Specops Secure Access
Specops Secure Access añade autenticación multifactor (MFA) a los inicios de sesión de Windows para cuentas de usuario y computadoras, proporcionando protección adicional en escenarios donde una sola contraseña no es suficientemente segura.
Con el Specops Client instalado y configurado para Secure Access, los usuarios deben verificar su identidad con un segundo factor después de ingresar su nombre de usuario y contraseña de Windows en la pantalla de inicio de sesión. Lo mismo se aplica al conectarse a una computadora con Windows a través de Escritorio Remoto, aunque en ese caso, la verificación ocurre fuera de la pantalla de inicio de sesión.
El sistema está diseñado para minimizar el impacto en los usuarios mientras proporciona una capa adicional de seguridad, dando a los usuarios la flexibilidad de elegir qué factor extra utilizar.
Conceptos Centrales
Los siguientes conceptos son relevantes para los diferentes escenarios de Specops Secure Access.
Autenticación
Una vez que los usuarios se han registrado con los servicios de identidad requeridos, se les pedirá que se autentiquen a través de Secure Access cada vez que inicien sesión en Windows. Autenticarse a través de Secure Access significa usar un factor extra (servicio de identidad) además del nombre de usuario y contraseña regulares de Windows. Esto puede ser, dependiendo de las circunstancias, también un código sin conexión (descrito en Secure Access para Clientes de Windows).
El flujo de autenticación está optimizado y presentará al usuario el mismo factor que usó la última vez que se autenticó. Dependiendo del servicio de identidad, el proceso puede ser tan simple como tocar un botón en una aplicación móvil, o tocar el botón en un dispositivo YubiKey. El administrador del sistema configura las reglas para la autenticación, incluyendo con qué frecuencia los usuarios necesitan usar Secure Access. El sistema podría, por ejemplo, configurarse para requerir el factor extra solo una vez al día. En este escenario, los usuarios evitarían Secure Access, usando solo la contraseña de Windows, hasta que el tiempo configurado haya transcurrido.
Specops Authentication
Secure Access es parte del marco de Specops Authentication y requiere que su organización tenga una cuenta de Specops Authentication y que el componente local, Specops Authentication Gatekeeper, esté instalado y configurado. Para más información, consulte Visión General de la Instalación de Gatekeeper.
Servicios de Identidad
Los servicios de identidad son métodos de autenticación que permiten a los usuarios verificar su identidad en Specops Cloud.
Specops:ID es el servicio de identidad recomendado para Secure Access. Para una lista completa de servicios de identidad, consulte Servicios de Identidad de Specops Authentication.
Registro
Para usar un servicio de identidad, los usuarios deben primero registrarse a través de Specops Authentication. En el escenario Secure Access para Clientes de Windows, se pedirá a los usuarios que se registren directamente desde la pantalla de inicio de sesión de Windows.
Specops:ID
Specops:ID es una aplicación móvil específicamente diseñada para optimizar el flujo de autenticación y servir como el servicio de identidad recomendado para Secure Access.
Al iniciar sesión, los usuarios reciben una notificación en su teléfono móvil. Al tocar la notificación, se inicia la aplicación móvil Specops:ID y el usuario puede aceptar o rechazar la solicitud de autenticación. Un administrador configura si se requiere una autenticación biométrica, huella digital o Face ID, al aceptar la solicitud. En la aplicación móvil, los usuarios también pueden ver información sobre su cuenta de trabajo, incluyendo el estado de bloqueo de la cuenta y la fecha en que se cambió por última vez su contraseña.
Escenarios de Autenticación de Secure Access
Specops Secure Access añade autenticación multifactor a los siguientes escenarios:
- Specops Secure Access para Clientes de Windows
- Specops Secure Access para Acceso Remoto
Secure Access para Clientes de Windows
El Specops Client es el componente que se integra con la pantalla de inicio de sesión de Windows y debe estar instalado en todas las computadoras para soportar el escenario "Secure Access para Clientes de Windows". El Specops Client sirve para múltiples propósitos dentro del marco de Specops Authentication y consta de varios subcomponentes. Los subcomponentes y características relacionadas con Secure Access se describen a continuación.
