrà innanzitutto spiegato come importare il nuovo certificato in Windows e successivamente come utilizzarlo per ESA. 12.3.1 Prerequisiti Per eseguire le istruzioni presenti in questa guida è necessario osservare quanto segue: Tutti i sistemi operativi: o Un'installazione del componente ESET Secure Authentication Core o Accesso dell'amministratore al computer in cui è installato ESET Secure Authentication o Il certificato SSL che si desidera utilizzare in formato PKCS12 (.pfx o .p12) Il file del certificato deve contenere una copia della chiave privata nonché della chiave pubblica Solo Windows 2003: 49 o Lo strumento httpcfg.exe contenuto nel pacchetto di Windows Support Tools (sul CD di installazione o scaricabile dall'indirizzo http://www.microsoft.com/en-us/download/details.aspx?id=18546) NOTA: per sostituire il certificato non è necessario che l'ESA Authentication API sia abilitata. 12.3.2 Importazione del nuovo certificato Prima di poter essere utilizzato, il nuovo certificato deve essere posizionato nell'archivio Macchina locale\Personale. 1. Avviare Microsoft Management Console (MMC): o Windows Server 2003: Start -> Esegui -> Digitare "mmc.exe" e premere il tasto "Enter" o Windows Server 2008+: Start -> Esegui "mmc.exe" e premere il tasto "Enter" 2. Aggiungere lo snap-in dei certificati: o Windows Server 2003: Fare clic su "File" -> "Aggiungi/Rimuovi snap-in" -> Pulsante "Aggiungi" Selezionare "Certificati" nell'elenco Fare clic sul pulsante "Aggiungi" Selezionare "Account del computer" Fare clic su "Avanti" Selezionare "Computer locale" Fare clic su "Fine" Fare clic su "Chiudi" Fare clic su "OK" o Windows Server 2008+: Fare clic su "File" -> "Aggiungi/Rimuovi snap-in" Selezionare "Certificati" nella colonna a sinistra Fare clic sul pulsante "Aggiungi >" Selezionare "Account del computer" Fare clic su "Avanti" Selezionare "Computer locale" Fare clic su "Fine" Fare clic su "OK" 3. Facoltativamente salvare lo snap-in per uso futuro ("File" -> "Salva") 4. Selezionare i "Certificati (Computer locale)" -> nodo "Personale" nella struttura ad albero 5. Fare clic con il pulsante destro del mouse -> "Tutte le attività" -> "Importa" 6. Seguire le istruzioni della procedura di importazione guidata, prestando attenzione a posizionare il certificato nell'archivio dei certificati "Personale" 7. Fare doppio clic sul certificato e accertarsi che sia visualizzata la riga "Si dispone di una chiave privata che corrisponde a questo certificato" 50 12.3.3 Sostituzione del certificato ESA NOTA: il servizio ESA Core Authentication non verrà avviato se non è configurato un certificato. Se si rimuove il certificato, è necessario aggiungerne un altro prima di poter eseguire correttamente il servizio Core. Determinare il certificato corretto da utilizzare: 1. Aprire lo strumento di gestione certificati di MMC eseguendo i passaggi precedenti 2. Individuare il certificato che si desidera utilizzare nella cartella "Personale" e fare doppio clic su di esso 3. Verificare che sulla scheda "Generale" sia visualizzato il messaggio "Si dispone di una chiave privata che corrisponde a questo certificato" 4. Nella scheda "Dettagli" selezionare il campo "Identificazione personale" 5. L'identificazione personale del certificato viene visualizzata nel riquadro inferiore (serie di due cifre esadecimali separate da spazi) Windows Server 2003: 1. Fare clic su "Start" -> "Programmi" -> "Strumenti di supporto di Windows" -> "Prompt dei comandi" 2. Digitare "httpcfg query ssl -i 0.0.0.0:8001" e premere il tasto "Enter" 3. Copiare e incollare il campo "Hash" in un posto sicuro nel caso in cui si desideri aggiungere nuovamente il certificato esistente 4. Digitare "httpcfg delete ssl -i 0.0.0.0:8001" e premere il tasto "Invio" 5. Dovrebbe essere visualizzato il messaggio "HttpDeleteServiceConfiguration completed with 0." 