Verifica in due passaggi

Questa sezione descrive come utilizzare la verifica in due passaggi per ridurre il rischio di accesso non autorizzato ad Administration Console o Kaspersky Security Center 13.1 Web Console.

Scenario: configurazione della verifica in due passaggi per tutti gli utenti

Questo scenario descrive come abilitare la verifica in due passaggi per tutti gli utenti e come escludere gli account utente dalla verifica in due passaggi. Se non è stata abilitata la verifica in due passaggi per il proprio account prima di abilitarla per tutti gli altri utenti, l'applicazione apre innanzitutto la finestra per abilitare la verifica in due passaggi per il proprio account. Questo scenario descrive anche come abilitare la verifica in due passaggi per il proprio account.

Se è stata abilitata la verifica in due passaggi per il proprio account, è possibile procedere al passaggio di abilitazione della verifica in due passaggi per tutti gli utenti.

Prerequisiti

Prima di iniziare:

• Assicurarsi che il proprio account utente disponga del diritto Modifica elenchi di controllo degli accessi agli oggetti dell'area funzionale Caratteristiche generali: Autorizzazioni utente per la modifica delle impostazioni di protezione per gli account di altri utenti.
• Assicurarsi che gli altri utenti di Administration Server installino un'applicazione di autenticazione nei propri dispositivi.

Passaggi

L'abilitazione della verifica in due passaggi per tutti gli utenti procede per fasi:

1. Installazione di un'applicazione di autenticazione in un dispositivo

   È possibile installare Google Authenticator, Microsoft Authenticator o qualsiasi altra applicazione di autenticazione che supporti l'algoritmo Time-based One-time Password.

2. Sincronizzazione dell'ora dell'applicazione di autenticazione con l'ora del dispositivo in cui è installato Administration Server

   Assicurarsi che l'ora impostata nell'applicazione di autenticazione sia sincronizzata con l'ora di Administration Server.

3. Abilitazione della verifica in due passaggi per il proprio account e ricezione della chiave segreta per il proprio account

   Istruzioni dettagliate:

   • Per Administration Console basata su MMC: Abilitazione della verifica in due passaggi per il proprio account
   • Per Kaspersky Security Center 13.1 Web Console: Abilitazione della verifica in due passaggi per il proprio account

   Dopo aver abilitato la verifica in due passaggi per il proprio account, è possibile abilitare la verifica in due passaggi per tutti gli utenti.

4. Abilitazione della verifica in due passaggi per tutti gli utenti

   Gli utenti con la verifica in due passaggi abilitata devono utilizzarla per accedere ad Administration Server.

   Istruzioni dettagliate:

   • Per Administration Console basata su MMC: Abilitazione della verifica in due passaggi per tutti gli utenti
   • Per Kaspersky Security Center 13.1 Web Console: Abilitazione della verifica in due passaggi per tutti gli utenti
5. Modifica del nome dell'emittente del codice di sicurezza

   Se si dispone di più Administration Server con nomi simili, potrebbe essere necessario modificare i nomi dell'emittente del codice di sicurezza per un migliore riconoscimento dei diversi Administration Server.

   Istruzioni dettagliate:

   • Per Administration Console basata su MMC: Modifica del nome dell'emittente del codice di sicurezza
   • Per Kaspersky Security Center 13.1 Web Console: Modifica del nome dell'emittente del codice di sicurezza
6. Esclusione degli account utente per cui non è necessario abilitare la verifica in due passaggi

   Se necessario, è possibile escludere gli utenti dalla verifica in due passaggi. Gli utenti con account esclusi non devono utilizzare la verifica in due passaggi per accedere ad Administration Server.

   Istruzioni dettagliate:

   • Per Administration Console basata su MMC: Esclusione degli account dalla verifica in due passaggi
   • Per Kaspersky Security Center 13.1 Web Console: Esclusione degli account dalla verifica in due passaggi

Risultati

Al termine di questo scenario:

• La verifica in due passaggi è stata abilitata per l'account.
• La verifica in due passaggi è abilitata per tutti gli account utente di Administration Server, ad eccezione degli account utente che sono stati esclusi.

Informazioni sulla verifica in due passaggi

Kaspersky Security Center fornisce la verifica in due passaggi per gli utenti di Administration Console o Kaspersky Security Center 13.1 Web Console. Quando la verifica in due passaggi è abilitata per il proprio account, ogni volta che si accede ad Administration Console o Kaspersky Security Center 13.1 Web Console è necessario immettere il nome utente, la password e un codice di sicurezza monouso aggiuntivo. Se si utilizza l'autenticazione del dominio per il proprio account, è sufficiente immettere un codice di sicurezza monouso aggiuntivo. Per ricevere un codice di sicurezza monouso è necessario disporre di un'applicazione di autenticazione nel computer o nel dispositivo mobile.

