Multifactor Logon – информация для системных администраторов
Изменения в файлах
Компонент (версии 1.1.5 и выше) добавляет в C:\Program Files\Multifactor\Logon
(каталог установки по умолчанию) следующие файлы:
- MultifactorCredentialProvider.dll - библиотека, реализующая логику CredentialProvider Мультифактора;
- mainModule.dll - основная библиотека компонента;
- Resource.dll - вспомогательная библиотека;
- mfLogonConfig.exe - конфигуратор компонента (запуск от имени администратора);
- unins000.exe - программа удаления компонента.
Компонент (версии до 1.1.5) добавляет в систему в папку %windir%\System32\
:
- MultifactorCredentialProvider.dll - основной файл библиотеки компонента
- ACE.dll - вспомогательная библиотека для реализации RADIUS протокола
Изменения в реестре
Компонент хранит настройки в системном реестре.
Регистрация Multifactor Logon в качестве системного компонента
[HKEY_CLASSES_ROOT\CLSID\{7a6b350e-2fb5-4b07-bcc2-7413ced94def}\InprocServer32]
@="MultifactorCredentialProvider.dll"
"ThreadingModel"="Apartment"
Добавление Multifactor Logon в качестве метода входа в систему
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{7a6b350e-2fb5-4b07-bcc2-7413ced94def}]
@="MultifactorCredentialProvider"
Включение фильтра на методы входа
В версиях компонента 1.2.5 и выше фильтр на методы входа включается ключом SignInFiltr
в настройках компонента.
В версиях до 1.2.5:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Provider Filters\{7a6b350e-2fb5-4b07-bcc2-7413ced94def}]
@="MultifactorCredentialProvider"
Настройки компонента
[HKEY_CLASSES_ROOT\CLSID\{7a6b350e-2fb5-4b07-bcc2-7413ced94def}]
@="MultifactorCredentialProvider"
"RadiusHost"="127.0.0.1,192.168.0.1"
"SharedSecret"="SHARED_SECRET"
"NasIdentifier"="windows"
"Timeout"=dword:0000001e
"RetransmitCount"=dword:00000002
"Port"=dword:00000714
"Bypass"=dword:00000001
"SignInFiltr"=dword:00000001
"UseHostNameAsClientId"=dword:00000001
"WhiteList"="{7A6B350E-2FB5-4B07-BCC2-7413CED94DEF}"
"RDPWhiteList"="{7A6B350E-2FB5-4B07-BCC2-7413CED94DEF}"
"NetworkBypassList"="127.0.0.1"
"Domain"="domain"
"DebugLog"=dword:00000001
Параметры командной строки
Для упрощения развёртывания компонента в сетевой инфраструктуре поддерживается запуск установочного файла с указанием параметров настроек.
Поддерживаются следующие значения:
-
/host=[string] — список адресов RADIUS серверов, используемых для проверки второго фактора. Указываются ip-адреса или hostname через запятую без пробелов.
Пример значения:127.0.0.1,radius.multifactor.ru
; -
/port=[integer] — порт RADIUS серверов, используемых для проверки второго фактора.
Значение по умолчанию1812
; -
/nas=[string] — NAS Identifier, передаваемый на RADIUS сервер для идентификации клиента.
Пример значения:windows
.
Значени е по умолчанию пустое; -
/sharedsecret=[string] — Shared Secret RADIUS сервера, используемого для проверки второго фактора.
Значение по умолчанию0000000000
; -
/timeout=[integer] — время ожидания ответа (в секундах) от RADIUS сервера для проверки второго фактора.
Значение по умолчанию30
; -
/bypass=[true или false] — значение true включит режим bypass, в котором пропускается проверка второго фактора при недоступности всех RADIUS хостов. Доступность хостов определяется отправкой RADIUS запроса Status-Server в момент подключения. Запрос осуществляется последовательно на каждый RADIUS сервер из списка Hosts с таймаутом 2 секунды и количеством ретрансмитов запроса – 2.
Значение по умолчаниюfalse
; -
/filter=[true или false] — значение true ограничит доступные методы входа значениями, заданными в списках
whitelist
иrdpwhitelist
.
Значение по умолчаниюfalse
; -
/whitelist=[{GUID1,GUID2] — разрешенные методы входа при локальном входе, через запятую без пробелов.
Пример значения:{7A6B350E-2FB5-4B07-BCC2-7413CED94DEF},{8FD7E19C-3BF7-489B-A72C-846AB3678C96}
.
Значение по умолчанию{7A6B350E-2FB5-4B07-BCC2-7413CED94DEF}
(Multifactor); -
/rdpwhitelist=[{GUID1,GUID2] — разрешенные методы входа при входе через удалённый рабочий стол (RDP), через запятую без пробелов.
Пример значения:{7A6B350E-2FB5-4B07-BCC2-7413CED94DEF},{8FD7E19C-3BF7-489B-A72C-846AB3678C96}
.
Значение по умолчанию{7A6B350E-2FB5-4B07-BCC2-7413CED94DEF}
(Multifactor); -
/domain=[string] — автоподстановка строки с название домена
domain_name\
в поле "логин" на экране блокировки и на локальном экране входа.
Пример значения:domain_name
.
Значение по умолчанию пустое; -
/networkbypasslist=[string] — подключения по RDP из указанных подсетей будут осуществляться без запроса второго фактора.
Пример значения:10.10.*,192.168.1.0/24,127.0.0.1-127.0.0.5
.
Значение по умолчанию пустое; -
/exthostname=[true или false] — передавать имя хоста клиента вместо IP клиента при подключении через RDP (влияет также на текст в запросе доступа в мобильном приложении и Telegram-боте Мультифактор).
Значение по умолчаниюfalse
; -
/debuglog=[true или false] — значение true создаст в папке с установленным компонентом файл
debuglog.txt
с отладочной информацией при попытке входа в систему.
Знач ение по умолчаниюfalse
; -
/skipusers=[user1,user2] — список пользователей, для которых проверка второго фактора будет пропускаться:
- Пользователей необходимо указывать через запятую без пробелов;
- Локальные пользователи указываются в формате:
.\username
; - Доменные пользователи указываются без домена в формате:
username
; - Microsoft-пользователи указываются с полным названием аккаунта.
Поддерживаются служебные имена:
local_users
— все локальные пользователи;domain_users
— все доменные пользователи;microsoft_users
— все Microsoft пользователи.
Значение по умолчанию пустое;
-
/includedomain=[true или false] — если флаг включен, то логин доменных пользователей будет передаваться на сервер в формате DOMAIN\username;
-
/consolemode=[true или false] — значение true дополнительные окна MULTIFACTOR на экране входа в Windows, рекомендуется использовать на системах типа CORE;
-
/SILENT — установка в неинтерактивном режиме с отображением прогресс-бара (работает только при запуске от привилегированного пользователя);
-
/VERYSILENT — скрытная установка (работает только при запуске от привилегированного пользователя);
-
/LOG=[string] — сохранение лога инсталлятора в указанной директории или файле.
Значение по умолчаниюC:\Users\<User>\AppData\Local\Temp\
.Новый параметр
ConsoleMode
(/consolemode=true), данный флаг отключает дополнительные окна, рекомендуется использовать на системах типа CORE.
Пример команды запуска установки:
MultifactorLogonSetup.exe /VERYSILENT /host=127.0.0.1 /nas=windows /sharedsecret=SHARED_SECRET /filter=true /whitelist={7A6B350E-2FB5-4B07-BCC2-7413CED94DEF} /rdpwhitelist={7A6B350E-2FB5-4B07-BCC2-7413CED94DEF},{8FD7E19C-3BF7-489B-A72C-846AB3678C96}
⚠️
В версиях Winlogon ниже 1.2.8.0 не указывайте последний символ фигурной скобки }
при настройке параметров /whitelist
и /rdpwhitelist
.
В этом случае установка пройдёт без участия пользователя, в качестве хоста будет указан облачный радиус сервер, будут отключены все методы входа, кроме Мультифактора при локальном входе, и Мультифактора и смарт-карты при удалённом.
В качестве инсталлятора для компонента мы используем Inno Setup, поэтому для отслеживания процесса установки вы можете использовать его коды завершения.
Вопросы и ответы
В: Планируется ли установочный пакет в формате msi?
О: Нет, мы не планируем распространение компонента в формате msi, но вы можете воспользоваться сторонним решением, например https://www.exemsi.com/
В: Где найти список доступных методов аутентификации?
О: Полный список находится в реестре системы по адресу HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers
В: Как создать отказоустойчивую конфигурацию?
О: Разверните несколько копий Radius адаптер на разных серверах (порт и shared secret для них должны совпадать), и укажите при установке адреса или имена серверов через запятую без пробелов.
В: Как обновить версию компонента?
О: Удалите "Multifactor Logon" из списка установленного в операционной системе ПО. Установите обновленный компонент заново.
В: Поддерживается ли режим настройки второго фактора через диалог с пользователем?
О: Да, при настройке через RADIUS адаптер можно настроить второй фактор на работу с мобильным приложением, телеграмм ботом или через СМС.
В: Блокирует ли компонент вход в Windows в безопасном режиме?
О: Да, Windows Logon может работать в безопасном режиме. Посмотрите раздел в документации для подробных инструкций по настройке.