Verifica in due passaggi

Questa sezione descrive come utilizzare la verifica in due passaggi per ridurre il rischio di accesso non autorizzato a Kaspersky Security Center Web Console.

Informazioni sulla verifica in due passaggi per un account

Kaspersky Security Center Linux fornisce la verifica in due passaggi per gli utenti di Kaspersky Security Center Web Console. Quando la verifica in due passaggi è abilitata per il proprio account, ogni volta che si accede a Kaspersky Security Center Web Console è necessario immettere il nome utente, la password e un codice di sicurezza monouso aggiuntivo. Per ricevere un codice di sicurezza monouso è necessario disporre di un'app di autenticazione nel computer o nel dispositivo mobile.

Un codice di sicurezza ha un identificatore denominato nome dell'emittente. Il nome dell'emittente del codice di sicurezza viene utilizzato come identificatore di Administration Server nell'app di autenticazione. È possibile modificare il nome dell'emittente del codice di sicurezza. Il nome dell'emittente del codice di sicurezza ha un valore predefinito uguale al nome di Administration Server. Il nome dell'emittente viene utilizzato come identificatore di Administration Server nell'app di autenticazione. Se si modifica il nome dell'emittente del codice di sicurezza, è necessario emettere una nuova chiave segreta e passarla all'app di autenticazione. Un codice di sicurezza è monouso ed è valido per un massimo di 90 secondi (il tempo esatto può variare).

Qualsiasi utente per cui è abilitata la verifica in due passaggi può riemettere la propria chiave segreta. Quando un utente esegue l'autenticazione con la chiave segreta riemessa e la utilizza per l'accesso, Administration Server salva la nuova chiave segreta per l'account utente. Se l'utente immette la nuova chiave segreta in modo errato, Administration Server non salva la nuova chiave segreta e mantiene la chiave segreta corrente valida per l'ulteriore autorizzazione.

Qualsiasi software di autenticazione che supporti l'algoritmo TOTP (Time-based One-time Password) può essere utilizzato come app di autenticazione, ad esempio Google Authenticator. Per generare il codice di sicurezza, è necessario sincronizzare l'ora impostata nell'app di autenticazione con l'ora impostata per Administration Server.

Per verificare se Kaspersky Security Center Linux supporta l'app di autenticazione che si desidera utilizzare, abilitare la verifica in due passaggi per tutti gli utenti o per un determinato utente.

Uno dei passaggi suggerisce di specificare il codice di sicurezza generato dall'app di autenticazione. In caso di esito positivo, Kaspersky Security Center Linux supporta l'applicazione di autenticazione selezionata.

Un'app di autenticazione genera il codice di sicurezza nel modo seguente:

1. Administration Server genera una chiave segreta speciale e un codice QR.
2. L'utente specifica la chiave segreta generata o il codice QR generato nell'app di autenticazione.
3. L'app di autenticazione genera un codice di sicurezza monouso che verrà specificato nella finestra di autenticazione di Administration Server.

Si consiglia vivamente di salvare la chiave segreta (o il codice QR) e conservarla in un luogo sicuro. Questo codice consentirà di ripristinare l'accesso a Kaspersky Security Center Web Console nel caso in cui si perda l'accesso al dispositivo mobile.

Per proteggere l’utilizzo di Kaspersky Security Center Linux, è possibile abilitare la verifica in due passaggi per il proprio account e abilitare la verifica in due passaggi per tutti gli utenti.

È possibile escludere gli account dalla verifica in due passaggi. Questa operazione può essere necessaria per gli account di servizio che non possono ricevere un codice di sicurezza per l'autenticazione.