Un codice di sicurezza ha un identificatore denominato nome dell'emittente. Il nome dell'emittente del codice di sicurezza viene utilizzato come identificatore di Administration Server nell'applicazione di autenticazione. È possibile modificare il nome dell'emittente del codice di sicurezza. Il nome dell'emittente del codice di sicurezza ha un valore predefinito uguale al nome di Administration Server. Il nome dell'emittente viene utilizzato come identificatore di Administration Server nell'applicazione di autenticazione. Se si modifica il nome dell'emittente del codice di sicurezza, è necessario emettere una nuova chiave segreta e passarla all'applicazione di autenticazione. Un codice di sicurezza è monouso ed è valido per un massimo di 90 secondi (il tempo esatto può variare).

Qualsiasi utente per cui è abilitata la verifica in due passaggi può riemettere la propria chiave segreta. Quando un utente esegue l'autenticazione con la chiave segreta riemessa e la utilizza per l'accesso, Administration Server salva la nuova chiave segreta per l'account utente. Se l'utente immette la nuova chiave segreta in modo errato, Administration Server non salva la nuova chiave segreta e mantiene la chiave segreta corrente valida per l'ulteriore autorizzazione.

Qualsiasi software di autenticazione che supporti l'algoritmo TOTP (Time-based One-time Password) può essere utilizzato come applicazione di autenticazione, ad esempio Google Authenticator. Per generare il codice di sicurezza, è necessario sincronizzare l'ora impostata nell'applicazione di autenticazione con l'ora impostata per Administration Server.

Un'applicazione di autenticazione genera il codice di sicurezza nel modo seguente:

1. Administration Server genera una chiave segreta speciale e un codice QR.
2. L'utente specifica la chiave segreta generata o il codice QR generato nell'applicazione di autenticazione.
3. L'applicazione di autenticazione genera un codice di sicurezza monouso che verrà specificato nella finestra di autenticazione di Administration Server.

È consigliabile installare un'applicazione di autenticazione in più di un dispositivo. Salvare la chiave segreta (o il codice QR) e conservarli in un luogo sicuro. Questo codice consentirà di ripristinare l'accesso ad Administration Console o Kaspersky Security Center 13.1 Web Console nel caso in cui si perda l'accesso al dispositivo mobile.

Per proteggere l'utilizzo di Kaspersky Security Center, è possibile abilitare la verifica in due passaggi per il proprio account e abilitare la verifica in due passaggi per tutti gli utenti.

È possibile escludere gli account dalla verifica in due passaggi. Questa operazione può essere necessaria per gli account di servizio che non possono ricevere un codice di sicurezza per l'autenticazione.

La verifica in due passaggi funziona in base alle seguenti regole:

• Solo un account utente che dispone del diritto Modifica elenchi di controllo degli accessi agli oggetti nell'area funzionale Caratteristiche generali: Autorizzazioni utente può abilitare la verifica in due passaggi per tutti gli utenti.
• Solo un utente che ha abilitato la verifica in due passaggi per il proprio account può abilitare l'opzione di verifica in due passaggi per tutti gli utenti.
• Solo un utente che ha abilitato la verifica in due passaggi per il proprio account può escludere altri account utente dall'elenco della verifica in due passaggi abilitata per tutti gli utenti.
• Un utente può abilitare la verifica in due passaggi solo per il proprio account.
• Un account utente che dispone del diritto Modifica elenchi di controllo degli accessi agli oggetti nell'area funzionale Caratteristiche generali: Autorizzazioni utente e che ha eseguito l'accesso ad Administration Console o Kaspersky Security Center 13.1 Web Console utilizzando la verifica in due passaggi può disabilitare la verifica in due passaggi: per qualsiasi altro utente solo se la verifica in due passaggi per tutti gli utenti è disabilitata, per un utente escluso dall'elenco della verifica in due passaggi abilitata per tutti gli utenti.
• Qualsiasi utente che ha eseguito l'accesso ad Administration Console o Kaspersky Security Center 13.1 Web Console utilizzando la verifica in due passaggi può riemettere la propria chiave segreta.
• È possibile abilitare l'opzione di verifica in due passaggi per tutti gli utenti per l'Administration Server attualmente in uso. Se si abilita questa opzione in Administration Server, l'opzione viene abilitata anche per gli account utente dei relativi Administration Server virtuali e non si abilita la verifica in due passaggi per gli account utente degli Administration Server secondari.

