Перейти к основному содержимому

Multifactor Logon – информация для системных администраторов

Изменения в файлах

Компонент (версии 1.1.5 и выше) добавляет в C:\Program Files\Multifactor\Logon (каталог установки по умолчанию) следующие файлы:

  • MultifactorCredentialProvider.dll - библиотека, реализующая логику CredentialProvider Мультифактора;
  • mainModule.dll - основная библиотека компонента;
  • Resource.dll - вспомогательная библиотека;
  • mfLogonConfig.exe - конфигуратор компонента (запуск от имени администратора);
  • unins000.exe - программа удаления компонента.

Компонент (версии до 1.1.5) добавляет в систему в папку %windir%\System32\:

  • MultifactorCredentialProvider.dll - основной файл библиотеки компонента
  • ACE.dll - вспомогательная библиотека для реализации RADIUS протокола

Изменения в реестре

Компонент хранит настройки в системном реестре.

Регистрация Multifactor Logon в качестве системного компонента

[HKEY_CLASSES_ROOT\CLSID\{7a6b350e-2fb5-4b07-bcc2-7413ced94def}\InprocServer32]
@="MultifactorCredentialProvider.dll"
"ThreadingModel"="Apartment"

Добавление Multifactor Logon в качестве метода входа в систему

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{7a6b350e-2fb5-4b07-bcc2-7413ced94def}]
@="MultifactorCredentialProvider"

Включение фильтра на методы входа

В версиях компонента 1.2.5 и выше фильтр на методы входа включается ключом SignInFiltr в настройках компонента.

В версиях до 1.2.5:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Provider Filters\{7a6b350e-2fb5-4b07-bcc2-7413ced94def}]
@="MultifactorCredentialProvider"

Настройки компонента

[HKEY_CLASSES_ROOT\CLSID\{7a6b350e-2fb5-4b07-bcc2-7413ced94def}]
@="MultifactorCredentialProvider"
"RadiusHost"="127.0.0.1,192.168.0.1"
"SharedSecret"="SHARED_SECRET"
"NasIdentifier"="windows"
"Timeout"=dword:0000001e
"RetransmitCount"=dword:00000002
"Port"=dword:00000714
"Bypass"=dword:00000001
"SignInFiltr"=dword:00000001
"UseHostNameAsClientId"=dword:00000001
"WhiteList"="{7A6B350E-2FB5-4B07-BCC2-7413CED94DEF}"
"RDPWhiteList"="{7A6B350E-2FB5-4B07-BCC2-7413CED94DEF}"
"NetworkBypassList"="127.0.0.1"
"Domain"="domain"
"DebugLog"=dword:00000001

Параметры командной строки

Для упрощения развёртывания компонента в сетевой инфраструктуре поддерживается запуск установочного файла с указанием параметров настроек.

Поддерживаются следующие значения:

  • /host=[string] — список адресов RADIUS серверов, используемых для проверки второго фактора. Указываются ip-адреса или hostname через запятую без пробелов.
    Пример значения: 127.0.0.1,radius.multifactor.ru;

  • /port=[integer] — порт RADIUS серверов, используемых для проверки второго фактора.
    Значение по умолчанию 1812;

  • /nas=[string] — NAS Identifier, передаваемый на RADIUS сервер для идентификации клиента.
    Пример значения: windows.
    Значение по умолчанию пустое;

  • /sharedsecret=[string] — Shared Secret RADIUS сервера, используемого для проверки второго фактора.
    Значение по умолчанию 0000000000;

  • /timeout=[integer] — время ожидания ответа (в секундах) от RADIUS сервера для проверки второго фактора.
    Значение по умолчанию 30;

  • /bypass=[true или false] — значение true включит режим bypass, в котором пропускается проверка второго фактора при недоступности всех RADIUS хостов. Доступность хостов определяется отправкой RADIUS запроса Status-Server в момент подключения. Запрос осуществляется последовательно на каждый RADIUS сервер из списка Hosts с таймаутом 2 секунды и количеством ретрансмитов запроса – 2.
    Значение по умолчанию false;

  • /filter=[true или false] — значение true ограничит доступные методы входа значениями, заданными в списках whitelist и rdpwhitelist.
    Значение по умолчанию false;

  • /whitelist=[{GUID1,GUID2] — разрешенные методы входа при локальном входе, через запятую без пробелов.
    Пример значения: {7A6B350E-2FB5-4B07-BCC2-7413CED94DEF},{8FD7E19C-3BF7-489B-A72C-846AB3678C96}.
    Значение по умолчанию {7A6B350E-2FB5-4B07-BCC2-7413CED94DEF} (Multifactor);

