2-факторная аутентификация при помощи смартфона (2fa push token)
Начиная с версии v.4.6 Rohos Logon Key позволяет использовать разные методы 2ФА одновременно. Это позволяет постепенно внедрять новые виды 2ФА в пределах вашей компании, что в свою очередь увеличивает информационную безопасность и снижает нагрузку на технический персонал.
Преимущества Rohos Logon Key for Android (Push token) в сравнении с Google Authenticator :
- Доступ посредством нажатия Одной кнопки в смартфоне.
- Достоверная идентификация 2ФА носителя. Следовательно вы можете контролировать кто фактически имеет данный 2ФА метод, в то время как Google Authenticator не дает такой возможности и вы не можете контролировать как много копий OTP настройки сейчас существует.
Для того чтобы настроить Смартфон сотрудника для прохождения 2ФА , следуйте по ссылке «Setup smartphone» на главном окне.
Следуйте инструкциям в диалоговом окне.
Узнать подробнее о настройке Смартфона>
Автоматическая 2-факторная аутентификация через отправку кода otp через sms либо e-mail
Rohos Logon Key позволяет использовать автоматическую 2-FA для пользователей удаленного доступа. Rohos будет автоматически отправлять одноразовый пароль по SMS либо по электронной почте (Email) пользователю на телефон при аутентификации в Windows Remote Desktop.
Ваш Терминальный сервер должен быть настроен в соответствии со следующими требованиями:
- Поле «Мобильный телефон» в учетной записи пользователя должно содержать номер его мобильного телефона;
Либо Поле Email должно быть заполнено. - Rohos Logon Key должен быть настроен с поддержкой SMS-шлюза
- В настройках указана опция «Для группы пользователей» либо «Для пользователей Remote Desktop».
Настройка доставки Одноразовых Паролей по SMS :
Включение 2-fa с использованием фильтра ip-адреса
Программа Rohos Logon Key позволяет фильтровать удаленные подключения по IP-адресу клиента и способна выполнять контроль двух-факторной аутентификации в зависимости от IP адреса. Это позволяет отключить контроль 2ФА для подключений из локальной сети предприятия.
Как испытать 2-FA для удаленного подключения с использованием фильтра IP:
- Находясь в сессии Remote Desktop откройте опции Rohos Logon Key.
- Выберите в списке “Требовать электронный ключ для входа” значение “Для пользователей Remote Desktop”.
- Щелкнув на [?] вы можете проверить, смогла ли программа Rohos определить WAN IP адрес вашего клиента.
- Укажите “LAN IP Filter:” , это должен быть префикс от адреса вашей локальной сети. Использую этот префикс, программа Rohos Logon key отличит соединение LAN от WAN, и будет требовать 2-факторную аутентификацию для клиента с внешним IP-адресом.
Поле «IP of RD gateway» — означает IP адрес RDP шлюза в LAN (либо любой другой IP), при при подключении от которого необходимо обязательно проверять 2ФА.
Двухфакторная аутентификация для microsoft rdp & windows logon – protectimus
Решение двухфакторной аутентификации для Windows 7, 8, 8.1, 10, 11 и Windows Server 2022, 2022, 2022, 2022 позволяет защитить как локальные учетные записи Windows, так и удаленные рабочие столы (RDP). Легко устанавливается, подходит для корпоративных и личных учетных записей Windows. Вы сможете войти в учетную запись Windows даже когда ваш компьютер оффлайн.
После установки компонента Protectimus Winlogon & RDP на компьютер, для входа в свою учетную запись Windows пользователем нужно будет пройти два этапа аутентификации: сначала ввести свой стандартный пароль в Windows, а потом одноразовый пароль, который действует только 30 секунд.
Двухфакторная аутентификация защищает учетную запись пользователя Windows от компрометации в случае, если постоянный пароль будет перехвачен, угадан или взломан с помощью брутфорса, социальной инженерии, фишинга и подобных угроз.
Используемые продукты
В качестве примера, рассмотрим реализацию внедрения OTP пароля, основанном на проекте multiOTP – опенсорсовом софте PHP, умеющим работать на стандартных алгоритмах, которые хорошо себя зарекомендовали в индустрии обеспечения многофакторной аутентификации (HOTP, TOTP, OCRA).
Для обеспечения дополнительного поля ввода OTP пароля в окне входа в систему Windows будем использовать плагин MultiOneTimePassword-CredentialProvider.
Пользователь будет генерировать одноразовые пароли у себя на мобильном устройстве с помощью Google Authenticator.
Как включить 2-факторную аутентификацию для профиля пользователя
2-факторная аутентификация назначается индивидуально для каждого пользовательского профиля. Также возможно Автоматическая настройка только при выборе опции “OTP delivery by SMS”.
Запустите программу Rohos Logon Key и выполните команду Настроить OTP токен:
- Выберите профиль пользователя;
- Выберите тип генератора одноразовых паролей для данного пользователя;
- Оставьте пустым поле пароля;
- Нажмите кнопку “Enable OTP login” чтобы применить конфигурацию.
Выполните команду “Display QR-Code” и “Copy code” для конфигурирования Google Authenticator или отправить конфигурацию Google Authenticator пользователю по электронной почте.
При использовании опции “OTP by SMS” :
— Введите номер мобильного телефона или убедитесь, что заполнено поле «телефон» в свойствах профиля пользователя.
— Убедитесь в поддержке шлюза SMS в диалоге OTP Настройки.
Как отключить или сбросить 2-факторную аутентификацию
Есть два способа отключения или сброса 2FA для всего сервера или выбранного пользовательского профиля.
Чтобы отключить политику 2FA:
- Деинсталляция Rohos Logon Key восстановит обычную аутентификацию по паролю;
- Установка в “none” опции “Allows to login by USB key” временно отключит 2FA для всех пользователей.
Для сброса или перенастройки или отключения 2FA для какого-то определенного пользователя:
Какая лицензия нужна для remote desktop connection?
- Если на компьютере, исполняющем роль сервера, установлена операционная система Windows XP, Windows Vista, 7 ,8, 10 , программе Rohos Logon Key, установленной на нем, нужна PRO лицензия.
- Если на компьютере, исполняющем роль сервера, установлена операционная система Windows Server 2008 -2022, то программе Rohos Logon Key нужна Серверная лицензия.
- Количество подключаемых пользователей не ограничено. Лицензия пожизненная, минорные обновления (например 4.*) предоставляются бесплатно. Зарегистрированным пользователям доступен персональный купон для скидки для обновления основной версии.
ЗагрузкаRohos Logon Key (15 дневн. триал)
Подробнее о защите Терминального Сервера с помощью Rohos Logon Key
Настройка google authenticator
Теперь необходимо передать уникальный ключ пользователя на устройство пользователя. Удобней всего это сделать через QR код. Для этого нам необходимо установить web-server который нам поможет в просмотре и регистрации пользователей. Просто заходим в папку multiotp и запускаем webservice_install.cmd, после чего должен открыться браузер с консолью администрирования. После входа, мы можем создать нового локального пользователя или просмотреть список существующих, что весьма полезно:
Но самое главное, вэб-консоль поможет нам зарегистрировать пользователя на мобильном устройстве. Нажимаем “Print” в строке необходимого пользователя и на новой вкладке мы видим QR код, сгенерированный для данного пользователя:
Сканируем полученный QR код с помощью Google Authenticator. Регистрация завершена.
Как видите все просто, можно например, переслать QR код пользователю почтой и он сам справится с регистрацией. Если все прошло успешно, та на экране мобильного устройства будет доступен OTP пароль, который обновляется каждые 30 секунд:
Проверка и устранение неполадок powershell
После устранения неполадок закоментируйте строки назад.
Результаты
Теперь наш сервер Terminal получил дополнительный уровень безопасности в виде внедрения OTP пароля на базе бесплатного решения проекта multiOTP и multiOTP-Credential Provider.
Данное решение вполне можно развернуть и на самом ПК пользователя, выставив барьер для злоумышленника при попытке входа на рабочем месте сотрудника.
Установка multionetimepassword-credentialprovider
Теперь необходимо указать нашему серверу Terminal дополнительно использовать OTP пароль при аутентификации пользователя. Для этого запускаем ранее скачанный установщик MultiOneTimePassword-CredentialProvider, где нам требуется лишь указать установку Default Provider и папку с сервисом multiotp:
Важно! После установки CredentialProvider, пользователи, которые не получили настройку OTP не смогут зайти на сервер. Поэтому необходимо позаботится чтобы у учетной записи администратора был также настроен OTP пароль.
Установка multiotp
Скачиваем продукт multiOTP и размещаем содержимое папки windows (из скачанной директории) в корень системного диска: C:multiotp.
Вся настройка происходит через командную строку. Запускаем CMD от имени администратора и переходим в нашу директорию:
Далее приводится список команд для настройки и синхронизации сервиса multiOTP с Active Directory:
- C:multiotp>multiotp -config default-request-prefix-pin=0
Ввод ПИН-кода по умолчанию, при создании новых пользователей (1 | 0)
- C:multiotp>multiotp -config default-request-ldap-pwd=0
Использование пароля Active Directory вместо ПИН-кода по умолчанию(1 | 0)
- C:multiotp>multiotp -config ldap-server-type=1
Выбор сервер AD/LDAP (1=Active Directory | 2=standart LDAP )
- C:multiotp>multiotp -config ldap-cn-identifier=»sAMAccountName»
Установка rohos logon key на терминальный сервер
1. Установите программу Rohos Logon Key на Терминальном Сервере Windows
Загрузить 15-дневную пробную версию Rohos Logon Key.
Мы поддерживаем все версии Windows Server, начиная с Windows Server 2008. Поддержка Windows Server 2003 предлагается через ранние версии.
2.Настройте 2-факторную аутентификацию с использованием одноразовых паролей. Откройте Rohos Logon Key и выберите “Настроить OTP Токен ”:
3. Настройте политику 2-факторной аутентификации:
Откройте диалог Опции и выберите способ контроля 2-факторной аутентификации:
Установка и настройка multiotp в домене active directory
В этом разделе мы покажем, как установить MultiOTP в Windows Server 2022 и настроить синхронизацию пользователей из Active Directory.
Также вы можете развернуть MultiOTP с помощью готового образа OVA для VMware, виртуальной машины Hyper-V или Docker контейнера.
Начнем с настройки сервера MultiOTP, который будет получать пользователей из Active Directory, генерировать уникальные QR коды для пользователей и проверять правильность второго фактора.
Создадим в Active Directory отдельную группу и добавим в нее пользователей, для которых мы будет требовать проверку второго фактора при входе в Windows. Создадим группу с помощью PowerShell: