Specops Authentifizierungs-Web

Das Specops Authentication Web kann verwendet werden, um Systeminformationen anzuzeigen und verschiedene Aspekte des Produkts zu verwalten, einschließlich systemweiter Konfigurationen und Multi-Faktor-Authentifizierungsrichtlinien für seine verschiedenen Ressourcen. Sobald Sie den Gatekeeper installiert und konfiguriert haben, können Benutzer, die Mitglieder der Authentication Admin Group sind, die Lösung weiter vom Specops Authentication Web aus konfigurieren:

US-Rechenzentrum: https://login.specopssoft.com/authentication/admin
EU-Rechenzentrum: https://eu.login.specopssoft.com/authentication/admin

Für weitere Informationen und allgemeine Verwaltung siehe Specops Authentication Web.

Die Konfigurationsschritte, die spezifisch für Specops Key Recovery sind, werden unten beschrieben.

Key Recovery Richtlinie

Hier können Sie den Richtlinienmodus konfigurieren sowie die mit Key Recovery verbundenen Richtlinien konfigurieren.

Um die Authentifizierungsregeln für Benutzer festzulegen, haben Sie die folgenden Richtlinienmodus-Optionen:

Cloud: Alle Benutzer haben die gleichen Authentifizierungsregeln für die Schlüsselwiederherstellung.
Gruppenrichtlinie: Benutzer haben unterschiedliche Authentifizierungsregeln, die durch die Gruppenrichtlinie bestimmt werden, von der sie betroffen sind.
Beide: Die Gruppenrichtlinie wird zuerst verarbeitet, und die Cloud-Richtlinie wird auf Benutzer angewendet, die von keinem Gruppenrichtlinienobjekt mit Specops Key Recovery-Einstellungen betroffen sind.

Konfigurieren einer Key Recovery Richtlinie

Melden Sie sich beim Specops Authentication Web an und klicken Sie im linken Navigationsbereich auf Key Recovery.
Klicken Sie neben jeder Richtlinie auf Authentifizierungsregeln bearbeiten, um deren Authentifizierungsanforderungen festzulegen.
Klicken Sie auf das Plus-Symbol für die Identitätsdienste, die Sie in die Richtlinie aufnehmen möchten.
Sie müssen jedem ausgewählten Identitätsdienst ein Gewicht (Sternwert) zuweisen. Dadurch können Sie denjenigen Identitätsdiensten, die Ihrer Meinung nach ein höheres Sicherheitsniveau bieten, einen höheren Wert zuweisen. Beispielsweise entspricht die Zuweisung des Specops Authenticator mit 2 Sternen zwei Identitätsdiensten im Wert von 1 Stern.
Um zu verlangen, dass der Benutzer einen bestimmten Identitätsdienst verwendet, wählen Sie Erforderlich.
Konfigurieren Sie das erforderliche Gewicht (Sterne) für die Registrierung.
Konfigurieren Sie das erforderliche Gewicht (Sterne) für die Authentifizierung.

Hinweis

Die Anzahl der für die Authentifizierung erforderlichen Sterne muss gleich oder kleiner sein als die Anzahl der für die Registrierung erforderlichen Sterne.
Um den Registrierungs- oder Authentifizierungsprozess abzuschließen, muss der Benutzer die Sternleiste mit der von der Richtlinie festgelegten Anzahl von Sternen füllen.
Klicken Sie auf Speichern, wenn Sie fertig sind.

Beste Praxis für die Richtlinienkonfiguration

Bei der Konfiguration von Richtlinien für mehrere Specops-Anwendungen (uReset, Authentication for O365, Key Recovery, Password Minder) ist es wichtig zu beachten, dass bestimmte Konfigurationen den Registrierungsprozess für Benutzer nachteilig beeinflussen können.

Wenn Richtlinien für verschiedene Anwendungen eingerichtet sind, die unterschiedliche Identitätsdienste erfordern, muss sich der Benutzer mit mehr Diensten identifizieren, um die Anforderungen aller Anwendungen zu erfüllen. Die Konfiguration von Richtlinien zur Verwendung desselben Satzes von Identitätsdiensten verkürzt den Registrierungsprozess für Benutzer.

