2. ESET
  3. Secure Authentication 3.0

ESET Secure Authentication 3.0 Návod na obsluhu

  • Ahoj! Prečítal som si používateľskú príručku pre ESET Secure Authentication a som pripravený odpovedať na vaše otázky. Táto príručka popisuje inštaláciu, konfiguráciu a používanie dvojfaktorového overovania pre rôzne aplikácie a systémy. Opýtajte sa ma čokoľvek, čo vás zaujíma o ESET Secure Authentication, napríklad o rôznych metódach overovania, kompatibilite so systémami alebo správe používateľa.
  • Aké metódy overovania podporuje ESET Secure Authentication?
    S akými systémami je ESET Secure Authentication kompatibilný?
    Ako môžem spravovať používateľov a ich prístupové práva v ESET Secure Authentication?
ESET Secure Authentication
Používateľská príručka
Pre zobrazenie tohto dokumentu vo verzii Online pomocníka kliknite sem
Copyright © 2021 ESET, spol. s r.o.
ESET Secure Authentication bol vyvinutý spoločnosťou ESET, spol. s r.o.
Viac informácií nájdete na webovej stránke www.eset.sk.
Všetky práva vyhradené. Žiadna časť tejto publikácie nesmie byť reprodukovaná žiadnym prostriedkom ani
distribuovaná akýmkoľvek spôsobom bez predchádzajúceho písomného povolenia spoločnosti ESET, spol. s r. o.
ESET, spol. s r. o. si vyhradzuje právo zmeny programových produktov popísaných v tejto publikácii bez
predchádzajúceho upozornenia.
kontaktný formulár: http://www.eset.com/sk/podpora/formular/ tel.: +421 (2) 322 44 444
REV. 28.4.2021
1 Prehľad 1 ............................................................................................................................................................
2 Požiadavky 2 ....................................................................................................................................................
2.1 Podporované operačné systémy 2 ...........................................................................................................
2.1.1 Zastaraný protokol TLS 1.0 a 1.1 3 ...................................................................................................................
2.2 Podporované webové prehliadače a rozlíšenie ESA Web Console 3 ..................................................
2.3 Podporované webové aplikácie 4 .............................................................................................................
2.4 Podporované operačné systémy mobilných telefónov 5 ......................................................................
2.5 Požiadavky na inštaláciu 5 ........................................................................................................................
2.5.1 Komponenty ESA a kompatibilita s operačnými systémami 9 ...................................................................................
2.5.2 Odporúčania týkajúce sa výkonu 10 .................................................................................................................
2.6 Podporované prostredia Active Directory 12 .........................................................................................
2.7 Výnimky firewallu 12 ..................................................................................................................................
2.8 Politiky 13 ....................................................................................................................................................
2.9 Použitie s klonovanými počítačmi 13 .......................................................................................................
2.10 IP adresy používané produktom ESET Secure Authentication 14 .....................................................
3 Inštalácia 14 ......................................................................................................................................................
3.1 Inštalácia autentifikačného servera 15 ...................................................................................................
3.1.1 Vlastné nastavenia proxy 18 ..........................................................................................................................
3.1.2 Prehľad vysokej dostupnosti – Active Directory 18 ...............................................................................................
3.1.3 Prehľad vysokej dostupnosti – režim Standalone 19 ..............................................................................................
3.2 Inštalácia modulu vytvárania reportov (Elasticsearch) 19 ..................................................................
3.3 Inštalácia pluginu Remote Desktop 20 ....................................................................................................
3.4 Inštalácia pluginu Web App 21 .................................................................................................................
3.5 Inštalácia pluginu Windows Login 23 ......................................................................................................
3.6 Zmena, oprava a odstránenie inštalácie 24 ...........................................................................................
3.7 Vzdialená inštalácia cez ESMC 26 ............................................................................................................
3.8 Inštalácia pluginu Windows Login a ochrany RDP prostredníctvom GPO 26 ....................................
3.8.1 Spúšťací skript 27 ........................................................................................................................................
3.8.2 Úloha Inštalácia softvéru 29 ...........................................................................................................................
3.8.3 Argumenty MSI 37 .......................................................................................................................................
3.9 Prechod na novšiu verziu 39 .....................................................................................................................
3.9.1 Kompatibilita komponentov ESA 40 ..................................................................................................................
3.10 Migrácia databázy (export dát) 40 .........................................................................................................
4 Externý prístup 42 .........................................................................................................................................
4.1 Používanie reverzného proxy 43 ..............................................................................................................
4.1.1 Konfigurácia proxy servera pre ESA 44 ..............................................................................................................
4.2 Transparentné proxy 46 .............................................................................................................................
5 Certifikát SSL 46 ..............................................................................................................................................
5.1 Nahradenie certifikátu SSL 46 ..................................................................................................................
5.2 Generovanie vlastného certifikátu SSL 48 ..............................................................................................
5.3 Nastavenie dôveryhodných certifikátov 50 ............................................................................................
6 Podpora DNS podľa geografickej polohy 51 ...................................................................................
7 Začíname s nástrojom ESET Secure Authentication Web Console 52 .............................
7.1 Aktivovať ESET Secure Authentication 54 ..............................................................................................
7.2 Správa používateľov – zriadenie 54 .........................................................................................................
7.2.1 Status používateľa 58 ...................................................................................................................................
7.2.2 Synchronizácia so službou AD/protokolom LDAP 60 ..............................................................................................
7.2.3 Importovanie používateľov zo súboru 62 ...........................................................................................................
7.2.4 Individuálna registrácia 63 .............................................................................................................................
7.3 Správa používateľských skupín 66 ..........................................................................................................
7.4 Pozvánky 67 .................................................................................................................................................
7.5 Použitie doménovej autentifikácie 69 .....................................................................................................
7.6 Oznámenia 70 ..............................................................................................................................................
8 Možnosti overenia 71 ...................................................................................................................................
8.1 Mobilná aplikácia 72 ...................................................................................................................................
8.2 Push autentifikácia 73 ................................................................................................................................
8.3 Hardvérové tokeny 76 ................................................................................................................................
8.4 FIDO 79 .........................................................................................................................................................
8.5 Možnosti doručenia 81 ...............................................................................................................................
