用户锁
用户锁

用户锁 10的新增功能

用户锁 10.2的新增功能




用户锁 10.2

MFA用于VPN连接

多重身份验证(MFA)现在可用于使用由网络策略服务器(NPS)进行身份验证的Microsoft RRAS(路由和远程访问服务)的VPN会话。

(需要10.2或更高版本的UserLock NPS代理)

用户锁 支持同时使用MSCHAP-v2和PAP身份验证。

启动VPN连接时,要求用户在用户名或密码字段的末尾添加逗号(“,”),后跟MFA代码。

我们建议在用户名中输入MFA代码,因为它与MSCHAP-v2(默认配置)和PAP身份验证兼容。

在用户名中输入MFA代码

在密码中输入MFA代码仅与PAP身份验证兼容。

在密码中输入MFA代码

有关此用例的更多信息.

注意: 如果选择了MFA for VPN,则还将为MFA启用交互式会话。当前版本不允许MFA仅用于VPN会话。

未连接到网络的用户的离线MFA

来自脱机计算机的连接现在可以包括多因素身份验证(MFA)。当计算机与公司网络断开连接时,这为台式机和便携式计算机的访问提供了进一步的保护。

除了请求MFA,管理员仍可以选择始终允许或拒绝脱机连接。

 离线MFA

有关更多详细信息,请参见高级用例“如何管理脱机连接”。

IP地址视为外部

默认情况下,通过网关地址(RD网关,Citrix…)传递的远程桌面(RDP)连接被视为来自“网络内部”。但是,对于许多管理员来说,这些是从公司网络外部连接的远程用户。

要列出应该被视为网络外部的IP地址,已在UserLock 10.2发行版中创建了“ IpConsideredOutside”高级设置(从UserLock控制台,按F7键盘键以显示高级设置对话框)。

这有助于确保随后在所有外部RDP连接(包括通过网关的那些RDP连接)上启用MFA。

IP地址视为外部

远程协助

已在“代理分发”视图的“快速访问面板”中添加了计算机命令“远程协助”。
为了能够使用它,必须在安装了控制台的计算机上激活“远程协助”功能(默认情况下,此功能在工作站上已激活,而在服务器上已停用),并且必须在以下位置配置“提供远程协助”域策略,并允许在防火墙中使用。
FYI 这个连结 很好地解释了远程协助的先决条件。

> 下载用户锁

用户锁 10.1 的新增功能




用户锁 10.1

多重身份验证(MFA)

将YubiKey与UserLock一起使用

用户锁 MFA现在支持YubiKey。因为YubiKey使用基于HMAC的一次性密码(HOTP)算法,所以这为TOTP身份验证器应用程序或令牌(Token2)提供了替代方案。

下面是它的工作原理:

将YubiKey与UserLock一起使用

有关YubiKey的更多信息: //www.yubico.com/


仅对来自网络外部的远程桌面(RDP)登录应用MFA

使用新版本的UserLock,您可以选择启用MFA 只要 来自本地网络外部的RDP登录。保留用于每个RDP登录的选项。

仅将MFA应用于远程桌面(RDP)登录


解锁并重新连接管理

现在可以在解锁或重新连接到会话时应用UserLock限制-包括MFA。

已添加特定的高级设置(在UserLock桌面控制台中按F7)以禁用此新管理:ApplyRestrictionsOnUnlock。但是,强烈建议您启用它,因为它可以增强您的环境安全性。


地理位置限制

现在,UserLock中提供了新的上下文限制。地理位置限制允许管理员根据位置限制远程登录。该限制将禁止/允许从可选国家/地区列表登录。

地理位置限制


如果无法访问UserLock,则拒绝交互式登录

现在,如果“主服务器”和“备用服务器”都不可用,则UserLock添加了一个拒绝登录的选项。这将阻止用户拔出任何网络电缆,并绕过UserLock提供的保护。

如果无法访问UserLock,则可以选择拒绝安装了Desktop 用户锁 Agent的计算机上的交互式连接(登录,解锁和重新连接事件)。

拒绝交互式登录

此设置仅适用于交互式会话。

一旦再次可以访问UserLock,则将相应的会话事件发送到UserLock服务。如果启用了欢迎消息,则用户在下次成功登录时将看到此事件的通知:

用户将看到一条通知

用户锁 管理员将在报告中看到这些事件,例如由于“ 用户锁 无法访问”而被UserLock拒绝的登录。

添加了特定的高级设置(在UserLock桌面控制台中按F7)以启用/禁用此新管理:DenyInteractiveConnectionsIfUserLockInaccessible。

> 下载用户锁




用户锁10.0

多重身份验证

用户锁 允许您在您的环境中实施MFA。这是一项新的限制,要求用户使用其他(第二个)因素进行身份验证。

用户锁 通过使用基于时间的一次性密码(TOTP)的身份验证器应用程序支持MFA。 TOTP被广泛接受,并且像基于SMS文本的身份验证一样不容易被绕开。示例包括Google Authenticator和LastPass Authenticator。

使用UserLock 10,管理员可以为Windows登录启用MFA,并为工作站和/或服务器连接启用RDP连接。

外交部如何运作

当用户注册支持TOTP的设备时,将创建一个唯一的共享密钥。通过处理该密钥以及当前时间,设备和服务器都可以生成基于时间的一次性密码。按照惯例,每个TOTP都可以持续30秒。用户将使用其常规密码登录,然后从其设备输入当前的一次性密码。

注意: 时间必须正确,并且必须在UserLock服务器上自动同步。时区不影响它。

部署方式

在UserLock中,您可以按用户,组或OU设置新的MFA限制。

启用限制后,将要求用户配置此应用程序。注册是直观且简单的,用户可以自行完成。他们遵循一系列简单的步骤来配置其智能手机的MFA。

  • 用户将安装身份验证器应用程序
  • 扫描登录时显示的QR码
  • 输入验证码

之后,用户将使用其正常的Active Directory凭据登录,然后在出现提示时使用应用程序上显示的代码登录。

还可以添加帮助请求,该请求将立即通过电子邮件/弹出窗口通知管理员。

管理员还可以通过选择跳过配置来管理用户必须注册MFA的时间。跳过操作需要询问用户指定绕过MFA配置的原因。

在您的环境中定制MFA

使用UserLock,管理员可以定义在什么情况下需要MFA。

  • 本地登录和/或RDP会话
  • 工作站和/或服务器连接
  • 频率

最终用户消息也是可定制的

报告中&从UserLock仪表板对MFA做出反应

  • 临时报告可用于管理您环境中MFA的使用。
  • 管理来自用户请求帮助的实时警报。
  • 重置MFA密钥或暂时禁用用户的MFA。

> 下载用户锁