Für weitere Informationen zur Registrierung siehe das Best Practices-Dokument.

Schwache Identitätsdienste

Aufgrund der Natur einiger (selbstregistrierter) Identitätsdienste gelten diese als schwächer als andere. Die unten aufgeführten Identitätsdienste werden als schwach angesehen:

Sicherheitsfragen
Mobiler Code (SMS)
Persönliche E-Mail

Sicherheitsmodi für die Registrierung

Wenn sich Benutzer zum ersten Mal registrieren, müssen sie sich identifizieren, indem sie ihr Windows-Passwort angeben. Nachfolgende Änderungen an der Registrierung (erneute Registrierung) erfordern die Identifizierung mit einem zuvor verwendeten Identitätsdienst zusätzlich zu ihrem Windows-Passwort, wenn der Sicherheitsmodus auf Mittel oder Hoch eingestellt ist.

Es stehen drei Sicherheitsmodi für Administratoren zur Verfügung: Niedrige Sicherheit, Mittlere Sicherheit und Hohe Sicherheit. Diese Sicherheitsmodi spiegeln die relative Stärke der konfigurierten Richtlinien wider und bestimmen teilweise, mit welchen Identitätsdiensten der Benutzer sich erneut registrieren muss (wann immer Benutzer ihre Registrierung ändern müssen).

Niedrige Sicherheit Benutzer müssen sich nur mit ihrem Windows-Passwort identifizieren.
Mittlere Sicherheit Bei der erneuten Registrierung müssen sich Benutzer mit einem zuvor verwendeten Identitätsdienst zusätzlich zu ihrem Windows-Passwort identifizieren.
Hohe Sicherheit Bei der erneuten Registrierung müssen sich Benutzer mit einem zuvor verwendeten starken Identitätsdienst oder zwei schwachen (falls sie sich nicht mit starken Identitätsdiensten registriert haben) zusätzlich zu ihrem Windows-Passwort identifizieren. Schwache Identitätsdienste, wie Sicherheitsfragen, werden dem Benutzer nicht als Option präsentiert, es sei denn, sie haben sich nur mit schwachen Identitätsdiensten registriert.

Hinweis

Die niedrigen oder mittleren Modi werden automatisch festgelegt, abhängig von den Richtlinienkonfigurationen. Der hohe Sicherheitsmodus muss von Administratoren aktiviert werden, um die erneute Registrierung mit starken Identitätsdiensten zu erzwingen.

Einstellungen für Symantec Endpoint Encryption

Über die Registerkarte Symantec Endpoint Encryption können Sie einen Challenge-Schlüssel anfordern und die BitLocker Key Recovery aktivieren.

Konfigurieren eines Challenge-Schlüssels (nur Symantec Endpoint Encryption)

Sie können ein Challenge-Schlüssel-Feld zur Symantec Endpoint Encryption-Informationsseite hinzufügen, indem Sie das Kontrollkästchen Challenge-Schlüssel erforderlich auswählen. Wenn dieses Kontrollkästchen ausgewählt ist, müssen alle Benutzer mit Geräten, die durch Symantec Endpoint Encryption verschlüsselt sind, einen Challenge-Schlüssel eingeben, der auf dem Bildschirm ihres gesperrten Computers angezeigt wird, wenn sie eine Schlüsselwiederherstellung durchführen.

Aktivieren der BitLocker Key Recovery

Wenn Ihre Organisation die BitLocker Key Recovery (verwaltet durch Symantec Endpoint Encryption) verwendet, um ihre Computer zu schützen, können Sie die BitLocker Key Recovery aktivieren.

Einstellungen für BitLocker

Über die BitLocker-Registerkarte können Sie die BitLocker Key Recovery aktivieren.

Testen der Verbindung

Sie können testen und überprüfen, ob Sie erfolgreich mit dem Symantec Help Desk und der Symantec-Datenbank verbunden sind, und überprüfen, ob BitLocker konfiguriert ist. Wenn die Verbindung erfolgreich ist, sehen Sie das Wort Erfolgreich abgeschlossen auf der rechten Seite.