Bildschirm zur Authentifizierung vor dem Start
Wenn ein Benutzer einen Computer mit Festplattenverschlüsselung einschaltet, wird der "Pre-Boot"-Authentifizierungsbildschirm angezeigt. Windows startet möglicherweise erst dann, wenn der Benutzer seine Identität auf diesem Bildschirm korrekt bestätigt hat.
Richtlinie
Eine Richtlinie enthält die Regeln, die zur Registrierung und Multi-Faktor-Authentifizierung bei der Verwendung von Specops Key Recovery erforderlich sind. Eine Richtlinie steuert, welche Identitätsdienste verwendet werden können und wie viele davon zur Überprüfung der Identität von Endbenutzern verwendet werden müssen. Der Systemadministrator ist für die Konfiguration der Regeln in der Richtlinie verantwortlich.
Multi-Faktor-Authentifizierung
Die Multi-Faktor-Authentifizierung erfordert mehr als eine Authentifizierungsmethode aus unabhängigen Kategorien von Berechtigungsnachweisen: etwas, das Sie wissen (z. B. Kennwort), etwas, das Sie haben (z. B. Mobilgerät), und etwas, das Sie verkörpert (z. B. Fingerabdruck).
Das Multi-Faktor-Authentifizierungsmodell von Specops ist dynamisch. Die Benutzer können wählen, welche Identitätsdienste sie für die Registrierung und Authentifizierung kombinieren möchten, solange sie die Anforderungen der Richtlinie erfüllen.
Identitätsservices
Mit Identitätsdiensten können sich die Benutzer bei der Anmeldung sicher identifizieren. Die Identitätsdienste lassen sich in mehrere Kategorien einteilen, darunter: Benutzername und Kennwort, soziale Dienste (LinkedIn, Tumblr) und Dienste mit höherem Vertrauensstatus (Google Authenticator, Microsoft Authentic, Duo Security Security).
Um mehrere Identitätsdienste zur Authentifizierung von Benutzern zu verwenden, müssen diese in der Verwaltungskonsole konfiguriert (aktiviert) werden, und der von der uReset-Richtlinie betroffene Benutzer muss sich beim uReset-Dienst registrieren. Sobald sich ein Benutzer angemeldet hat, kann er sein Kennwort über die uReset-Webanwendung zurücksetzen (über einen Hyperlink auf dem Anmeldebildschirm oder in jedem modernen Browser). Specops uReset verwendet Daten von Benutzerobjekten in Active Directory zum Lesen und Schreiben von im System verwendeten Informationen.
Nachstehend finden Sie eine Liste aller in Specops Authentication verfügbaren Identitätsdienste.
Standard
- Specops Fingerprint: Specops Fingerprint ermöglicht die Registrierung und Authentifizierung von Benutzern über Geräte mit Fingerabdruck-Scannern, wie Smartphones und Tablets. Die Benutzer können ihren Finger auf den Fingerabdruckscanner ihres Geräts legen, um sich sofort zu identifizieren. Benutzer können auch Face ID zur Authentifizierung verwenden, wenn sie ein iPhone X oder höher besitzen. Zur Nutzung dieses Identitätsdienstes müssen die Benutzer die App auf ihrem Mobilgerät installiert haben.
- Specops Authenticator: Benutzer können sich mit der Specops Authenticator-App authentifizieren. Die Benutzer scannen dafür einen QR-Code oder beantworten eine Geheimfrage. Specops Authenticator sendet den Benutzern dann ein sechsstelliges Einmal-Kennwort, das zur Authentifizierung eingegeben werden muss.
- Mobile Code (SMS): Die Benutzer erhalten per SMS ein einmaliges sechsstelliges Kennwort, das sie für ihre Authentifizierung eingeben müssen.
- E-Mail: Das E-Mail-System des Benutzers wird als Identitätsdienst verwendet, indem ein Code an die registrierte E-Mail-Adresse gesendet wird, den der Benutzer dann in das Feld auf dem Bildschirm eingeben muss. E-Mail E-Mail erfordert keine Registrierung, da es auf die E-Mail-Adresse im E-Mail-Attribut in AD verweist (oder auf ein anderes Attribut, falls überschrieben); es kann nur mit Domains verwendet werden, die mit Specops Authentication verbunden sind.
- Persönliche E-Mail: Das E-Mail-System des Benutzers wird als Identitätsdienst verwendet, indem ein Code an die registrierte E-Mail-Adresse gesendet wird, den der Benutzer dann in das Feld auf dem Bildschirm eingeben muss. Persönliche E-Mail muss bei der Anmeldung vom Benutzer registriert werden. Dazu kann er eine beliebige E-Mail-Adresse seiner Wahl verwenden.
- Vertrauenswürdige Netzwerkstandorte: Vertrauenswürdige Netzwerkstandorte ist ein Identitätsdienst, mit dem Administratoren bestimmte IP-Bereiche als Vertrauenswürdige Netzwerkstandorte freigeben können.