  • /rdpwhitelist=[{GUID1,GUID2] — разрешенные методы входа при входе через удалённый рабочий стол (RDP), через запятую без пробелов.
    Пример значения: {7A6B350E-2FB5-4B07-BCC2-7413CED94DEF},{8FD7E19C-3BF7-489B-A72C-846AB3678C96}.
    Значение по умолчанию {7A6B350E-2FB5-4B07-BCC2-7413CED94DEF} (Multifactor);

  • /domain=[string] — автоподстановка строки с название домена domain_name\ в поле "логин" на экране блокировки и на локальном экране входа.
    Пример значения: domain_name.
    Значение по умолчанию пустое;

  • /networkbypasslist=[string] — подключения по RDP из указанных подсетей будут осуществляться без запроса второго фактора.
    Пример значения: 10.10.*,192.168.1.0/24,127.0.0.1-127.0.0.5.
    Значение по умолчанию пустое;

  • /exthostname=[true или false] — передавать имя хоста клиента вместо IP клиента при подключении через RDP (влияет также на текст в запросе доступа в мобильном приложении и Telegram-боте Мультифактор).
    Значение по умолчанию false;

  • /debuglog=[true или false] — значение true создаст в папке с установленным компонентом файл debuglog.txt с отладочной информацией при попытке входа в систему.
    Значение по умолчанию false;

  • /skipusers=[user1,user2] — список пользователей, для которых проверка второго фактора будет пропускаться:

    • Пользователей необходимо указывать через запятую без пробелов;
    • Локальные пользователи указываются в формате: .\username;
    • Доменные пользователи указываются без домена в формате: username;
    • Microsoft-пользователи указываются с полным названием аккаунта.

    Поддерживаются служебные имена:

    • local_users — все локальные пользователи;
    • domain_users — все доменные пользователи;
    • microsoft_users — все Microsoft пользователи.

    Значение по умолчанию пустое;

  • /includedomain=[true или false] — если флаг включен, то логин доменных пользователей будет передаваться на сервер в формате DOMAIN\username;

  • /consolemode=[true или false] — значение true дополнительные окна MULTIFACTOR на экране входа в Windows, рекомендуется использовать на системах типа CORE;

  • /SILENT — установка в неинтерактивном режиме с отображением прогресс-бара (работает только при запуске от привилегированного пользователя);

  • /VERYSILENT — скрытная установка (работает только при запуске от привилегированного пользователя);

  • /LOG=[string] — сохранение лога инсталлятора в указанной директории или файле.
    Значение по умолчанию C:\Users\<User>\AppData\Local\Temp\.

    Новый параметр ConsoleMode (/consolemode=true), данный флаг отключает дополнительные окна, рекомендуется использовать на системах типа CORE.

Пример команды запуска установки:

MultifactorLogonSetup.exe /VERYSILENT /host=127.0.0.1 /nas=windows /sharedsecret=SHARED_SECRET /filter=true /whitelist={7A6B350E-2FB5-4B07-BCC2-7413CED94DEF} /rdpwhitelist={7A6B350E-2FB5-4B07-BCC2-7413CED94DEF},{8FD7E19C-3BF7-489B-A72C-846AB3678C96}

⚠️ В версиях Winlogon ниже 1.2.8.0 не указывайте последний символ фигурной скобки } при настройке параметров /whitelist и /rdpwhitelist.

В этом случае установка пройдёт без участия пользователя, в качестве хоста будет указан облачный радиус сервер, будут отключены все методы входа, кроме Мультифактора при локальном входе, и Мультифактора и смарт-карты при удалённом.

В качестве инсталлятора для компонента мы используем Inno Setup, поэтому для отслеживания процесса установки вы можете использовать его коды завершения.

Вопросы и ответы

В: Планируется ли установочный пакет в формате msi?

О: Нет, мы не планируем распространение компонента в формате msi, но вы можете воспользоваться сторонним решением, например https://www.exemsi.com/


В: Где найти список доступных методов аутентификации?

О: Полный список находится в реестре системы по адресу HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers


В: Как создать отказоустойчивую конфигурацию?

О: Разверните несколько копий Radius адаптер на разных серверах (порт и shared secret для них должны совпадать), и укажите при установке адреса или имена серверов через запятую без пробелов.


В: Как обновить версию компонента?

О: Удалите "Multifactor Logon" из списка установленного в операционной системе ПО. Установите обновленный компонент заново.


В: Поддерживается ли режим настройки второго фактора через диалог с пользователем?

О: Да, при настройке через RADIUS адаптер можно настроить второй фактор на работу с мобильным приложением, телеграмм ботом или через СМС.


В: Блокирует ли компонент вход в Windows в безопасном режиме?

О: Да, Windows Logon может работать в безопасном режиме. Посмотрите раздел в документации для подробных инструкций по настройке.