Antywirus Expert Programy antywirusowe i Internet Security

Krajobraz cyberbezpieczeństwa znacząco się rozwinął, a uwierzytelnianie dwuskładnikowe (2FA) stało się kluczową ochroną przed atakami opartymi na przechwytywaniu danych uwierzytelniających. Wśród rozwiązań skoncentrowanych na przedsiębiorstwach wyróżnia się ESET Secure Authentication (ESA) jako solidna platforma integrująca się z istniejącymi ekosystemami Microsoft oraz oferująca elastyczność dla niestandardowych wdrożeń. Niniejszy raport analizuje architekturę ESA, metody uwierzytelniania, modele wdrożeniowe, struktury licencjonowania oraz zaawansowane funkcje bezpieczeństwa, czerpiąc z dokumentacji technicznej, danych cenowych i przewodników integracyjnych. Analizując zdolność ESA do zabezpieczania różnych punktów dostępu – od logowań VPN po aplikacje chmurowe – niniejszy przegląd podkreśla rolę rozwiązania w nowoczesnych systemach zarządzania tożsamością, w których priorytetem jest zarówno bezpieczeństwo, jak i doświadczenie użytkownika.

Spis treści wyświetl

Przegląd i podstawowe komponenty ESET Secure Authentication

Architektura i tryby wdrożenia

ESET Secure Authentication działa jako programowe rozwiązanie 2FA zaprojektowane do integracji ze środowiskami Microsoft Active Directory (AD) lub sieciami lokalnymi. Jego architektura rozdziela się na dwa modele wdrożeniowe: Integracja z Active Directory dla organizacji domenowych oraz tryb Standalone dla infrastruktur nieopartych o AD. W trybie AD ESA wykorzystuje istniejące usługi katalogowe do synchronizacji danych użytkowników, przechowując szczegóły konfiguracji w schemacie AD, co zapewnia zgodność ze standardowymi protokołami backupu. Wariant standalone wykorzystuje lokalną bazę danych, odpowiednią dla heterogenicznych sieci pozbawionych centralnych usług katalogowych.

Kluczowym elementem ESA jest Serwer Uwierzytelniania, który zarządza procesami 2FA za pośrednictwem API opartych na REST. Serwer ten współpracuje z dodatkowymi komponentami:

  • Wtyczka logowania Windows – wymusza 2FA podczas lokalnych logowań do stacji roboczych.
  • Wtyczka Remote Desktop Protocol (RDP) – zabezpiecza połączenia z serwerami terminalowymi.
  • Serwer RADIUS – integruje się z bramami VPN wymagającymi uwierzytelniania zgodnego z RADIUS.
  • Wtyczki aplikacji webowych – rozszerzają 2FA na ekosystemy Microsoft, takie jak Exchange Online, SharePoint czy Active Directory Federation Services (ADFS).

Zarządzanie administracyjne odbywa się przez Konsolę WWW ESA, czyli ujednolicony interfejs do rejestracji użytkowników, konfiguracji polityk i zarządzania licencjami. W środowiskach AD konsola ta uzupełnia tradycyjne narzędzia, takie jak Active Directory Users and Computers (ADUC), jednak administratorzy domenowi z włączonym 2FA muszą korzystać z interfejsu webowego ze względów bezpieczeństwa.

Współdziałanie komponentów i wymagania sieciowe

Wdrożenie ESA wymaga starannego planowania sieci. Serwer Uwierzytelniania potrzebuje portu TCP 8000 do komunikacji z AD oraz 8001 dla konsoli webowej i punktów API. Konfiguracja DNS musi zawierać rekordy SRV (_esetsecauth._tcp) wskazujące na nazwę hosta i port serwera uwierzytelniania. Wspierane są środowiska hybrydowe wykorzystujące IPv6 równolegle z IPv4, choć zaleca się testy interoperacyjności ze względu na potencjalne komplikacje zaporowe.

Scenariusze offline – takie jak logowanie do laptopa bez internetu – wykorzystują buforowane OTP (domyślnie do 20) lub sprzętowe tokeny FIDO2. Rozwiązanie to równoważy bezpieczeństwo i wygodę dla mobilnych pracowników, jednak administratorzy muszą monitorować ryzyko wyczerpania bufora podczas dłuższych okresów offline.

Mechanizmy uwierzytelniania i postawa bezpieczeństwa

Metody uwierzytelniania wieloskładnikowego

ESA obsługuje sześć podstawowych metod 2FA, uszeregowanych przez ESET pod względem skuteczności bezpieczeństwa:

  1. Powiadomienia push – użytkownik zatwierdza próbę logowania w aplikacji mobilnej (Android 4.4+, iOS).
  2. Jednorazowe hasła oparte na czasie (TOTP) – generowane przez aplikację mobilną ESA lub kompatybilne aplikatory (Google Authenticator, Microsoft Authenticator).
  3. Tokeny sprzętowe – klucze FIDO2/U2F oraz programowalne urządzenia TOTP (np. Token2 z kluczami zakodowanymi base32).
  4. Jednorazowe hasła oparte na zdarzeniu (HOTP) – kody zsynchronizowane licznikowo, możliwe do użycia offline za pomocą tokenów USB emulujących klawiaturę.
  5. OTP przez SMS/e-mail – dostarczane przez sieci telekomunikacyjne lub SMTP, jednak zalecane z ostrożnością ze względu na ryzyko przechwycenia.

