Перейти к основному содержимому

Настройка двухфакторной аутентификации при входе в Windows

MULTIFACTOR Logon — программный компонент, экран входа в операционную систему Windows. Работает как при локальном входе в операционную систему, так и при подключении через удалённый рабочий стол.

Компонент в виде установочного файла (ver. 1.4.1) распространяется бесплатно.

Все версии

Данная статья описывает настройку входа на рабочую станцию или сервер на основе операционной системы Windows с логином и паролем и вторым фактором с использованием установленного в вашей сети RADIUS адаптера, либо через облачный сервер radius.multifactor.ru.

Как правило, локальный и удалённый вход на рабочую станцию защищён только логином и паролем. В современных операционных системах добавляются новые методы аутентификации, такие как сочетание логина с PIN кодом, графическим ключом, хранилищем сертификата или биометрическим датчиком. Такая конфигурация реализует только один фактор проверки подлинности и уязвима настолько, насколько надежно защищён первый фактор на клиентском устройстве. Перехват аутентификационных данных можно осуществить, например, при их передаче по незащищённым каналам связи или путём наблюдения за оператором в момент их ввода.

Использование второго фактора не усложняет процесс подключения для пользователя, значительно сокращая риск неправомерного доступа.

Возможные способы аутентификации:

  • Мобильное приложение MultiFactor
  • Telegram
  • Аппаратные OTP токены
  • Приложения OTP: Google Authenticator или Яндекс.Ключ
  • СМС
может быть полезно

Доступна настройка второго фактора в режиме диалога с пользователем.

Требования для установки компонента

  • Десктопная ОС Windows 7 или выше;
  • Серверная ОС Windows Server 2012 или выше;
  • Открытый исходящий порт 1812 UDP для отправки запросов по RADIUS протоколу;
  • Сетевой доступ к radius.multifactor.ru или RADIUS адаптеру, установленному в локальной сети;
  • Свежая версия Microsoft Visual C++ Redistributable x64 или x86.

Принцип работы

  1. Компонент устанавливается на целевую операционную систему, заменяя стандартный метод входа;
  2. Проверка логина-пароля пользователя происходит стандартными методами операционной системы;
  3. Проверка второго фактора происходит по RADIUS протоколу либо через установленный в вашей сети RADIUS адаптер, либо через облачный сервер radius.multifactor.ru;
  4. Пользователь подтверждает полученный запрос на подключение или вводит сгенерированный одноразовый код в форму входа и подключается к рабочему месту.

Поддерживаемые типы учётных записей

Вход с локальной учетной записью на локальном экране входа или экране блокировки Windows может осуществляться в одном форматов:

  1. <computername>\<username>
  2. .\<username>

При входе с локальной учётной записью логин пользователя будет передан на RADIUS сервер в формате <username>@<pcname>.

Дополнительные возможности и ограничения

  • Поддерживает аутентификацию через несколько RADIUS серверов, используя Status-Server (12) запрос для мониторинга доступности;
  • Позволяет конфигурировать доступные для пользователя методы аутентификации;

Ограничения при работе через radius.multifactor.ru

Важно помнить

Не завершайте сессию текущего пользователя до тех пор, пока не убедитесь, что всё корректно настроено и работает.

Настройка MULTIFACTOR

  1. Зайдите в административную панель, далее в раздел "Ресурсы" и создайте новый ресурс типа "ОС / Сервер" - "Windows";
  2. Заполните "Название", "Адрес" и "Язык" по вашему усмотрению, установите переключатель в "Запретить доступ" в разделе "При подключении без настроенного второго фактора";
  3. После создания вам будут доступны два параметра: NAS Identifier и Shared Secret, они потребуются для следующего шага.
  4. Если планируете размещать сервер RADIUS в локальной сети, установите и настройте RADIUS адаптер. Переименуйте файл шаблона Clients/winlogon.config.template в Clients/winlogon.config и настройте его следующим образом:
<!-- Идентифицировать клиентов по заданному RADIUS артибуту NAS-Identifier -->
<add key="radius-client-nas-identifier" value="windows"/>

<!-- Shared secret общий для WinLogon и адаптера -->
<add key="radius-shared-secret" value="SHARED_SECRET"/>
<!-- Где проверять первый фактор: None (не проверять) -->
<add key="first-factor-authentication-source" value="None"/>
<!-- Multifactor API -->
<add key="multifactor-nas-identifier" value="NAS Identifier из личного кабинета MULTIFACTOR"/>
<add key="multifactor-shared-secret" value="Shared Secret из личного кабинета MULTIFACTOR"/>

<!-- Дополнительные настройки для Windows-версии RADIUS адаптера -->
<!-- Active Directory domain -->
<!-- <add key="active-directory-domain" value="domain.local"/> -->

<!-- Разрешить доступ только пользователям группы AD -->
<!-- <add key="active-directory-group" value="VPN Users"/> -->

<!-- Проверять второй фактор только у пользователей из группы AD -->
<!-- <add key="active-directory-2fa-group" value="2FA Users"/> -->

Если вы планируете использовать облачный сервер radius.multifactor.ru, пропустите этот шаг.

  1. На рабочей станции установите приложение MultifactorLogonSetup.exe. После завершения установки будет запущен конфигуратор. Если вы сняли галочку "Run Config" во время завершения установки, запустите конфигуратор mfLogonConfig.exe от имени администратора в папке с установленным компонентом.

