方案：为所有用户配置两步验证

此方案描述如何为所有用户启用两步验证，以及如何从两步验证中排除用户账户。如果您在为其他用户启用两步验证之前没有为您的账户启用两步验证，则应用程序会先打开用于为您的账户启用两步验证的窗口。此方案还描述了如何为您自己的账户启用两步验证。

如果您为账户启用了两步验证，则可以进入为所有用户启用两步验证的阶段。

先决条件

在开始之前：

• 确保您的用户账户在“常规功能：用户权限”功能区域中拥有“修改对象 ACL”权限，以修改其他用户账户的安全设置。
• 确保管理服务器的其他用户在其设备上安装了认证应用。

阶段

为所有用户启用两步验证分阶段进行：

1. 在设备上安装认证应用

   您可以安装任何支持基于时间的一次性密码算法 (TOTP) 的应用程序，例如：

   • Google Authenticator
   • Microsoft Authenticator
   • Bitrix24 OTP
   • Yandex Key
   • Avanpost 验证器
   • Aladdin 2FA

   要检查 Kaspersky Security Center 是否支持您要使用的身份验证器应用，请为所有用户或特定用户启用两步验证。

   其中一个步骤会建议您指定由身份验证器应用生成的安全代码。如果成功，则 Kaspersky Security Center 支持所选的身份验证器。

2. 将认证应用时间与安装了管理服务器的设备的时间同步

   通过使用外部时间源，确保具有身份验证器应用的设备上的时间和具有管理服务器的设备上的时间与 UTC 同步。否则，两步验证的认证和激活过程中可能会出现失败。

3. 为您的账户启用两步验证，并接收您的账户的 secret key

   说明：

   • 对于基于 MMC 的管理控制台：为您自己的账户启用两步验证
   • 对于 Kaspersky Security Center Web Console：为您自己的账户启用两步验证

   为您的账户启用两步验证后，可以为所有用户启用两步验证。

4. 为所有用户启用两步验证

   启用了两步验证的用户必须使用它才能登录到管理服务器。

   说明：

   • 对于基于 MMC 的管理控制台：为所有用户启用两步验证
   • 对于 Kaspersky Security Center Web Console：为所有用户启用两步验证
5. 编辑安全代码颁发者的名称

   如果您有多个具有相似名称的管理服务器，则可能需要更改安全代码颁发者名称，以便更好地识别不同的管理服务器。

   说明：

   • 对于基于 MMC 的管理控制台：编辑安全代码颁发者的名称
   • 对于 Kaspersky Security Center Web Console：编辑安全代码颁发者的名称
6. 排除不需要启用两步验证的用户账户

   如果需要，您可以从两步验证中排除用户。具有已排除的账户的用户不必使用两步验证即可登录到管理服务器。

   说明：

   • 对于基于 MMC 的管理控制台：从两步验证中排除账户
   • 对于 Kaspersky Security Center Web Console：从两步验证中排除账户
7. 为您自己的账户配置两步验证

   如果用户未被排除在两步验证之外，并且尚未为其账户配置两步验证，则他们需要在登录Kaspersky Security Center 时打开的窗口中进行配置。否则，他们将无法按照其权限访问管理服务器。

   说明：

   • 对于基于 MMC 的管理控制台：为您自己的账户配置两步验证
   • 对于 Kaspersky Security Center Web Console：为您自己的账户配置两步验证

结果

完成此方案后：

• 您的账户已启用两步验证。
• 管理服务器的所有用户账户均已启用两步验证，但已排除的用户账户除外。