6. Digitare "httpcfg set ssl -i 0.0.0.0:8001 -g {BA5393F7-AEB1-4AC6-B759-1D824E61E442} -h <THUMBPRINT>", sostituendo <THUMBPRINT> con i valori dell'identificazione personale del certificato senza spazi e premere il tasto "Enter" 7. Dovrebbe essere visualizzato il messaggio "HttpSetServiceConfiguration completed with 0" 8. Riavviare il servizio ESET Secure Authentication Core per rendere effettivo il nuovo certificato Windows Server 2008+ Fare clic su "Start" -> Digitare "cmd.exe" Nell'elenco dei programmi, fare clic con il pulsante destro del mouse sulla voce "cmd.exe" e selezionare "Esegui come amministratore" Digitare "netsh http show sslcert ipport=0.0.0.0:8001" e premere il tasto "Enter" Copiare e incollare il campo "Certificate Hash" in un posto sicuro nel caso in cui si desideri aggiungere nuovamente il certificato esistente Digitare "netsh http delete sslcert ipport=0.0.0.0:8001" e premere il tasto "Enter" Dovrebbe essere visualizzato il messaggio "SSL Certificate successfully deleted" Digitare "netsh http add sslcert ipport=0.0.0.0:8001 appid={BA5393F7-AEB1-4AC6-B759-1D824E61E442} certhash=<THUMBPRINT>", sostituendo <THUMBPRINT> con i valori dell'identificazione personale del certificato senza spazi e premere il tasto "Enter" Dovrebbe essere visualizzato il messaggio "SSL Certificate successfully added" Riavviare il servizio ESET Secure Authentication Core per rendere effettivo il nuovo certificato 13. Gestione utenti avanzata La scheda ESET Secure Authentication per un utente nell'ADUC è suddivisa in quattro sezioni: User State (indicato mediante un contrassegno colorato a titolo di riferimento rapido) Enabled Token Types (caselle di controllo) Administrator Actions (pulsanti) Auditing Data (dati di testo che segnalano gli eventi di autenticazione) 51 13.1 Stati utente Durante il normale utilizzo, gli stati dell'utente possono essere molteplici. Prima di abilitare un utente per l'autenticazione 2FA, è necessario che si trovi nello stato non inizializzato: 52 Un utente può essere abilitato per OTP basate su SMS, Mobile Application OTP o entrambe. Se è abilitato per entrambe, si trova nello stato noto come transitorio: 53 In questo stato, riceverà OTP tramite SMS quando tenta di accedere ma non appena viene utilizzata una OTP mobile valida per l'autenticazione, le SMS OTP verranno disabilitate e l'utente potrà eseguire l'autenticazione utilizzando esclusivamente le OTP mobili. Quando un utente esegue l'autenticazione tramite una OTPgenerata dall'applicazione mobile, viene visualizzato un contrassegno verde: 54 Durante l'autenticazione delle OTP, un utente ha a disposizione 10 tentativi per immettere una OTP non corretta. All'undicesimo tentativo di immissione della OTP, l'autenticazione 2FA di un utente viene bloccata. In questo modo si impedisce il riconoscimento di forza bruta delle OTP. Quando l'autenticazione 2FA di un utente viene bloccata, viene visualizzato un contrassegno rosso: Se viene confermato che l'identità di un utente non sta subendo un attacco, è sufficiente fare clic sul pulsante Unlock 2FA per sbloccare l'autenticazione 2FA dell'utente. 55 Se le Hard Token OTPs sono state attivate nell'MMC, la casella di controllo hard token diventerà attiva. Ci sono altri stati in cui l'utente potrebbe trovarsi. L'utente potrebbe essere abilitato per una qualsiasi combinazione dei tre tipi di OTP, compreso uno stato di transizione. Le varie possibilità sono elencate di seguito. L'utente potrebbe trovarsi solo in uno stato di Hard Token OTP: 56 Oppure in uno stato di transizione in cui tutti e tre i tipi di OTP sono abilitati. In questo stato, riceverà OTP tramite SMS quando tenta di accedere ma non appena viene utilizzata una OTP mobile valida per l'autenticazione, le SMS OTP verranno disabilitate e l'utente potrà eseguire l'autenticazione utilizzando esclusivamente le OTP mobili o Hard Token OTPs: 57 Nello stato che segue, l'utente viene abilitato sia per le OTP Hard Token sia per le OTPs: mobili 58 Se l'applicazione mobile è stata inviata ma non ancora installata, l'utente si troverà nel seguente stato: 59 L'utente potrebbe inoltre trovarsi in uno stato in cui sono consentiti sia gli SMS sia le Hard Token OTPs: 60 13.2 Provisioning di telefoni multipli È possibile distribuire l'applicazione mobile o il servizio di messaggi di testo SMS di ESET Secure Authentication a più telefoni cellulari tramite ADUC. Affinché l'esecuzione del provisioning su più telefoni cellulari riesca, è necessario che tutti gli utenti abbiano inserito un numero di telefono cellulare valido nel campo User Properties sotto a 'Mobile' (per informazioni su come immettere un numero di telefono cellulare di un utente nel campo User Properties, consultare la sezione Gestione utenti). 1. Aprire la normale vista utente ADUC. 2. Tenere premuto il tasto CTRL e fare clic per selezionare gli utenti per i quali eseguire il provisioning. 3. Fare clic con il pulsante destro del mouse sul gruppo di utenti per il quale si desidera eseguire il provisioning e selezionare Properties dal menu contestuale. 4. Nella finestra Properties for Multiple Items, fare clic sulla scheda ESET Secure Authentication. 5. Selezionare le caselle di controllo accanto a Update Enabled Token Types e Mobile Application (lasciare deselezionata la casella di controllo accanto a OTP basate su SMS). 61 6. Fare clic su Send Application. Sui telefoni client verrà ricevuto un messaggio di testo contenente un collegamento alla pagina di download dell'applicazione mobile ESA. Istruzioni sull'installazione e sull'utilizzo dell'applicazione mobile (fare clic sul sistema operativo del dispositivo mobile desiderato per essere reindirizzati all'articolo corrispondente): Android BlackBerry iPhone Windows Phone 62 13.3 Ignora campo numero telefono cellulare È possibile specificare il campo Active Directory dal quale viene caricato il numero di telefono cellulare di un utente. Per impostazione predefinita, viene utilizzato il campo "Mobile". Per modificare il campo relativo al numero di telefono cellulare, procedere come descritto di seguito: 1. Lanciare ESA Management Console. 2. Espandere il nodo del dominio. 3. Accedere al nodo Advanced Settings. 4. Espandere il riquadro Default Mobile Number Field. 5. Sarà possibile selezionare un campo differente da utilizzare per caricare il numero di telefono cellulare di un utente. 6. Dopo aver selezionato un campo differente da utilizzare, fare clic su Save. 7. Riavviare ESET Secure Authentication Core Authentication Service: a. Individuare ESET Secure Authentication Core Service nei Windows Services (sotto a Control Panel - Administrative Tools - View Local Services). b. Fare clic con il pulsante destro del mouse su ESET Secure Authentication Radius Service e selezionare Restart. 63 13.4 Gestione utenti basata sui gruppi Il monitoraggio degli utenti attivati nel dominio in uso per l'autenticazione a due fattori rappresenta un'operazione complessa all'interno di domini di grandi dimensioni. Per risolvere questo problema, ESET Secure Authentication offre un sistema automatico di attività di manutenzione per gli utenti 2FA attraverso l'appartenenza ai gruppi Active Directory. In pratica, durante l'installazione, vengono creati tre gruppi Active Directory attivi: Utenti ESA Il gruppo di utenti ESA non contiene direttamente utenti, ma gli utenti degli SMS ESA e il gruppo di utenti dell'applicazione mobile ESA. L'appartenenza al gruppo transitivo può quindi essere utilizzata per individuare tutti gli utenti 2FA nel dominio di riferimento attraverso l'utilizzo di questo gruppo. Utenti degli SMS ESA Il gruppo di utenti degli SMS ESA contiene tutti gli utenti nel dominio in uso che sono stati abilitati per le OTP tramite SMS. Utenti dell'applicazione mobile ESA Il gruppo di utenti dell'applicazione mobile ESA contiene tutti gli utenti che sono stati abilitati per le OTP tramite applicazione mobile. L'appartenenza al gruppo viene aggiornata in tempo reale durante la configurazione degli utenti nell'ADUC. La ricerca di tutti gli utenti che sono stati abilitati, ad esempio, per le OTP tramite SMS è semplice: 1. Lanciare l'ADUC 2. Fare clic con il pulsante destro del mouse sul nodo del dominio e selezionare Find 3. Digitare "ESA SMS" e premere Invio: il gruppo verrà visualizzato nella sezione Search Result 4. Fare doppio clic sul gruppo e selezionare la scheda Members per visualizzare tutti gli utenti nel dominio in uso che sono stati abilitati per le OTP tramite SMS. 14. Argomenti VPN avanzati In questo capitolo sono illustrati i dettagli di tutte le opzioni disponibili quando si configura l'autenticazione a due fattori per la VPN. 14.1 Opzioni di autenticazione VPN In questa sezione sono illustrati i dettagli di tutte le opzioni disponibili quando si configura un client RADIUS tramite ESA Management Console. 