-
Specops Credential Provider es la primera capa del componente Specops Client. Esta es la parte que se integra en el proceso de inicio de sesión de Windows. Los proveedores de credenciales son puntos de extensibilidad proporcionados por Microsoft que permiten a proveedores externos integrarse con el sistema de autenticación de Windows. La presencia de otros proveedores de credenciales de terceros puede provocar conflictos. Consulte Proveedores de credenciales de terceros para saber cómo permitir varios proveedores de credenciales con wrapping.
Al usar Secure Access, Specops Credential Provider iniciará la aplicación de escritorio Specops Secure Access después de que el usuario haya presentado credenciales de dominio válidas.
-
Aplicación de escritorio Specops Secure Access es una aplicación de escritorio de Windows que se abre como una ventana separada sobre la pantalla de inicio de sesión después de que el usuario haya ingresado su nombre de usuario y contraseña. En la aplicación de escritorio Specops Secure Access, se presentará a los usuarios uno o más servicios de identidad para usar como segundo factor para completar la autenticación. La aplicación de escritorio Specops Secure Access se comunica con Specops Authentication web, que a su vez se comunica con el Gatekeeper local para verificar al usuario.
Si un usuario necesita registrarse con un servicio de identidad, la aplicación de escritorio Specops Secure Access iniciará el Navegador Seguro.
-
Navegador Seguro de Specops es seguro en el sentido de que no permite al usuario navegar a ningún lugar fuera de las páginas de registro de Specops Authentication. En Secure Access, el Navegador Seguro se utiliza cuando un usuario necesita registrarse en uno o más servicios de identidad. Esto normalmente solo debería suceder una vez por cada usuario. Si la organización ya utiliza Specops Authentication para restablecer contraseñas, los usuarios pueden ya estar registrados y listos para comenzar a usar Secure Access.
-
Autenticación sin conexión usando Specops:ID es un método de autenticación de respaldo que permite a los usuarios iniciar sesión en Windows incluso si los servicios de red o en la nube no están disponibles, reduciendo el riesgo de quedar bloqueados. Por razones de seguridad, los usuarios aún deben proporcionar un factor de autenticación adicional al iniciar sesión.
Al usar la aplicación de escritorio Secure Access en combinación con la aplicación móvil Specops:ID, el método de respaldo se llama Códigos sin Conexión. Se creará y sincronizará un código sin conexión para cualquier computadora donde un usuario inicie sesión usando Secure Access. Los códigos sin conexión están disponibles en la pestaña Códigos sin Conexión en la aplicación móvil Specops:ID.
Cuando un usuario intenta iniciar sesión en Windows sin acceso a la red, la aplicación de escritorio Secure Access les pedirá que usen un código sin conexión. El usuario debe entonces abrir manualmente la aplicación móvil Specops:ID, navegar a la pestaña Códigos sin Conexión y localizar el código para la computadora en la que están iniciando sesión.
Si un usuario tiene múltiples códigos sin conexión de iniciar sesión en varias computadoras, puede usar la función Escanear QR en la aplicación móvil para escanear el código mostrado por la aplicación de escritorio Secure Access. Esto localizará automáticamente el código sin conexión correcto y lo mostrará. Una vez que el usuario haya encontrado el código correcto en la aplicación móvil, debe ingresarlo en la aplicación de escritorio para completar la autenticación.
-
Autenticación sin conexión sin Specops:ID Si no se utiliza la aplicación móvil Specops:ID, existe la opción de usar una Tarjeta Inteligente para el escenario de autenticación sin conexión. Actualmente solo se admiten tarjetas inteligentes YubiKey. Para este escenario, se requieren varios pasos de configuración adicionales que se detallan en la sección Configurar Tarjeta Inteligente como método sin conexión más abajo.
