Os domínios do Windows e o Active Directory (AD) ajudam os administradores no controle de um grande número de PCs e dispositivos a partir de um local central. Hoje, uma enorme porcentagem de empresas continua a depender do domínio do Windows AD para gerenciar ativos, usuários, sistemas, políticas, perfis e direitos.

Mesmo depois de todos esses anos, a consistência, o gerenciamento centralizado e a escalabilidade de um domínio do Windows significam que ele continua a viver no centro da infraestrutura de TI de uma empresa, mas isso não significa que não possa ser aprimorado. Pegue a segurança das credenciais do usuário do AD Mais de 80% das violações relacionadas a hackers envolvem o uso de credenciais de usuário perdidas ou roubadas. Usar apenas um nome de usuário e senha forte não funciona mais. As senhas do AD podem ser quebradas em 5 minutos ou menos!

2FA

UserLock é uma solução de segurança destinada a proteger o AD do domínio do Windows com autenticação de dois fatores (2FA) e restrições contextuais de acesso.

Habilitar 2FA nos endpoints em um domínio do Windows AD é extremamente difícil de conseguir sem software de terceiros. Além disso, a complexidade aumenta à medida que mais e mais empresas estendem sua arquitetura fora dos perímetros tradicionais, o que significa que muitos mais usuários dependem de conexões RDP (Remote Desktop) e acesso à Virtual Private Network (VPN).

Com o UserLock, o 2FA para endpoints é muito fácil para qualquer tipo de sessão, incluindo logins do Windows, conexões RDP e sessões de VPN..

  1. Para iniciar, o software UserLock é implantado ao lado do AD e de um agente leve, distribuído em todos os dispositivos que você deseja proteger. Um mecanismo de implantação automatizado facilita até mesmo para bases de usuários maiores. (Não são feitas modificações nas contas de AD, sua estrutura ou seu esquema).
  2. Em seguida, basta procurar e adicionar usuários do ADy através de um assistente. Você não precisa adicionar contas individualmente, você pode pesquisar e adicionar grupos de AD ou unidades organizacionais que você deseja proteger com 2FA. Em seguida, basta procurar e adicionar usuários do AD. Você não precisa adicionar contas individualmente, você pode pesquisar e adicionar grupos de AD ou unidades organizacionais que você deseja proteger com 2FA.
  3. Uma vez configurado para 2FA, o usuário será solicitado em seu próximo login, para instalar um aplicativo de autenticação ou convidado a usar um token baseado em hardware, como YubiKey ou Token2, por exemplo. Nos logins subsequentes, onde o 2FA é necessário, eles são simplesmente apresentados com uma caixa de diálogo para o código de validação, após a senha.
  4. Para determinar exatamente como, quando e onde o usuário é solicitado para um segundo fator, os administradores definem circunstâncias que podem ser para apenas um indivíduo ou facilmente dimensionadas entre grupos de usuários.

A “auto inscrição” dos usuários pode ser definida durante um período específico. Embora o processo seja extremamente simples, o usuário sempre tem a opção de “pedir ajuda” a um administrador a qualquer momento durante o processo.

Assim, em apenas alguns passos curtos de configuração, o 2FA pode ser adicionado para reforçar a segurança de login em todo o domínio Windows.

2FA com Restrições & Visibilidade

Além do 2FA, o UserLock também oferece uma infinidade de outras opções sobre como proteger melhor o acesso ao login. Você pode configurar restrições de dispositivo, restrições de tempo e restrições de geolocalização ou até mesmo limitar o número de conexões simultâneas.

Esse tipo de restrição de acesso contextual oferece políticas personalizadas além do que é nativamente capaz no AD, para proteger ainda mais as credenciais de login e ajudar a evitar solicitar ao usuário 2FA cada vez que fizer login.

Uma parte extremamente poderosa da solução UserLock também é a visibilidade, auditoria e relatórios que você recebe. Você pode ver em grande detalhe como os usuários estão se comportando ao longo de várias sessões de login. Se você encontrar qualquer atividade suspeita em qualquer outra conta, um administrador pode optar por bloquear o usuário ou fechar certas conexões que um usuário pode ter atualmente – tudo direto do console UserLock.

Venha saber mais com a Symmetry!