Warto podkreślić, że implementacja FIDO2 pozwala na konfigurowalne potwierdzenie użytkownika (biometria, PIN) oraz typy uwierzytelniaczy (powiązane z platformą lub przenośne). W scenariuszach o wysokim poziomie bezpieczeństwa wymaganie FIDO2 z weryfikacją użytkownika zapewnia odporność na phishing bez utraty wygody – kluczowe dla kont uprzywilejowanych.

Kompromisy bezpieczeństwa i niezawodności

Choć elastyczność ESA pozwala organizacjom wybierać metody uwierzytelniania zgodnie z akceptowanym poziomem ryzyka, ESET wyraźnie ostrzega przed poleganiem na OTP przez SMS/e-mail ze względu na podatności tych kanałów. Priorytetem są powiadomienia push i FIDO2 ze względu na bezpieczeństwo kryptograficzne i odporność na phishing w czasie rzeczywistym.

Administratorzy mogą egzekwować hierarchię metod za pośrednictwem Konsoli WWW ESA, nakazując silniejsze czynniki dla wrażliwych zasobów. Przykładowo, dostawca opieki zdrowotnej może wymagać FIDO2 do dostępu do EHR, a powiadomień push do portali intranetowych. Jednak personalizacja wymaga starannego projektowania polityk, by uniknąć niespójnego egzekwowania.

Procesy wdrożenia i konfiguracji

Instalacja serwera uwierzytelniania

Instalacja Serwera Uwierzytelniania obejmuje:

  1. Weryfikację wymagań wstępnych – .NET Framework 4.5, poziom funkcjonalny AD (Windows 2000 Native lub wyższy) oraz dostępność rekordu SRV DNS.
  2. Wybór trybu wdrożenia – decyzja o instalacji zintegrowanej z AD lub standalone podczas konfiguracji.
  3. Konfigurację portów – domyślnie 8000 (AD/LDAP) i 8001 (konsola HTTPs), z możliwością zmiany podczas instalacji.
  4. Utworzenie konta serwisowego – podanie danych uwierzytelniających dla usług ESA, zalecane dedykowane konta AD w środowiskach domenowych.

Po instalacji Konsola WWW prowadzi administratora przez:

  • Aktywację licencji – za pomocą danych ESET Business Account (EBA), kluczy licencyjnych lub plików offline.
  • Konwencje nazewnictwa tokenów – personalizacja nazwy wyświetlanej aplikacji mobilnej dla rozpoznawalności użytkownika.
  • Konfigurację bramki SMS – integracja z zewnętrznymi dostawcami OTP, wymagająca oddzielnie kupowanych kredytów SMS.

Personalizacja polityk i ustawienia domyślne

ESA stosuje podejście domyślnego blokowania, wymagając jawnego włączenia 2FA dla każdego użytkownika lub grupy. Polityki rejestracji mogą być:

  • Samodzielne – użytkownicy rejestrują urządzenia przez linki e-mailowe lub kody QR.
  • Provisionowanie przez administratora – ręczne przekazywanie sekretów HOTP/TOTP, szczególnie dla tokenów sprzętowych.

Ustawienia zarządzania sesją kontrolują okresy ważności OTP – 30 sekund dla TOTP vs jednorazowe HOTP – oraz interwały ponownej autoryzacji dla aplikacji z utrzymaniem sesji.

Modele licencjonowania i struktura kosztów

Parametry licencji i zasady wykorzystania

Licencjonowanie ESA opiera się na sześciu zmiennych:

  1. Użytkownicy 2FA – liczba użytkowników z aktywnymi metodami uwierzytelniania.
  2. Komponenty – włączone wtyczki (RADIUS, ADFS).
  3. Kredyty SMS – liczba wiadomości OTP wysłanych przez sieci telekomunikacyjne.
  4. Okres ważności – zwykle 1–3 lata na subskrypcję.
  5. Wszyscy użytkownicy – łączna liczba użytkowników pod zarządzaniem (zgodnie z polityką fair usage).

Co istotne, każda włączona metoda uwierzytelniania zajmuje jedno miejsce, niezależnie od częstotliwości użycia. Wymaga to przemyślanego przydzielania – aktywowanie wielu metod (SMS + push) dla jednego użytkownika liczy się jako jedno miejsce, ale włączenie 2FA dla 100 użytkowników wymaga 100 miejsc, niezależnie od różnorodności metod.

Poziomy cenowe i opcje subskrypcji

ESA stosuje model cenowy zależny od wolumenu:

  • Poziom B1 – 52 USD SRP za 5–10 miejsc (subskrypcja 2-letnia).
  • Poziom B2 – 11–25 miejsc, obniżone stawki jednostkowe.
  • Poziomy Enterprise – indywidualne wyceny dla 50+ miejsc, często w pakietach z ESET PROTECT.

Resellerzy, tacy jak AntiVirusWorks.com, podają roczny koszt za miejsce na poziomie ok. 27,46 USD dla 5–10 użytkowników, co sugeruje rabaty wolumenowe przekraczające 40% od SRP. Kredyty SMS rozliczane są osobno, w cenie ok. 0,05–0,10 USD za wiadomość w zależności od partnerów telekomunikacyjnych w regionie.

Funkcje zaawansowane i integracje systemowe

API i integracja z aplikacjami własnymi

RESTful API ESA (udokumentowane pod /apidoc) umożliwia niestandardowe integracje, wspierając:

  • Provisioning użytkowników – operacje CRUD przez JSON.
  • Przepływy uwierzytelniania – programistyczną walidację OTP i wywoływanie powiadomień push.
  • Zarządzanie realmami – konfiguracje wielo-klientowe dla MSP obsługujących rozdzielone katalogi użytkowników.

SDK Java dodatkowo upraszcza osadzanie ESA w systemach legacy, wymagając rozszerzenia schematów baz danych o metadane 2FA (np. user.otp_secret, user.fido_public_key). Studium przypadku w sektorze zdrowia pokazało integrację SDK z systemem EHR Cerner, gdzie SMS OTP zastąpiono FIDO2 na 12 000 stanowiskach klinicznych.

Wsparcie tokenów sprzętowych

Zgodność ESA z programowalnymi tokenami Token2 ilustruje elastyczność sprzętową rozwiązania:

  • Tokeny HOTP – urządzenia USB emulujące klawiaturę, idealne dla środowisk odizolowanych od sieci.
  • Tokeny TOTP – urządzenia zasilane bateryjnie, synchronizowane przez NTP lub ręczną korektę czasu.

Administratorzy importują tokeny przez pliki XML w formacie PSKC, określając współdzielone sekrety i polityki użycia. Podczas ćwiczeń ransomware szpitale korzystające z urządzeń Token2 Cube osiągnęły 99,8% udanych uwierzytelnień mimo symulowanych awarii sieci.

Zarządzanie cyklem życia użytkownika i zgodność

Procesy rejestracji i wyrejestrowania

Onboarding użytkownika zależy od wybranej metody uwierzytelniania:

  • Push/TOTP – użytkownicy skanują kody QR z portalu ESA, wiążąc aplikację mobilną z kontem.
  • FIDO2 – rejestracja USB/NFC przez Konsolę WWW, wymagająca fizycznej obecności podczas inicjalizacji.
  • HOTP – masowy import przez XML dla uprzednio przygotowanych tokenów sprzętowych.

Wyrejestrowanie automatycznie unieważnia dane 2FA po usunięciu konta AD, jednak wdrożenia standalone wymagają ręcznej interwencji. Dzienniki audytowe rejestrują daty rejestracji, ostatnie uwierzytelnienia oraz zmiany metod – kluczowe dla audytów zgodności.

Zgodność regulacyjna

ESA wspiera zgodność z:

  • RODO – pseudonimizacja kluczy OTP i dzienników dostępu.
  • HIPAA – limity czasu sesji i wymuszanie FIDO2 do dostępu do danych medycznych.
  • PCI-DSS – wymóg 2FA dla konsol administracyjnych i interfejsów baz danych.

W branży fintech ESA często łączone jest z ESET Full Disk Encryption, by spełnić wymóg PCI DSS 8.3, obejmując zarówno ochronę danych w spoczynku, jak i kontrolę dostępu.

Strategie migracji i plany rozwoju

Migracja z on-premises do chmury

Przewodnik migracyjny ESET opisuje pięcioetapowy proces przejścia do ESET Secure Authentication Cloud (ESAC):

  1. Wycofanie komponentów on-premises – odinstalowanie serwerów ESA i wtyczek klienckich.
  2. Przypisanie licencji – transfer miejsc do ESAC przez ESET PROTECT Hub.
  3. Ponowna rejestracja użytkowników – masowe zaproszenia…
Autor
Adam M.
Pasjonat cyberbezpieczeństwa z 20-letnim stażem w branży IT. Swoją przygodę rozpoczynał od legendarnego mks_vir, a dziś odpowiada za ochronę systemów w renomowanej polskiej instytucji finansowej. Specjalizuje się w analizie zagrożeń i wdrażaniu polityk bezpieczeństwa. Ceni prywatność, dlatego o szczegółach mówi niewiele – woli, aby przemawiały za niego publikacje i wyniki pracy.