Multifactor Logon – информация для системных администраторов
Изменения в файлах
Компонент (версии 1.1.5 и выше) добавляет в C:\Program Files\Multifactor\Logon (каталог установки по умолчанию) следующие файлы:
- MultifactorCredentialProvider.dll - библиотека, реализующая логику CredentialProvider Мультифактора;
- mainModule.dll - основная библиотека компонента;
- Resource.dll - вспомогательная библиотека;
- mfLogonConfig.exe - конфигуратор компонента (запуск от имени администратора);
- unins000.exe - программа удаления компонента.
Компонент (версии до 1.1.5) добавляет в систему в папку %windir%\System32\:
- MultifactorCredentialProvider.dll - основной файл библиотеки компонента
- ACE.dll - вспомогательная библиотека для реализации RADIUS протокола
Изменения в реестре
Компонент хранит настройки в системном реестре.
Регистрация Multifactor Logon в качестве системного компонента
[HKEY_CLASSES_ROOT\CLSID\{7a6b350e-2fb5-4b07-bcc2-7413ced94def}\InprocServer32]
@="MultifactorCredentialProvider.dll"
"ThreadingModel"="Apartment"
Добавление Multifactor Logon в качестве метода входа в систему
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{7a6b350e-2fb5-4b07-bcc2-7413ced94def}]
@="MultifactorCredentialProvider"
Включение фильтра на методы входа
В версиях компонента 1.2.5 и выше фильтр на методы входа включается ключом SignInFiltr в настройках компонента.
В версиях до 1.2.5:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Provider Filters\{7a6b350e-2fb5-4b07-bcc2-7413ced94def}]
@="MultifactorCredentialProvider"
Настройки компонента
[HKEY_CLASSES_ROOT\CLSID\{7a6b350e-2fb5-4b07-bcc2-7413ced94def}]
@="MultifactorCredentialProvider"
"RadiusHost"="127.0.0.1,192.168.0.1"
"SharedSecret"="SHARED_SECRET"
"NasIdentifier"="windows"
"Timeout"=dword:0000001e
"RetransmitCount"=dword:00000002
"Port"=dword:00000714
"Bypass"=dword:00000001
"SignInFiltr"=dword:00000001
"UseHostNameAsClientId"=dword:00000001
"WhiteList"="{7A6B350E-2FB5-4B07-BCC2-7413CED94DEF}"
"RDPWhiteList"="{7A6B350E-2FB5-4B07-BCC2-7413CED94DEF}"
"NetworkBypassList"="127.0.0.1"
"Domain"="domain"
"DebugLog"=dword:00000001
Параметры командной строки
Для упрощения развёртывания компонента в сетевой инфраструктуре поддерживается запуск установочного файла с указанием параметров настроек.
Поддерживаются следующие значения:
/host=[string] — список адресов RADIUS серверов, используемых для проверки второго фактора. Указываются ip-адреса или hostname через запятую без пробелов.
Пример значения:127.0.0.1,radius.multifactor.ru;/port=[integer] — порт RADIUS серверов, используемых для проверки второго фактора.
Значение по умолчанию1812;/nas=[string] — NAS Identifier, передаваемый на RADIUS сервер для идентификации клиента.
Пример значения:windows.
Значение по умолчанию пустое;/sharedsecret=[string] — Shared Secret RADIUS сервера, используемого для проверки второго фактора.
Значение по умолчанию0000000000;/timeout=[integer] — время ожидания ответа (в секундах) от RADIUS сервера для проверки второго фактора.
Значение по умолчанию30;/bypass=[true или false] — значение true включит режим bypass, в котором пропускается проверка второго фактора при недоступности всех RADIUS хостов. Доступность хостов определяется отправкой RADIUS запроса Status-Server в момент подключения. Запрос осуществялется последовательно на каждый RADIUS сервер из списка Hosts с таймаутом 2 секунды и количеством ретрансмитов запроса – 2.
Значение по умолчаниюfalse;/filter=[true или false] — значение true ограничит доступные методы входа значениями, заданными в списках
whitelistиrdpwhitelist.
Значение по умолчаниюfalse;/whitelist=[{GUID1,GUID2] — разрешенные методы входа при локальном входе, через запятую без пробелов.
Пример значения:{7A6B350E-2FB5-4B07-BCC2-7413CED94DEF},{8FD7E19C-3BF7-489B-A72C-846AB3678C96}.
Значение по умолчанию{7A6B350E-2FB5-4B07-BCC2-7413CED94DEF}(Multifactor);/rdpwhitelist=[{GUID1,GUID2] — разрешенные методы входа при входе через удалённый рабочий стол (RDP), через запятую без пробелов.
Пример значения:{7A6B350E-2FB5-4B07-BCC2-7413CED94DEF},{8FD7E19C-3BF7-489B-A72C-846AB3678C96}.
Значение по умолчанию{7A6B350E-2FB5-4B07-BCC2-7413CED94DEF}(Multifactor);/domain=[string] — автоподстановка строки с название домена
domain_name\в поле "логин" на экране блокировки и на локальном экране входа.
Пример значения:domain_name.
Значение по умолчанию пустое;/networkbypasslist=[string] — подключения по RDP из указанных подсетей будут осуществляться без запроса второго фактора.
Пример значения:10.10.*,192.168.1.0/24,127.0.0.1-127.0.0.5.
Значение по умолчанию пустое;/exthostname=[true или false] — передавать имя хоста клиента вместо IP клиента при подключении через RDP (влияет также на текст в запросе доступа в мобильном приложении и Telegram-боте Мультифактор).
Значение по умолчаниюfalse;/debuglog=[true или false] — значение true создаст в папке с установленным компонентом файл
debuglog.txtс отладочной информацией при попытке входа в систему.
Значение по умолчаниюfalse;/skipusers=[user1,user2] — список пользователей, для которых проверка второго фактора будет пропускаться:
- Пользователей необходимо указывать через запятую без пробелов;
- Локальные пользователи указываются в формате:
.\username; - Доменные пользователи указываются без домена в формате:
username; - Microsoft-пользователи указываются с полным названием аккаунта.
Поддерживаются служебные имена:
local_users— все локальные пользователи;domain_users— все доменные пользователи;microsoft_users— все Microsoft пользователи.
Значение по умолчанию пустое;
/includedomain=[true или false] — если флаг включен, то логин доменных пользователей будет передаваться на сервер в формате DOMAIN\username;
/consolemode=[true или false] — значение true дополнительные окна MULTIFACTOR на экране входа в Windows, рекомендуется использовать на системах типа CORE;
/SILENT — установка в неинтерактивном режиме с отображением прогресс-бара (работает только при запуске от привилегированного пользователя);
/VERYSILENT — скрытная установка (работает только при запуске от привилегированного пользователя);
/LOG=[string] — сохранение лога инсталлятора в указанной директории или файле.
Значение по умолчаниюC:\Users\<User>\AppData\Local\Temp\.Новый параметр
ConsoleMode(/consolemode=true), данный флаг отключает дополнительные окна, рекомендуется использовать на системах типа CORE.
Пример команды запуска установки:
MultifactorLogonSetup.exe /VERYSILENT /host=127.0.0.1 /nas=windows /sharedsecret=SHARED_SECRET /filter=true /whitelist={7A6B350E-2FB5-4B07-BCC2-7413CED94DEF} /rdpwhitelist={7A6B350E-2FB5-4B07-BCC2-7413CED94DEF},{8FD7E19C-3BF7-489B-A72C-846AB3678C96}
⚠️
В версиях Winlogon ниже 1.2.8.0 не указывайте последний символ фигурной скобки } при настройке параметров /whitelist и /rdpwhitelist.
В этом случае установка пройдёт без участия пользователя, в качестве хоста будет указан облачный радиус сервер, будут отключены все методы входа, кроме Мультифактора при локальном входе, и Мультифактора и смарт-карты при удалённом.
В качестве инсталлятора для компонента мы используем Inno Setup, поэтому для отслеживания процесса установки вы можете использовать его коды завершения.
Вопросы и ответы
В: Планируется ли установочный пакет в формате msi?
О: Нет, мы не планируем распространение компонента в формате msi, но вы можете воспользоваться сторонним решением, например https://www.exemsi.com/
В: Где найти список доступных методов аутентификации?
О: Полный список находится в реестре системы по адресу HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers
В: Как создать отказоустойчивую конфигурацию?
О: Разверните несколько копий Radius адаптер на разных серверах (порт и shared secret для них должны совпадать), и укажите при установке адреса или имена серверов через запятую без пробелов.
В: Как обновить версию компонента?
О: Удалите "Multifactor Logon" из списка установленного в операционной системе ПО. Установите обновленный компонент заново.
В: Поддерживается ли режим настройки второго фактора через диалог с пользователем?
О: Да, при настройке через RADIUS адаптер можно настроить второй фактор на работу с мобильным приложением, телеграмм ботом или через СМС.
В: Блокирует ли компонент вход в Windows в безопасном режиме?
О: Да, Windows Logon может работать в безопасном режиме. Посмотрите раздел в документации для подробных инструкций по настройке.