На вкладке General:

  • Hosts — укажите ip или имена хостов с настроенными адаптерами;
  • Port — порт настроенного адаптера, должен быть одинаковых для всех хостов;
  • Timeout(sec.) — таймаут запроса доступа (30);
  • Retransmit count — количество попыток запроса доступа (2);
  • Shared Secret — Указывайте значение в зависимости от типа развертывания:
    1. Локальный RADIUS адаптер c настроенной идентификацией клиентов: укажите значение, заданное в параметре radius-shared-secret в клиентском файле конфигурации.
    <add key="radius-shared-secret" value="SHARED_SECRET"/>
    1. Локальный RADIUS адаптер без идентификации клиентов: укажите значение, заданное в параметре radius-shared-secret в корневом файле конфигурации.
    <add key="radius-shared-secret" value="SHARED_SECRET"/>
    1. Облачный radius.multifactor.ru: укажите Shared Secret (п.3) из ресурса WinLogon в панели администратора Multifactor.
  • Nas Identifier — используется для идентификации клиента. Указанное значение передается в запросе доступа на RADIUS сервер в RADIUS-атрибуте NAS-Identifier. Указывайте значение в зависимости от типа развертывания:
    1. Локальный RADIUS адаптер c настроенной идентификацией клиентов: укажите значение, заданное в параметре radius-client-nas-identifier в клиентском файле конфигурации.
    <add key="radius-client-nas-identifier" value="windows"/>
    1. Локальный RADIUS адаптер без идентификации клиентов: оставьте пустым;
    2. Облачный radius.multifactor.ru: укажите NAS Identifier (п.3) из ресурса WinLogon в панели администратора Multifactor.
  • Network Bypass List — подключения по RDP из указанных подсетей будут осуществляться без запроса второго фактора. Пример значения: 10.10.*,192.168.1.0/24,127.0.0.1-127.0.0.5
  • Domain — укажите домен ActiveDirectory для его автоподстановки в поле "Логин" на экране блокировки и на локальном экране входа;
  • Use Host as StationId — если включено – передавать имя хоста клиента вместо IP клиента при подключении через RDP (влияет также на текст в запросе доступа в мобильном приложении и Telegram-боте MULTIFACTOR);
  • Sign In Filter — если включено, в качестве методов входа разрешены только методы из белого списка (вкладка White Lists);
  • Bypass — если включено, проверка второго фактора будет пропущена при недоступности всех RADIUS серверов. Доступность определяется отправкой RADIUS запроса Status-Server в момент подключения. Запрос осуществляется последовательно на каждый RADIUS сервер из списка Hosts с таймаутом 2 секунды и количеством ретрансмитов запроса – 2;
  • Debug Log — если включено, в папке с установленным компонентом создается файл debuglog.txt с отладочной информацией;
  • SkipUsers — список пользователей, для которых проверка второго фактора будет пропускаться:
    • Пользователей необходимо указывать через запятую без пробелов;
    • Локальные пользователи указываются в формате: .\username;
    • Доменные пользователи указываются без домена в формате: username;
    • Microsoft-пользователи указываются с полным названием аккаунта.

Поддерживаются служебные имена:

local_users — все локальные пользователи; domain_users — все доменные пользователи; microsoft_users — все Microsoft пользователи.

  • Use DOMAIN\user format — если опция включена, то логин доменных пользователей будет передаваться на сервер в формате DOMAIN\username.

На вкладке WhiteLists:

  • Если включен параметр Sign In Filter, задайте разрешенные методы для локального входа и подключения через RDP.
  1. Протестируйте конфигурацию, нажав на кнопку Check Settings на вкладке General. Если связность с RADIUS серверами настроена корректно, тест должен вернуть OK для каждого сервера в списке Hosts.
  1. В Административной панели создайте пользователя, с которым будете использовать второй фактор, и вышлите ему ссылку на настройку второго фактора на почту.
  2. Настройте второй фактор для пользователя.
  3. Система готова к использованию.

Проверка

Важно

Не блокируя и не выходя из текущей сессии пользователя, подключитесь под пользователем, которому настроили второй фактор.

  • Если выбран способ подтверждения с одноразовым кодом, пользователь введет его в отдельном поле.

  • Если выбран способ подтверждения с пушем, MULTIFACTOR пришлёт пуш выбранным методом, а компонент будет ожидать подтверждения или отказа от пользователя.

Загрузка в безопасном режиме

По умолчанию, компонент Windows Logon не блокирует вход при загрузке системы в безопасном режиме. Вы можете настроить принудительный запрос второго фактора при загрузке в безопасном режиме, внеся изменения в системный реестр:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers]
"ProhibitFallbacks"=dword:1

Убедитесь, что:

  1. Машина подключена к сети через LAN (WiFi не подключится в безопасном режиме);
  2. RADIUS Адаптер не установлен локально на одной машине с Windows Logon. В безопасном режиме служба адаптера не будет запущена.
внимание

Протестируйте конфигурацию в режиме Bypass, чтобы не потерять доступ к системе в случае неверной настройки.

Если что-то не работает

Последовательно проверьте, что вы ничего не упустили:

  • Установлена свежая версия Microsoft Visual C++ Redistributable x64 или x86;
  • С рабочей станции открыт доступ по UDP порту 1812 на адреса вашего RADIUS адаптера или radius.multifactor.ru;
  • Операционная система имеет 64 битную разрядность (рекомендуется);
  • Параметры Nas Identifier и Shared Secret указаны корректно;
  • Пользователю настроен хотя бы один второй фактор;
  • Проверьте журнал "Запросы доступа" в Личном кабинете;
  • Проверьте события в системном журнале Windows от источника MultifactorLogon и LogonUI;
  • Доступ без второго фактора доступен при загрузке в безопасном режиме.

Обновление

Удалите "Multifactor Logon" из списка установленного в операционной системе ПО. Установите компонент заново.

Удаление компонента

Удалите "Multifactor Logon" из списка установленного в операционной системе ПО.