8.5.1 Vzorové skripty PowerShell 84 ........................................................................................................................
9 Podporovaní poskytovatelia prihlasovacích údajov 86 .............................................................
10 Ochrana prihlasovania do systému Windows 86 .......................................................................
11 Konektor poskytovateľa identity 88 ..................................................................................................
11.1 Konfigurácia konektora poskytovateľa identity v ESA Web Console 91 .........................................
11.2 Príklady konfigurácie konektora IdP 94 ................................................................................................
12 Hlavný kľúč na obnovenie 100 .............................................................................................................
13 Server RADIUS a ochrana VPN 102 ....................................................................................................
13.1 Konfigurácia klienta RADIUS 102 ...........................................................................................................
13.2 Používanie klienta RADIUS 104 ...............................................................................................................
13.3 Možnosti VPN autentifikácie 104 ............................................................................................................
13.3.1 OTP zaslané cez SMS 104 ............................................................................................................................
13.3.2 OTP zaslané cez SMS na vyžiadanie 105 ..........................................................................................................
13.3.3 Mobilná aplikácia 105 .................................................................................................................................
13.3.4 Hardvérové tokeny 106 ...............................................................................................................................
13.3.5 Prechod od SMS k mobilnej aplikácii 106 .........................................................................................................
13.3.6 Prihlásenie bez 2FA 106 ..............................................................................................................................
13.3.7 Kontrola prístupu pomocou členstva v skupine 107 ............................................................................................
13.4 Metódy overenia ESA a kompatibilita s protokolom PPP 107 ............................................................
13.5 Overenie funkčnosti ESA RADIUS 107 ...................................................................................................
13.5.1 Uistite sa, že je spustená služba ESA RADIUS 107 ..............................................................................................
13.5.2 Konfigurácia vášho servera RADIUS 108 ..........................................................................................................
13.5.3 Overenie funkčnosti (localhost) 109 ...............................................................................................................
13.5.4 Overenie sieťového pripojenia z iného počítača (voliteľné) 110 ..............................................................................
13.5.4.1 Zobrazila sa odpoveď Access-Reject 111 .......................................................................................................
13.5.4.2 Zobrazilo sa chybové hlásenie o pripojení 111 ................................................................................................
13.5.4.3 Mám problém s uplynutím časového limitu 112 ...............................................................................................
14 Moduly RADIUS PAM pre Linux/Mac 113 .........................................................................................
14.1 Vytvorenie klientov ESA RADIUS cez API 114 ......................................................................................
14.2 Konfigurácia PAM 115 ..............................................................................................................................
14.3 Ďalšie nastavenia RADIUS 117 ................................................................................................................
15 Ochrana webových aplikácií 121 .........................................................................................................
15.1 Konfigurácia 121 .......................................................................................................................................
15.2 Použitie 122 ...............................................................................................................................................
16 Ochrana vzdialenej pracovnej plochy 123 .....................................................................................
16.1 Konfigurácia v prostredí služby Active Directory 123 ........................................................................
16.2 Povolenie používateľov bez 2FA 124 .....................................................................................................
16.3 Použitie 125 ...............................................................................................................................................
16.4 Remote Desktop Web Access 126 ..........................................................................................................
16.5 Remote Desktop Gateway a ESA RADIUS 127 ......................................................................................
17 Pridanie IP adresy na whitelist 129 ....................................................................................................
18 AD FS 130 .........................................................................................................................................................
18.1 Politiky AD FS 133 .....................................................................................................................................
19 Vlastný účet služby ESA 134 ..................................................................................................................
20 Vlastná Integrácia cez API a SDK 135 .............................................................................................
20.1 API 136 ........................................................................................................................................................
20.1.1 Prehľad integrácie 136 ...............................................................................................................................
20.1.2 Konfigurácia 137 .......................................................................................................................................
20.2 SDK 138 ......................................................................................................................................................
20.2.1 Prehľad integrácie 139 ...............................................................................................................................
20.2.2 Aktivácia licencie SDK 139 ...........................................................................................................................
20.2.3 SDK v praxi 140 ........................................................................................................................................
20.2.3.1 Použitie SDK 140 ....................................................................................................................................
20.2.3.2 Integrácia SDK 140 ..................................................................................................................................
20.2.3.2.1 Požiadavky na databázu 141 ...................................................................................................................
20.2.3.2.2 Čítanie a zápis dát dvojúrovňového overovania 141 .......................................................................................
20.2.3.2.3 Pridanie 2FA do prihlasovacieho rozhrania 141 .............................................................................................
20.2.3.2.4 Aktualizácia rozhrania správy – umožnenie zapnutia/vypnutia 2FA pre používateľov 144 .........................................
20.2.3.3 Ďalšie komponenty 144 ............................................................................................................................
20.3 Zhrnutie rozdielov 144 .............................................................................................................................
20.4 Prehľady 145 .............................................................................................................................................
20.5 Audit 146 ....................................................................................................................................................
20.6 Prehľad licencií 146 ..................................................................................................................................
20.7 Stav licencie 147 .......................................................................................................................................
20.8 Vynucovanie licencií 147 ..........................................................................................................................
21 Možnosti pre MSP 148 ................................................................................................................................
22 Riešenie problémov 148 ...........................................................................................................................
22.1 Problémy s pripojením komponentov 149 ............................................................................................
22.2 Nefunkčná ochrana prihlasovania do systému Windows 150 ............................................................
22.3 Neúspešná inštalácia modulu prehľadov (Elasticsearch) 150 ...........................................................
23 Slovník pojmov 151 .....................................................................................................................................
24 Licenčná dohoda s koncovým používateľom 152 ......................................................................
25 Zásady ochrany osobných údajov 163 ............................................................................................
1
Prehľad
ESET Secure Authentication (ESA) pridáva dvojúrovňové overovanie (2FA) k doménam Microsoft Active Directory
alebo lokálnym sieťam LAN. To znamená, že sa generuje jednorazové heslo (OTP), ktoré je potrebné zadať spolu so
všeobecne vyžadovaným prihlasovacím menom a heslom. Druhou možnosťou je, že sa vygeneruje push notifikácia,
ktorá musí byť na mobilnom telefóne so systémom Android, iOS alebo Windows schválená používateľom, ktorý sa
najskôr úspešne autentifikoval pomocou svojich všeobecných prístupových údajov.
