Настройка двухфакторной аутентификации windows

Время на прочтение4 мин

Количество просмотров16K

Сегодня расскажем, как можно быстро и просто настроить двухфакторную аутентификацию и зашифровать важные данные, причем даже с возможностью использования биометрии. Решение будет актуально для небольших компании или просто для персонального компьютера или ноутбука. Важно, что для этого нам не потребуется инфраструктура открытых ключей (PKI), сервер с ролью центра сертификации (Certificate Services) и даже не потребуется домен (Active Directory). Все системные требования будут сводиться к операционной системе Windows и наличию у пользователя электронного ключа, а в случае биометрической аутентификацией еще и считывателю отпечатка пальцев, который, например, может быть уже встроен в ваш ноутбук.

Для аутентификации будем использовать ПО нашей разработки – JaCarta SecurLogon и электронный ключ JaCarta PKI в качестве аутентификатора. Инструментом шифрования будет штатный Windows EFS, доступ к зашифрованным файлам будет осуществляться также через ключ JaCarta PKI (тот же, который используется для аутентификации).

Напомним, JaCarta SecurLogon — сертифицированное ФСТЭК России программно-аппаратное решение компании Аладдин Р.Д., позволяющее осуществить простой и быстрый переход от однофакторной аутентификации на основе пары логин-пароль к двухфакторной аутентификации в ОС по USB-токенам или смарт-картам. Суть работы решения довольно проста — JSL генерирует сложный пароль (~63 символа) и записывает его в защищенную память электронного ключа. При этом пароль может быть неизвестен самому пользователю, пользователь знает только ПИН-код. Вводя ПИН-код при аутентификации, происходит разблокировка устройства, и пароль передается системе для аутентификации. Опционально можно заменить ввод ПИН-кода сканированием отпечатка пальца пользователя, а также можно применить комбинацию ПИН + отпечаток пальца.

EFS также как и JSL умеет работать в режиме standalone, не требуя кроме самой ОС ничего. Во всех операционных системах Microsoft семейства NT, начиная с Windows 2000 и новее (кроме home версий), существует встроенная технология шифрования данных EFS (Encrypting File System). EFS-шифрование основано на возможностях файловой системы NTFS и архитектуре CryptoAPI и предназначено для быстрого шифрования файлов на жестком диске компьютера. Для шифрования в EFS используется закрытый и открытый ключи пользователя, которые генерируются при первом использовании пользователем функции шифрования. Данные ключи остаются неизменными все время, пока существует его учетная запись. При шифровании файла EFS случайным образом генерирует уникальный номер, так называемый File Encryption Key (FEK) длиной 128 бит, с помощью которого и шифруются файлы. Ключи FEK зашифрованы мастер-ключом, который зашифрован ключом пользователей системы, имеющего доступ к файлу. Закрытый ключ пользователя защищается хэшем пароля этого самого пользователя. Данные, зашифрованные с помощью EFS, могут быть расшифрованы только с помощью той же самой учетной записи Windows с тем же паролем, из-под которой было выполнено шифрование. А если хранить сертификат шифрования и закрытый ключ на USB-токене или смарт-карте, то для доступа к зашифрованным файлам потребуется еще и этот USB-токен или смарт-карта, что решает проблему компрометации пароля, так как будет необходимо наличие и дополнительного устройства в виде электронного ключа.

Аутентификация

Как уже отметили, для настройки не нужен AD или центр сертификации, нужен любой современный Windows, дистрибутив JSL и лицензия. Настройка проста до безобразия.

Нужно установить файл лицензии.

Картинка с сайта: habr.com

Добавить профиль пользователя.

Картинка с сайта: habr.com

Картинка с сайта: habr.com

И начать пользоваться двухфакторной аутентификацией.

Картинка с сайта: habr.com

Картинка с сайта: habr.com

Биометрическая аутентификация

Есть возможность использовать биометрическую аутентификацию по отпечатку пальца. Решение работает по технологии Match On Card. Хэш отпечатка записывается на карту при первичной инициализации и в дальнейшем сверяется с оригиналом. Из карты никуда не уходит, в каких-то базах не хранится. Для разблокировки такого ключа используется отпечаток или комбинация ПИН + отпечаток, ПИН или отпечаток.

Для начала использования нужно просто инициализировать карту с необходимыми параметрами, записать отпечаток пользователя.

Картинка с сайта: habr.com

Картинка с сайта: habr.com

В дальнейшем такое же окно будет всплывать перед входом в ОС.

В настоящем примере карта инициализирована с возможностью аутентификации по отпечатку или ПИН-коду, о чем и сообщает окно аутентификации.

Картинка с сайта: habr.com

После предъявления отпечатка или ПИН-кода, пользователь попадет в ОС.

Шифрование данных

Настройка EFS тоже не очень сложная, сводится к настройке сертификата и выпуску его на электронный ключ и настройки директорий шифрования. Как правило, шифровать весь диск не требуется. Действительно важные файлы, получать доступ к которым третьим лицам не желательно, обычно находятся в отдельных директориях, а не разбросаны абы как по диску.

Для выпуска сертификата шифрования и закрытого ключа откройте учетную запись пользователя, выберите — Управление сертификатами шифрования файлов. В открывшемся мастере, создайте самозаверенный сертификат на смарт-карте. Так как мы продолжаем использовать смарт-карту с BIO-апплетом, для записи сертификата шифрования нужно предъявить отпечаток или ПИН.

Картинка с сайта: habr.com

На следующем шаге укажите директории, которые будут связаны с новым сертификатом, при необходимости можно указать все логические диски.

Картинка с сайта: habr.com

Далее система еще раз попросит ввести ПИН или предьявить отпечаток, произойдет непосредственный выпуск сертификата на смарт-карту.

Картинка с сайта: habr.com

Далее нужно настроить конкретные директории. В нашем примере — это папка Документы в хомяке пользователя. Откройте свойства папки и укажите — Шифровать содержимое для защиты данных.

Картинка с сайта: habr.com

Далее укажите применять настройки только к текущей папке или включить все вложенные поддиректории.

Картинка с сайта: habr.com

Сама шифрованная директория и файлы в ней будут подсвечены другим цветом.

Картинка с сайта: habr.com

Доступ к файлам осуществляется только при наличии электронного ключа, по предъявлению отпечатка пальца либо ПИН-кода, в зависимости от того что выбрано.

Картинка с сайта: habr.com

На этом вся настройка окончена.

Можно использовать оба сценария (аутентификация и шифрование), можно остановиться на чем-то одном.

В этой статье мы покажем, как внедрить двухфакторную аутентификацию пользователей в домене Windows с помощью open source продукта multiOTP. MultiOTP эта набор php скриптов и утилит, который реализует протокол OATH для HOTP/TOTP (Time-based One Time Password). Возможно использовать как в Windows, так и через RADIUS для реализации 2FA практически в чем угодно.

После внедрения multiOTP для входа пользователя Windows будет запрашивать дополнительный одноразовый пароль (OTP – one time password), который пользователь должен получить со своего мобильного устройства (приложение Microsoft или Google Authenticator, или другого генератора OTP). Вы можете настроить двухфакторную аутенфтикацию для входа на рабочие станции Windows, или для удаленного RDP доступа к хостам RDS на Windows Server.

Основные преимущества multiOTP — ему не нужен доступ в интернет, и можно использовать для внедрения двухфакторной аутентификации пользователей в изолированных сетях. Большинство аналогов платные или требуют прямого доступа к интернету.

Установка и настройка MultiOTP в домене Active Directory

В этом разделе мы покажем, как установить MultiOTP в Windows Server 2019 и настроить синхронизацию пользователей из Active Directory.

Также вы можете развернуть MultiOTP с помощью готового образа OVA для VMware, виртуальной машины Hyper-V или Docker контейнера.