Se la verifica in due passaggi è abilitata per un account utente in Kaspersky Security Center Administration Server versione 13 o successive, l'utente non sarà in grado di accedere a Kaspersky Security Center 13.1 Web Console versione 12, 12.1 o 12.2.

Abilitazione della verifica in due passaggi per il proprio account

Prima di abilitare la verifica in due passaggi per il proprio account, assicurarsi che nel dispositivo mobile sia installata un'applicazione di autenticazione. Assicurarsi che l'ora impostata nell'applicazione di autenticazione sia sincronizzata con l'ora di Administration Server.

Per abilitare la verifica in due passaggi per il proprio account:

1. Nella struttura della console di Kaspersky Security Center aprire il menu di scelta rapida della cartella Administration Server, quindi selezionare Proprietà.
2. Nella finestra delle proprietà di Administration Server accedere al riquadro Sezioni e selezionare Avanzate, quindi Verifica in due passaggi.
3. Nella sezione Verifica in due passaggi fare clic sul pulsante Configura.

   Nella finestra delle proprietà della verifica in due passaggi visualizzata verrà mostrata la chiave segreta.

4. Immettere la chiave segreta nell'applicazione di autenticazione per ricevere il codice di sicurezza monouso. È possibile specificare manualmente la chiave segreta nell'applicazione di autenticazione o eseguire la scansione del codice QR tramite il dispositivo mobile.
5. Specificare il codice di sicurezza generato dall'applicazione di autenticazione, quindi fare clic sul pulsante OK per uscire dalla finestra delle proprietà della verifica in due passaggi.
6. Fare clic sul pulsante Applica.
7. Fare clic sul pulsante OK.

La verifica in due passaggi è stata abilitata per il proprio account.

Abilitazione della verifica in due passaggi per tutti gli utenti

È possibile abilitare la verifica in due passaggi per tutti gli utenti di Administration Server se il proprio account dispone del diritto Modifica elenchi di controllo degli accessi agli oggetti nell'area funzionale Caratteristiche generali: Autorizzazioni utente e se è stata eseguita l'autenticazione utilizzando la verifica in due passaggi. Se non è stata abilitata la verifica in due passaggi per il proprio account prima di abilitarla per tutti gli utenti, l'applicazione apre la finestra per abilitare la verifica in due passaggi per il proprio account.

Per abilitare la verifica in due passaggi per tutti gli utenti:

1. Nella struttura della console di Kaspersky Security Center aprire il menu di scelta rapida della cartella Administration Server, quindi selezionare Proprietà.
2. Nella finestra delle proprietà di Administration Server, nel riquadro Sezioni selezionare Avanzate, quindi Verifica in due passaggi.
3. Fare clic sul pulsante Imposta come obbligatoria per abilitare la verifica in due passaggi per tutti gli utenti.
4. Nella sezione Verifica in due passaggi fare clic sul pulsante Applica, quindi fare clic sul pulsante OK.

La verifica in due passaggi è abilitata per tutti gli utenti. D'ora in poi tutti gli utenti di Administration Server, inclusi gli utenti aggiunti dopo aver abilitato questa opzione, dovranno configurare la verifica in due passaggi per i propri account, ad eccezione degli utenti i cui account sono esclusi dalla verifica in due passaggi.

Disabilitazione della verifica in due passaggi per un account utente

Per disabilitare la verifica in due passaggi per il proprio account:

1. Nella struttura della console di Kaspersky Security Center aprire il menu di scelta rapida della cartella Administration Server, quindi selezionare Proprietà.
2. Nella finestra delle proprietà di Administration Server, nel riquadro Sezioni selezionare Avanzate, quindi Verifica in due passaggi.
3. Nella sezione Verifica in due passaggi fare clic sul pulsante Disabilita.
4. Fare clic sul pulsante Applica.
5. Fare clic sul pulsante OK.

La verifica in due passaggi è stata disabilitata per il proprio account.

È possibile disabilitare la verifica in due passaggi degli account di altri utenti. In questo modo viene garantita la protezione ad esempio nel caso in cui un utente perda o rompa un dispositivo mobile.

È possibile disabilitare la verifica in due passaggi dell'account di un altro utente solo se si dispone del diritto Modifica elenchi di controllo degli accessi agli oggetti nell'area funzionale Caratteristiche generali: Autorizzazioni utente. Seguendo la procedura di seguito è possibile disabilitare la verifica in due passaggi anche per il proprio account.

Per disabilitare la verifica in due passaggi per qualsiasi account utente:

1. Nella struttura della console aprire la cartella Account utente.

   La cartella Account utente è una sottocartella della cartella Avanzate per impostazione predefinita.