Push notifikácie vyžadujú Android vo verzii 4.1 a novšej, ako aj služby Google Play vo verzii 10.2.6 alebo novšej,
prípadne operačný systém iOS.
Produkt ESA sa skladá z nasledujúcich komponentov:
plugin ESA Web Application poskytuje 2FA pre rôzne Microsoft Web Applications,
plugin ESA Remote Desktop poskytuje 2FA pre Remote Desktop Protocol,
plugin ESA Windows Login poskytuje 2FA pre počítače so systémom Windows,
ESA RADIUS Server pridáva 2FA do overenia cez VPN,
Konektor poskytovateľa identity ESA ,
ESA Authentication Service zahŕňa rozhranie REST-based API, ktoré možno použiť na pridanie 2FA do vlastných
aplikácií,
ESA Management Tools:
oprogram ESA nainštalovaný v prostredí Active Directory:
plugin ESA User Management pre Active Directory Users and Computers (ADUC) sa používa na správu
používateľov,
ESA Management Console s názvom ESET Secure Authentication Settings sa používa na konfiguráciu
programu ESA.
2FA povolené pre správcu domény
Ak má používateľ, ktorý je doménovým správcom, počas aktualizácie na ESA 2.7.x alebo 2.8.x
povolené 2FA, prístup k obrazovke Active Directory Users and Computers > ESET Secure
Authentication a ESA Management Console bude odstránený. V tomto prípade je potrebné použiť
ESA Web Console.
Ďalšou možnosťou je povoliť prístup k nástroju Web Console (vzťahuje sa tiež na nástroje
Management Tools) cez whitelist IP adries alebo vypnúť 2FA pre správcu domény, vytvoriť ďalšieho
používateľa s vypnutým 2FA a pridať tohto používateľa k skupine ESA Admins, prípadne vypnúť 2FA
pre ESA Web Console.
ESA Web Console, ucelený nástroj na správu, sa používa na konfiguráciu programu ESET Secure
Authentication a správu používateľov.
oProgram ESA nainštalovaný v autonómnom režime (standalone):
ESA Web Console, ucelený nástroj na správu, sa používa na konfiguráciu programu ESET Secure
Authentication a správu používateľov.
Ak je program ESA nainštalovaný v prostredí Active Directory, ukladá svoje údaje v dátovom úložisku Active
Directory. Keďže sú údaje z programu ESA automaticky zahrnuté vo vašich zálohách Active Directory, nie je
potrebné zavádzať dodatočné zálohovacie politiky.
2
Požiadavky
Na inštaláciu produktu ESET Secure Authentication (ESA) je potrebná doména Active Directory, lokálna sieť LAN
alebo verejne dostupný autentifikačný server.
Minimálna podporovaná funkčná úroveň pre doménu Active Directory je Windows 2000 Native. Ak inštalujete
produkt ESA v režime Active Directory Integration, podporovaný je iba systém Windows DNS.
Ak používate vlastný systém DNS v prostredí Active Directory, musíte si pred inštaláciou autentifikačného servera
vytvoriť v systéme DNS záznam SRV použitím nasledujúcich informácií:
Typ: SRV
Názov: _esetsecauth
Protokol: _tcp
Číslo portu: použite číslo portu, ktoré ste nakonfigurovali pre port domény (Domain port) počas inštalácie
autentifikačného servera. Predvolené číslo portu domény je 8000.
Hostiteľ: <hostname>:<domain>. Ak kontrola požiadaviek ESA týkajúca sa Active Directory DNS zlyhá, zobrazí
sa správny názov.
Overte dostupnosť záznamu SRV tak, že z počítača so systémom Windows v rámci prostredia Active Directory
spustíte nasledujúci príkaz:
nslookup -type=SRV _esetsecauth._tcp
Vo vašej doméne/sieti je nevyhnutná aspoň jedna inštancia autentifikačného servera. Vyberte ju počas prvej
inštalácie programu ESA na server (hlavný počítač). Ak vyberiete komponent, ktorý nie je možné nainštalovať,
inštalátor vás bude informovať o konkrétnych požiadavkách, ktoré nie sú splnené.
Komponenty ESA môžu komunikovať s autentifikačným serverom prostredníctvom protokolu IPv4 aj IPv6.
Ak inštalujete produkt ESA v režime Standalone, uistite sa, že komponenty ESA a autentifikačný server vedia spolu
komunikovať.
Obmedzená podpora pre produkty tretích strán s končiacou životnosťou
ESET Secure Authentication poskytuje obmedzenú podporu pre kompatibilné produkty tretích
strán, ktoré dosiahli koniec svojho životného cyklu.
Podporované operačné systémy
Nižšie je uvedený všeobecný zoznam podporovaných operačných systémov (OS). Ak chcete zistiť, aké OS
podporované v prípade konkrétnych komponentov, prejdite na kapitolu Požiadavky na inštaláciu.
Serverové operačné systémy (SOS)
Windows Server 2008 *
Windows Server 2008 R2 *
Windows Server 2012
Windows Server 2012 R2
Windows Small Business Server 2008
Windows Small Business Server 2011
3
Windows Server 2012 Essentials
Windows Server 2012 R2 Essentials
Windows Server 2016
Windows Server 2016 Essentials
Windows Server 2019
Windows Server 2019 Essentials
*Zmeňte predvolenú verziu protokolu TLS, ktorá sa má použiť
Klientske operačné systémy (COS)
Windows 7
Windows 8
Windows 8.1
Windows 10 (vrátane verzií 2004 a 2009)
RADIUS Server na systéme Windows Small Business Server
Pri inštalácii RADIUS Server na Windows Small Business Server 2008 alebo 2011 zmeňte port pre
RADIUS Server na niečo iné ako 1812, pretože tento port je prednastaveným portom pre NPS.