- Manager-Identifizierung: Wenn sich ein Benutzer mit Manager-Identifizierung authentifiziert, wird eine E-Mail oder SMS an seinen Vorgesetzten gesendet. Der Vorgesetzte muss dann den Authentifizierungsantrag genehmigen. Administratoren können die gesendete Benachrichtigung individuell anpassen, indem sie ihr benutzerdefinierte Informationen hinzufügen. Zur Nutzung von Manager-Identifizierung muss dem jeweiligen Benutzer ein Manager in Active Directory zugewiesen sein, und die Manager-Konten müssen eine mit ihrem Profil verknüpfte E-Mail-Adresse/Mobiltelefonnummer haben, um Authentifizierungsanfragen von Benutzern erhalten zu können.
- Geheimfragen: Die Benutzer können Fragen aus einer vorgegebenen Liste auswählen und ihre Antworten darauf registrieren. Sie müssen dann diese Fragen beantworten, um sich erfolgreich zu authentifizieren.
3. Parteien
- PingID: Mit PingID können sich Benutzer über die Mobil-App PingID authentifizieren.
- Duo Security: Mit Duo Security können sich Benutzer über die Mobil-App Duo Security authentifizieren.
- Freja: Mit Freja können sich Benutzer über die Mobil-App Freja authentifizieren.
- OktaBenutzer können sich mit ihren Okta-Kontodaten registrieren und authentifizieren. Dies kann über die Okta-App und durch Versenden von Codes per Textnachricht geschehen.
- Symantec VIP: Benutzer können sich mit der mobilen Symantec VIP-App authentifizieren.
- Google Authenticator: Google Authenticator ist eine App, die einmalige Kennwörter generiert. Ein Geheimnis wird generiert und in Form eines QR-Codes präsentiert, den der Benutzer scannt. Google Authenticator sendet den Benutzern dann ein sechs- bis achtstelliges Einmal-Kennwort, das zur Authentifizierung eingegeben werden muss.
- Microsoft Authenticator: Microsoft Authenticator ist eine App, die einmalige Kennwörter generiert. Ein Geheimnis wird generiert und in Form eines QR-Codes präsentiert, den der Benutzer scannt. Microsoft Authenticator sendet den Benutzern dann ein sechs- bis achtstelliges Einmal-Kennwort, das zur Authentifizierung eingegeben werden muss.
- EFOS/SITHS (Schweden): EFOS/SITHS ist ein Smartcard-basierter Authentifizierungsdienst, mit dem sich Mitarbeiter (z. B. medizinisches Personal) von Behörden, Gemeinden und Kreisräten in Schweden elektronisch identifizieren können.
- Mobile BankID (Schweden): Benutzer, die über die Mobile BankID-App verfügen, können damit ihre Identität verifizieren.Benutzer müssen einen QR-Code in der Mobile BankID-App scannen, um sich mit diesem Identitätsdienst zu authentifizieren.
- Yubikey: Der Yubikey ist ein Hardware-Authentifizierungsgerät. Benutzer können sich authentifizieren, indem sie Einmal-Kennwörter (OTP) mit ihrem Yubikey generieren (nur wenn der Yubikey Yubico OTP als Sicherheitsfunktion unterstützt). Weitere Informationen zu Yubikeyfinden Sie auf der Yubikey-Seite.
- Passkeys: Benutzer können sich mit Passkeys authentifizieren, die sie bereits auf ihrem Gerät eingerichtet haben. Passkey sind digitale Berechtigungsnachweise (Authentifikator), die an ein Benutzerkonto und eine Website oder Anwendung gebunden sind. Einige Beispiele für Passkeys sind Windows Hello, Yubikey, Bitwarden und jede Authentifizierungs-App wie Google Authenticator.
- Entra ID: ermöglicht Specops Authentication die Integration in Microsoft Authentifizierungsverzeichnisse (Authentication Libraries). Der Microsoft Authenticator kann verwendet werden, um sich ohne Kennwort über Specops Authentication zu authentifizieren.
Föderiert
- Google: Benutzer können sich mit ihren Google-Kontodaten registrieren und authentifizieren.
- Microsoft Live: Benutzer können sich mit ihren Microsoft Live-Kontodaten registrieren und authentifizieren. Microsoft Live Anmeldedaten werden für die Anmeldung bei der Microsoft Cloud verwendet. Dazu gehören: Outlook, Office Online, OneDrive, Skype, Xbox Live und der Microsoft Store.
- Tumblr: Benutzer können sich mit ihren Tumblr-Kontodaten registrieren und authentifizieren.
- Flickr: Benutzer können sich mit ihren Flickr-Kontodaten registrieren und authentifizieren.
- LinkedIn: Benutzer können sich mit ihren LinkedIn-Anmeldedaten registrieren und authentifizieren.