Настройка двуфакторной аутентификации (2FA) для Windows VPN

Это руководство по настройке двухфакторной аутентификации (2FA) в Windows VPN с помощью системы мультифакторной аутентификации Protectimus. После интеграции Windows VPN и Protectimus, чтобы подключиться к Windows VPN, пользователи должны будут пройти два этапа аутентификации:

1. Имя пользователя и пароль (то, что пользователь знает).
2. Одноразовый пароль, сгенерированный с помощью токена двухфакторной аутентификации (то, что принадлежит пользователю).

Для генерации одноразовых паролей, вашим пользователям будут доступны следующие виды токенов: приложение-аутентификатор на смартфоне; доставка одноразовых кодов в Telegram, Viber, Facebook Messenger; физические TOTP токены; доставка одноразовых кодов по электронной почте или SMS.

Получить одновременный доступ и к стандартному паролю, и к одноразовому паролю практически невозможно. Поэтому двухфакторная аутентификация — базовый элемент защиты учетных записей пользователей Windows VPN от несанкционированного доступа и взлома с помощью таких атак как фишинг, брутфорс, кейлоггеры, социальная инженерия и подобных.

1. Двухфакторная аутентификация для Windows VPN — схема работы

В этом руководстве показано, как настроить двухфакторную аутентификация для Windows VPN с помощью Облачного сервиса двухфакторной аутентификации Protectimus или локальной 2FA платформы Protectimus и компонента RRAS. Для этого необходима интеграция RRAS с Protectimus по протоколу аутентификации RADIUS.

Схема работы решения двухфакторной аутентификации Protectimus для Windows VPN представлена ниже.

2. Как настроить двухфакторную аутентификацию (2FA) в Windows VPN

Интеграция двухфакторной аутентификации Protectimus с Windows VPN возможна по протоколу RADIUS:

1. Зарегистрируйтесь в Облачном сервисе двухфакторной аутентификации или установите Локальную платформу Protectimus и задайте базовые настройки.
2. Установите и настройте компонент Protectimus RADIUS Server.
3. Установите и настройте RRAS.
4. Настройте Windows VPN.

2.1. Зарегистрируйтесь и настройте основные параметры Protectimus

1. Зарегистрируйтесь в Облачном сервисе Protectimus и активируйте API или установите Локальную платформу Protectimus (если вы устанавливаете платформу Protectimus на Windows, не забудьте пометить опцию Radius).
2. Создайте ресурс.
3. Добавьте пользователей.
4. Добавьте токены или активируйте Портал самообслуживания пользователей.
5. Назначите токены пользователям.
6. Назначте токены с пользователями на ресурс.

2.2. Установите и настройте Protectimus RADIUS Server

Подробные инструкции по установке и настройке Protectimus RADIUS Server доступны в Руководстве по установке и настройке Protectimus RADIUS Server.

В файле конфигурации так же нужно указать “inline-mode”. В разделе “auth” добавьте следующую настройку (сепаратор можно указать любой):

inline-mode:
  enabled: true
  separator: ‘,’

2.3. Установите и настройте Routing and Remote Access Service (RRAS)

Установка RRAS

1. Откройте Server Manager, в меню Manage выберите «Add Roles and Features Wizard».
2. В разделе “Server Roles” выберите «Remote Access».
3. В разделе “Role Services” выберите «Direct Access and VPN (RAS)».
4. Завершите установку.

Настройка RRAS

1. Запустите «Routing and Remote Access».
2. Выберите “Deploy VPN only”.
3. Правой кнопкой нажмите на имя сервера, далее выберите «Configure and Enable Routing and Remote Access».

4. Выберите пункт «Custom Configuration».
5. Далее отметьте пункт «VPN Access».
6. Завершите установку и запустите сервис.

Настройка аутентификации

1. Зайдите в в настройки нажав правой кнопкой на имя сервера и выбрав “Properties”, далее переключитесь на вкладку “Security”.
2. В выпадающем списке “Authentication Provider” выберите “RADIUS Authentication”.
3. Нажмите на кнопку “Configure” восле этого же выпадающего списка.
4. Далее добавьте новый сервер:
   • Server name: IP адрес компонета ПК, на котором установлен RADIUS сервер.
   • Shared Secret: общий секрет, который был указан в файле radius.yml при настройке RADIUS.
   • Так же выберите «Always use message authenticator».
   • Остальные настройки оставьте по умолчанию.
5. Сохраните добавленный сервер.

6. Далее нажмите на кнопку “Authentication methods”.
7. В появившемся окне оставьте выбранным только “Unencrypted password (PAP)».

8. Сохраните все настройки.

2.4. Настройте Windows VPN

1. Зайдите в настройки VPN.
2. Нажмите “Добавить новое VPN-подключение”.
   • Поставщик услуг VPN: Windows (встроенные).
   • Имя или адрес сервера: адрес вашего сервера.
   • Тип данных для входа: Имя пользователя и пароль.
3. Сохраните VPN-подключение.

4. Далее зайдите в настройки параметров адаптера: Панель управления > Сеть и интернет > Сетевые подключения.
5. Правой кнопкой нажмите на апаптер созданного VPN-подключения и нажмите “Свойства”.
6. Во вкладке “Безопастность” выберите “Разрешить следующие протоколы”.
7. Оставьте только “Незашифрованный пароль (PAP)”.

8. Сохраните настройку.
9. Вы завершили настройку Windows VPN, далее можно тестировать подключение.

Интеграция двухфакторной аутентификации в Windows VPN завершена.

Если у вас есть вопросы, свяжитесь со службой поддержки Protectimus.