ESA Core a RADIUS v klientskom operačnom systéme (COS)
Inštalácia komponentov ESA Core (autentifikačný server) a RADIUS Server na COS zo zoznamu
podporovaných operačných systémov nemusí byť v súlade s licenčnou politikou spoločnosti
Microsoft. Podrobnosti nájdete v licenčnej politike spoločnosti Microsoft alebo sa obráťte na svojho
dodávateľa softvéru. Okrem toho môžu COS predstavovať ďalšie obmedzenia (napríklad počet
maximálnych súbežných pripojení TCP) v porovnaní s SOS.
Zastaraný protokol TLS 1.0 a 1.1
Od 31. marca 2020 nie je protokol TLS (Transport Layer Security) 1.0 a 1.1 podporovaný.
Autentifikačný server spustený na operačnom systéme Windows Server 2008 alebo Windows Server 2008 R2
predvolene používa starý protokol TLS. Ak chcete použiť TLS 1.2, musíte najprv nainštalovať všetky dostupné
aktualizácie systému Windows a následne upraviť databázu Registry.
Databázu Registry upravíte takto:
1. Kliknite na Start > Run.
2. Do poľa Open zadajte regedit a kliknite na OK.
3. V okne Registry Editor rozbaľte HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Control >
SecurityProviders > SCHANNEL > Protocols > TLS 1.2 > Server.
4. V ponuke kliknite na Edit a vyberte New > DWORD value.
5. Zadajte názov DisabledByDefault a stlačte Enter.
6. Dvakrát kliknite na položku DisabledByDefault a uistite sa, že Value data je nastavené na 0. Kliknite na OK.
7. Zatvorte Registry Editor a reštartujte operačný systém.
Podporované webové prehliadače a rozlíšenie ESA Web Console
4
ESET Secure Authentication Web Console ponúka optimálnu funkcionalitu v nasledujúcich prehliadačoch:
Microsoft Internet Explorer 11
Google Chrome najnovšia verzia
Mozilla Firefox najnovšia verzia
Microsoft Edge najnovšia verzia
Safari najnovšia verzia
Podrobnosti o funkčnosti
Spúšťanie JavaScriptu je potrebné povoliť vo vašom webovom prehliadači.
Overenie domény nie je podporovaná v Safari.
Minimálne požadované rozlíšenie je 1024x768.
Podporované webové aplikácie
ESET Secure Authentication poskytuje 2FA pre tieto produkty Microsoft:
Microsoft Exchange 2007
oOutlook Web Access - Exchange Client Access Server (CAS)
Microsoft Exchange 2010
oOutlook Web Access - Exchange Client Access Server (CAS)
oExchange Control Panel (Ovládací panel)
Microsoft Exchange 2013
oOutlook Web App - Exchange Mailbox Server Role (MBX)
oCentrum spravovania pre Exchange
Microsoft Exchange 2016
oOutlook Web App - Exchange Mailbox Server Role (MBX)
oCentrum spravovania pre Exchange
Microsoft Exchange 2019
oOutlook Web App - Exchange Mailbox Server Role (MBX)
oCentrum spravovania pre Exchange
Kde sa uplatňuje 2FA
ESA pridáva 2FA ochranu iba do webového rozhrania Outlook Web Access. Prihlásenia do aplikácie
Microsoft Outlook a podobných e‑mailových klientov nie je možné chrániť s bezpečnostným riešením
ESA vzhľadom k povahe ich protokolu známeho ako RPC over HTTPS. Odporúčame nevystavovať
tieto e‑mailové klienty externému prístupu. Prečítajte si, ako môžete kontrolovať prístup k webovým
službám Exchange.
Microsoft Dynamics CRM 2011
Microsoft Dynamics CRM 2013
Microsoft Dynamics CRM 2015
Microsoft Dynamics CRM 2016
5
Microsoft SharePoint 2010
Microsoft SharePoint 2013
Microsoft SharePoint 2016
Microsoft SharePoint 2019
Microsoft SharePoint Foundation 2010
Microsoft SharePoint Foundation 2013
Microsoft Remote Desktop Web Access
Microsoft Terminal Services Web Access
Microsoft Remote Web Access
Internet Explorer
Medzi podporované webové prehliadače patrí Internet Explorer verzie 9 a 10.
Podporované operačné systémy mobilných telefónov
Mobilná aplikácia ESET Secure Authentication je kompatibilná s nasledujúcimi operačnými systémami mobilných
telefónov:
iOS 9 až po iOS 14
Android™ 4.1 až po Android 10 – služby Google Play 10.2.6 sú potrebné pre Push notifikácie.
oPovolenia na prístup k fotoaparátu a batérii sú potrebné na skenovanie QR kódu.
Windows Phone 8.1 až po Windows 10 Mobile
Požiadavky na inštaláciu
Rýchle odkazy: Prístupové práva potrebné na inštaláciu, Komponenty ESA v distribuovanom prostredí, Prerekvizity
komponentov, Požiadavky na .NET, Požiadavky na databázu v režime Standalone
Inštalácia si vyžaduje von smerujúce pripojenie k licenčným serverom a k adrese esa.eset.com na TCP porte 443.
Ďalšou požiadavkou na spustenie inštalátora je .NET Framework Version 4.5 (Full Install). Inštalátor sa automaticky
pokúsi nainštalovať .NET 4.5, ak ešte nie je nainštalovaný.
V rámci inštalácie budú automaticky pridané výnimky Windows Firewallu, ktoré sú nevyhnutné pre správnu funkciu
programu ESET Secure Authentication. Ak používate iné firewallové riešenie, prečítajte si kapitolu Výnimky
firewallu, kde nájdete informácie o dôležitých výnimkách, ktoré bude v takomto prípade potrebné vytvoriť.
Prístupové práva potrebné na inštaláciu:
Prostredie Active Directory:
oOprávnenia správcu domény – inštalátor musí spustiť člen skupiny zabezpečenia Domain Administrators
alebo používateľ s oprávneniami správcu.
Oprávnenia správcu domény je možné vynechať pri inštalácii/odinštalovaní komponentov ESA v prostredí AD
cez inštalátor .MSI. Na tieto účely je potrebné použiť parametre príkazového riadka. V tomto prípade použite
parameter NO_DOMAIN_ADMIN_MODE=1 a následne vyhľadajte v inštalačných protokoloch ďalšie inštrukcie
označené ako „Manual configuration needed“.
oOprávnenia na rozšírenie schémy – nevyhnutné pri inštalácii autentifikačného servera. Inštalátor musí byť
spustený používateľom členom skupiny zabezpečenia Schema Admins.
6
Samostatné nasadenie:
oOprávnenia lokálneho správcu
Komponenty ESA v distribuovanom prostredí:
ESA podporuje inštaláciu komponentov v distribuovanom prostredí. Dostupné modely:
Autentifikačný server (AS) nainštalovaný v režime Active Directory Integration
oKomponenty nainštalované v režime Active Directory Integration musia byť v rovnakej doméne a pripájajú sa
k autentifikačnému serveru automaticky.
oKomponenty nainštalované v režime Standalone sa pripájajú k autentifikačnému serveru prostredníctvom
pozvánok.
Autentifikačný server (AS) nainštalovaný v režime Standalone
oKomponenty musia byť nainštalované v režime Standalone a pripájajú sa k autentifikačnému serveru
prostredníctvom pozvánok.
Tabuľka kompatibility komponentov ESA a podporovaných operačných systémov
Požiadavky na inštaláciu jednotlivých komponentov:
Authentication Service:
oWindows Server 2008 R2 alebo novší SOS v zozname Podporované operačné systémy
Management Tools:
oWindows7 alebo novší COS v zozname Podporované operačné systémy, Windows Server 2008 R2 alebo novší
SOS v zozname Podporované operačné systémy
o.NET Framework verzia 3.5
oWindows Remote Server Administration Tools, Active Directory Domain Services (RSAT AD DS)
RSAT
RSAT, predtým známy ako Remote Administration Pack (adminpack), je možné stiahnuť od
spoločnosti Microsoft. V systéme Windows Server 2008 a novších môžete tento komponent
nainštalovať cez sprievodcu Add Feature v rámci programu Server Manager. Všetky doménové
radiče už majú tieto komponenty nainštalované.
Reporting Engine (Elasticsearch):
oServer JRE (Java SE Runtime Environment) verzia 1.8.0_131 a novšie verzie 1.8.x, Java SE 11, prípadne
OpenJDK 11 alebo 13
oSystémové premenné prostredia JAVA_HOME a PATH obsahujú cestu k vašej inštalácii Server JRE alebo
OpenJDK
o.NET Framework verzia 4.7.2
o2 GB voľnej pamäte RAM
Konektor poskytovateľa identity:
oWindows Server 2012 R2 alebo novší SOS v zozname Podporované operačné systémy
oASP.NET Framework verzia 4.6.2
7
RADIUS Server:
oWindows Server 2008 R2 alebo novší SOS v zozname Podporované operačné systémy
Plugin Web App pre Microsoft Exchange Server:
oMicrosoft Exchange Server 2007 alebo novší (iba 64-bitový), s nainštalovanou rolou Client Access (Outlook
Web App / Outlook Web Access)
o.NET Framework verzia 3.5
oInternet Information Services 7 (IIS7) alebo novšia verzia
Plugin Web App pre Microsoft SharePoint Server:
oMicrosoft SharePoint Server 2010, 2013, 2016 alebo 2019 (iba 64-bitový)
oMicrosoft SharePoint Server 2010, 2013 Foundation (iba 64-bitový)
o.NET Framework verzia 4.5
Plugin Web App pre Microsoft Dynamics CRM:
oMicrosoft Dynamics CRM 2011, 2013, 2015 alebo 2016
o.NET Framework verzia 4.5
Plugin Web App pre Microsoft Terminal Services Web Access:
oRola Terminal Services so službou roly Terminal Services nainštalovanou na Windows Server 2008 R2
o.NET Framework verzia 4.5
Plugin Web App pre Microsoft Remote Desktop Services Web Access:
oRola Remote Desktop Services so službou roly Remote Desktop Web Access nainštalovanou na Windows
Server 2008 R2 alebo novší SOS v zozname Podporované operačné systémy
o.NET Framework verzia 4.5
Plugin Web App pre Microsoft Remote Web Access:
oSlužba roly Remote Web Access nainštalovaná na Windows SBS 2008 , kde sa volá Remote Web Access,
Windows SBS 2011, Windows Server 2012 Essentials a Windows Server 2012 Essentials R2
o.NET Framework verzia 4.5
Remote Desktop Protection:
oWindows Server 2008 R2 alebo novší SOS v zozname Podporované operačné systémy
oMicrosoft Windows 7 alebo novší COS v zozname Podporované operačné systémy
oPodporované sú iba 64-bitové operačné systémy
Windows login protection:
oWindows Server 2008 R2 alebo novší SOS v zozname Podporované operačné systémy
oWindows 7 alebo novší COS v zozname Podporované operačné systémy
AD FS 3.0 or 4.0 protection:
oWindows Server 2012 R2
8
Reporting Engine (Elasticsearch):
oServer JRE (Java SE Runtime Environment) verzia 1.8.0_131 a novšie verzie 1.8.x, Java SE 11, prípadne
OpenJDK 11 alebo 13
oSystémové premenné prostredia JAVA_HOME a PATH obsahujú cestu k vašej inštalácii Server JRE alebo
OpenJDK
o.NET Framework verzia 4.7.2
o2 GB voľnej pamäte RAM
Konektor poskytovateľa identity:
oWindows Server 2012 R2 alebo novší SOS v zozname Podporované operačné systémy
oASP.NET Framework verzia 4.6.2
RADIUS Server:
oWindows Server 2008 R2 alebo novší SOS v zozname Podporované operačné systémy
Plugin Web App pre Microsoft Exchange Server:
oMicrosoft Exchange Server 2007 alebo novší (iba 64-bitový), s nainštalovanou rolou Client Access (Outlook
Web App / Outlook Web Access)
o.NET Framework verzia 3.5
oInternet Information Services 7 (IIS7) alebo novšia verzia
Plugin Web App pre Microsoft SharePoint Server:
oMicrosoft SharePoint Server 2010, 2013, 2016 alebo 2019 (iba 64-bitový)
oMicrosoft SharePoint Server 2010, 2013 Foundation (iba 64-bitový)
o.NET Framework verzia 4.5
Plugin Web App pre Microsoft Dynamics CRM:
