Настройка двухфакторной аутентификации при входе в windows

Multifactor Logon — программный компонент, экран входа в операционную систему Windows. Раотает как при локальном входе в операционную систему, так и при подключении через удалённый рабочий стол.

Компонент в виде установочного файла распространяется бесплатно.

Данная статья описывает настройку входа на рабочую станцию или сервер на основе операционной системы Windows с логином и паролем и вторым фактором с использованием облачного Radius сервера Multifactor.

Как правило, локальный и удалённый вход на рабочую станцию защищён только логином и паролем. В современных операционных системах добавляются новые методы аутентификации, такие как сочетание логина с PIN кодом, графическим ключом, хранилищем сертификата или биометрическим датчиком. Такая конфигурация реализует только один фактор проверки подлинности и уязвима настолько, насколько надежно защищён первый фактор на клиентском устройстве. Перехват аутентификационных данных можно осуществить, например, при их передаче по незащищённым каналам связи или путём наблюдения за оператором в момент их ввода.

Использование второго фактора не усложняет процесс подключения для пользователя, значительно сокращая риск неправомерного доступа.

Возможные способы аутентификации:

  • Мобильное приложение MultiFactor
  • СМС
  • Аппаратные OTP токены
  • Приложения OTP: Google Authenticator или Яндекс.Ключ
  • Telegram

Требования для установки компонента

  • десктопная ОС Windows 7 или выше 64 бит
  • серверная ОС Windows Server 2012 или выше 64 бит
  • открытый исходящий порт 1812 UDP для отправки запросов по RADIUS протоколу
  • сетевой доступ к radius.multifactor.ru или RADIUS адаптеру, установленному в локальной сети
  • свежая версия Microsoft Visual C++ Redistributable

Принцип работы

  1. Компонент устанавливается на целевую операционную систему, заменяя стандартный метод входа.
  2. Проверка логина-пароля пользователя происходит стандартными методами операционной системы.
  3. Проверка второго фактора происходит по RADIUS протоколу с облачным сервером Multifactor или с установленным в сети Radius адаптером
  4. Пользователь подтверждает полученный PUSH или вводит сгенерированный одноразовый код в форму входа и подключается к рабочему месту.

Особенности и ограничения

  • На windows 7 устанавливается в качестве единственного метода входа.
  • Не блокирует вход под локальной учётной записью в Safe Mode.
  • Не работает на версиях ниже Windows 7.
  • Не работает настройка второго фактора в режиме диалога с пользователем (в разработке).
  • Работает только в 64битном окружении.
  • Принимает учётные данные пользователя от RDP сессии, в случае если установлен единственным методом входа.

Важно помнить

Не завершайте сессию текущего пользователя до тех пор, пока не убедитесь, что всё корректно настроено и работает.

Настройка Мультифактора

  1. Зайдите в Административную панель Мультифактора, далее в раздел "Ресурсы" и создайте новый ресурс типа "Сетевой экран" - "Другой".
  2. Заполните "Название", "Адрес" и "Язык" по вашему усмотрению, установите переключатель в "Запретить доступ" в разделе "При подключении без настроенного второго фактора"
  3. После создания вам будут доступны два параметра: NAS Identifier и Shared Secret, они потребуются для последующих шагов.
  4. (Опционально) Установите и настройте Radius адаптер, в случае если вы не хотите работать через облачный радиус сервер. В качестве метода проверки первого фактора укажите следующее значение: <add key="first-factor-authentication-source" value="None"/>
  5. На рабочей станции установите приложение MultifactorLogonSetup.exe, на втором шаге укажите следующие данные:
    • адрес: radius.multifactor.ru (или настроенного адаптера);
    • порт: 1812 (или порт настроенного адаптера);
    • NAS Identifier из созданного ресурса (не указывайте ничего, если работаете через Radius adapter);
    • Shared Secret из созданного ресурса (укажите тот, что прописывали в настройки Radius adapter, если используете его);
    • таймаут запроса: 30;
    • попытки переподключения: 3;
    • установите галочку "только Multifactor", если хотите оставить возможность входить только с использованием второго фактора или хотите подключаться через RDP без дублирования ввода учётных данных.
  6. В Административной панели Мультифактора создайте пользователя, с которым будете использовать второй фактор, и вышлите ему ссылку на настройку второго фактора на почту.
  7. Настройте второй фактор для пользователя.
  8. Система готова к использованию.

Проверка

Не блокируя и не выходя из текущей сессии пользователя, подключитесь под пользователем, которому настроили второй фактор.

  • Если выбран способ подтверждения с одноразовым кодом, пользователь введет его в отдельном поле.

  • Если выбран способ подтверждения с пушем, Мультифактор пришлёт пуш выбранным методом, а компонент будет ожидать подтверждения или отказа от пользователя.

Если что-то не работает

Последовательно проверьте, что вы ничего не упустили:

  • Установлена свежая версия Microsoft Visual C++ Redistributable
  • С рабочей станции открыт доступ по UDP порту 1812 на адрес radius.multifactor.ru или ваш локальный Radius адаптер
  • Операционная система имеет 64 битную разрядность
  • Параметры NAS Identifier и Shared Secret указаны корректно
  • Пользователю настроен хотя бы один второй фактор
  • Проверьте журнал "Запросы доступа" в Личном кабинете Мультифактора.
  • Доступ без второго фактора доступен при загрузке в безопасном режиме.

Удаление компонента

Удалите "Multifactor Logon" из списка установленного в операционной системе ПО.

Last updated on 2021-7-14
Регистрация пользователейMacOS logon