64 14.1.1 OTP basate su SMS Questo scenario si verifica se l'utente è configurato per l'utilizzo delle sole OTP basate su SMS e il client RADIUS è configurato per l'utilizzo dell'autenticazione di OTP basate su SMS. In questa configurazione, un utente esegue l'accesso con la password di Active Directory. Il primo tentativo di autenticazione da parte del client VPN non riuscirà e all'utente verrà richiesto di immettere nuovamente la password. Contemporaneamente, l'utente riceverà un SMS contenente la OTP. L'utente esegue quindi l'accesso con la OTP inviata nell'SMS. Se la OTP è corretta, il secondo tentativo di autenticazione riuscirà. Questa sequenza è illustrata nella Figura 1: RADIUS SMS OTP Authentication. Protocolli di autenticazione supportati: PAP, MSCHAPv2. 14.1.2 OTP basate su SMS su richiesta ESET Secure Authentication supporta "On-demand SMS OTP" per determinati sistemi che supportano l'autenticazione primaria rispetto ad Active Directory e l'autenticazione secondaria rispetto a un server RADIUS. In questo scenario, gli utenti che sono già stati autenticati su Active Directory devono digitare le lettere 'sms' (senza apostrofi) nel campo ESA OTP per ricevere una One Time Password tramite SMS. NOTA: utilizzare questa funzionalità solo quando previsto da una ESET Secure Authentication Integration Guide ufficiale poiché, se non utilizzata in maniera corretta, potrebbe consentire agli utenti di eseguire l'autenticazione solo con una OTP. 14.1.3 Applicazione mobile Questo scenario si verifica se l'utente è configurato per utilizzare esclusivamente la Mobile Application e il client RADIUS è configurato per l'utilizzo dell'autenticazione OTP tramite applicazione mobile. L'utente accede con una OTP generata dalla Mobile Application. Si noti che in questa configurazione è fortemente consigliata l'applicazione del PIN per assicurare un secondo fattore di autenticazione. Protocolli PPTP supportati: PAP, MSCHAPv2. NOTA: se sulla Mobile Application è stata attivata la protezione con PIN, l'utente potrà accedere utilizzando un codice PIN errato per proteggere il codice PIN corretto da attacchi di forza bruta. Per esempio, se un autore di attacchi tenta di accedere alla Mobile Application utilizzando un codice PIN errato, il suo accesso potrebbe essere autorizzato, ma la OTP non funzionerà. Dopo aver digitato svariate volte una password OTPerrata, l'autenticazione 2FA dell'account utente (a cui appartiene la Mobile Application ) sarà automaticamente bloccata. Tale situazione rappresenta un problema di minore entità per un utente generico: se l'utente accede alla Mobile Application utilizzando un codice PIN errato e modifica successivamente il codice PIN creandone uno nuovo, tutti i token inclusi nella Mobile Application diventeranno inutilizzabili. Non esiste alcun modo per riparare questi token; l'unica soluzione consiste nell'esecuzione di un nuovo provisioning dei token sulla Mobile Application. Si consiglia pertanto agli utenti di provare una OTP prima di modificare il codice PIN; se la OTP funziona, la modifica del codice PIN rappresenta una procedura sicura. Compound Authentication Enforced Questo scenario si verifica se il client RADIUS è configurato per l'utilizzo di Compound Authentication. Questo metodo di identificazione è limitato agli utenti che sono configurati per l'utilizzo della Mobile Application. In questo scenario, un utente accede alla VPN immettendo la password di Active Directory (AD) concatenata a una OTP generata 65 dalla Mobile Application. Ad esempio, data una password AD 'password' e una password OTP '123456', l'utente inserisce 'password123456' nel campo password del relativo client della VPN. Protocolli di autenticazione supportati: PAP. 14.1.4 Hard token Questo scenario si verifica nel caso in cui sia