oMicrosoft Dynamics CRM 2011, 2013, 2015 alebo 2016
o.NET Framework verzia 4.5
Plugin Web App pre Microsoft Terminal Services Web Access:
oRola Terminal Services so službou roly Terminal Services nainštalovanou na Windows Server 2008 R2
o.NET Framework verzia 4.5
Plugin Web App pre Microsoft Remote Desktop Services Web Access:
oRola Remote Desktop Services so službou roly Remote Desktop Web Access nainštalovanou na Windows
Server 2008 R2 alebo novší SOS v zozname Podporované operačné systémy
o.NET Framework verzia 4.5
Plugin Web App pre Microsoft Remote Web Access:
oSlužba roly Remote Web Access nainštalovaná na Windows SBS 2008 , kde sa volá Remote Web Access,
Windows SBS 2011, Windows Server 2012 Essentials a Windows Server 2012 Essentials R2
o.NET Framework verzia 4.5
Remote Desktop Protection:
9
oWindows Server 2008 R2 alebo novší SOS v zozname Podporované operačné systémy
oMicrosoft Windows 7 alebo novší COS v zozname Podporované operačné systémy
oPodporované sú iba 64-bitové operačné systémy
Windows login protection:
oWindows Server 2008 R2 alebo novší SOS v zozname Podporované operačné systémy
oWindows 7 alebo novší COS v zozname Podporované operačné systémy
AD FS 3.0 or 4.0 protection:
oWindows Server 2012 R2
.NET Požiadavky:
Všetky komponenty: .NET 4.5 Full Install
Core Server: .NET 4.5 Full Install
RADIUS Server: .NET 4.5 Full Install
Management Tools: .NET 3.5 (4 na Windows Server 2012)
Plugin Web App: .NET 4.5, IIS Filters však vyžadujú .NET vo verzii 3.5
Reporting Engine (Elasticsearch) a FIDO: .NET Framework verzia 4.7.2
Konektor poskytovateľa identity: .NET Framework verzia 4.6.2
ESA Core a RADIUS v klientskom operačnom systéme (COS)
Inštalácia komponentov ESA Core (autentifikačný server) a RADIUS Server na COS zo zoznamu
podporovaných operačných systémov nemusí byť v súlade s licenčnou politikou spoločnosti
Microsoft. Podrobnosti nájdete v licenčnej politike spoločnosti Microsoft alebo sa obráťte na svojho
dodávateľa softvéru. Okrem toho môžu COS predstavovať ďalšie obmedzenia (napríklad počet
maximálnych súbežných pripojení TCP) v porovnaní s SOS.
Požiadavky na databázu v režime Standalone:
V prípade, že je autentifikačný server nainštalovaný v režime Standalone, predvolene využíva vstavanú databázu.
Ak uprednostňujete externú databázu, minimálne požiadavky sú nasledovné:
MS SQL/MS SQL Express 2012 (11.0.2100.60)
Postgre SQL 9.4.24
Komponenty ESA a kompatibilita s operačnými systémami
V nasledujúcej tabuľke sú uvedené podporované operačné systémy Windows pre každý komponent ESET Secure
Authentication.
Viac informácií nájdete v kapitole Požiadavky na inštaláciu.
WS = Windows Server
Serverové operačné systémy
WS 2008 WS 2008 R2 WS 2012 WS 2012 R2
Windows SBS
2008
Windows SBS
2011
WS 2012
Essentials
WS 2012 R2
Essentials
WS 2016
WS 2016
Essentials
WS 2019
WS 2019
Essentials
je nainštalovaný
10
Nástroje na správu
Modul vytvárania reportov (Elasticsearch):
RADIUS Server
Web App Plug-in pre MS Exchange Server ✔*
Web App Plug-in pre MS SharePoint Server
Web App Plug-in pre MS Dynamics CRM
Web App Plug-in pre MS Remote Desktop Services Web Access ✔**
Web App Plug-in pre MS Remote Web Access
Ochrana vzdialenej pracovnej plochy
Ochrana prihlasovania do systému Windows
AD FS 3.0 alebo 4.0
* vyžaduje sa 64-bitová verzia operačného systému
** MS Terminal Services na Windows Server 2008
Klientske operačné systémy
Windows 7 Windows 8 Windows 8.1 Windows 10
je nainštalovaný
Nástroje na správu
Modul vytvárania reportov (Elasticsearch):
RADIUS Server
Web App Plug-in pre MS Exchange Server *
Web App Plug-in pre MS SharePoint Server *
Web App Plug-in pre MS Dynamics CRM
Web App Plug-in pre MS Terminal Services Web Access
Web App Plug-in pre MS Remote Desktop Services Web
Access
Web App Plug-in pre MS Remote Web Access
Ochrana vzdialenej pracovnej plochy*
Ochrana prihlasovania do systému Windows
AD FS 3.0 alebo 4.0
* vyžaduje sa 64-bitová verzia operačného systému
RADIUS Server na systéme Windows Small Business Server
Keď RADIUS Server inštalujete na systém Windows Small Business Server 2008 alebo 2011, zmeňte
predvolený port NPS z 1812 na 1645. Ešte pred inštaláciou ESA skontrolujte, či nie sú prítomné
žiadne procesy počúvajúce na porte 1812, a to spustením nasledujúceho príkazu: C:\> netstat -a -p
udp | more
Prípadne môžete pri inštalácii komponentu ESA RADIUS zmeniť port RADIUS v okne Advanced
configuration.
ESA Core a RADIUS v klientskom operačnom systéme (COS)
Inštalácia komponentov ESA Core (autentifikačný server) a RADIUS Server na COS zo zoznamu
podporovaných operačných systémov nemusí byť v súlade s licenčnou politikou spoločnosti
Microsoft. Podrobnosti nájdete v licenčnej politike spoločnosti Microsoft alebo sa obráťte na svojho
dodávateľa softvéru. Okrem toho môžu COS predstavovať ďalšie obmedzenia (napríklad počet
maximálnych súbežných pripojení TCP) v porovnaní s SOS.
Odporúčania týkajúce sa výkonu
Výkon autentifikačného servera závisí od viacerých faktorov.