La verifica in due passaggi funziona in base alle seguenti regole:

• Solo un account utente che dispone del diritto Modifica elenchi di controllo degli accessi agli oggetti nell'area funzionale Caratteristiche generali: Autorizzazioni utente può abilitare la verifica in due passaggi per tutti gli utenti.
• Solo un utente che ha abilitato la verifica in due passaggi per il proprio account può abilitare l'opzione di verifica in due passaggi per tutti gli utenti.
• Solo un utente che ha abilitato la verifica in due passaggi per il proprio account può escludere altri account utente dall'elenco della verifica in due passaggi abilitata per tutti gli utenti.
• Un utente può abilitare la verifica in due passaggi solo per il proprio account.
• Un account utente che dispone del diritto Modifica elenchi di controllo degli accessi agli oggetti nell'area funzionale Caratteristiche generali: Autorizzazioni utente e che ha eseguito l'accesso a Kaspersky Security Center Web Console utilizzando la verifica in due passaggi può disabilitare la verifica in due passaggi: per qualsiasi altro utente solo se la verifica in due passaggi per tutti gli utenti è disabilitata, per un utente escluso dall'elenco della verifica in due passaggi abilitata per tutti gli utenti.
• Qualsiasi utente che ha eseguito l'accesso a Kaspersky Security Center Web Console utilizzando la verifica in due passaggi può riemettere la propria chiave segreta.
• È possibile abilitare l'opzione di verifica in due passaggi per tutti gli utenti per l'Administration Server attualmente in uso. Se si abilita questa opzione in Administration Server, l'opzione viene abilitata anche per gli account utente dei relativi Administration Server virtuali e non si abilita la verifica in due passaggi per gli account utente degli Administration Server secondari.

Scenario: Configurazione della verifica in due passaggi per tutti gli utenti

Questo scenario descrive come abilitare la verifica in due passaggi per tutti gli utenti e come escludere gli account utente dalla verifica in due passaggi. Se non è stata abilitata la verifica in due passaggi per il proprio account prima di abilitarla per tutti gli altri utenti, l'applicazione apre innanzitutto la finestra per abilitare la verifica in due passaggi per il proprio account. Questo scenario descrive anche come abilitare la verifica in due passaggi per il proprio account.

Se è stata abilitata la verifica in due passaggi per il proprio account, è possibile procedere al passaggio di abilitazione della verifica in due passaggi per tutti gli utenti.

Prerequisiti

Prima di iniziare:

• Assicurarsi che il proprio account utente disponga del diritto Modifica elenchi di controllo degli accessi agli oggetti dell'area funzionale Caratteristiche generali: Autorizzazioni utente per la modifica delle impostazioni di protezione per gli account di altri utenti.
• Assicurarsi che gli altri utenti di Administration Server installino un'app di autenticazione nei propri dispositivi.

Passaggi

L'abilitazione della verifica in due passaggi per tutti gli utenti procede per fasi:

1. Installazione di un'app di autenticazione in un dispositivo

   È possibile installare qualsiasi applicazione che supporti l'algoritmo TOTP (Time-based One-time Password), ad esempio:

   • Google Authenticator
   • Microsoft Authenticator
   • Bitrix24 OTP
   • Yandex Key
   • Avanpost Authenticator
   • Aladdin 2FA

   Per verificare se Kaspersky Security Center Linux supporta l'app di autenticazione che si desidera utilizzare, abilitare la verifica in due passaggi per tutti gli utenti o per un determinato utente.

   Uno dei passaggi suggerisce di specificare il codice di sicurezza generato dall'app di autenticazione. In caso di esito positivo, Kaspersky Security Center Linux supporta l'applicazione di autenticazione selezionata.

   Si sconsiglia vivamente di installare l'app di autenticazione nello stesso dispositivo da cui viene stabilita la connessione ad Administration Server.

2. Sincronizzazione dell'ora dell'app di autenticazione con l'ora del dispositivo in cui è installato Administration Server

   Verificare che l'ora nel dispositivo con l'app di autenticazione e l'ora nel dispositivo con Administration Server siano sincronizzate con UTC, utilizzando fonti orarie esterne. In caso contrario, potrebbero verificarsi errori durante l'autenticazione e l'attivazione della verifica in due passaggi.

3. Abilitazione della verifica in due passaggi per il proprio account e ricezione della chiave segreta per il proprio account

   Dopo aver abilitato la verifica in due passaggi per il proprio account, è possibile abilitare la verifica in due passaggi per tutti gli utenti.

4. Abilitazione della verifica in due passaggi per tutti gli utenti

   Gli utenti con la verifica in due passaggi abilitata devono utilizzarla per accedere ad Administration Server.