Начнем с настройки сервера MultiOTP, который будет получать пользователей из Active Directory, генерировать уникальные QR коды для пользователей и проверять правильность второго фактора.

Создадим в Active Directory отдельную группу и добавим в нее пользователей, для которых мы будет требовать проверку второго фактора при входе в Windows. Создадим группу с помощью PowerShell:

New-ADGroup 2FAVPNUsers -path 'OU=Groups,OU=Moscow,dc=winitpro,DC=ru' -GroupScope Global -PassThru –Verbose

Добавьте пользователей в группу:

Add-AdGroupMember -Identity 2FAVPNUsers -Members kbuldogov, user1, user2

Создайте в AD нового пользователя multiotp_srv, который будет использоваться multiotp для доступа к AD (с минимальными привилегиями).

$passwd = ConvertTo-SecureString -String "P@ssw0rd!" -AsPlainText -Force
New-ADUser -Name "multiotp_srv" -SamAccountName "multiotp_srv" -UserPrincipalName "[email protected]" -Path "OU=ServiceAccounts,OU=Moscow,DC=winitpro,DC=ru" –AccountPassword $passwd -Enabled $true

Скачайте архив с файлами MultiOTP с сайта разработчиков https://download.multiotp.net/.

Откройте архив multiotp_5.8.2.9.zip и извлеките из него каталог windows в папку на локальном диске (C:\MultiOTP).

Откройте командную строку и перейдите в каталог с утилитой multiotp.exe:

CD C:\MultiOTP\windows

Следующими командами мы настроим MultiOTP для получения пользователей из LDAP каталога Active Directory.

multiotp -config default-request-prefix-pin=0
multiotp -config default-request-ldap-pwd=0
multiotp -config ldap-server-type=1
multiotp -config ldap-cn-identifier="sAMAccountName"
multiotp -config ldap-group-cn-identifier="sAMAccountName"
multiotp -config ldap-group-attribute="memberOf"
multiotp -config ldap-ssl=0
multiotp -config ldap-port=389

REM Адрес контроллера домена

multiotp -config ldap-domain-controllers=msk-dc03.winitpro.ru,ldap://192.168.13.10:389
multiotp -config ldap-base-dn="DC=winitpro,DC=ru"

REM Учетная запись для аутентификации multiotp в AD:

multiotp -config ldap-bind-dn="CN=multiotp_srv,OU=ServiceAccounts,OU=Moscow,DC=winitpro,DC=ru"
multiotp -config ldap-server-password="P@ssw0rd!"

REM группа пользователей, для которых нужно включить OTP

multiotp -config ldap-in-group="2FAVPNUsers"
multiotp -config ldap-network-timeout=10
multiotp -config ldap-time-limit=30
multiotp -config ldap-activated=1

REM ключ для доступа к MultiOTP серверу

multiotp -config server-secret=secretOTP

Картинка с сайта: winitpro.ru

Ранее мы создали группу 2FAVPNUsers и добавили в нее 3 пользователей. Выполните синхронизацию пользователей AD в MultiOTP.

multiotp -debug -display-log -ldap-users-sync

OG 2022-01-17 14:36:44 info LDAP Info: 3 users created, based on 3 LDAP entries (processed in 00:00:00)
LOG 2022-01-17 14:36:44 debug System Info: *File created: c:\MultiOTP\windows\.\users\a.ivanov.db

В данном случае MultiOTP обнаружила трех пользователей и синхронизировала их.

Картинка с сайта: winitpro.ru

Запустите с правами администратора файл webservice_install.cmd. Это установит веб интерфейс управления MultiOTP.

Зайдите на веб-интерфейс
_http://127.0.0.1:8112/
под учётной запись admin с паролем 1234 (желательно сменить при входе).

Картинка с сайта: winitpro.ru

Настройка двухфакторной аутентификации MultiOTP для пользователя домена

В разделе List of users будет доступен список пользователей домена, которые были синхронизированы ранее (источник AD/LDAP).

Выберите пользователя и нажмите Print. Перед вами появится QR код пользователя, который нужно добавить в приложение-аутентфикатор.

