Für Endpoint Encryption Administratoren und Benutzer stehen mehrere Authentifizierungsmethoden zur Anmeldung an den Endpoint Encryption Geräten zur Verfügung. Die verfügbaren Methoden werden vom PolicyServer Richtlinienkonfiguration bestimmt.
Sie müssen die für die Endpoint Encryption Benutzer verfügbaren Authentifizierungsmethoden mit PolicyServer MMC konfigurieren. Es ist nicht möglich, mit Control Manager die zulässigen Authentifizierungsmethoden zu konfigurieren. Sie können jedoch Control Manager für die Domänenauthentifizierung konfigurieren.
Authentifizierungsmethode |
Beschreibung |
|---|---|
|
Eine eindeutige Farbfolge. |
|
|
Active Directory LDAP-Synchronisierung für Single Sign-On (SSO). |
|
|
Eine Zeichenfolge aus Zeichen, Ziffern und Symbolen. |
|
|
Eine herkömmliche PIN. |
|
|
Interaktive Authentifizierung für Benutzer, die ihre Anmeldedaten vergessen haben, oder für Geräte, deren Richtlinien nicht innerhalb eines bestimmten Zeitraums synchronisiert wurden. |
|
|
Kombinationen aus Fragen und Antworten, mit denen ein Benutzer ein vergessenes Kennwort zurücksetzen kann, ohne sich an den technischen Support zu wenden. |
|
|
Eine physische Karte wird in Verbindung mit einer PIN oder einem festen Kennwort verwendet. |
ColorCode
ColorCode™ ist eine einzigartige Authentifizierungsmethode, bei deren Entwicklung eine schnelle Eingabe und eine leichte Merkfähigkeit im Vordergrund standen. Die ColorCode-Authentifizierung besteht nicht aus alphanumerischen Zeichen oder Symbolen, sondern aus einer vom Benutzer erstellten Farbfolge (Beispiel: rot, rot, blau, gelb, blau, grün).
Domänenauthentifizierung
Endpoint Encryption kann in Active Directory mit LDAP integriert werden, das in PolicyServer konfiguriert wird. Die Domänenauthentifizierung von Endpoint Encryption ermöglicht es Benutzern von Endpoint Encryption, SSO (Single Sign-On) zwischen dem Betriebssystem und dem Endpoint Encryption Agent einzusetzen. Benutzer von Endpoint Encryption mit Domänenauthentifizierung müssen beispielsweise nur einmal ihre Anmeldedaten für die Authentifizierung für Full Disk Encryption Preboot, Anmeldung bei Windows und den Zugriff auf die Dateien, die durch File Encryption geschützt werden, eingeben.
Vergewissern Sie sich, ob die folgenden Voraussetzungen erfüllt sind, damit die Active Directory-Integration nahtlos bewerkstelligt werden kann:
-
PolicyServer ist der Domäne beigetreten.
-
Alle Endpoint Encryption Geräte befinden sich im selben Active Directory und in derselben Domäne wie PolicyServer.
-
Die in Active Directory konfigurierten Benutzernamen stimmen genau mit den Benutzernamen überein, die in PolicyServer (einschließlich Groß- oder Kleinschreibung) konfiguriert wurden.
-
Die Benutzernamen befinden sich innerhalb einer PolicyServer Gruppe und die Richtlinie "Domänenauthentifizierung" ist aktiviert.
-
Der Host-Name und der Domänenname sind auf Grundlage von LDAP oder den Servereinstellungen für Active Directory ordnungsgemäß konfiguriert.
Weitere Informationen zur Konfiguration von LDAP- und Active Directory-Einstellungen finden Sie im Endpoint Encryption Installationshandbuch auf:
http://docs.trendmicro.com/de-de/enterprise/endpoint-encryption.aspx
Festes Kennwort
Die Authentifizierung mit festem Kennwort ist die gängigste Authentifizierungsmethode. Das feste Kennwort wird vom Benutzer angelegt. Dabei kann es sich fast um jede Zeichenfolge aus Ziffern, Buchstaben und Symbolen handeln. Sie können für feste Kennwörter Einschränkungen festlegen, um sicherzustellen, dass diese nicht leicht missbraucht werden können.
PIN
Eine PIN ist die gängigste Identifizierungsmethode, bei der die Eingabe einer eindeutigen Zahlenfolge erforderlich ist. Die PIN wird vom Benutzer angelegt und kann fast alles sein. Wie bei festen Kennwörtern können Sie auch für PIN-Kombinationen Einschränkungen festlegen.
Remote-Hilfe
Mit der Remote-Hilfe können Gruppen- oder Unternehmensauthentifizierer ausgesperrte Endpoint Encryption Benutzer unterstützen, die sich nach zu vielen erfolglosen Versuchen oder, wenn zu viel Zeit seit der letzten PolicyServer Synchronisierung vergangen ist, nicht bei Endpoint Encryption Geräten anmelden können.
Die Remote-Hilfe-Authentifizierung wird durch die Richtlinienregeln des Endpoint Encryption Geräts ausgelöst. Die Richtlinienregeln für die Remote-Hilfe können sowohl mit PolicyServer MMC als auch mit Control Manager konfiguriert werden.
Selbsthilfe
Mit der Selbsthilfe-Authentifizierung können Endpoint Encryption Benutzer, die ihre Anmeldedaten vergessen haben, ohne die Hilfe durch den technischen Support Sicherheitsfragen beantworten und sich bei Endpoint Encryption Geräten anmelden. Die Endpoint Encryption Benutzer werden aufgefordert, die vordefinierten persönlichen Herausforderungsfragen der Selbsthilfe zu beantworten. Mit der Selbsthilfe kann ein festes Kennwort oder eine andere Authentifizierungsmethode ersetzt werden.
Beachten Sie bei der Auswahl Ihrer Authentifizierungsmethode oder bei der Konfiguration von der Selbsthilfe Folgendes:
-
Die Selbsthilfe ist nicht für Administrator- und Authentifiziererkonten verfügbar.
-
Die Selbsthilfe ist nicht für Konten verfügbar, die die Domänenauthentifizierung verwenden. PolicyServer kann vorherige Domänenkennwörter nicht ändern oder wiederherstellen.
-
Die Selbsthilfe verfügt über maximal sechs Fragen für jedes Benutzerkonto. Benutzer können sich möglicherweise über die Selbsthilfe nicht anmelden, wenn mehr als sechs Fragen konfiguriert sind.
-
Die Selbsthilfe kann nur mit PolicyServer MMC konfiguriert werden.
SmartCard
Die Smartcard-Authentifizierung erfordert sowohl eine PIN als auch ein physisches Token zur Bestätigung der Identität des Benutzers. Smartcard-Zertifikate sind mit dem Benutzerkonto und der zugewiesenen Gruppe des Benutzer verbunden. Nach der Registrierung kann der Benutzer die Smartcard-Authentifizierung von jedem Endpoint Encryption Gerät in der betreffenden Gruppe verwenden. Benutzer können nach Belieben jedes Endpoint Encryption Gerät in ihrer Gruppe verwenden und müssen kein Einmalkennwort anfordern.
Stellen Sie zur Verwendung der Smartcard-Authentifizierung sicher, dass die folgenden Anforderungen erfüllt werden:
Das Smartcard-Lesegerät ist mit dem Endpunkt verbunden, wobei sich die Smartcard im Lesegerät befindet.
ActivClient 6.2 ist mit allen Service Packs und Updates installiert.
Anmerkung:ActivClient 7.0 und höher wird nicht unterstützt.
Geben Sie die Smartcard-PIN in das Kennwortfeld ein.
Warnung:Wenn kein gültiges Kennwort eingegeben wird, wird ein Kennwortfehler gesendet und die Smartcard kann gesperrt werden.
Smartcard-Authentifizierung kann nur mit PolicyServer MMC konfiguriert werden.
-
Die Änderung der Authentifizierungsmethode von Smartcard- in Domänenauthentifizierung kann bei Domänenbenutzern, die über ADSync oder Active Directory-Benutzerimport hinzugefügt wurden, zu Problemen führen. Zur Behebung dieses Problems entfernen Sie das Domänenbenutzerkonto aus dem Unternehmen und starten dann die PolicyServer-Dienste neu, um die Synchronisierung mit dem AD-Server zu starten. Während der Synchronisierung wird der Benutzer erneut mit Domänenauthentifizierung als Authentifizierungsmethode hinzugefügt. Alternativ können Sie das Domänenbenutzerkonto auch per Active Directory-Benutzerimport erneut hinzufügen.