5. Modifica del nome dell'emittente del codice di sicurezza

   Se si dispone di più Administration Server con nomi simili, potrebbe essere necessario modificare i nomi dell'emittente del codice di sicurezza per un migliore riconoscimento dei diversi Administration Server.

6. Esclusione degli account utente per cui non è necessario abilitare la verifica in due passaggi

   Se necessario, è possibile escludere gli utenti dalla verifica in due passaggi. Gli utenti con account esclusi non devono utilizzare la verifica in due passaggi per accedere ad Administration Server.

7. Configurazione della verifica in due passaggi per il proprio account

   Se gli utenti non sono esclusi dalla verifica in due passaggi e la verifica in due passaggi non è stata ancora configurata per il proprio account, è necessario configurarla nella finestra che si apre quando accedono a Kaspersky Security Center Web Console. In caso contrario, non saranno in grado di accedere ad Administration Server in base ai propri diritti.

Risultati

Al termine di questo scenario:

• La verifica in due passaggi è stata abilitata per l'account.

La verifica in due passaggi è abilitata per tutti gli account utente di Administration Server, ad eccezione degli account utente che sono stati esclusi.

Abilitazione della verifica in due passaggi per il proprio account

È possibile abilitare la verifica in due passaggi solo per il proprio account.

Prima di iniziare ad abilitare la verifica in due passaggi per il proprio account, assicurarsi che nel dispositivo mobile sia installata un'app di autenticazione. Assicurarsi che l'ora impostata nell'app di autenticazione sia sincronizzata con l'ora impostata nel dispositivo in cui è installato Administration Server.

Per abilitare la verifica in due passaggi per un account utente:

1. Nel menu principale, passare a Utenti e ruoli → Utenti.
2. Fare clic sul nome dell'account.
3. Nella finestra delle impostazioni utente visualizzata selezionare la scheda Protezione account.
4. Nella scheda Sicurezza in fase di autenticazione:
   1. Selezionare l'opzione Richiedi nome utente, password e codice di sicurezza (verifica in due passaggi). Fare clic sul pulsante Salva.
   2. Nella finestra della verifica in due passaggi visualizzata, fare clic su Visualizza come configurare la verifica in due passaggi.

      Immettere la chiave segreta nell'app di autenticazione o fare clic su Visualizza codice QRed eseguire la scansione del codice QR tramite l'app di autenticazione sul dispositivo mobile per ricevere il codice di sicurezza monouso.

   3. Nella finestra della verifica in due passaggi specificare il codice di sicurezza generato dall'app di autenticazione, quindi fare clic sul pulsante Controlla e applica.
5. Fare clic sul pulsante Salva.

La verifica in due passaggi è stata abilitata per l'account.

Abilitazione della verifica in due passaggi richiesta per tutti gli utenti

È possibile abilitare la verifica in due passaggi per tutti gli utenti di Administration Server se il proprio account dispone del diritto Modifica elenchi di controllo degli accessi agli oggetti nell'area funzionale Caratteristiche generali: Autorizzazioni utente e se è stata eseguita l'autenticazione utilizzando la verifica in due passaggi.

Per abilitare la verifica in due passaggi per tutti gli utenti:

1. Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.

   Verrà visualizzata la finestra delle proprietà di Administration Server.

2. Nella scheda Sicurezza in fase di autenticazione della finestra delle proprietà spostare l'interruttore dell'opzione di verifica in due passaggi per tutti gli utenti sulla posizione "abilitato".
3. Se non è stata abilitata la verifica in due passaggi per il proprio account, l'applicazione apre la finestra per abilitare la verifica in due passaggi per il proprio account.
   1. Nella finestra della verifica in due passaggi, fare clic su Visualizza come configurare la verifica in due passaggi.
   2. Fare clic su Visualizza codice QR.
   3. Scansionare il codice QR dall'applicazione di autenticazione sul dispositivo mobile per ricevere il codice di sicurezza monouso.

      In alternativa, immettere manualmente la chiave segreta nell'applicazione di autenticazione.