Картинка с сайта: winitpro.ru

Установите на смартфон пользователя приложение Microsoft Authenticator (или Google Authenticator) из Google Play или App Store. Запустите его и отсканируйте QR код пользователя.

В результате в приложении появится учетная запись пользователя, в которой каждые 30 секунд генерируется новый шестизначный цифровой пароль (тот самый второй фактор).

Картинка с сайта: winitpro.ru

Из командной строки можно проверить, что MultiOTP позволяет аутентифицировать данного пользователя с помощью OTP:

multiotp.exe -display-log kbuldogov 719854

где
719854
– одноразовый пароль, полученный из приложения.

LOG 2022-01-17 15:13:11 notice (user kbuldogov) User OK: User kbuldogov successfully logged in with TOTP token
Filter-Id += "2FAVPNUsers"

Картинка с сайта: winitpro.ru

Также можно проверить корректность работы OTP из веб-интерфейса. Перейдите в раздел Check a user, введите имя пользователя и одноразовый пароль.

Картинка с сайта: winitpro.ru

Установка multiOTP CredentialProvider в Windows

Следующий этап – установка multiOTP-CredentialProvider на компьютеры Windows, на которых вы хотите внедрить двухфакторную аутентификацию пользователей с помощью MultiOTP. CredentialProvider можно установить на все версии Windows 7/8/8.1/10/11 и Windows Server 2012(R2)/2016/2019/2022.

В это примере мы настроим двухфакторную аутентификацию для RDP входа пользователей на RDSH сервер на Windows Server 2019.

Скачайте и установите multiOTP CredentialProvider с GitHub https://github.com/multiOTP/multiOTPCredentialProvider/releases. На момент написания статьи эта версия
5.8.4.0
.

Запустите установку:

1. Укажите IP сервера, на котором был установлен multiOTP
2. В нижнее поле укажите секретное слово из конфигурации multiOTP (

   в нашем конфиге);

   

   Картинка с сайта: winitpro.ru

3. Выберите тип входа в Windows, для которых нужно применять аутентфикацию через OTP. В нашем примере мы ограничимся 2FA только для RDP входов (OTP authentication mandatory for remote desktop only).
   

   Картинка с сайта: winitpro.ru

Можно включить использование OTP аутенфтикации как для RDP так и для локальных входов.

MultiOTP CredentialProvider хранит настройки в реестре HKEY_CLASSES_ROOT\CLSID\{FCEFDFAB-B0A1-4C4D-8B2B-4FF4E0A3D978}. Если нужно, вы здесь можете изменить настройки CredentialProvider без переустановки.

Картинка с сайта: winitpro.ru

Перезагрузите Windows Server RDS и попробуйте через RDP подключиться к нему. Теперь после отправки имени и пароля пользователя появляется дополнительное окно one-time password. Здесь пользователь должен ввести одноразовый пароль из приложения Authenticator на своем смартфоне.

Картинка с сайта: winitpro.ru

На севере MultiOTP можно включить ведение логов, это полезно при отладке:

multiotp -config debug=1
multiotp -config display-log=1

Your script is running from C:\MultiOTP\windows\
2022-01-17 15:21:07 debug CredentialProviderRequest Info: *Value for IsCredentialProviderRequest: 1 0 SPB-SRV01
2022-01-17 15:21:07 debug Server-Client Info: *CheckUserToken server request. 0 SPB-SRV01
2022-01-17 15:21:07 notice kbuldogov User OK: User kbuldogov successfully logged in (using Credential Provider) with TOTP token 0 SPB-SRV01
2022-01-17 15:21:07 debug Server-Client Info: *Cache level is set to 1 0 SPB-SRV01
2022-01-17 15:21:07 debug Server-Client Info: *Server secret used for command CheckUserToken with error code result 0: secretOTP 0 SPB-SRV01

Не забудьте убедиться, что ваш домен синхронизирует время с тайм-серверами в интернете и время на клиентах не разбегается. Эти критично для работы OTP.

В любом случае перед массовым внедрением 2FA на базе MultiOTP в вашей сети рекомендуем в течении пары недель протестировать все режимы работы и нештатные ситуации (недоступность сервера MultiOTP, DC, ошибки в CredentialProvider и т.д.). Если возникли существенные проблемы со входом через MultiOTP, вы можете удалить CredentialProvider в безопасном режиме.

На этом настройка двухфакторной аутентификации в Windows Server с помощью MultiOTP закончена. Доступны сценарии использования MultiOTP с RADIUS сервером, для аутентификации практически любых типов клиентов через OTP. Также вы можете использовать OTP для дополнительной зашиты RDP серверов в интернете от брутфорса в дополнении к https://winitpro.ru/index.php/2019/10/02/blokirovka-rdp-atak-firewall-powershell/.

MULTIFACTOR Logon — программный компонент, экран входа в операционную систему Windows. Работает как при локальном входе в операционную систему, так и при подключении через удалённый рабочий стол.

Компонент в виде установочного файла (ver. 1.4.1) распространяется бесплатно.

Все версии

• 25.08.2023 — MultifactorLogonSetup.exe (ver. 1.4.1)

  • Добавлена поддержка 32 битных операционных систем.
  • При установке новой версии поверх старой настройки будут сохраняться.
  • По умолчанию включен режим Bypass.
  • В конфигураторе в allow-списки можно добавлять PLAP провайдеров.

• 18.05.2023 — MultifactorLogonSetup.exe (ver. 1.3.1)

  В случае использования параметра IncludeDomain, имя пользователя и домен будут передаваться на сервер в формате Pre-Windows 2000.

• 19.04.2023 — MultifactorLogonSetup.exe (ver. 1.3.0.3)

  Новый параметр ConsoleMode (/consolemode=true), данный флаг отключает дополнительные окна, рекомендуется использовать на системах типа CORE.

• 04.04.2023 — MultifactorLogonSetup.exe (ver. 1.3.0.2)

  Добавлена возможность смены пароля в случае, если пароль просрочен.

• 22.02.2023 — MultifactorLogonSetup.exe (ver. 1.3.0.1)

  Исправлена ошибка в работе параметра Network Bypass List.

• 13.02.2023 — MultifactorLogonSetup.exe (ver. 1.3.0)

  Добавлена возможность смены пароля при возникновении соответствующего требования.

• 08.02.2023 — MultifactorLogonSetup.exe (ver. 1.2.9)

  Новый параметр Use DOMAIN\user format (/includedomain=true). Если включен, то логин доменных пользователей передается на сервер в формате DOMAIN\username.

• 11.11.2022 — MultifactorLogonSetup.exe (ver. 1.2.8.1)

  Исправлена ошибка с работой параметра SkipUsers для доменных пользователей.

• 27.10.2022 — MultifactorLogonSetup.exe (ver. 1.2.8.0)

  Обновление инсталлятора. Исправлена некорректная обработка последних символов закрывающей фигурной скобки } в параметрах /whitelist и /rdpwhitelist при установке через CLI.

• 16.09.2022 — MultifactorLogonSetup.exe (ver. 1.2.8.0)

  Новый параметр SkipUsers (/skipusers) — список пользователей, для которых проверка второго фактора будет пропускаться.

• 05.09.2022 — MultifactorLogonSetup.exe (ver. 1.2.7.1)

  • Теперь конфигуратор можно запустить только от имени администратора, иначе выводится предупреждение и конфигуратор закрывается;
  • Добавлен параметр инсталлятора /debuglog=true.
• 01.08.2022 — MultifactorLogonSetup.exe (ver. 1.2.7)
• 26.07.2022 — MultifactorLogonSetup.exe (ver. 1.2.6.4)
• 21.07.2022 — MultifactorLogonSetup.exe (ver. 1.2.6.3)
• 20.07.2022 — MultifactorLogonSetup.exe (ver. 1.2.6.2)
• 13.07.2022 — MultifactorLogonSetup.exe (ver. 1.2.5.2)
• 11.07.2022 — MultifactorLogonSetup.exe (ver. 1.2.5.1)
• 06.07.2022 — MultifactorLogonSetup.exe (ver. 1.2.5)
• 06.07.2022 — MultifactorLogonSetup.exe (ver. 1.2.4)
• 07.06.2022 — MultifactorLogonSetup.exe (ver. 1.2.3)
• 25.05.2022 — MultifactorLogonSetup.exe (ver. 1.2.2)
• 13.05.2022 — MultifactorLogonSetup.exe (ver. 1.2.1)
• 25.04.2022 — MultifactorLogonSetup.exe (ver. 1.2.0)
• 21.04.2022 — MultifactorLogonSetup.exe (ver. 1.1.5)
• 09.03.2022 — MultifactorLogonSetup.exe (ver. 1.1.0)

Данная статья описывает настройку входа на рабочую станцию или сервер на основе операционной системы Windows с логином и паролем и вторым фактором с использованием установленного в вашей сети RADIUS адаптера, либо через облачный сервер radius.multifactor.ru.

Как правило, локальный и удалённый вход на рабочую станцию защищён только логином и паролем. В современных операционных системах добавляются новые методы аутентификации, такие как сочетание логина с PIN-кодом, графическим ключом, хранилищем сертификата или биометрическим датчиком. Такая конфигурация реализует только один фактор проверки подлинности и уязвима настолько, насколько надежно защищён первый фактор на клиентском устройстве. Перехват аутентификационных данных можно осуществить, например, при их передаче по незащищённым каналам связи или путём наблюдения за оператором в момент их ввода.

Использование второго фактора не усложняет процесс подключения для пользователя, значительно сокращая риск неправомерного доступа.

Возможные способы аутентификации:

• Мобильное приложение Multifactor
• Telegram
• Аппаратные OTP токены
• Приложения OTP: Google Authenticator или Яндекс.Ключ
• СМС

Может быть полезно

Доступна настройка второго фактора в режиме диалога с пользователем.

Требования для установки компонента

• Десктопная ОС Windows 7 или выше;
• Серверная ОС Windows Server 2012 или выше;
• Открытый исходящий порт 1812 UDP для отправки запросов по RADIUS протоколу;
• Сетевой доступ к radius.multifactor.ru или RADIUS адаптеру, установленному в локальной сети;
• Свежая версия Microsoft Visual C++ Redistributable x64 или x86.

Принцип работы

1. Компонент устанавливается на целевую операционную систему, заменяя стандартный метод входа;
2. Проверка логина-пароля пользователя происходит стандартными методами операционной системы;
3. Проверка второго фактора происходит по RADIUS протоколу либо через установленный в вашей сети RADIUS адаптер, либо через облачный сервер radius.multifactor.ru;
4. Пользователь подтверждает полученный запрос на подключение или вводит сгенерированный одноразовый код в форму входа и подключается к рабочему месту.

Поддерживаемые типы учётных записей

Дополнительные возможности и ограничения

• Поддерживает аутентификацию через несколько RADIUS серверов, используя Status-Server (12) запрос для мониторинга доступности;
• Позволяет конфигурировать доступные для пользователя методы аутентификации;

Ограничения при работе через radius.multifactor.ru

• Не принимает кириллические имена учётных записей при работе через radius.multifactor.ru;
• Настройка второго фактора в режиме диалога с пользователем не работает при использовании radius.multifactor.ru.

Важно помнить

Не завершайте сессию текущего пользователя до тех пор, пока не убедитесь, что всё корректно настроено и работает.