2. Nell'area di lavoro fare doppio clic sull'account utente per cui si desidera disabilitare la verifica in due passaggi.
3. Nella finestra Proprietà:<nome utente> visualizzata selezionare la sezione Verifica in due passaggi.
4. Nella sezione Verifica in due passaggi selezionare le seguenti opzioni:
   • Se si desidera disabilitare la verifica in due passaggi per un account utente, fare clic sul pulsante Disabilita.
   • Se si desidera escludere questo account utente dalla verifica in due passaggi, selezionare l'opzione L'utente può eseguire l'autenticazione utilizzando solo nome utente e password.
5. Fare clic sul pulsante Applica.
6. Fare clic sul pulsante OK.

La verifica in due passaggi per un account utente è stata disabilitata.

Disabilitazione della verifica in due passaggi per tutti gli utenti

È possibile disabilitare la verifica in due passaggi per tutti gli utenti di Administration Server se si dispone del diritto Modifica elenchi di controllo degli accessi agli oggetti nell'area funzionale Caratteristiche generali: Autorizzazioni utente e se è stata eseguita l'autenticazione utilizzando la verifica in due passaggi.

Per disabilitare la verifica in due passaggi per tutti gli utenti:

1. Nella struttura della console di Kaspersky Security Center aprire il menu di scelta rapida della cartella Administration Server, quindi selezionare Proprietà.
2. Nella finestra delle proprietà di Administration Server, nel riquadro Sezioni selezionare Avanzate, quindi Verifica in due passaggi.
3. Fare clic sul pulsante Imposta come facoltativa per disabilitare la verifica in due passaggi per tutti gli utenti.
4. Fare clic sul pulsante Applica nella sezione Verifica in due passaggi.
5. Fare clic sul pulsante OK nella sezione Verifica in due passaggi.

La verifica in due passaggi è disabilitata per tutti gli utenti.

Esclusione di account dalla verifica in due passaggi

È possibile escludere un account dalla verifica in due passaggi se il proprio account dispone del diritto Modifica elenchi di controllo degli accessi agli oggetti nell'area funzionale Caratteristiche generali: Autorizzazioni utente.

Se un account utente viene escluso dalla verifica in due passaggi, l'utente può accedere ad Administration Console o Kaspersky Security Center 13.1 Web Console senza utilizzare la verifica in due passaggi.

L'esclusione degli account dalla verifica in due passaggi può essere necessaria per gli account di servizio che non possono passare il codice di sicurezza durante l'autenticazione.

Per escludere un account utente dalla verifica in due passaggi:

1. Se si desidera escludere un account Active Directory, eseguire il polling di Active Directory per aggiornare l'elenco degli utenti di Administration Server.
2. Nella struttura della console aprire la cartella Account utente.

   La cartella Account utente è una sottocartella della cartella Avanzate per impostazione predefinita.

3. Nell'area di lavoro fare doppio clic sull'account utente che si desidera escludere dalla verifica in due passaggi
4. Nella finestra Proprietà:<nome utente> visualizzata selezionare la sezione Verifica in due passaggi.
5. Nella sezione visualizzata selezionare l'opzione L'utente può eseguire l'autenticazione utilizzando solo nome utente e password.
6. Nella sezione Verifica in due passaggi fare clic sul pulsante Applica, quindi fare clic sul pulsante OK.

Questo account utente è escluso dalla verifica in due passaggi. È possibile controllare gli account esclusi nell'elenco degli account utente.

Modifica del nome dell'emittente del codice di sicurezza

È possibile disporre di più identificatori (chiamati emittenti) per diversi Administration Server. È possibile modificare il nome dell'emittente di un codice di sicurezza ad esempio nel caso in cui Administration Server utilizzi già un nome simile dell'emittente del codice di sicurezza per un altro Administration Server. Per impostazione predefinita, il nome dell'emittente di un codice di sicurezza è uguale al nome di Administration Server.

Dopo aver modificato il nome dell'emittente del codice di sicurezza, è necessario riemettere una nuova chiave segreta e passarla all'applicazione di autenticazione.

Per specificare un nuovo nome dell'emittente del codice di sicurezza:

1. Nella struttura della console di Kaspersky Security Center aprire il menu di scelta rapida della cartella Administration Server, quindi selezionare Proprietà.
2. Nella finestra delle proprietà di Administration Server, nel riquadro Sezioni selezionare Avanzate, quindi Verifica in due passaggi.
3. Specificare un nuovo nome dell'emittente del codice di sicurezza nel campo Emittente codice di sicurezza.
4. Fare clic sul pulsante Applica nella sezione Verifica in due passaggi.
5. Fare clic sul pulsante OK nella sezione Verifica in due passaggi.

Viene specificato un nuovo nome dell'emittente del codice di sicurezza per Administration Server.