Настройка двухфакторной аутентификации при входе в Windows
Multifactor Logon — программный компонент, экран входа в операционную систему Windows. Работает как при локальном входе в операционную систему, так и при подключении через удалённый рабочий стол.
Компонент в виде установочного файла распространяется бесплатно.
Данная статья описывает настройку входа на рабочую станцию или сервер на основе операционной системы Windows с логином и паролем и вторым фактором с использованием облачного Radius сервера Multifactor.
Как правило, локальный и удалённый вход на рабочую станцию защищён только логином и паролем. В современных операционных системах добавляются новые методы аутентификации, такие как сочетание логина с PIN кодом, графическим ключом, хранилищем сертификата или биометрическим датчиком. Такая конфигурация реализует только один фактор проверки подлинности и уязвима настолько, насколько надежно защищён первый фактор на клиентском устройстве. Перехват аутентификационных данных можно осуществить, например, при их передаче по незащищённым каналам связи или путём наблюдения за оператором в момент их ввода.
Использование второго фактора не усложняет процесс подключения для пользователя, значительно сокращая риск неправомерного доступа.
Возможные способы аутентификации:
Мобильное приложение MultiFactor
Telegram
Аппаратные OTP токены
Приложения OTP: Google Authenticator или Яндекс.Ключ
СМС
Требования для установки компонента
- десктопная ОС Windows 7 или выше 64 бит
- серверная ОС Windows Server 2012 или выше 64 бит
- открытый исходящий порт 1812 UDP для отправки запросов по RADIUS протоколу
- сетевой доступ к radius.multifactor.ru или RADIUS адаптеру, установленному в локальной сети
- свежая версия Microsoft Visual C++ Redistributable
Принцип работы
- Компонент устанавливается на целевую операционную систему, заменяя стандартный метод входа.
- Проверка логина-пароля пользователя происходит стандартными методами операционной системы.
- Проверка второго фактора происходит по RADIUS протоколу либо через установленный в вашей сети Radius адаптер, либо через облачный сервер radius.multifactor.ru.
- Пользователь подтверждает полученный запрос на подключение или вводит сгенерированный одноразовый код в форму входа и подключается к рабочему месту.
Поддерживаемые типы учётных записей
- Локальные
- Active Directory
- Учётные записи Microsoft
Особенности и ограничения
- Поддерживает аутентификацию через несколько RADIUS серверов, используя Status-Server (12) запрос для мониторинга доступности.
- Позволяет конфигурировать доступные для пользователя методы аутентификации.
- Принимает учётные данные пользователя от RDP сессии, в случае если установлен единственным методом входа.
- Работает только в 64битном окружении.
- Не блокирует вход под локальной учётной записью в Safe Mode.
- Не работает на версиях ниже Windows 7.
- На windows 7 устанавливается в качестве единственного метода входа.
- Не принимает кириллические имена учётных записей при работе через radius.multifactor.ru
Важно помнить
Не завершайте сессию текущего пользователя до тех пор, пока не убедитесь, что всё корректно настроено и работает.
Настройка Мультифактора
- Зайдите в Административную панель Мультифактора, далее в раздел "Ресурсы" и создайте новый ресурс типа "ОС / Сервер" - "Windows".
- Заполните "Название", "Адрес" и "Язык" по вашему усмотрению, установите переключатель в "Запретить доступ" в разделе "При подключении без настроенного второго фактора"
- После создания вам будут доступны два параметра: NAS Identifier и Shared Secret, они потребуются для следующего шага.
- Установите и настройте Radius адаптер, в файле конфигурации
MultiFactor.Radius.Adapter.exe.config
укажите следующие значения (value) параметров:
<!--Где проверять первый фактор: None (не проверять) -->
<add key="first-factor-authentication-source" value="None"/>
<!-- Параметр NAS-Identifier для подключения к API Мультифактора - из личного кабинета -->
<add key="multifactor-nas-identifier" value=""/>
<!-- Параметр Shared Secret для подключения к API Мультифактора - из личного кабинета -->
<add key="multifactor-shared-secret" value=""/>
- На рабочей станции установите приложение MultifactorLogonSetup.exe, на втором шаге укажите следующие данные:
- адрес: ip или имена хостов с настроенными адаптерами через запятую без пробелов;
- порт: порт настроенного адаптера, должен быть одинаковых для всех хостов;
- NAS Identifier: не указывайте ничего, если работаете через Radius adapter, NAS Identifier, если работаете через radius.multifactor.ru;
- Shared Secret: значение из настройки radius-shared-secret Radius adapter, либо Shared Secret для radius.multifactor.ru;
- таймаут запроса: 30;
- Режим "Bypass": установите галочку, если хотите пропускать проверку второго фактора при недоступности всех RADIUS серверов;
- Только Multifactor: включает режим фильтра методов аутентификации, позволяет входить только с использованием второго фактора и подключаться через RDP без дублирования ввода учётных данных.
- Методы для локального входа/RDP - выбор методов, доступных пользователю при включённом фильтре "Только Multifactor". Значение по умолчанию разрешает вход только с Multifactor Logon.
- В Административной панели Мультифактора создайте пользователя, с которым будете использовать второй фактор, и вышлите ему ссылку на настройку второго фактора на почту.
- Настройте второй фактор для пользователя.
- Система готова к использованию.
Проверка
Не блокируя и не выходя из текущей сессии пользователя, подключитесь под пользователем, которому настроили второй фактор.
Если выбран способ подтверждения с одноразовым кодом, пользователь введет его в отдельном поле.
Если выбран способ подтверждения с пушем, Мультифактор пришлёт пуш выбранным методом, а компонент будет ожидать подтверждения или отказа от пользователя.
Если что-то не работает
Последовательно проверьте, что вы ничего не упустили:
- Установлена свежая версия Microsoft Visual C++ Redistributable
- С рабочей станции открыт доступ по UDP порту 1812 на адреса вашего Radius адаптера или radius.multifactor.ru.
- Операционная система имеет 64 битную разрядность
- Параметры NAS Identifier и Shared Secret указаны корректно
- Пользователю настроен хотя бы один второй фактор
- Проверьте журнал "Запросы доступа" в Личном кабинете Мультифактора.
- Доступ без второго фактора доступен при загрузке в безопасном режиме.
Обновление
Удалите "Multifactor Logon" из списка установленного в операционной системе ПО. Установите компонент заново.
Удаление компонента
Удалите "Multifactor Logon" из списка установленного в операционной системе ПО.