Najdôležitejšie faktory:
počet požiadaviek na overenie za definovaný interval (priemer aj maximum),
celkový počet používateľov,
režim integrácie (Active Directory Integration alebo Standalone),
použitý spôsob overenia,
11
počet používaných autentifikačných serverov,
použité externé databázy v prípade režimu integrácie Standalone,
hardvér a softvér (OS) používaný v celom ekosystéme.
Hoci nie je možné definovať jedno konkrétne číslo, ktoré by predstavovalo výkon, snažili sme sa zúžiť počet
možných odpovedí na základe našich testov.
Testovacie prostredie
Referenčný hardvér použitý pre autentifikačný server (AS):
CPU: 2,5 GHz, 8 jadier
RAM: 32 GB
Pevný disk: SSD
Podrobnejšie informácie:
Používa sa jeden autentifikačný server.
V rámci testovania typu nasadenia Standalone s externou databázou sa externá databáza nachádzala na
samostatnom hardvéri (podobnom ako v prípade AS).
V rámci testovania režimu Active Directory Integration sa doménový radič (DC) nachádzal na samostatnom
hardvéri (podobnom ako v prípade AS).
Modul vytvárania reportov v týchto testoch nebol použitý.
V rámci porovnávania rýchlosti bol režim Active Directory Integration najpomalším v našich testoch, hoci to
závisí aj od výkonu doménového radiča a niektorých ďalších parametrov.
Režim Standalone so vstavanou databázou mal rovnakú rýchlosť ako v prípade použitia externej databázy, avšak
vstavaná databáza nepovoľuje viaceré autentifikačné servery.
Režim Standalone s externou databázou je najvhodnejší pre prostredia s veľmi veľkým počtom používateľov.
Vzhľadom na výkon opísaný vyššie je potrebné zvážiť, koľko klientov sa autentifikuje a v akom časovom intervale.
Napríklad, ak sa všetky klientske počítače autentifikujú v priebehu jednej minúty, režim Standalone s externou
databázou v našom prostredí je pripravený spravovať okolo 4 800 klientov.
Typ nasadenia Počet žiadostí za sekundu
Režim Active Directory Integration 30
Režim Standalone so vstavanou databázou 80
Režim Standalone s externou databázou 80
Ak sa však do jednej hodiny autentifikujú rovnomerne, teoreticky je možné spravovať aj viac ako 100 000 klientov.
Údaje v tabuľke nižšie vychádzajú z predpokladu, že 10 % všetkých klientov sa autentifikuje do jednej minúty,
pričom sú zohľadnené aj obmedzenia iných typov nasadenia.
Ak sa v tabuľke nižšie nenachádza symbol ✔ môžu sa vyskytnúť problémy s výkonom, pokiaľ nevyladíte svoje
prostredie.
Rozsah používateľov Režim AD
Integration
Režim Standalone so
vstavanou databázou
Režim Standalone
s externou databázou
Pamäť Úložisko HDD
12
do 5 000 450 MB 800 MB
5 000 – 20 000 1 GB 2 GB
viac ✔*
*Za predpokladu, že sa používajú viaceré autentifikačné servery.
Podporované prostredia Active Directory
ESET Secure Authentication (ESA) podporuje prostredia Active Directory s jednou doménou alebo viacerými
doménami. Rozdiely medzi týmito prostrediami a ich požiadavkami na inštaláciu sú podrobne uvedené nižšie.
Jediná doména v jednej doménovej štruktúre
Najjednoduchšia konfigurácia a inštalátor môžu byť spustené ktorýmkoľvek správcom domény. ESET Secure
Authentication je k dispozícii pre všetkých používateľov v doméne.
Viacero domén v jednej doménovej štruktúre
V tomto nasadení má nadradená doména, napríklad example.corp, viacero subdomén ako branch1.example.corp
a branch2.example.corp. Riešenie ESET Secure Authentication môže byť nainštalované na ktorúkoľvek doménu
v rámci doménovej štruktúry, no medzi inštaláciami nebude žiadna vzájomná komunikácia. Medzi podradenými
a nadradenými doménami nedochádza k vzájomnému zdieľaniu prihlasovacích údajov.
Aby bolo možné nainštalovať ESET Secure Authentication na subdoménu, inštalátor musí byť spustený správcom
domény z domény najvyššej úrovne.
Napríklad pri vyššie definovaných doménach by to vyzeralo nasledovne:
Ak chcete nainštalovať ESET Secure Authentication na server01.branch1.example.corp, prihláste sa na server01
ako používateľ example.corp\Administrator (alebo ktorýkoľvek iný správca z nadradenej domény example.corp). Po
inštalácii bude ESET Secure Authentication k dispozícii každému používateľovi v rámci domény
branch1.example.corp.
Viacero domén vo viacerých doménových štruktúrach
Podobne ako v predchádzajúcom prostredí platí, že inštalácie ESET Secure Authentication v rámci samostatných
domén navzájom nijako nekomunikujú.
Výhody inštalácie ESA v režime Active Directory Integration
Ak inštalujete autentifikačný server v režime Active Directory Integration:
používatelia rovnakej domény sa automaticky zobrazia v nástroji ESA Web Console,
komponenty ESA v rámci rovnakej domény sa zaregistrujú automaticky (nie je potrebná žiadna pozvánka).
Používatelia a komponenty z iných domén
Používateľov z iných domén môžete pridať manuálne alebo ich importovať pomocou individuálnej
registrácie alebo synchronizácie s LDAP.
Ak chcete pridať komponenty z iných domén, použite pozvánky.
Výnimky firewallu
Výnimky Windows Firewallu nevyhnutné pre správne fungovanie ESET Secure Authentication budú pridané
automaticky ako súčasť inštalácie. Ak používate iné firewallové riešenie, je v ňom potrebné manuálne nastaviť
nasledujúce výnimky:
13
Názov výnimky: ESET Secure Authentication Základná služba
Rozsah: akýkoľvek
Protokol: TCP
Lokálny port: 8000 a 8001
Vzdialené porty: všetky
Názov výnimky: ESET Secure Authentication API
Rozsah: akýkoľvek
Protokol: TCP
Lokálny port: 8001
Vzdialené porty: všetky
Názov výnimky: ESET Secure Authentication Služba RADIUS
Rozsah: akýkoľvek
Protokol: UDP
Lokálny port: 1812
Vzdialené porty: všetky
Názov výnimky: ESET Secure Authentication Služba RADIUS (alternatívny port)
Rozsah: akýkoľvek
Protokol: UDP
Lokálny port: 1645
Vzdialené porty: všetky
Politiky
Informácie uvedené nižšie sa vzťahujú iba na režim Active Directory Integration.
