Настройка двухфакторной аутентификации при входе в Windows

Multifactor Logon — программный компонент, экран входа в операционную систему Windows. Работает как при локальном входе в операционную систему, так и при подключении через удалённый рабочий стол.

Компонент в виде установочного файла распространяется бесплатно.

Данная статья описывает настройку входа на рабочую станцию или сервер на основе операционной системы Windows с логином и паролем и вторым фактором с использованием облачного Radius сервера Multifactor.

Как правило, локальный и удалённый вход на рабочую станцию защищён только логином и паролем. В современных операционных системах добавляются новые методы аутентификации, такие как сочетание логина с PIN кодом, графическим ключом, хранилищем сертификата или биометрическим датчиком. Такая конфигурация реализует только один фактор проверки подлинности и уязвима настолько, насколько надежно защищён первый фактор на клиентском устройстве. Перехват аутентификационных данных можно осуществить, например, при их передаче по незащищённым каналам связи или путём наблюдения за оператором в момент их ввода.

Использование второго фактора не усложняет процесс подключения для пользователя, значительно сокращая риск неправомерного доступа.

Возможные способы аутентификации:

  • Мобильное приложение MultiFactor
  • Telegram
  • Аппаратные OTP токены
  • Приложения OTP: Google Authenticator или Яндекс.Ключ
  • СМС

Требования для установки компонента

  • десктопная ОС Windows 7 или выше 64 бит
  • серверная ОС Windows Server 2012 или выше 64 бит
  • открытый исходящий порт 1812 UDP для отправки запросов по RADIUS протоколу
  • сетевой доступ к radius.multifactor.ru или RADIUS адаптеру, установленному в локальной сети
  • свежая версия Microsoft Visual C++ Redistributable

Принцип работы

  1. Компонент устанавливается на целевую операционную систему, заменяя стандартный метод входа.
  2. Проверка логина-пароля пользователя происходит стандартными методами операционной системы.
  3. Проверка второго фактора происходит по RADIUS протоколу либо через установленный в вашей сети Radius адаптер, либо через облачный сервер radius.multifactor.ru.
  4. Пользователь подтверждает полученный запрос на подключение или вводит сгенерированный одноразовый код в форму входа и подключается к рабочему месту.

Поддерживаемые типы учётных записей

  1. Локальные
  2. Active Directory
  3. Учётные записи Microsoft

Особенности и ограничения

  • Поддерживает аутентификацию через несколько RADIUS серверов, используя Status-Server (12) запрос для мониторинга доступности.
  • Позволяет конфигурировать доступные для пользователя методы аутентификации.
  • Принимает учётные данные пользователя от RDP сессии, в случае если установлен единственным методом входа.
  • Работает только в 64битном окружении.
  • Не блокирует вход под локальной учётной записью в Safe Mode.
  • Не работает на версиях ниже Windows 7.
  • На windows 7 устанавливается в качестве единственного метода входа.
  • Не принимает кириллические имена учётных записей при работе через radius.multifactor.ru

Важно помнить

Не завершайте сессию текущего пользователя до тех пор, пока не убедитесь, что всё корректно настроено и работает.

Настройка Мультифактора

  1. Зайдите в Административную панель Мультифактора, далее в раздел "Ресурсы" и создайте новый ресурс типа "ОС / Сервер" - "Windows".
  2. Заполните "Название", "Адрес" и "Язык" по вашему усмотрению, установите переключатель в "Запретить доступ" в разделе "При подключении без настроенного второго фактора"
  3. После создания вам будут доступны два параметра: NAS Identifier и Shared Secret, они потребуются для следующего шага.
  4. Установите и настройте Radius адаптер, в файле конфигурации MultiFactor.Radius.Adapter.exe.config укажите следующие значения (value) параметров:
<!--Где проверять первый фактор: None (не проверять) -->
<add key="first-factor-authentication-source" value="None"/>

<!-- Параметр NAS-Identifier для подключения к API Мультифактора - из личного кабинета -->
<add key="multifactor-nas-identifier" value=""/>
<!-- Параметр Shared Secret для подключения к API Мультифактора - из личного кабинета -->
<add key="multifactor-shared-secret" value=""/>
  1. На рабочей станции установите приложение MultifactorLogonSetup.exe, на втором шаге укажите следующие данные:
    • адрес: ip или имена хостов с настроенными адаптерами через запятую без пробелов;
    • порт: порт настроенного адаптера, должен быть одинаковых для всех хостов;
    • NAS Identifier: не указывайте ничего, если работаете через Radius adapter, NAS Identifier, если работаете через radius.multifactor.ru;
    • Shared Secret: значение из настройки radius-shared-secret Radius adapter, либо Shared Secret для radius.multifactor.ru;
    • таймаут запроса: 30;
    • Режим "Bypass": установите галочку, если хотите пропускать проверку второго фактора при недоступности всех RADIUS серверов;
    • Только Multifactor: включает режим фильтра методов аутентификации, позволяет входить только с использованием второго фактора и подключаться через RDP без дублирования ввода учётных данных.
    • Методы для локального входа/RDP - выбор методов, доступных пользователю при включённом фильтре "Только Multifactor". Значение по умолчанию разрешает вход только с Multifactor Logon.
  2. В Административной панели Мультифактора создайте пользователя, с которым будете использовать второй фактор, и вышлите ему ссылку на настройку второго фактора на почту.
  3. Настройте второй фактор для пользователя.
  4. Система готова к использованию.

Проверка

Не блокируя и не выходя из текущей сессии пользователя, подключитесь под пользователем, которому настроили второй фактор.

  • Если выбран способ подтверждения с одноразовым кодом, пользователь введет его в отдельном поле.

  • Если выбран способ подтверждения с пушем, Мультифактор пришлёт пуш выбранным методом, а компонент будет ожидать подтверждения или отказа от пользователя.

Если что-то не работает

Последовательно проверьте, что вы ничего не упустили:

  • Установлена свежая версия Microsoft Visual C++ Redistributable
  • С рабочей станции открыт доступ по UDP порту 1812 на адреса вашего Radius адаптера или radius.multifactor.ru.
  • Операционная система имеет 64 битную разрядность
  • Параметры NAS Identifier и Shared Secret указаны корректно
  • Пользователю настроен хотя бы один второй фактор
  • Проверьте журнал "Запросы доступа" в Личном кабинете Мультифактора.
  • Доступ без второго фактора доступен при загрузке в безопасном режиме.

Обновление

Удалите "Multifactor Logon" из списка установленного в операционной системе ПО. Установите компонент заново.

Удаление компонента

Удалите "Multifactor Logon" из списка установленного в операционной системе ПО.

Last updated on 2022-4-17
Регистрация пользователейWindows logon FAQ