Secure Access para Acceso Remoto
Las organizaciones con usuarios que acceden a la red de forma remota utilizando una VPN, o a través de un Gateway de Escritorio Remoto (RDGW), pueden proteger a sus usuarios añadiendo un segundo factor para esos inicios de sesión. En este escenario, Specops Secure Access extiende una configuración existente del Servicio de Políticas de Red de Microsoft (NPS).
Nota
En este escenario, la aplicación de escritorio Secure Access no se utiliza. Sin embargo, se requiere específicamente el servicio de identidad Specops:ID y los usuarios deben tener instalada la aplicación móvil Specops:ID.
-
Servicio de Políticas de Red de Microsoft (NPS): El escenario requiere que el Servicio de Políticas de Red de Microsoft (NPS) haya sido configurado en la red, para asegurar las VPNs y el Gateway de Escritorio Remoto. Para obtener información sobre NPS, consulte la documentación oficial de Microsoft.
-
Compañero NPS de Specops Secure Access: Para completar la configuración de "Secure Access para Acceso Remoto", el Compañero NPS de Specops Secure Access debe instalarse en todos los servidores NPS. Este componente extiende la configuración de NPS para comunicarse con los servicios web de Specops Authentication cada vez que un usuario intenta autenticarse a través de una VPN o el RDGW. Para más información, consulte Configuración de Secure Access para Acceso Remoto más abajo.
Empezando
Hay algunas áreas de configuración diferentes para Secure Access, dependiendo del escenario de autenticación.
Para comenzar con Secure Access, las siguientes preparaciones son necesarias para ambos escenarios:
- Configurar una cuenta de Specops Authentication.
- Instalar y configurar el componente local, Specops Authentication Gatekeeper.
- Asegúrese de que los usuarios que van a participar estén informados de que necesitan instalar la aplicación móvil Specops:ID.
La configuración de la política de autenticación de Secure Access es necesaria para ambos escenarios, mientras que los pasos de configuración restantes difieren dependiendo del escenario. Todos los pasos se describen en las siguientes secciones.
Configuración de Secure Access para Clientes de Windows
Configurar Specops Authentication
Localice la URL web de Specops Authentication en la herramienta de administración de Gatekeeper local y luego abra las páginas de administración de Specops Authentication en un navegador web.
- En la sección Secure Access, configure la política de autenticación para Clientes de Windows.
- En la sección Secure Access, cree una clave API para Clientes de Windows, copie la clave API y guárdela por ahora. También copie la URL de la API de la misma página. La clave API y la URL correspondiente son necesarias al configurar el Specops Client.
Configurar la aplicación móvil Specops:ID
La configuración para la aplicación Specops:ID se realiza desde las páginas de administración de Specops Authentication.
-
En la sección de Servicio de Identidad, localice Specops:ID y la configuración "Requerir verificación biométrica". Si esta opción está habilitada, los usuarios deberán usar huella digital o Face ID para poder aceptar una solicitud de autenticación en la aplicación móvil Specops:ID.
-
El servicio de identidad Specops:ID también incluye una función para prevenir la fatiga de notificaciones. Esta función no se aplica a Secure Access, ya que los usuarios deben ingresar la contraseña correcta antes de iniciar el servicio de identidad Specops:ID.
Si los usuarios utilizan Specops:ID para otros escenarios de autenticación, como restablecimientos de contraseñas, se debe considerar habilitar la función de fatiga de notificaciones. En la sección para el Servicio de Identidad Specops:ID, se puede configurar un Tipo de Desafío y establecerlo en código QR o entrada de número. Habilitar una de estas opciones evita que los usuarios aprueben accidentalmente una solicitud de autenticación en la aplicación que fue iniciada por un tercero.
Para el tipo de desafío "número", el usuario ingresa el número mostrado en la aplicación de escritorio Secure Access en la aplicación móvil. Para el tipo de desafío "código QR", el usuario escanea el código QR mostrado en la aplicación de escritorio.
Desplegar Specops Client a computadoras cliente
Despliegue el Specops Client en todas las computadoras cliente que van a participar.