l'utente sia il client RADIUS sono configurati per l'utilizzo di OTPs. dell'Hard Token. In base alla configurazione del client della VPN dell'utente, è possibile utilizzare l'autenticazione singola dell'Hard Token o l'autenticazione composta dell'Hard Token. In caso di utilizzo dell'autenticazione composta dell'Hard Token, un utente effettua l'accesso alla VPN inserendo la relativa password Active Directory (AD) concatenata con una password OTP generata dal relativo Hard Token. Ad esempio, data una password AD 'password' e una password OTP '123456', l'utente inserisce 'password123456' nel campo password del relativo client della VPN. Protocolli di autenticazione supportati: PAP. 14.1.5 Migrazione dalle OTP basate su SMS all'applicazione mobile Questo scenario si verifica se l'utente è configurato per l'utilizzo sia delle OTP basate su SMS sia della Mobile Application e il client RADIUS è configurato per l'utilizzo dell'autenticazione OTP. In questa configurazione, l'utente può utilizzare gli scenari OTP basate su SMS oppure Mobile Application OTP (come descritto in precedenza) per eseguire l'accesso. Se l'utente accede con una OTP generata tramite Mobile Application, l'autenticazione con SMS OTP sarà automaticamente disabilitata. Durante i successivi tentativi di accesso, le OTP basate su SMS non saranno accettate come credenziali di accesso. Protocolli di autenticazione supportati: PAP, MSCHAPv2. 14.1.6 Pass-through non 2FA Questo scenario si verifica se l'utente non è configurato per SMS-, Mobile Application- o Hard Token-based OTPs, ed è selezionata l'opzione di configurazione del client RADIUS per consentire le Active Directory passwords without OTPs. In questa configurazione, l'utente esegue l'accesso con la password Active Directory. Protocolli di autenticazione supportati: PAP, MSCHAPv2. NOTA: per Microsoft Routing & Remote Access Server (RRAS) PPTP VPN, la crittografia della connessione VPN non viene eseguita in caso di utilizzo del protocollo di autenticazione PAP ed è, pertanto, sconsigliata. La maggior parte degli altri provider di VPN crittografa la connessione indipendentemente dal protocollo di autenticazione in uso. 14.1.7 Controllo accessi tramite l'appartenenza a gruppi ESA supporta la capacità di consentire solo ai membri di un gruppo specifico di protezione AD di accedere alla VPN tramite il metodo 2FA. Tale capacità è configurata in base al client RADIUS singolo con l'intestazione Access Control. 14.2 OTP e spazi vuoti Al fine di migliorare la leggibilità, le OTP sono visualizzate nell'applicazione mobile con uno spazio tra la terza e la quarta cifra. Tutti i metodi di autenticazione, ad eccezione di MS-CHAPv2, rimuovono lo spazio vuoto dalle credenziali fornite in modo tale che un utente può includerlo o meno senza influenzare l'autenticazione. 66 14.3 Metodi di autenticazione ESA e compatibilità PPP In questa sezione vengono illustrati i metodi di autenticazione PPP che sono compatibili con i metodi di autenticazione ESA. Per consentire tutti i protocolli che i client potrebbero voler utilizzare, è necessario configurare il server VPN. I client VPN degli utenti finali devono essere configurati solo per un singolo protocollo. Qualora venga supportato più di un protocollo, è necessario configurare i client VPN per poter utilizzare MS-CHAPv2 con 128-bit MPPE. Ciò significa che PAP è consigliabile solo per la Compound Authentication. Metodo di autenticazione PAP MS-CHAPv2 MS-CHAPv2 con MPPE SMS-Based OTPs Supportato Supportato Supportato On-demand SMS-Based OTPs Supportato Non supportato Non supportato Mobile-Application (OTP solo) Supportato Supportato Supportato Mobile Application (Compound Supportato Authentication) Non supportato Non supportato Hard Token OTPs Supportato Non supportato Non supportato password Active Directory senza OTPs Supportato Supportato Supportato 67 15. AD FS 3 ESA è un ottimo strumento di protezione in caso di utilizzo di Active Directory Federation Services (AD FS) 3 e qualora si desideri attuare una protezione con 2FA. Durante l'installazione di ESA sul computer su cui è in esecuzione AD FS 3, selezionare