   4. Nella finestra della verifica in due passaggi specificare il codice di sicurezza generato dall'applicazione di autenticazione, quindi fare clic sul pulsante Controlla e applica.

La verifica in due passaggi è abilitata per tutti gli utenti. D'ora in poi gli utenti di Administration Server, inclusi gli utenti aggiunti dopo aver abilitato la verifica in due passaggi per tutti gli utenti, dovranno configurare la verifica in due passaggi per i propri account, ad eccezione degli utenti esclusi dalla verifica in due passaggi.

Disabilitazione della verifica in due passaggi per un account utente

È possibile disabilitare la verifica in due passaggi per il proprio account, nonché per l'account di un altro utente.

È possibile disabilitare la verifica in due passaggi di un altro account utente se il proprio account dispone del diritto Modifica elenchi di controllo degli accessi agli oggetti nell'area funzionale Caratteristiche generali: Autorizzazioni utente e se è stata eseguita l'autenticazione utilizzando la verifica in due passaggi.

Per disabilitare la verifica in due passaggi per un account utente:

1. Nel menu principale accedere a Utenti e ruoli → Utenti.
2. Fare clic sul nome dell'account utente interno per cui si desidera disabilitare la verifica in due passaggi. Può trattarsi del proprio account o dell'account di un altro utente.
3. Nella finestra delle impostazioni utente visualizzata selezionare la scheda Protezione account.
4. Nella scheda Protezione account selezionare l'opzione Richiedi solo nome utente e password se si desidera disabilitare la verifica in due passaggi per un account utente.
5. Fare clic sul pulsante Salva.

La verifica in due passaggi è disabilitata per l'account utente.

Se si desidera ripristinare l'accesso per un utente che non può accedere a Kaspersky Security Center Web Console utilizzando la verifica in due passaggi, disabilitare la verifica in due passaggi per questo account utente, quindi selezionare l'opzione Richiedi solo nome utente e password come descritto sopra. Successivamente, accedere a Kaspersky Security Center Web Console con l'account utente per il quale è stata disabilitata la verifica in due passaggi, quindi abilitare nuovamente la verifica.

Disabilitazione della verifica in due passaggi richiesta per tutti gli utenti

È possibile disabilitare la verifica in due passaggi richiesta per tutti gli utenti se la verifica in due passaggi è abilitata per il proprio account e se quest'ultimo dispone del diritto Modifica elenchi di controllo degli accessi agli oggetti nell'area funzionale Caratteristiche generali: Autorizzazioni utente. Se la verifica in due passaggi non è abilitata per il proprio account, è necessario abilitare la verifica in due passaggi per il proprio account prima di disabilitarla per tutti gli utenti.

Per disabilitare la verifica in due passaggi per tutti gli utenti:

1. Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.

   Verrà visualizzata la finestra delle proprietà di Administration Server.

2. Nella scheda Sicurezza in fase di autenticazione della finestra delle proprietà spostare l'interruttore dell'opzione di verifica in due passaggi per tutti gli utenti sulla posizione "disabilitato".
3. Inserire le credenziali del proprio account nella finestra di autenticazione.

La verifica in due passaggi è disabilitata per tutti gli utenti. La disabilitazione della verifica in due passaggi per tutti gli utenti non si applica agli account specifici per i quali la verifica in due passaggi è stata precedentemente abilitata separatamente.

Esclusione di account dalla verifica in due passaggi

È possibile escludere gli account utente dalla verifica in due passaggi se si dispone del diritto Modifica elenchi di controllo degli accessi agli oggetti nell'area funzionale Caratteristiche generali: Autorizzazioni utente.

Se un account utente viene escluso dall'elenco della verifica in due passaggi per tutti gli utenti, tale utente non deve utilizzare la verifica in due passaggi.

L'esclusione degli account dalla verifica in due passaggi può essere necessaria per gli account di servizio che non possono passare il codice di sicurezza durante l'autenticazione.

Se si desidera escludere alcuni account utente dalla verifica in due passaggi:

1. Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.

   Verrà visualizzata la finestra delle proprietà di Administration Server.