Настройка MULTIFACTOR

1. Зайдите в административную панель, далее в раздел «Ресурсы» и создайте новый ресурс типа «ОС / Сервер» — «Windows»;
2. Заполните «Название», «Адрес» и «Язык» по вашему усмотрению, установите переключатель в «Запретить доступ» в разделе «При подключении без настроенного второго фактора»;
3. После создания вам будут доступны два параметра: NAS Identifier и Shared Secret, они потребуются для следующего шага.
4. Если планируете размещать сервер RADIUS в локальной сети, установите и настройте RADIUS адаптер. Переименуйте файл шаблона Clients/winlogon.config.template в Clients/winlogon.config и настройте его следующим образом:

<!-- Идентифицировать клиентов по заданному RADIUS артибуту NAS-Identifier -->
<add key="radius-client-nas-identifier" value="windows"/>

<!-- Shared secret общий для WinLogon и адаптера -->
<add key="radius-shared-secret" value="SHARED_SECRET"/>

<!-- Где проверять первый фактор: None (не проверять) -->
<add key="first-factor-authentication-source" value="None"/>

<!-- Multifactor API -->
<add key="multifactor-nas-identifier" value="NAS Identifier из личного кабинета MULTIFACTOR"/>
<add key="multifactor-shared-secret" value="Shared Secret из личного кабинета MULTIFACTOR"/>

<!-- Дополнительные настройки для Windows-версии RADIUS адаптера -->
<!-- Active Directory domain -->
<!-- <add key="active-directory-domain" value="domain.local"/> -->

<!-- Разрешить доступ только пользователям группы AD -->
<!-- <add key="active-directory-group" value="VPN Users"/> -->

<!-- Проверять второй фактор только у пользователей из группы AD -->
<!-- <add key="active-directory-2fa-group" value="2FA Users"/> -->

Если вы планируете использовать облачный сервер radius.multifactor.ru, пропустите этот шаг.

1. На рабочей станции установите приложение MultifactorLogonSetup.exe. После завершения установки будет запущен конфигуратор. Если вы сняли галочку «Run Config» во время завершения установки, запустите конфигуратор mfLogonConfig.exe от имени администратора в папке с установленным компонентом.

На вкладке General:

• Hosts — укажите ip или имена хостов с настроенными адаптерами;
• Port — порт настроенного адаптера, должен быть одинаковых для всех хостов;
• Timeout(sec.) — таймаут запроса доступа (30);
• Retransmit count — количество попыток запроса доступа (2);
• Shared Secret — Указывайте значение в зависимости от типа развертывания:
  1. Локальный RADIUS адаптер c настроенной идентификацией клиентов: укажите значение, заданное в параметре radius-shared-secret в клиентском файле конфигурации.

<add key="radius-shared-secret" value="SHARED_SECRET"/>

1. Локальный RADIUS адаптер без идентификации клиентов: укажите значение, заданное в параметре radius-shared-secret в корневом файле конфигурации.

<add key="radius-shared-secret" value="SHARED_SECRET"/>

1. Облачный radius.multifactor.ru: укажите Shared Secret (п.3) из ресурса WinLogon в панели администратора Multifactor.

• Nas Identifier — используется для идентификации клиента. Указанное значение передается в запросе доступа на RADIUS сервер в RADIUS-атрибуте NAS-Identifier. Указывайте значение в зависимости от типа развертывания:
  1. Локальный RADIUS адаптер c настроенной идентификацией клиентов: укажите значение, заданное в параметре radius-client-nas-identifier в клиентском файле конфигурации.

<add key="radius-client-nas-identifier" value="windows"/>

1. Локальный RADIUS адаптер без идентификации клиентов: оставьте пустым;
2. Облачный radius.multifactor.ru: укажите NAS Identifier (п.3) из ресурса WinLogon в панели администратора Multifactor.