il componente AD FS 3 e completare l'installazione. Durante l'installazione di AD FS, viene modificata la configurazione: viene aggiunto il metodo di autenticazione ESET Secure Authentication e, se non viene specificato alcun percorso, si include sia il percorso Intranet sia il percorso Extranet. L'immagine sottostante mostra le modifiche della configurazione con il percorso Intranet selezionato prima dell'installazione del componente AD FS 3 di ESA. 68 Al termine dell'installazione, aprire ESA Management Console, accedere a Basic Settings ed espandereActive Directory Federation Services (AD FS) Protection per visualizzare Protect AD FS 3 on this machine with 2FA e le opzioni Users without 2FA enabled may still log in attivate. 69 Se un sito Web che richiede l'autenticazione verifica l'identità in base all'AD FS 3 e viene applicata la protezione 2FA tramite ESA all'AD FS 3 in questione, all'utente sarà richiesto di inserire una password OTP se la verifica dell'identità dà esito positivo: 16. Controlli e gestione della licenza 16.1 Controllo ESA registra le voci dei controlli nei Registri eventi di Windows, nello specifico nel Registro Application nella sezione Windows Logs. Per visualizzare le voci del controllo è possibile utilizzare Windows Event Viewer. Le voci del controllo rientrano nelle seguenti categorie: Controllo utente o Tentativi di autenticazione riusciti e non riusciti o Modifiche allo stato 2FA, ad esempio, quando un account utente viene bloccato Controllo del sistema o Modifiche alle impostazioni ESA o Avvio o interruzione dei servizi ESA 70 L'utilizzo dell'architettura di registrazione degli eventi standard di Windows facilita l'uso di strumenti di segnalazione e aggregazione di terze parti quali LogAnalyzer. 16.2 Gestione della licenza 16.2.1 Panoramica La licenza ESA prevede tre parametri: User Total Expiry Date SMS Credits I dettagli della licenza vengono inviati dal sistema di ESET Licensing e il sistema ESA controlla automaticamente la validità della licenza. Il server ESA Provisioning potrebbe imporre la licenza limitando il numero di OTP tramite SMS e il provisioning degli utenti. Il server di autenticazione ESA impone inoltre la licenza limitando le azioni di gestione degli utenti e (in casi estremi) disabilitando l'autenticazione utente. 16.2.2 Avvisi Gli avvisi sono comunicati a ESA Administrator nel plug-in User Management nella console ADUC e in ESA Management Console. Durante la gestione utenti Quando la licenza non si trova nello stato normale, nell'interfaccia ADUC (gestione utenti) verrà visualizzato un messaggio di avviso. A causa dello spazio limitato, l'avviso indica il livello di gravità del problema ma non i dettagli. Durante l'amministrazione di sistema Nell'interfaccia di gestione del sistema viene visualizzato lo stato completo della licenza. Verrà quindi visualizzato lo stato generale della licenza, oltre ai dettagli di utilizzo (numero di utenti, crediti SMS residui, giorni residui della licenza). 16.2.3 Stati della licenza La licenza di un server ESA può trovarsi in uno dei seguenti sei possibili stati: 1. OK: tutti i parametri della licenza rientrano nei limiti previsti 2. Warning: almeno un parametro della licenza è vicino al limite consentito 3. SMS Credits Expired: i crediti SMS sono scaduti e non verrà inviata alcuna OTP o SMS per il provisioning. 4. Violation (full functionality): uno dei parametri della licenza ha superato i limiti consentiti ma non viene eseguita alcuna imposizione 5. Violation (limited functionality): un parametro della licenza è stato superato per più di 7 giorni e alcune funzioni di gestione utente sono disabilitate 6. ESA Disabled: la data di scadenza della licenza ESA è trascorsa da più di 30 giorni e l'autenticazione è disabilitata. In questo caso, tutte le chiamate di autenticazione non riusciranno, saranno bloccati tutti i tipi di autenticazione fino a quando ESA non verrà disinstallato e disabilitato dall'amministratore o verrà concessa una nuova licenza. Dati relativi ai License States Nella tabella seguente viene riepilogato in che modo ciascuno dei parametri della licenza può indurre uno degli stati di avviso o di errore della licenza riportati sopra. Warning SMS Credits depleted Violation (full functionality) Violation (limited functionality) ESA Disabled License Expiry meno di 30 giorni prima N/D della scadenza 0 più della data di più di 7 giorni dopo la scadenza della licenza scadenza più/pari a 7 giorni User Numbers meno del 10% o 10 postazioni a Gli utenti attivi hanno più di 7 giorni dopo che gli Mai superato il numero di utenti attivi hanno N/D più di 30 giorni dopo la scadenza 71 disposizione, a seconda del valore più basso SMS Credits meno di 10 crediti SMS rimasti (integrati + ricaricati) utenti ai quali è stata superato la licenza concessa una licenza 0 crediti SMS residui Mai Mai Mai 16.2.4 Imposizione della licenza Nella tabella seguente viene illustrata come viene imposta la licenza sul server di autenticazione ESA. In tutti i casi, un amministratore sarà in grado di disabilitare l'autenticazione ESA per una sottoserie di utenti (disabilitando l'autenticazione 2FA per tali utenti) o per tutti gli utenti (mediante la configurazione di sistema o la disinstallazione del prodotto). OK Warning SMS Credits depleted Violation (full functionality) Violation (limited functionality) ESA Disabled Enable Users for 2FA Consentito Consentito Consentito Consentito Disabilitato Disabilitato Provision Users Consentito Consentito Disabilitato Consentito Disabilitato Disabilitato Authenticate with Consentito Consentito SMS OTP Disabilitato Consentito Consentito Disabilitato Authenticate with Consentito Consentito mobile app Consentito Consentito Consentito Disabilitato Authenticate with Consentito Consentito hard token Consentito Consentito Consentito Disabilitato Manage system configuration Consentito Consentito Consentito Consentito Consentito Consentito Disable Users for 2FA Consentito Consentito Consentito Consentito Consentito Consentito 17. Vista alta disponibilità Tutti i server installati sono visualizzati nel riquadro "servers" della console di gestione ESA. Quando più di un servizio principale viene rilevato sulla rete, vengono visualizzati tutti i server. I server on-line e attivi sono visualizzati in verde, mentre quelli off-line sono visualizzati in rosso. Ciascun ESA Authentication Service installato sul dominio si registra in AD DNS utilizzando un record SRV (come _esetsecauth._tcp). Quando un endpoint (ad esempio un'applicazione Web o un'appliance VPN) inizia l'autenticazione, controlla innanzitutto il proprio elenco interno di server noti. Se l'elenco è vuoto, esegue una ricerca SRV. La ricerca SRV restituirà tutti gli Authentication Servers sul dominio. L'endpoint sceglie quindi un Authentication Server al quale connettersi. Se la connessione non riesce, seleziona un altro server dall'elenco e tenta di eseguire nuovamente la connessione. Se la ridondanza di rete costituisce una criticità quando si protegge la VPN con ESA, è consigliabile configurare autenticatori RADIUS primari e secondari sull'appliance VPN. Installare quindi due server ESA RADIUS sulla rete e configurarli di conseguenza. 72 18. Glossario ADUC: Active Directory Users and Computers interfaccia di gestione COS: sistema operativo client ESA: ESET Secure Authentication ESA core: server di autenticazione che verifica la validità di una password OTP inserita. MRK: chiave di ripristino master Online (modalità on-line): macchina sulla quale sono installati i componenti principali di ESA (almeno il server di autenticazione) ed è in esecuzione il servizio ESET Secure Authentication Service. Disponibile tramite connessione TCP/IP. Offline (modalità off-line): macchina sulla quale sono installati i componenti principali di ESA, il servizio ESET Secure Authentication Service non è in esecuzione o la connessione tramite TCP/IP non è disponibile. OTP: password monouso con validità temporale limitata RDP: protocollo Desktop remoto. Protocollo proprietario sviluppato da Microsoft che fornisce agli utenti un'interfaccia grafica per effettuare la connessione a un altro computer con una connessione di rete. SOS: sistema operativo server 73