2. Nella scheda Sicurezza in fase di autenticazione della finestra delle proprietà, nella tabella delle esclusioni dalla verifica in due passaggi fare clic sul pulsante Aggiungi.
3. Nella finestra visualizzata:
   1. Selezionare gli account utente che si desidera escludere.
   2. Fare clic sul pulsante OK.

Gli account utente selezionati vengono esclusi dalla verifica in due passaggi.

Generazione di una nuova chiave segreta

È possibile generare una nuova chiave segreta per la verifica in due passaggi per il proprio account solo se è stata eseguita l'autorizzazione utilizzando la verifica in due passaggi.

Per generare una nuova chiave segreta per un account utente:

1. Nel menu principale accedere a Utenti e ruoli → Utenti.
2. Fare clic sul nome dell'account utente per cui si desidera generare una nuova chiave segreta per la verifica in due passaggi.
3. Nella finestra delle impostazioni utente visualizzata selezionare la scheda Sicurezza in fase di autenticazione.
4. Nella sceda Sicurezza in fase di autenticazione, fare clic sul collegamento Genera una nuova chiave segreta.
5. Nella finestra della verifica in due passaggi visualizzata specificare una nuova chiave di sicurezza generata dall'app di autenticazione.
6. Fare clic sul pulsante Controlla e applica.

Viene generata una nuova chiave segreta per l'utente.

Se il dispositivo mobile viene smarrito, è possibile installare un'app di autenticazione in un altro dispositivo mobile e generare una nuova chiave segreta per ripristinare l'accesso a Kaspersky Security Center Web Console.

Modifica del nome dell'emittente del codice di sicurezza

È possibile disporre di più identificatori (chiamati emittenti) per diversi Administration Server. È possibile modificare il nome dell'emittente di un codice di sicurezza ad esempio nel caso in cui Administration Server utilizzi già un nome simile dell'emittente del codice di sicurezza per un altro Administration Server. Per impostazione predefinita, il nome dell'emittente di un codice di sicurezza è uguale al nome di Administration Server.

Dopo aver modificato il nome dell'emittente del codice di sicurezza, è necessario riemettere una nuova chiave segreta e passarla all'app di autenticazione.

Per specificare un nuovo nome dell'emittente del codice di sicurezza:

1. Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.

   Verrà visualizzata la finestra delle proprietà di Administration Server.

2. Nella finestra delle impostazioni utente visualizzata selezionare la scheda Protezione account.
3. Nella scheda Protezione account, fare clic sul collegamento Modifica.

   Verrà visualizzata la sezione Modifica emittente codice di sicurezza.

4. Specificare un nuovo nome dell'emittente del codice di sicurezza.
5. Fare clic sul pulsante OK.

Viene specificato un nuovo nome dell'emittente del codice di sicurezza per Administration Server.

Configurazione della verifica in due passaggi per il proprio account

La prima volta che si accede a Kaspersky Security Center Linux dopo l'abilitazione della verifica in due passaggi, si apre la finestra per la configurazione della verifica in due passaggi per l'account.

Prima di configurare la verifica in due passaggi per il proprio account, assicurarsi che nel dispositivo mobile sia installata un'app di autenticazione. Verificare che l'ora nel dispositivo con l'app di autenticazione e l'ora nel dispositivo con Administration Server siano sincronizzate con UTC, utilizzando fonti orarie esterne.

Per configurare la verifica in due passaggi per il proprio account:

1. Generare un codice di sicurezza monouso utilizzando l'app di autenticazione sul dispositivo mobile. A tale scopo, eseguire una delle azioni seguenti:
   • Immettere manualmente la chiave segreta nell'app di autenticazione.
   • Fare clic su Visualizza codice QR ed eseguire la scansione del codice QR utilizzando l'app di autenticazione.

   Verrà visualizzato un codice di sicurezza sul dispositivo mobile.

2. Nella finestra di configurazione della verifica in due passaggi specificare il codice di sicurezza generato dall'app di autenticazione, quindi fare clic sul pulsante Controlla e applica.

La verifica in due passaggi viene configurata per il proprio account. È possibile accedere ad Administration Server in base ai propri diritti.