Configurar computadora cliente
En este paso necesitará la clave API y la URL de la API.
La configuración para el Specops Client se almacena en el registro de Windows en cualquier computadora cliente donde esté instalado. Hay algunas configuraciones requeridas que deben aplicarse para poder usar Secure Access. Estas configuraciones de registro deben desplegarse en cada computadora donde esté instalado el Specops Client. La forma recomendada de desplegar estas configuraciones es usar la Política de Grupo y la plantilla ADMX que se incluye en la configuración del Specops Client.
La clave raíz para estas configuraciones es:
HKEY_LOCAL_MACHINE\SOFTWARE\Specopssoft\uReset\Client\Mfa
Configuraciones obligatorias
Las siguientes configuraciones son necesarias para habilitar Secure Access en computadoras cliente.
| Configuración | Descripción | Predeterminado |
|---|---|---|
| WinMfa_EnableLocal | Establezca este valor en 1 para habilitar Secure Access para Clientes de Windows | 0 |
| WinMfa_EnableRemote | Establezca este valor en 1 para habilitar Secure Access para Clientes de Windows para el escenario de escritorio remoto | 0 |
| WinMfa_DispatcherApiUrl | La URL a la que Secure Access se conecta inicialmente, puede obtenerla de la sección de claves API de la sección Secure Access en la web de Specops Authentication | |
| WinMfa_ApiKey | La API que Secure Access utiliza para autenticarse en Specops Authentication, puede obtenerla de la sección de claves API de la sección Secure Access en la web de Specops Authentication |
Configuraciones opcionales
Estas son algunas configuraciones adicionales que puede querer configurar para las computadoras cliente:
| Configuración | Descripción | Predeterminado |
|---|---|---|
| WinMfa_TimeBeforeRequireMfa | Por defecto, Secure Access MFA es requerido para cada inicio de sesión por defecto cuando Secure Access está habilitado. Cambie esta configuración si desea permitir que los usuarios inicien sesión sin MFA durante un período de tiempo especificado después de una autenticación en línea exitosa. El formato es HH:MM:SS y el tiempo máximo es de 72 horas. Si se ingresa un valor no válido, se requerirá MFA para cada inicio de sesión. | 0 |
| WinMfa_AllowOfflineAuth | Por defecto, la autenticación sin conexión está deshabilitada, lo que deshabilita el inicio de sesión si la computadora está sin conexión o ocurre una interrupción temporal del servicio o una configuración incorrecta. Habilite esta configuración si desea permitir la autenticación sin conexión en momentos en que no se pueda alcanzar la API de Specops Authentication o haya otras interrupciones del servicio. | 0 |
| WinMfa_DaysBeforeRequireOnlineAuth | Si la autenticación sin conexión está habilitada, un usuario puede iniciar sesión con autenticación sin conexión hasta el número de días configurado antes de que se requiera ir en línea para iniciar sesión. Cambie esta configuración si tiene diferentes requisitos para la autenticación en línea que el valor predeterminado de 30 días. | 30 |
Registro
El registro está habilitado en:
HKEY_LOCAL_MACHINE\SOFTWARE\Specopssoft\uReset\Client\Mfa\Logging
| Configuración | Descripción | Predeterminado |
|---|---|---|
| debug | Establezca este valor en 2 para habilitar el registro. Los archivos de registro se almacenan en C:\Windows\debug\SpecopsWinMfa\ Después de cada intento de inicio de sesión se crea un catálogo con una marca de tiempo, incluyendo los siguientes archivos de registro: WinMfa.Launcher.log y WinMfa.App.log |
0 |
Configurar Tarjeta Inteligente como método sin conexión
Si no se utiliza Specops:ID, los usuarios no obtendrán la opción automática de código sin conexión para la autenticación en caso de problemas de red. Esta sección describe cómo configurar la opción de Tarjeta Inteligente como alternativa.
Nota
Actualmente solo se admiten tarjetas inteligentes YubiKey.
-
Distribuya el archivo opensc-pkcs11.dll a todas las computadoras cliente.
Por razones de licencia, el archivo requerido opensc-pkcs11.dll no está incluido en el paquete de instalación del cliente de Specops Authentication y necesita ser distribuido a todas las computadoras cliente. Este archivo se puede encontrar en, por ejemplo, este paquete: https://github.com/OpenSC/OpenSC.
Descargue OpenSC
*_win64.msi, y distribúyalo a todas las computadoras cliente, o extraiga y distribuya específicamente el archivo opensc-pkcs11.dll. -
Configure Tarjeta Inteligente como método sin conexión.
Después de que el archivo opensc-pkcs11.dll haya sido distribuido a las computadoras cliente, el valor de registro WinMfa_SmartCardPkcs11LibraryPath debe establecerse en la ruta completa de la ubicación del archivo. Configure las siguientes configuraciones para la opción de Tarjeta Inteligente:
Configuración Descripción Predeterminado WinMfa_OfflineIdentityService Para usar la opción de Tarjeta Inteligente como método de autenticación sin conexión, establezca en Tarjeta Inteligente Specops ID WinMfa_SmartCardDisplayName Esta configuración configura cómo se muestra la opción de Tarjeta Inteligente a los usuarios WinMfa_SmartCardPkcs11LibraryPath Esta configuración es requerida si se usa Tarjeta Inteligente como el servicio de identidad sin conexión. Establezca en la ruta completa de donde se distribuye el archivo opensc-pkcs11.dll WinMfa_SmartCardVerifyCertificateExpiration Establezca en 0 para omitir la validación del certificado 1
Registrar usuarios con YubiKey
Para registrar una YubiKey con Specops Authentication, complete los siguientes pasos:
- Instale la Yubico-Piv-Tool.
- Inserte una YubiKey en la computadora.
-
En una computadora donde se haya instalado la herramienta de administración de Gatekeeper, use el cmdlet New-SAYubiKeySCOfflineEnrollment para crear un certificado en el dispositivo YubiKey y almacenarlo de forma segura en su Active Directory. Ejemplo:
New-SAYubiKeySCOfflineEnrollment -Username user -PinCode 123456 -CertificateSubject /CN=Alvis/OU=scard/OU=corp/Alternativamente, si los usuarios ya están usando YubiKeys que ya contienen certificados, estos certificados pueden ser enviados a Specops Authentication en lugar de crear uno nuevo como se detalla arriba. Para hacer esto, el certificado necesita ser extraído de la YubiKey usando el software de YubiKey. En este ejemplo a continuación se asume que dicho certificado está almacenado en la variable $certificate. Use el siguiente script de PowerShell. Nota que este script tiene los mismos requisitos que el New-SAYubiKeySCOfflineEnrollment descrito arriba.
Set-SASmartcardOfflineEnrollment -Username [userName] -Certificate $certificate
Configuración de Secure Access para Acceso Remoto
En cada servidor NPS donde esté instalado el Compañero NPS, se deben configurar la URL de la API y la clave API. Estos valores se pueden obtener de la sección de claves API de Secure Access en la web de Specops Authentication.
Para configurar Specops Secure Access NPS Companion:
- Abra las páginas de administración de Specops Authentication en un navegador web:
- En la sección Secure Access, configure la política de autenticación para Acceso Remoto.
- En la sección Secure Access, cree una clave API para Acceso Remoto, copie la clave API y guárdela por ahora. También copie la URL de la API de la misma página. La clave API y la URL correspondiente son necesarias al configurar el compañero NPS.
- Asegúrese de que NPS esté configurado y funcionando. Consulte la documentación de Microsoft para obtener información.
- Instale el Compañero NPS de Secure Access en los servidores NPS.
-
Configure el Compañero NPS ejecutando el script de PowerShell Set-SpecopsApiConfiguration.ps1 que se incluye en la instalación. Use la clave API y la URL de la API del paso anterior. Ejemplo:
.\Set-SpecopsApiConfiguration.ps1 -Url [API-URL] -ApiKey [API-key]