Вход
  • Подключение
  • Windows Logon
  • Общие сведения

Настройка двухфакторной аутентификации при входе в Windows

MULTIFACTOR Logon — программный компонент, экран входа в операционную систему Windows. Работает как при локальном входе в операционную систему, так и при подключении через удалённый рабочий стол.

Компонент в виде установочного файла (ver. 1.5.0) распространяется бесплатно.

Важно

При обновлении компонента с установкой новой версии поверх существующей происходит принудительная перезагрузка системы. Это обусловлено необходимостью замены DLL-файлов, которые в данный момент используются системой, что требует завершения всех связанных процессов для корректной установки обновления.

Все версии

Данная статья описывает настройку входа на рабочую станцию или сервер на основе операционной системы Windows с логином и паролем и вторым фактором с использованием установленного в вашей сети RADIUS адаптера, либо через облачный сервер radius.multifactor.ru.

Как правило, локальный и удалённый вход на рабочую станцию защищён только логином и паролем. В современных операционных системах добавляются новые методы аутентификации, такие как сочетание логина с PIN-кодом, графическим ключом, хранилищем сертификата или биометрическим датчиком. Такая конфигурация реализует только один фактор проверки подлинности и уязвима настолько, насколько надежно защищён первый фактор на клиентском устройстве. Перехват аутентификационных данных можно осуществить, например, при их передаче по незащищённым каналам связи или путём наблюдения за оператором в момент их ввода.

Использование второго фактора не усложняет процесс подключения для пользователя, значительно сокращая риск неправомерного доступа.

Возможные способы аутентификации:

  • Мобильное приложение Multifactor
  • Telegram
  • Аппаратные OTP токены
  • Приложения OTP: Google Authenticator или Яндекс.Ключ
  • СМС

Может быть полезно

Доступна настройка второго фактора в режиме диалога с пользователем.

Требования для установки компонента

  • Десктопная ОС Windows 7 или выше;
  • Серверная ОС Windows Server 2012 или выше;
  • Открытый исходящий порт 1812 UDP для отправки запросов по RADIUS протоколу;
  • Сетевой доступ к radius.multifactor.ru или RADIUS адаптеру, установленному в локальной сети;
  • Свежая версия Microsoft Visual C++ Redistributable x64 или x86.

Принцип работы

  1. Компонент устанавливается на целевую операционную систему, заменяя стандартный метод входа;
  2. Проверка логина-пароля пользователя происходит стандартными методами операционной системы;
  3. Проверка второго фактора происходит по RADIUS протоколу либо через установленный в вашей сети RADIUS адаптер, либо через облачный сервер radius.multifactor.ru;
  4. Пользователь подтверждает полученный запрос на подключение или вводит сгенерированный одноразовый код в форму входа и подключается к рабочему месту.

Поддерживаемые типы учётных записей

  • Локальные пользователи
  • Пользователи Active Directory
  • Учётные записи Microsoft

    • Вход с локальной учетной записью на локальном экране входа или экране блокировки Windows может осуществляться в одном форматов:

    1. <computername>\<username>
    2. .\<username>

    При входе с локальной учётной записью логин пользователя будет передан на RADIUS сервер в формате <username>@<pcname>.

    Вход с доменной учётной записью на локальном экране входа или экране блокировки Windows может осуществляться в одном форматов:

    1. <username>
    2. <domain>\<username>
    3. <username>@<upnsuffix>

    Вход с учётной записью Microsoft на локальном экране входа или экране блокировки Windows может осуществляться в формате:

    • microsoftaccount\<username>

    Дополнительные возможности и ограничения

    • Поддерживает аутентификацию через несколько RADIUS серверов, используя Status-Server (12) запрос для мониторинга доступности;
    • Позволяет конфигурировать доступные для пользователя методы аутентификации;

    Ограничения при работе через radius.multifactor.ru

    Важно помнить

    Не завершайте сессию текущего пользователя до тех пор, пока не убедитесь, что всё корректно настроено и работает.

    Настройка MULTIFACTOR

    1. Зайдите в административную панель, далее в раздел "Ресурсы" и создайте новый ресурс типа "ОС / Сервер" - "Windows";
    2. Заполните "Название", "Адрес" и "Язык" по вашему усмотрению, установите переключатель в "Запретить доступ" в разделе "При подключении без настроенного второго фактора";
    3. После создания вам будут доступны два параметра: NAS Identifier и Shared Secret, они потребуются для следующего шага.
    4. Если планируете размещать сервер RADIUS в локальной сети, установите и настройте RADIUS адаптер. Переименуйте файл шаблона Clients/winlogon.config.template в Clients/winlogon.config и настройте его следующим образом:
    <!-- Идентифицировать клиентов по заданному RADIUS артибуту NAS-Identifier -->
<add key="radius-client-nas-identifier" value="windows"/>

<!-- Shared secret общий для WinLogon и адаптера -->
<add key="radius-shared-secret" value="SHARED_SECRET"/>

<!-- Где проверять первый фактор: None (не проверять) -->
<add key="first-factor-authentication-source" value="None"/>

<!-- Multifactor API -->
<add key="multifactor-nas-identifier" value="NAS Identifier из личного кабинета MULTIFACTOR"/>
<add key="multifactor-shared-secret" value="Shared Secret из личного кабинета MULTIFACTOR"/>

<!-- Дополнительные настройки для Windows-версии RADIUS адаптера -->
<!-- Active Directory domain -->
<!-- <add key="active-directory-domain" value="domain.local"/> -->

<!-- Разрешить доступ только пользователям группы AD -->
<!-- <add key="active-directory-group" value="VPN Users"/> -->

<!-- Проверять второй фактор только у пользователей из группы AD -->
<!-- <add key="active-directory-2fa-group" value="2FA Users"/> -->

    Если вы планируете использовать облачный сервер radius.multifactor.ru, пропустите этот шаг.

    1. На рабочей станции установите приложение MultifactorLogonSetup.exe. После завершения установки будет запущен конфигуратор. Если вы сняли галочку "Run Config" во время завершения установки, запустите конфигуратор mfLogonConfig.exe от имени администратора в папке с установленным компонентом.

    На вкладке General:

    • Hosts — укажите ip или имена хостов с настроенными адаптерами;
    • Port — порт настроенного адаптера, должен быть одинаковых для всех хостов;
    • Timeout(sec.) — таймаут запроса доступа (30);
    • Retransmit count — количество попыток запроса доступа (2);
    • Shared Secret — Указывайте значение в зависимости от типа развертывания:
      1. Локальный RADIUS адаптер c настроенной идентификацией клиентов: укажите значение, заданное в параметре radius-shared-secret в клиентском файле конфигурации.
    <add key="radius-shared-secret" value="SHARED_SECRET"/>
    1. Локальный RADIUS адаптер без идентификации клиентов: укажите значение, заданное в параметре radius-shared-secret в корневом файле конфигурации.
    <add key="radius-shared-secret" value="SHARED_SECRET"/>
    1. Облачный radius.multifactor.ru: укажите Shared Secret (п.3) из ресурса WinLogon в панели администратора Multifactor.
    • Nas Identifier — используется для идентификации клиента. Указанное значение передается в запросе доступа на RADIUS сервер в RADIUS-атрибуте NAS-Identifier. Указывайте значение в зависимости от типа развертывания:
      1. Локальный RADIUS адаптер c настроенной идентификацией клиентов: укажите значение, заданное в параметре radius-client-nas-identifier в клиентском файле конфигурации.
    <add key="radius-client-nas-identifier" value="windows"/>
    1. Локальный RADIUS адаптер без идентификации клиентов: оставьте пустым;
    2. Облачный radius.multifactor.ru: укажите NAS Identifier (п.3) из ресурса WinLogon в панели администратора Multifactor.
    • Network Bypass List — подключения по RDP из указанных подсетей будут осуществляться без запроса второго фактора. Пример значения: 10.10.*,192.168.1.0/24,127.0.0.1-127.0.0.5
    • Domain — укажите домен ActiveDirectory для его автоподстановки в поле "Логин" на экране блокировки и на локальном экране входа;
    • Use Host as StationId — если включено – передавать имя хоста клиента вместо IP клиента при подключении через RDP (влияет также на текст в запросе доступа в мобильном приложении и Telegram-боте MULTIFACTOR);
    • Sign In Filter — если включено, в качестве методов входа разрешены только методы из белого списка (вкладка White Lists);
    • Bypass — если включено, проверка второго фактора будет пропущена при недоступности всех RADIUS серверов. Доступность определяется отправкой RADIUS запроса Status-Server в момент подключения. Запрос осуществляется последовательно на каждый RADIUS сервер из списка Hosts с таймаутом 2 секунды и количеством ретрансмитов запроса – 2;
    • Debug Log — если включено, в папке с установленным компонентом создается файл debuglog.txt с отладочной информацией;
    • SkipUsers — список пользователей, для которых проверка второго фактора будет пропускаться:
      • Пользователей необходимо указывать через запятую без пробелов;
      • Локальные пользователи указываются в формате: .\username;
      • Доменные пользователи указываются без домена в формате: username;
      • Microsoft-пользователи указываются с полным названием аккаунта.

    Поддерживаются служебные имена:

    local_users — все локальные пользователи;
    domain_users — все доменные пользователи;
    microsoft_users — все Microsoft пользователи.

    • Use DOMAIN\user format — если опция включена, то логин доменных пользователей будет передаваться на сервер в формате DOMAIN\username.
    • Don't cut UPN - параметр, при включении которого UPN не будет обрезаться при доменном входе.

    На вкладке WhiteLists:

    • Если включен параметр Sign In Filter, задайте разрешенные методы для локального входа и подключения через RDP.
    • Logon mode - если включен, то доступ предоставляется только с 2FA.
    • UAC mode - запрос второго фактора при повышении прав пользователя в Windows до уровня администратора.

    Обратите внимание, что сквозной аутентификации нет. Разделы Local и RDP это разные точки входа и требуют отдельной авторизации, даже если они связаны между собой.

    1. Протестируйте конфигурацию, нажав на кнопку Check Settings на вкладке General. Если связность с RADIUS серверами настроена корректно, тест должен вернуть OK для каждого сервера в списке Hosts.

    1. В Административной панели создайте пользователя, с которым будете использовать второй фактор, и вышлите ему ссылку на настройку второго фактора на почту.
    2. Настройте второй фактор для пользователя.
    3. Система готова к использованию.

    User Account Control

    UAC (User Account Control) — это механизм контроля учетных записей пользователей в операционных системах Windows. Он предназначен для повышения безопасности системы, ограничивая автоматическое выполнение административных действий без явного согласия пользователя.

    Важно

    При UAC mode запрос MFA будет только в случае, если запрос инициируется с учётной записи обычного пользователя без прав администратора.


    При включённом параметре UAC mode, когда программа или действие потребуют прав администратора, произойдёт следующее:

    1. Замораживает рабочий стол и затемняет его (режим Secure Desktop).
    2. Выводит запрос на подтверждение или настройку второго фактора (в случае если он не настроен), когда пользователь запускает приложение от имени администратора.
    3. Если пользователь не подтвердил второй фактор, запуск приложения игнорируется.

    Если до этого момента второй фактор не был настроен, Multifactor Logon предложит настроить второй фактор в режиме диалога прямо в этом окне.

    Важно

    По умолчанию пользователи могут обходить запрос второго фактора при запуске приложения от имени Администратора путём запуска RunAs в консоли CMD или в окне Win+R.
    Решить эту задачу предлагается путём ограничения прав на чтение для файла runas.exe по пути: C:\Windows\System32
    P.S. по умолчанию владельцем файла runas.exe назначен TrustedInstaller, для его редактирования следует изменить владельца (Owner).

    Проверка

    Важно

    Не блокируя и не выходя из текущей сессии пользователя, подключитесь под пользователем, которому настроили второй фактор.

    • Если выбран способ подтверждения с одноразовым кодом, пользователь введет его в отдельном поле.

    • Если выбран способ подтверждения с пушем, MULTIFACTOR пришлёт пуш выбранным методом, а компонент будет ожидать подтверждения или отказа от пользователя.

    Загрузка в безопасном режиме

    По умолчанию, компонент Windows Logon не блокирует вход при загрузке системы в безопасном режиме. Вы можете настроить принудительный запрос второго фактора при загрузке в безопасном режиме, внеся изменения в системный реестр:

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers]
"ProhibitFallbacks"=dword:1

    Убедитесь, что:

    1. Машина подключена к сети через LAN (WiFi не подключится в безопасном режиме);
    2. RADIUS Адаптер не установлен локально на одной машине с Windows Logon. В безопасном режиме служба адаптера не будет запущена.

    Внимание

    Протестируйте конфигурацию в режиме Bypass, чтобы не потерять доступ к системе в случае неверной настройки.

    Если что-то не работает

    Последовательно проверьте, что вы ничего не упустили:

    • Установлена свежая версия Microsoft Visual C++ Redistributable x64 или x86;
    • С рабочей станции открыт доступ по UDP порту 1812 на адреса вашего RADIUS адаптера или radius.multifactor.ru;
    • Операционная система имеет 64 битную разрядность (рекомендуется);
    • Параметры Nas Identifier и Shared Secret указаны корректно;
    • Пользователю настроен хотя бы один второй фактор;
    • Проверьте журнал "Запросы доступа" в Личном кабинете;
    • Проверьте события в журналах событий Windows от источника MultifactorLogon и LogonUI;

    События от источника MultifactorLogon отражаются в разделе application, события категории logon находятся в разделе Security

    • Доступ без второго фактора доступен при загрузке в безопасном режиме.

    Обновление

    Удалите "MULTIFACTOR Logon" из списка установленного в операционной системе ПО. Установите компонент заново.

    Удаление компонента

    Удалите "MULTIFACTOR Logon" из списка установленного в операционной системе ПО.

    Последнее обновление 16 июня 2025 г.
    Изображение продукта
    Система двухфакторной аутентификации и контроля доступа для любого удалённого подключения: RDP, VPN, VDI, SSH.
    Узнать больше
    Изображение продукта
    Полностью готовое решение для отправки и автоматизации push-сообщений на любые платформы.
    Перейти на сайт
    Изображение продукта
    Служба каталогов с открытым исходным кодом и бесплатной Community-версией
    Перейти на сайт
    Сookies
    Продолжая использовать сайт, вы соглашаетесь с тем, что мы используем cookies