• Network Bypass List — подключения по RDP из указанных подсетей будут осуществляться без запроса второго фактора. Пример значения: 10.10.*,192.168.1.0/24,127.0.0.1-127.0.0.5
• Domain — укажите домен ActiveDirectory для его автоподстановки в поле «Логин» на экране блокировки и на локальном экране входа;
• Use Host as StationId — если включено – передавать имя хоста клиента вместо IP клиента при подключении через RDP (влияет также на текст в запросе доступа в мобильном приложении и Telegram-боте MULTIFACTOR);
• Sign In Filter — если включено, в качестве методов входа разрешены только методы из белого списка (вкладка White Lists);
• Bypass — если включено, проверка второго фактора будет пропущена при недоступности всех RADIUS серверов. Доступность определяется отправкой RADIUS запроса Status-Server в момент подключения. Запрос осуществляется последовательно на каждый RADIUS сервер из списка Hosts с таймаутом 2 секунды и количеством ретрансмитов запроса – 2;
• Debug Log — если включено, в папке с установленным компонентом создается файл debuglog.txt с отладочной информацией;
• SkipUsers — список пользователей, для которых проверка второго фактора будет пропускаться:
  • Пользователей необходимо указывать через запятую без пробелов;
  • Локальные пользователи указываются в формате: .\username;
  • Доменные пользователи указываются без домена в формате: username;
  • Microsoft-пользователи указываются с полным названием аккаунта.

Поддерживаются служебные имена:

local_users — все локальные пользователи;
domain_users — все доменные пользователи;
microsoft_users — все Microsoft пользователи.

• Use DOMAIN\user format — если опция включена, то логин доменных пользователей будет передаваться на сервер в формате DOMAIN\username.

Картинка с сайта: multifactor.ru

На вкладке WhiteLists:

• Если включен параметр Sign In Filter, задайте разрешенные методы для локального входа и подключения через RDP.

Картинка с сайта: multifactor.ru

1. Протестируйте конфигурацию, нажав на кнопку Check Settings на вкладке General. Если связность с RADIUS серверами настроена корректно, тест должен вернуть OK для каждого сервера в списке Hosts.

Картинка с сайта: multifactor.ru

1. В Административной панели создайте пользователя, с которым будете использовать второй фактор, и вышлите ему ссылку на настройку второго фактора на почту.
2. Настройте второй фактор для пользователя.
3. Система готова к использованию.

Проверка

Важно

Не блокируя и не выходя из текущей сессии пользователя, подключитесь под пользователем, которому настроили второй фактор.

• Если выбран способ подтверждения с одноразовым кодом, пользователь введет его в отдельном поле.

• Если выбран способ подтверждения с пушем, MULTIFACTOR пришлёт пуш выбранным методом, а компонент будет ожидать подтверждения или отказа от пользователя.

Загрузка в безопасном режиме

По умолчанию, компонент Windows Logon не блокирует вход при загрузке системы в безопасном режиме. Вы можете настроить принудительный запрос второго фактора при загрузке в безопасном режиме, внеся изменения в системный реестр:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers]
"ProhibitFallbacks"=dword:1

Убедитесь, что:

1. Машина подключена к сети через LAN (WiFi не подключится в безопасном режиме);
2. RADIUS Адаптер не установлен локально на одной машине с Windows Logon. В безопасном режиме служба адаптера не будет запущена.

Внимание

Протестируйте конфигурацию в режиме Bypass, чтобы не потерять доступ к системе в случае неверной настройки.

Если что-то не работает

Последовательно проверьте, что вы ничего не упустили:

• Установлена свежая версия Microsoft Visual C++ Redistributable x64 или x86;
• С рабочей станции открыт доступ по UDP порту 1812 на адреса вашего RADIUS адаптера или radius.multifactor.ru;
• Операционная система имеет 64 битную разрядность (рекомендуется);
• Параметры Nas Identifier и Shared Secret указаны корректно;
• Пользователю настроен хотя бы один второй фактор;
• Проверьте журнал «Запросы доступа» в Личном кабинете;
• Проверьте события в системном журнале Windows от источника MultifactorLogon и LogonUI;
• Доступ без второго фактора доступен при загрузке в безопасном режиме.

Обновление

Удалите «MULTIFACTOR Logon» из списка установленного в операционной системе ПО. Установите компонент заново.

Удаление компонента

Удалите «MULTIFACTOR Logon» из списка установленного в операционной системе ПО.

Последнее обновление 17 февраля 2025 г.