Двухфакторная аутентификация для терминальных серверов | SERVILON

2-факторная аутентификация при помощи смартфона (2fa push token)

Начиная с версии v.4.6 Rohos Logon Key позволяет использовать разные методы 2ФА одновременно. Это позволяет постепенно внедрять новые виды 2ФА в пределах вашей компании, что в свою очередь увеличивает информационную безопасность и снижает нагрузку на технический персонал.

Преимущества Rohos Logon Key for Android (Push token) в сравнении с Google Authenticator :

  • Доступ посредством нажатия Одной кнопки в смартфоне.
  • Достоверная идентификация 2ФА носителя. Следовательно вы можете контролировать кто фактически имеет данный 2ФА метод, в то время как Google Authenticator не дает такой возможности и вы не можете контролировать как много копий OTP настройки сейчас существует.

Для того чтобы настроить Смартфон сотрудника для прохождения 2ФА , следуйте по ссылке «Setup smartphone»  на главном окне.

Следуйте инструкциям в диалоговом окне.

Узнать подробнее  о настройке Смартфона>

Автоматическая  2-факторная аутентификация через отправку кода otp через sms либо e-mail

Rohos Logon Key позволяет использовать автоматическую 2-FA для пользователей удаленного доступа. Rohos будет автоматически отправлять одноразовый пароль по SMS либо по электронной почте (Email) пользователю на телефон при аутентификации в Windows Remote Desktop.

Ваш Терминальный сервер должен быть настроен в соответствии со следующими требованиями:

  • Поле «Мобильный телефон» в учетной записи пользователя должно содержать номер его мобильного телефона;
    Либо Поле Email должно быть заполнено.
  • Rohos Logon Key должен быть настроен с поддержкой SMS-шлюза
  • В настройках указана опция «Для группы пользователей» либо «Для пользователей Remote Desktop».

Настройка доставки Одноразовых Паролей по SMS :

Включение 2-fa с использованием фильтра ip-адреса

Программа Rohos Logon Key позволяет фильтровать удаленные подключения по IP-адресу клиента и способна выполнять контроль двух-факторной аутентификации в зависимости от IP адреса. Это позволяет отключить контроль 2ФА для подключений из локальной сети предприятия.

Как испытать 2-FA для удаленного подключения с использованием фильтра IP:

  1. Находясь в сессии Remote Desktop откройте опции Rohos Logon Key.
  2. Выберите в списке “Требовать электронный ключ для входа” значение “Для пользователей Remote Desktop”.
  3. Щелкнув на [?] вы можете проверить, смогла ли программа Rohos определить WAN IP адрес вашего клиента.
  4. Укажите “LAN IP Filter:” , это должен быть префикс от адреса вашей локальной сети. Использую этот префикс, программа Rohos Logon key отличит соединение LAN от WAN, и будет требовать 2-факторную аутентификацию для клиента с внешним IP-адресом.

Поле «IP of RD gateway» — означает IP адрес RDP шлюза в LAN (либо любой другой IP), при при подключении от которого необходимо обязательно проверять 2ФА.

Двухфакторная аутентификация для microsoft rdp & windows logon – protectimus

Решение двухфакторной аутентификации для Windows 7, 8, 8.1, 10, 11 и Windows Server 2022, 2022, 2022, 2022 позволяет защитить как локальные учетные записи Windows, так и удаленные рабочие столы (RDP). Легко устанавливается, подходит для корпоративных и личных учетных записей Windows. Вы сможете войти в учетную запись Windows даже когда ваш компьютер оффлайн.

После установки компонента Protectimus Winlogon & RDP на компьютер, для входа в свою учетную запись Windows пользователем нужно будет пройти два этапа аутентификации: сначала ввести свой стандартный пароль в Windows, а потом одноразовый пароль, который действует только 30 секунд.

Двухфакторная аутентификация защищает учетную запись пользователя Windows от компрометации в случае, если постоянный пароль будет перехвачен, угадан или взломан с помощью брутфорса, социальной инженерии, фишинга и подобных угроз.

Используемые продукты

В качестве примера, рассмотрим реализацию внедрения OTP пароля, основанном на проекте multiOTP – опенсорсовом софте PHP, умеющим работать на стандартных алгоритмах, которые хорошо себя зарекомендовали в индустрии обеспечения многофакторной аутентификации (HOTP, TOTP, OCRA).

Для обеспечения дополнительного поля ввода OTP пароля в окне входа в систему Windows будем использовать плагин MultiOneTimePassword-CredentialProvider.

Пользователь будет генерировать одноразовые пароли у себя на мобильном устройстве с помощью  Google Authenticator.

Как включить 2-факторную аутентификацию для профиля пользователя

2-факторная аутентификация назначается индивидуально для каждого пользовательского профиля. Также возможно Автоматическая настройка только при выборе опции “OTP delivery by SMS”.

Запустите программу  Rohos Logon Key и выполните команду  Настроить OTP токен:

  1. Выберите профиль пользователя;
  2. Выберите тип генератора одноразовых паролей для данного пользователя;
  3. Оставьте пустым поле пароля;
  4. Нажмите кнопку “Enable OTP login” чтобы применить конфигурацию.

Выполните команду “Display QR-Code” и “Copy code” для конфигурирования Google Authenticator или отправить конфигурацию Google Authenticator пользователю по электронной почте.

При использовании опции “OTP by SMS” :

— Введите номер мобильного телефона или убедитесь, что заполнено поле «телефон» в свойствах профиля пользователя.

— Убедитесь в поддержке шлюза SMS в диалоге OTP Настройки.

Как отключить или сбросить 2-факторную аутентификацию

Есть два способа отключения или сброса 2FA для всего сервера или выбранного пользовательского профиля.

Чтобы отключить политику 2FA:

  • Деинсталляция Rohos Logon Key восстановит обычную аутентификацию по паролю;
  • Установка в “none” опции “Allows to login by USB key” временно отключит 2FA для всех пользователей.

Для сброса или перенастройки или отключения 2FA для какого-то определенного пользователя:

Какая лицензия нужна для remote desktop connection?

        • Если на компьютере, исполняющем роль сервера, установлена операционная система Windows XP, Windows Vista, 7 ,8, 10 , программе Rohos Logon Key, установленной на нем, нужна PRO лицензия.
        • Если на компьютере, исполняющем роль сервера, установлена операционная система Windows Server 2008 -2022, то программе Rohos Logon Key нужна Серверная лицензия.
        • Количество подключаемых пользователей не ограничено. Лицензия пожизненная, минорные обновления (например 4.*) предоставляются бесплатно. Зарегистрированным пользователям доступен персональный купон для скидки для обновления основной версии.

ЗагрузкаRohos Logon Key (15 дневн. триал)

Подробнее о защите Терминального Сервера с помощью Rohos Logon Key

Настройка google authenticator

Теперь необходимо передать уникальный ключ пользователя на устройство пользователя. Удобней всего это сделать через QR код. Для этого нам необходимо установить web-server который нам поможет в просмотре и регистрации пользователей. Просто заходим в папку multiotp и запускаем webservice_install.cmd, после чего должен открыться браузер с консолью администрирования. После входа, мы можем создать нового локального пользователя или просмотреть список существующих, что весьма полезно:

Но самое главное, вэб-консоль поможет нам зарегистрировать пользователя на мобильном устройстве. Нажимаем “Print” в строке необходимого пользователя и на новой вкладке мы видим QR код, сгенерированный для данного пользователя:

Сканируем полученный QR код с помощью Google Authenticator. Регистрация завершена.

Как видите все просто, можно например, переслать QR код пользователю почтой и он сам справится с регистрацией. Если все прошло успешно, та на экране мобильного устройства будет доступен OTP пароль, который обновляется каждые 30 секунд:

Проверка и устранение неполадок powershell

После устранения неполадок закоментируйте строки назад.

Результаты

Теперь наш сервер Terminal получил дополнительный уровень безопасности в виде внедрения OTP пароля на базе бесплатного решения проекта multiOTP и multiOTP-Credential Provider.

Данное решение вполне можно развернуть и на самом ПК пользователя, выставив барьер для злоумышленника при попытке входа на рабочем месте сотрудника.

Установка multionetimepassword-credentialprovider

Теперь необходимо указать нашему серверу Terminal дополнительно использовать OTP пароль при аутентификации пользователя. Для этого запускаем ранее скачанный установщик MultiOneTimePassword-CredentialProvider, где нам требуется лишь указать установку Default Provider и папку с сервисом multiotp:

Важно! После установки CredentialProvider, пользователи, которые не получили настройку OTP не смогут зайти на сервер. Поэтому необходимо позаботится чтобы у учетной записи администратора был также настроен OTP пароль.

Установка multiotp

Скачиваем продукт multiOTP и размещаем содержимое папки windows (из скачанной директории) в корень системного диска: C:multiotp.

Вся настройка происходит через командную строку. Запускаем CMD от имени администратора и переходим в нашу директорию:

Далее приводится список команд для настройки и синхронизации сервиса multiOTP с Active Directory:

  1. C:multiotp>multiotp -config default-request-prefix-pin=0

Ввод ПИН-кода по умолчанию, при создании новых пользователей (1 | 0)

  1. C:multiotp>multiotp -config default-request-ldap-pwd=0

Использование пароля Active Directory вместо ПИН-кода по умолчанию(1 | 0)

  1. C:multiotp>multiotp -config ldap-server-type=1

Выбор сервер AD/LDAP (1=Active Directory | 2=standart LDAP )

  1. C:multiotp>multiotp -config ldap-cn-identifier=»sAMAccountName»

Установка rohos logon key на терминальный сервер

1. Установите программу Rohos Logon Key на Терминальном Сервере Windows

Загрузить 15-дневную пробную версию Rohos Logon Key.

Мы поддерживаем все версии Windows Server, начиная с Windows Server 2008. Поддержка Windows Server 2003 предлагается через ранние версии.

2.Настройте 2-факторную аутентификацию с использованием одноразовых паролей. Откройте Rohos Logon Key и выберите  “Настроить OTP Токен ”:

3. Настройте политику 2-факторной аутентификации:

Откройте диалог Опции и выберите способ контроля 2-факторной аутентификации:

Установка и настройка multiotp в домене active directory

В этом разделе мы покажем, как установить MultiOTP в Windows Server 2022 и настроить синхронизацию пользователей из Active Directory.

Также вы можете развернуть MultiOTP с помощью готового образа OVA для VMware, виртуальной машины Hyper-V или Docker контейнера.

Начнем с настройки сервера MultiOTP, который будет получать пользователей из Active Directory, генерировать уникальные QR коды для пользователей и проверять правильность второго фактора.

Создадим в Active Directory отдельную группу и добавим в нее пользователей, для которых мы будет требовать проверку второго фактора при входе в Windows. Создадим группу с помощью PowerShell:

Похожее:  Ошибка входа в аккаунт гугл - Помощь по системе Android: База вопросов и ответов.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *