Браузер настроен таким образом что для доступа к office вам необходимо подтвердить свою личность

Обновлено: 07.07.2024

Сегодня расскажем, как можно быстро и просто настроить двухфакторную аутентификацию и зашифровать важные данные, причем даже с возможностью использования биометрии. Решение будет актуально для небольших компании или просто для персонального компьютера или ноутбука. Важно, что для этого нам не потребуется инфраструктура открытых ключей (PKI), сервер с ролью центра сертификации (Certificate Services) и даже не потребуется домен (Active Directory). Все системные требования будут сводиться к операционной системе Windows и наличию у пользователя электронного ключа, а в случае биометрической аутентификацией еще и считывателю отпечатка пальцев, который, например, может быть уже встроен в ваш ноутбук.

Для аутентификации будем использовать ПО нашей разработки – JaCarta SecurLogon и электронный ключ JaCarta PKI в качестве аутентификатора. Инструментом шифрования будет штатный Windows EFS, доступ к зашифрованным файлам будет осуществляться также через ключ JaCarta PKI (тот же, который используется для аутентификации).

Напомним, JaCarta SecurLogon — сертифицированное ФСТЭК России программно-аппаратное решение компании Аладдин Р.Д., позволяющее осуществить простой и быстрый переход от однофакторной аутентификации на основе пары логин-пароль к двухфакторной аутентификации в ОС по USB-токенам или смарт-картам. Суть работы решения довольно проста — JSL генерирует сложный пароль (

63 символа) и записывает его в защищенную память электронного ключа. При этом пароль может быть неизвестен самому пользователю, пользователь знает только ПИН-код. Вводя ПИН-код при аутентификации, происходит разблокировка устройства, и пароль передается системе для аутентификации. Опционально можно заменить ввод ПИН-кода сканированием отпечатка пальца пользователя, а также можно применить комбинацию ПИН + отпечаток пальца.

EFS также как и JSL умеет работать в режиме standalone, не требуя кроме самой ОС ничего. Во всех операционных системах Microsoft семейства NT, начиная с Windows 2000 и новее (кроме home версий), существует встроенная технология шифрования данных EFS (Encrypting File System). EFS-шифрование основано на возможностях файловой системы NTFS и архитектуре CryptoAPI и предназначено для быстрого шифрования файлов на жестком диске компьютера. Для шифрования в EFS используется закрытый и открытый ключи пользователя, которые генерируются при первом использовании пользователем функции шифрования. Данные ключи остаются неизменными все время, пока существует его учетная запись. При шифровании файла EFS случайным образом генерирует уникальный номер, так называемый File Encryption Key (FEK) длиной 128 бит, с помощью которого и шифруются файлы. Ключи FEK зашифрованы мастер-ключом, который зашифрован ключом пользователей системы, имеющего доступ к файлу. Закрытый ключ пользователя защищается хэшем пароля этого самого пользователя. Данные, зашифрованные с помощью EFS, могут быть расшифрованы только с помощью той же самой учетной записи Windows с тем же паролем, из-под которой было выполнено шифрование. А если хранить сертификат шифрования и закрытый ключ на USB-токене или смарт-карте, то для доступа к зашифрованным файлам потребуется еще и этот USB-токен или смарт-карта, что решает проблему компрометации пароля, так как будет необходимо наличие и дополнительного устройства в виде электронного ключа.

Аутентификация

Как уже отметили, для настройки не нужен AD или центр сертификации, нужен любой современный Windows, дистрибутив JSL и лицензия. Настройка проста до безобразия.

Нужно установить файл лицензии.

Добавить профиль пользователя.

И начать пользоваться двухфакторной аутентификацией.

Биометрическая аутентификация

Есть возможность использовать биометрическую аутентификацию по отпечатку пальца. Решение работает по технологии Match On Card. Хэш отпечатка записывается на карту при первичной инициализации и в дальнейшем сверяется с оригиналом. Из карты никуда не уходит, в каких-то базах не хранится. Для разблокировки такого ключа используется отпечаток или комбинация ПИН + отпечаток, ПИН или отпечаток.

Для начала использования нужно просто инициализировать карту с необходимыми параметрами, записать отпечаток пользователя.

В дальнейшем такое же окно будет всплывать перед входом в ОС.

В настоящем примере карта инициализирована с возможностью аутентификации по отпечатку или ПИН-коду, о чем и сообщает окно аутентификации.

После предъявления отпечатка или ПИН-кода, пользователь попадет в ОС.

Шифрование данных

Настройка EFS тоже не очень сложная, сводится к настройке сертификата и выпуску его на электронный ключ и настройки директорий шифрования. Как правило, шифровать весь диск не требуется. Действительно важные файлы, получать доступ к которым третьим лицам не желательно, обычно находятся в отдельных директориях, а не разбросаны абы как по диску.

Для выпуска сертификата шифрования и закрытого ключа откройте учетную запись пользователя, выберите — Управление сертификатами шифрования файлов. В открывшемся мастере, создайте самозаверенный сертификат на смарт-карте. Так как мы продолжаем использовать смарт-карту с BIO-апплетом, для записи сертификата шифрования нужно предъявить отпечаток или ПИН.

На следующем шаге укажите директории, которые будут связаны с новым сертификатом, при необходимости можно указать все логические диски.

Далее система еще раз попросит ввести ПИН или предьявить отпечаток, произойдет непосредственный выпуск сертификата на смарт-карту.

Далее нужно настроить конкретные директории. В нашем примере — это папка Документы в хомяке пользователя. Откройте свойства папки и укажите — Шифровать содержимое для защиты данных.

Далее укажите применять настройки только к текущей папке или включить все вложенные поддиректории.

Сама шифрованная директория и файлы в ней будут подсвечены другим цветом.

Доступ к файлам осуществляется только при наличии электронного ключа, по предъявлению отпечатка пальца либо ПИН-кода, в зависимости от того что выбрано.

На этом вся настройка окончена.

Можно использовать оба сценария (аутентификация и шифрование), можно остановиться на чем-то одном.

Знаете ли вы, что можно повысить безопасность учетной записи, удалив пароль и выполняя вход без пароля? Как отказаться от паролей с помощью учетной записи Майкрософт.

Сведения о двухфакторной проверке подлинности

Что такое двухфакторная проверка подлинности?

Двухфакторная проверка подлинности помогает обеспечить защиту, усложняя вход в вашу учетную запись Майкрософт для другого пользователя. Она использует две различные формы идентификации: пароль и способ связи (также известный как сведения безопасности). Даже если кто-то другой узнает ваш пароль, он не сможет войти, если не имеет доступа к сведениям безопасности. Вот почему также важно использовать различные пароли для всех своих учетных записей.

Важно: Если двухфакторная проверка подлинности включена, вам всегда будут нужны две формы идентификации. Это означает, что если вы забыли свой пароль, вам потребуется два способа связи. Если вы потеряли свой способ связи, вы не сможете получить доступ к своей учетной записи только с помощью пароля. Для восстановления доступа может потребоваться до 30 дней. Вы даже можете потерять доступ к учетной записи. Поэтому мы настоятельно рекомендуем хранить три элемента сведений безопасности для вашей учетной записи на всякий случай.

Что происходит, когда вы включаете двухфакторную проверку подлинности

Если включить двухфакторную проверку, вы будете получать код безопасности по электронной почте, телефону или в приложении для проверки подлинности каждый раз при входе с недоверенного устройства. Если двухфакторная проверка подлинности отключена, вам придется лишь периодически подтверждать свою личность с помощью кодов безопасности в случаях, если безопасность вашей учетной записи находится под угрозой.

Необходимые настройки

Двухфакторная проверка подлинности начинается с ввода адреса электронной почты (мы рекомендуем применять два адреса электронной почты: стандартный и резервный), номера телефона или запуска приложения проверки подлинности. Если вы начнете входить в систему с нового устройства или из нового местоположения, мы отправим вам защитный код, который необходимо ввести на странице входа. Дополнительные сведения о приложении проверки подлинности см. в разделе Использование приложения Microsoft Authenticator.

Включение и выключение двухфакторной проверки подлинности

Откройте страницу Основные сведения о безопасности и выполните вход с помощью учетной записи Майкрософт.

Выберите Расширенные параметры безопасности.

В разделе Двухшаговая проверка выберите Настройка двухшаговой проверки, чтобы включить ее, или Выключение двухшаговой проверки, чтобы выключить ее.

Примечание: В ходе настройки этой учетной записи вам будет предоставлен QR-код для его сканирования с помощью вашего устройства. Это один из способов убедиться в том, что вы физически владеете устройством, на которое вы устанавливаете приложение Authenticator.

Сброс пароля при включенной двухфакторной проверке подлинности

Если вы забыли пароль, когда двухфакторная проверка подлинности включена для вашей учетной записи, вы можете сбросить его при наличии у вас двух способов связи с вами. Например, это могут быть запасной контактный адрес электронной почты или номера телефонов, которые вы использовали при включении двухфакторной проверки подлинности.

В зависимости от того, какие сведения безопасности добавлены в учетную запись, может потребоваться ввести код безопасности из приложения проверки подлинности и ввести код, отправленный на резервный электронный адрес.

Чтобы сбросить пароль, выполните действия, приведенные в разделе Как сбросить пароль учетной записи Майкрософт. Вместо одного кода безопасности для подтверждения вашей личности вы получите два.

Если вы ищете сведения об изменении, удалении или обновлении дополнительного электронного адреса или номера телефона, на которые вы получаете коды безопасности, выполните шаги, описанные либо в разделе Сведения о безопасности и коды проверки, либо в разделе Замена сведений о безопасности в своей учетной записи Майкрософт.

Если невозможно использовать коды безопасности, используйте пароли приложений

Пароли приложений доступны, только если вы используете двухфакторную проверку подлинности. Если двухфакторная проверка подлинности не включена, вы не увидите раздел Пароли приложений на странице Дополнительные параметры безопасности.

Узнайте, как создавать и использовать пароли приложений в разделе Пароли приложений и двухфакторная проверка подлинности.

Рассмотрим пример настройки двухфакторной аутентификации в Microsoft Office 365 средствами модуля Indeed AM ADFS Extension в сценарии с использованием служб AD FS, обеспечивающих единый вход.

Для корректной работы нам понадобится:

Установленные и настроенные продукты Indeed-Id:
- Indeed AM Server (инструкция);
- Indeed AM Admin Console (инструкция);
- Indeed AM Log Server (инструкция);
- необходимые провайдеры для используемых средств аутентификации (инструкция);
- расширение Indeed AM ADFS Extension (инструкция)
1. Добавление домена в Office 365

На портале Office 365 переходим на страницу Администрирование :

Нам необходимо добавить наш домен. Для этого в меню выбираем Установка - Домены и нажимаем Добавить домен :

В открывшемся мастере указываем Имя домена доступное из Интернета и нажимаем Использовать этот домен :

На следующем шаге необходимо подтвердить владение доменом путем добавления TXT или MX записи:

После успешной проверки состояние добавленного домена изменится на Работоспособен :

2. Синхронизация локальных учетных записей AD с Office 365

На странице администрирования переходим в меню Пользователи - Активные пользователи , нажимаем Другие действия (кнопка ". " ) и выбираем Синхронизация службы каталогов :

По предложенной ссылке скачиваем и устанавливаем Microsoft Azure Active Directory Connect :

Запускаем Microsoft Azure Active Directory Connect и приступаем к конфигурации выбрав Customize:

Оставляем все без изменений и нажимаем Install:

В качестве метода входа выбираем Federation with AD FS:

Вводим данные учетной записи Microsoft:

Приступаем к настройке синхронизации учетных записей: выбираем необходимый домен и нажимаем Add Directory :

Выбираем Create new AD account и вводим данные учетной записи администратора:

Добавленный домен отобразится в разделе Configured directories:

В следующем окне отобразится список UPN суффиксов. Для успешной синхронизации с Office 365 учетная запись пользователя должна содержать UPN суффикс напротив которого стоит статус Verified. Если в списке имеются UPN суффиксы для которых сопоставление не требуется, выбираем Continue without matching all UPN suffixes to verified domains :

Остальные шаги раздела Sync можно настроить самостоятельно исходя из необходимых требований или оставить без изменений.

Далее на шаге Credentials вводим данные учетной записи администратора:

На следующем шаге нам необходимо выбрать созданный ранее AD FS сервер ( инструкция ). Выбираем Use an existing AD FS farm и указываем имя AD FS сервера:

Из выпадающего списка выбираем домен:

Нажимаем Install и ожидаем завершения конфигурирования:

На шаге Verify Connectivity выбираем обе галочки:

После успешной верификации закрывает мастер.

3. Настройка двухфакторной аутентификации на сервере AD FS

Запускаем оснастку AD FS и переходим в Relying Party Trusts . Выделяем отношение доверия Microsoft Office 365 Identity Platform Worldwide и изменяем политику управления доступом:

В открывшемся окне нажимаем Use access control policy и выбираем Permit everyone and require MFA :

4. Выполняем вход в MS Office 365 с использованием двухфакторной аутентификации

Произойдет переход на страницу аутентификации AD FS, где потребуется указать доменный пароль :

После успешного ввода учетных данных появится запрос на ввод второго фактора:

В учетной записи Microsoft двухэтапная проверка (также известная как «двухфакторная проверка подлинности», «2FA» или «многофакторная проверка подлинности») — это функция, которая добавляет второй этап проверки для повышения безопасности, чтобы сделать ее более сложной. для злоумышленников, чтобы получить доступ к вашей учетной записи.

Если кто-то завладеет вашим паролем, без второй формы аутентификации, будет практически невозможно получить доступ к вашей учетной записи.

Если вы используете учетную запись Microsoft, вы можете использовать три способа включения двухэтапной проверки, включая использование альтернативного адреса электронной почты, номера телефона, и вы даже можете использовать приложение Microsoft Authenticator. Как только функция безопасности включена, каждый раз, когда вы входите с нового места или нового устройства с паролем, вам нужно будет подтвердить код безопасности, чтобы подтвердить, что вы являетесь тем, кем вы себя называете.

В этом руководстве по Windows 10 мы расскажем, как настроить двухэтапную проверку вашей учетной записи Microsoft, чтобы добавить дополнительный уровень безопасности для предотвращения несанкционированного доступа к Outlook, OneDrive, Office 365, Xbox Live и другим службам. ,
- Как включить двухэтапную проверку в учетной записи Microsoft
- Как добавить информацию о безопасности для двухэтапной проверки
- Как настроить приложение Authenticator для двухэтапной проверки
- Как создать пароль приложения для двухэтапной проверки
- Как отключить двухэтапную проверку на аккаунте Microsoft
Как включить двухэтапную проверку в учетной записи Microsoft

Чтобы включить двухэтапную проверку своей учетной записи Microsoft, выполните следующие действия.

Важное замечание: Прежде чем продолжить, важно иметь несколько частей контактной информации о безопасности, чтобы предотвратить блокировку вашей учетной записи. Если вам необходимо обновить информацию о безопасности, выполните следующие действия, а затем продолжите настройку этой функции.
1. Откройте свою учетную запись Microsoft онлайн .
2. Войдите с вашими учетными данными.
3. Перейдите на вкладку « Безопасность ».
Выберите параметр « Двухэтапная проверка» в верхней части страницы (или нажмите кнопку « Дополнительные параметры безопасности» на странице).

Источник: Windows Central

В разделе «Двухэтапная проверка» щелкните ссылку « Настройка двухэтапной проверки» .

Источник: Windows Central

Источник: Windows Central

Нажмите опцию Печать кода .

Источник: Windows Central

Совет. Важно сохранить этот код восстановления в безопасном месте. В противном случае, если вы не сможете выполнить задачу безопасности, если у вас нет этого кода, вы не сможете повторно активировать учетную запись в течение как минимум 30 дней.

Выберите опцию Сохранить как PDF .

Источник: Windows Central

Источник: Windows Central

Источник: Windows Central

После того, как вы выполните шаги при попытке войти на нераспознанное устройство, вы получите код безопасности в своей учетной записи электронной почты или на телефоне, чтобы подтвердить, что вы пытаетесь войти, добавив дополнительный уровень безопасности.

Как добавить информацию о безопасности для двухэтапной проверки

При включении двухэтапной аутентификации при каждом входе в систему вам будет предложено ввести вторую форму аутентификации. Кроме того, если вы забудете свой пароль, вам потребуется два способа контакта, чтобы восстановить доступ к вашей учетной записи. Это означает, что перед включением двухэтапной проверки вы должны убедиться, что у вас есть как минимум три дополнительные контактные данные, которые могут представлять собой сочетание адресов электронной почты или телефонных номеров.

Чтобы добавить информацию о безопасности в свою учетную запись Microsoft, выполните следующие действия:
1. Откройте свою учетную запись Microsoft онлайн .
2. Войдите с вашими учетными данными.
3. Перейдите на вкладку « Безопасность ».
Источник: Windows Central

Нажмите на ссылку Добавить информацию о безопасности .

Источник: Windows Central

Используйте раскрывающееся меню «Подтвердить свою личность с помощью», например, выберите опцию « Альтернативный адрес электронной почты» . (Или вы также можете добавить номер телефона.)

Источник: Windows Central

Подтвердите код, который вы получили в альтернативном письме.

Источник: Windows Central

После выполнения этих шагов, каждый раз, когда вы пытаетесь войти в систему, когда включена двухэтапная проверка, вы можете заполнить код безопасности, используя методы связи, которые вы добавили в учетную запись.

Как настроить приложение Authenticator для двухэтапной проверки

В случае, если вы не хотите иметь дело с электронной почтой, телефонными звонками или текстом, вы можете использовать приложение Microsoft Authenticator для входа без необходимости использования пароля.

Приложение Authenticator доступно для Android и iOS. В следующих шагах мы покажем вам инструкции по настройке приложения на устройстве Android, но процесс аналогичен для устройств iOS.

Чтобы настроить приложение Authenticator, выполните следующие действия:

Источник: Windows Central

После выполнения этих шагов при входе в свою учетную запись вы получите на свой телефон уведомление, чтобы подтвердить и продолжить вход в систему автоматически.

Как создать пароль приложения для двухэтапной проверки

Если вы используете устройство или приложение, которое не поддерживает двухэтапную проверку, вам необходимо создать пароль приложения.

Чтобы создать пароль приложения, выполните следующие действия:
1. Откройте свою учетную запись Microsoft онлайн .
2. Войдите с вашими учетными данными.
3. Перейдите на вкладку « Безопасность ».
Источник: Windows Central

В разделе «Пароли приложений» нажмите ссылку « Создать новый пароль приложения» .

Источник: Windows Central

Используйте сгенерированный пароль в приложении или устройстве, которое не поддерживает код безопасности.

Источник: Windows Central

После выполнения этих действий приложение или устройство смогут получить доступ к вашей учетной записи, когда включена двухэтапная проверка.

Как отключить двухэтапную проверку на аккаунте Microsoft

В том случае, если вам больше не нужно использовать функцию безопасности, вы можете отключить ее, чтобы отменить настройки и использовать менее безопасную одностадийную проверку.

Чтобы отключить двухэтапную проверку, выполните следующие действия:
1. Откройте свою учетную запись Microsoft онлайн .
2. Войдите с вашими учетными данными.
3. Перейдите на вкладку « Безопасность ».
Источник: Windows Central

В разделе Двухэтапная проверка щелкните ссылку Отключить двухэтапную проверку .

Источник: Windows Central

Нажмите « Удалить» .

Источник: Windows Central

Выполнив эти шаги, вы будете продолжать получать коды безопасности время от времени, и когда Microsoft обнаружит угрозу безопасности вашей учетной записи.

Помимо отключения этой функции, вам также может потребоваться обновить пароль в тех приложениях и службах, которые вы настроили с помощью пароля приложения.

Больше ресурсов по Windows 10
- Windows 10 в Windows Central — все, что вам нужно знать
- Справка, советы и рекомендации по Windows 10
- Форумы по Windows 10 на Windows Central
Мы можем заработать комиссию за покупки, используя наши ссылки. Узнайте больше

Читайте также: