Мультифактор

Мультифактор

  • Демо
  • Теория
  • Практика
  • Вход

›Подключение

Введение

  • Общая информация
  • Возможности
  • Способы аутентификации

Подключение

  • Начало работы
  • Интеграция
  • HTTP API

    • Общие сведения
    • Запросы доступа
    • Управление пользователями
    • Управление ресурсами
  • OpenID Connect
  • RADIUS протокол
  • RADIUS адаптер

    • Общие сведения
    • Inline enrollment
    • Windows версия
    • Linux версия

    LDAP адаптер

    • Общие сведения
    • Windows версия
    • Linux версия
  • Self-Service портал
  • Регистрация пользователей
  • Windows logon
  • Windows logon FAQ
  • MacOS logon

О сервисе

  • Оферта
  • Политика конфиденциальности
  • Инфраструктура
  • Оплата и возврат
  • О компании

База знаний

  • Интеграция для .NET Core
  • Интеграция для ASP.NET
  • Настройка OpenVPN
  • Настройка OpenVPN + AD
  • Настройка OpenVPN Access Server
  • Настройка pfSense OpenVPN
  • Настройка Cisco ASA VPN
  • Настройка Check Point VPN
  • Настройка FortiGate VPN
  • Настройка Huawei VPN
  • Настройка UserGate VPN
  • Настройка С-Терра VPN
  • Настройка Windows VPN
  • Настройка Windows RDP
  • Настройка Network Policy Server
  • Настройка Outlook Web Access
  • Настройка ADFS
  • Let's Encrypt Windows Server
  • Настройка Linux SSH
  • Настройка Linux SUDO
  • Настройка VMware vCloud Director
  • Настройка VMware Horizon View
  • Настройка VMware Horizon Cloud
  • Настройка VMware vSphere
  • Настройка Citrix Gateway
  • Настройка АйТи-Бастион
  • Настройка точки доступа Wi-Fi
  • Настройка Huawei Cloud
  • Настройка Yandex.Cloud
  • Настройка Nextcloud
  • Настройка Zabbix
  • Настройка 1с-Bitrix24
  • Настройка Redmine
  • Настройка Ansible AWX
  • Восстановление доступа

Помощь

  • Настройка аутентификации
  • Аутентификация
  • Личный кабинет
  • Вопросы и ответы

Настройка двухфакторной аутентификации при входе в Windows

Multifactor Logon — программный компонент, экран входа в операционную систему Windows. Работает как при локальном входе в операционную систему, так и при подключении через удалённый рабочий стол.

Компонент в виде установочного файла распространяется бесплатно.

Данная статья описывает настройку входа на рабочую станцию или сервер на основе операционной системы Windows с логином и паролем и вторым фактором с использованием облачного Radius сервера Multifactor.

Как правило, локальный и удалённый вход на рабочую станцию защищён только логином и паролем. В современных операционных системах добавляются новые методы аутентификации, такие как сочетание логина с PIN кодом, графическим ключом, хранилищем сертификата или биометрическим датчиком. Такая конфигурация реализует только один фактор проверки подлинности и уязвима настолько, насколько надежно защищён первый фактор на клиентском устройстве. Перехват аутентификационных данных можно осуществить, например, при их передаче по незащищённым каналам связи или путём наблюдения за оператором в момент их ввода.

Использование второго фактора не усложняет процесс подключения для пользователя, значительно сокращая риск неправомерного доступа.

Возможные способы аутентификации:

  • Мобильное приложение MultiFactor
  • Telegram
  • Аппаратные OTP токены
  • Приложения OTP: Google Authenticator или Яндекс.Ключ
  • СМС

Требования для установки компонента

  • десктопная ОС Windows 7 или выше 64 бит
  • серверная ОС Windows Server 2012 или выше 64 бит
  • открытый исходящий порт 1812 UDP для отправки запросов по RADIUS протоколу
  • сетевой доступ к radius.multifactor.ru или RADIUS адаптеру, установленному в локальной сети
  • свежая версия Microsoft Visual C++ Redistributable

Принцип работы

  1. Компонент устанавливается на целевую операционную систему, заменяя стандартный метод входа.
  2. Проверка логина-пароля пользователя происходит стандартными методами операционной системы.
  3. Проверка второго фактора происходит по RADIUS протоколу либо через установленный в вашей сети Radius адаптер, либо через облачный сервер radius.multifactor.ru.
  4. Пользователь подтверждает полученный запрос на подключение или вводит сгенерированный одноразовый код в форму входа и подключается к рабочему месту.

Поддерживаемые типы учётных записей

  1. Локальные
  2. Active Directory
  3. Учётные записи Microsoft

Особенности и ограничения

  • Поддерживает аутентификацию через несколько RADIUS серверов, используя Status-Server (12) запрос для мониторинга доступности.
  • Позволяет конфигурировать доступные для пользователя методы аутентификации.
  • Принимает учётные данные пользователя от RDP сессии, в случае если установлен единственным методом входа.
  • Работает только в 64битном окружении.
  • Не блокирует вход под локальной учётной записью в Safe Mode.
  • Не работает на версиях ниже Windows 7.
  • На windows 7 устанавливается в качестве единственного метода входа.
  • Не принимает кириллические имена учётных записей при работе через radius.multifactor.ru

Важно помнить

Не завершайте сессию текущего пользователя до тех пор, пока не убедитесь, что всё корректно настроено и работает.

Настройка Мультифактора

  1. Зайдите в Административную панель Мультифактора, далее в раздел "Ресурсы" и создайте новый ресурс типа "ОС / Сервер" - "Windows".
  2. Заполните "Название", "Адрес" и "Язык" по вашему усмотрению, установите переключатель в "Запретить доступ" в разделе "При подключении без настроенного второго фактора"
  3. После создания вам будут доступны два параметра: NAS Identifier и Shared Secret, они потребуются для следующего шага.
  4. Установите и настройте Radius адаптер, в файле конфигурации MultiFactor.Radius.Adapter.exe.config укажите следующие значения (value) параметров:
<!--Где проверять первый фактор: None (не проверять) -->
<add key="first-factor-authentication-source" value="None"/>

<!-- Параметр NAS-Identifier для подключения к API Мультифактора - из личного кабинета -->
<add key="multifactor-nas-identifier" value=""/>
<!-- Параметр Shared Secret для подключения к API Мультифактора - из личного кабинета -->
<add key="multifactor-shared-secret" value=""/>
  1. На рабочей станции установите приложение MultifactorLogonSetup.exe, на втором шаге укажите следующие данные:
    • адрес: ip или имена хостов с настроенными адаптерами через запятую без пробелов;
    • порт: порт настроенного адаптера, должен быть одинаковых для всех хостов;
    • NAS Identifier: не указывайте ничего, если работаете через Radius adapter, NAS Identifier, если работаете через radius.multifactor.ru;
    • Shared Secret: значение из настройки radius-shared-secret Radius adapter, либо Shared Secret для radius.multifactor.ru;
    • таймаут запроса: 30;
    • Режим "Bypass": установите галочку, если хотите пропускать проверку второго фактора при недоступности всех RADIUS серверов;
    • Только Multifactor: включает режим фильтра методов аутентификации, позволяет входить только с использованием второго фактора и подключаться через RDP без дублирования ввода учётных данных.
    • Методы для локального входа/RDP - выбор методов, доступных пользователю при включённом фильтре "Только Multifactor". Значение по умолчанию разрешает вход только с Multifactor Logon.
  2. В Административной панели Мультифактора создайте пользователя, с которым будете использовать второй фактор, и вышлите ему ссылку на настройку второго фактора на почту.
  3. Настройте второй фактор для пользователя.
  4. Система готова к использованию.

Проверка

Не блокируя и не выходя из текущей сессии пользователя, подключитесь под пользователем, которому настроили второй фактор.

  • Если выбран способ подтверждения с одноразовым кодом, пользователь введет его в отдельном поле.

  • Если выбран способ подтверждения с пушем, Мультифактор пришлёт пуш выбранным методом, а компонент будет ожидать подтверждения или отказа от пользователя.

Если что-то не работает

Последовательно проверьте, что вы ничего не упустили:

  • Установлена свежая версия Microsoft Visual C++ Redistributable
  • С рабочей станции открыт доступ по UDP порту 1812 на адреса вашего Radius адаптера или radius.multifactor.ru.
  • Операционная система имеет 64 битную разрядность
  • Параметры NAS Identifier и Shared Secret указаны корректно
  • Пользователю настроен хотя бы один второй фактор
  • Проверьте журнал "Запросы доступа" в Личном кабинете Мультифактора.
  • Доступ без второго фактора доступен при загрузке в безопасном режиме.

Обновление

Удалите "Multifactor Logon" из списка установленного в операционной системе ПО. Установите компонент заново.

Удаление компонента

Удалите "Multifactor Logon" из списка установленного в операционной системе ПО.

Last updated on 2022-4-17
← Регистрация пользователейWindows logon FAQ →
  • Требования для установки компонента
  • Принцип работы
  • Поддерживаемые типы учётных записей
  • Особенности и ограничения
  • Важно помнить
  • Настройка Мультифактора
  • Проверка
  • Если что-то не работает
  • Обновление
  • Удаление компонента
Мультифактор
Юридическая информация
ОфертаПолитика конфиденциальностиОплата и возврат
Компания
История созданияМиссияНекоторые сотрудникиКонтакты и реквизиты
Связаться с нами
+7 499 444 08 82sales@multifactor.rusupport@multifactor.ruTelegram
© 2022 Мультифактор