Windows登录双重认证

随着安全漏洞的复杂性与日俱增,仅依靠用户名和密码来保护用户的帐户不再是一种选择。必须添加额外的安全层来过滤掉未经授权的用户。这可以使用双重身份验证(2FA),这种方法使用生物识别、谷歌身份验证器和YubiKey等其他身份验证方法来验证用户的身份。

使用ADSelfService Plus实现Windows登录的2FA

启用ADSelfService Plus的2FA for Windows登录功能后,用户必须连续两个阶段进行身份验证才能访问他们的Windows机器。第一级身份验证使用他们通常的Windows AD凭据进行。对于第二级身份验证,管理员可以从ADSelfService Plus提供的广泛身份验证因素中进行选择,包括:

  1. 指纹
  2. 面容 ID
  3. 双重安全
  4. 微软身份验证器
  1. 谷歌身份验证器
  2. YubiKey身份验证器
  3. 电子邮件验证
  4. 短信验证

在这里找到受支持的身份验证器的完整列表。

screenshot-multi-factor-authentication.png

ADSelfService Plus提供了19种不同的身份验证因素供管理员选择。这些确保了即使未经授权的用户获得对用户凭据的访问权限,他们仍然无法访问用户的机器。

2FA for Windows登录的工作原理

  • 配置后,登录其Windows机器的用户将首先需要其AD域凭据来证明其身份。
  • 接下来,用户必须使用发送到其短信或电子邮件或通过第三方身份验证提供商的时间敏感身份验证代码进行身份验证。根据管理员的配置,他们可能需要通过一种或多种方法进行身份验证。
  • 最后,一旦用户成功验证自己,他们就会登录到他们的Windows机器。
  • 2FA进程甚至会提示RDP登录,类似于配置时的本地登录。

2FA for Windows登录的工作原理

2FA for Windows登录的工作原理

为您的组织定制Windows 2FA

管理员可以自定义ADSelfService Plus的Windows 2FA功能,以满足其组织的需求,如下所示:

  • 可以根据OU和他们所属的组为不同的用户配置不同数量的身份验证因素。
  • 某些身份验证因素可以强制要求。
  • 当使用受信任的设备时,可以允许选定的用户跳过2FA过程。受信任设备是用户已经用于通过2FA过程的设备。信任仅在特定天数内建立,之后用户必须为同一设备重新认证。

基于机器的2FA

基于机器的2FA是ADSelfService Plus提供的一项功能,在登录期间根据设备的策略设置而不是用户的帐户设置触发2FA。启用此功能后,所有登录特定机器的用户都必须使用2FA证明其身份。管理员可以从一系列身份验证器中为基于设备的2FA配置身份验证方法,类似于ADSelfService Plus的Windows登录2FA功能中的身份验证方法。了解更多

适用于Windows UAC的2FA

ADSelfService Plus为Windows用户帐户控制(UAC)提供2FA,以保护在标准用户帐户上执行的提升系统活动。启用此功能后,2FA将提示所有UAC凭据提示,用户只有在成功验证身份后才能执行管理操作。ADSelfService Plus为Windows UAC 2FA提供了多种身份验证因素。此功能与Windows 7及更高版本和Windows Server 2008及更高版本兼容。了解更多

离线2FA

ADSelfService Plus for Windows机器支持离线2FA,以确保远程工作者和没有互联网连接或无法访问ADSelfService Plus服务器的用户的安全。管理员可以配置一个或多个2FA因素,用户可以在登录期间进行身份验证。用户需要在线注册适当的身份验证器,以便在离线时访问他们的机器。了解更多

远程桌面的2FA

ADSelfService Plus为RDP提供2FA,使用其他身份验证方法保护远程Windows登录。它允许管理员提示2FA将RDP连接到客户端机器(也称为主机)或目标机器。在启用基于RDP客户端的2FA时,可以为RDP登录实现基于IP的条件访问。ADSelfService Plus允许管理员自定义身份验证器,从它提供的多个身份验证器中提示RDP 2FA。

ADSelfService Plus 2FA登录代理的系统要求

以下是ADSelfService Plus登录代理支持Windows登录和RDP访问的Windows操作系统版本。

支持的版本

服务器

  • Windows Server 2022
  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008 R2
  • Windows Server 2008

用户

  • Windows 11
  • Windows 10
  • Windows 8.1
  • Windows 8
  • Windows 7
  • Windows Vista

除了Windows操作系统外,ADSelfService Plus还支持macOSLinux操作系统的2FA。

使用ADSelfService Plus为Windows登录启用2FA的好处

 

提高安全性

Windows 2FA确保了更高的安全性,因此即使密码被盗,未经授权的用户仍然需要访问授权用户的电子邮件或电话才能登录Windows机器。

 

各种各样的认证者

ADSelfService Plus中大约有20种不同的身份验证器,为IT管理员提供了多种选择,以为其用户设置身份验证机制。

 

适用于不同用户的不同身份验证器

ADSelfService Plus还为管理员提供了根据用户的OU、组和域会员资格配置2FA的能力。因此,具有不同权限的用户可以拥有不同级别的身份验证。

 

增强用户体验的设备信任选项

使用ADSelfService Plus,用户可以启用受信任设备选项,在初始身份验证后,无需在指定时间内执行2FA即可快速登录其机器。

使用Windows登录2FA提高IT安全性

  • Please enter a business email id
  •  
  • 点击“获取免费试用”,即表示您同意根据隐私政策处理个人数据。

Thanks!

Your download is in progress and it will be completed in just a few seconds!
If you face any issues, download manually here

常见问题解答

1.什么是Windows双重认证?

Windows双重身份验证(2FA)意味着在授予用户网络访问权限之前,使用多个身份验证因素来验证用户的身份,从而确保Windows机器的登录。

2.我的组织需要2FA进行Windows登录吗?

3.我可以在我的组织中实现什么Windows 2FA解决方案?

4.ADSelfService Plus为Active Directory 2FA提供了哪些不同类型的身份验证器?

我们的客户