ESA počas inštalácie pridá používateľa ESA_<názov počítača> k entite Log on as a service nachádzajúcej sa
v Local Security Policies > Local Policies > User Rights Assignments, kde <názov počítača> sa nahradí
názvom počítača, na ktorom sa inštaluje ESA. Je to nevyhnutné pre spustenie služby ESET Secure
Authentication Service, ktorá sa spúšťa automaticky pri štarte operačného systému.
Ak používate Group Policy a máte zadefinovanú entitu Log on as serviceice (Group Policy Management >
<Forest> > Domains > <domain> > Default Domain Policy > Settings > Computer Configuration >
Policies > Windows Settings > Security Settings > Local Policies), potom musíte pridať používateľa
ESA_<názov počítača> k entite Log on as a service alebo nemať entitu Log on as a service zadefinovanú
vôbec.
Ak chcete vyhľadať názov počítača, do ktorého inštalujete ESA, postupujte nasledovne:
obuď stlačte súčasne kláves Windows a E tak, aby sa zobrazil Prieskumník,
oalebo v zobrazenom okne kliknite pravým tlačidlom myši na Tento počítač alebo Počítač a vyberte
možnosť Vlastnosti.
V novom okne sa zobrazí názov počítača.
Použitie s klonovanými počítačmi
Ak chcete mať v sieti, kde sa použije ESET Secure Authentication (ESA), klonované počítače, musia byť nižšie
uvedené atribúty jedinečné pre každý počítač, ktorý má byť chránený týmto bezpečnostným riešením.
Pre správnu registráciu komponentov ESA (plugin Windows Login, plugin Remote Desktop), ktoré
s autentifikačným serverom komunikujú v režime Active Directory Integration:
14
Názov počítača
Bezpečnostný identifikátor SID počítača
SID objektu služby AD
Pre správnu registráciu komponentov ESA (plugin Windows Login, plugin Remote Desktop), ktoré sú
nainštalované v režime Standalone:
Názov počítača
Prihlasovacie meno API v C:\ProgramData\ESET Secure Authentication\ESA.config
Pre správnu registráciu domén pre lokálnych používateľov:
Názov počítača
Bezpečnostný identifikátor SID počítača
Pomocou nástroja SysPrep spoločnosti Microsoft zabezpečte, aby sa na klonované počítače aplikovali jedinečné
atribúty.
1. V nástroji SysPrep použite možnosť Generalize (Zovšeobecniť) na vytvorenie zovšeobecneného obrazu
systému Windows, ktorý bude neskôr klonovaný. Každý obraz je nakonfigurovaný počas prvého spustenia.
2. V prípade použitia klonovaných počítačov v doméne:
a.Na klonovanom počítači spustite nástroj SysPrep.
b.Reštartujte počítač.
c.Pripojte počítač k doméne.
3. Nainštalujte ESA (plugin Windows Login, plugin Remote Desktop) na každý klonovaný počítač buď
manuálne, alebo pomocou GPO.
IP adresy používané produktom ESET Secure Authentication
ESET Secure Authentication sa automaticky pripája na IP adresy uvedené v našom článku databázy znalostí (sekcie
ESET Data Framework, Služby, ESET Secure Authentication Provisioning Server, ERA/ESMC) alebo nižšie.
93.184.220.29 – kontrola zrušenia certifikátu na základe verejne dostupných zoznamov zrušených certifikátov.
23.42.27.27 – kontrola zrušenia certifikátu týkajúca sa podpisov EXE/DLL.
Inštalácia
Pre vašu prvú inštaláciu ESA sú potrebné všetky nasledujúce komponenty:
aspoň jedna inštancia autentifikačného servera,
Aspoň jeden z autentifikačných koncových bodov (API, Windows Login, Web Application, Remote Desktop
alebo RADIUS)
Všetky komponenty môžete nainštalovať na jednom počítači alebo na viacerých počítačoch v distribuovanom
prostredí – ESA Web Console je však súčasťou autentifikačného servera (Authentication Server). Ako je tomu
v prípade distribuovaných systémov, existuje mnoho možných scenárov inštalácie.
Ak inštalujete ESA Authentication Server v prostredí Active Directory, nemusíte ho inštalovať konkrétne na
15
doménový radič. Môže byť nainštalovaný na iný počítač, dokonca aj v režime Standalone.
Nižšie uvedený príklad ilustruje všeobecný scenár inštalácie v prostredí Active Directory. Tento príklad však môže
slúžiť ako základ pre iné scenáre nasadenia. Príklad inštalácie sa skladá z dvoch sekvencií – po dokončení oboch
bude vaše nasadenie zodpovedať obrázku nižšie.
Inštalácia autentifikačného servera
Windows Server 2008 a Windows Server 2008R2
Pred inštaláciou autentifikačného servera (Authentication Server) na operačný systém Windows
Server 2008 alebo Windows Server 2008 R2 zmeňte predvolenú verziu protokolu TLS, ktorá sa má
použiť.
1. Spustite dodaný súbor .EXE na inštaláciu autentifikačného servera na počítači, na ktorom bude bežať služba
ESA Authentication Service. NET Framework verzia 4.5 sa nainštaluje automaticky, ak nebude na danom
počítači nájdená.
2. Vyberte typ nasadenia:
Active Directory Integration – tento typ nasadenia je vhodný pre zákazníkov s doménovou sieťou
Windows. Pomocou 2FA nemusia chrániť iba počítače patriace do ich domény Windows, ale môžu tiež pozvať
počítače mimo svojej siete, ak je autentifikačný server dostupný online.
Standalone – tento typ nasadenia je vhodný pre zákazníkov, ktorí nepoužívajú doménu Windows. Môžu
pozývať počítače zo svojej lokálnej siete a tiež ďalších sietí. Služby súvisiace s riešením ESA sa spúšťajú pod
používateľom SYSTEM.
/