Windows Logon и RDP: Защита доступа с помощью двухфакторной аутентификации

Решение двухфакторной аутентификации Protectimus Winlogon & RDP позволяет защитить доступ к компьютерам под управлением следующих операционных систем:

• Windows 8;
• Windows 8.1;
• Windows 10;
• Windows 11;
• Windows Server 2012;
• Windows Server 2016;
• Windows Server 2019;
• Windows Server 2022.

Компонент Protectimus для двухфакторной аутентификации в Windows защищает доступ к Windows как локально (Windows logon), так и через RDP (Remote Desctop Protocol).

Функция бэкап кодов позволяет пользователям Windows входить в свои учетные записи, защищенные двухфакторной аутентификацией, даже если компьютер не подключен с сети. При установке компонента Protectimus Winlogon на компьютер, администратор может выпустить и сохранить бэкап код, который заменит одноразовый пароль при входе в любую из учетных записей на этом компьютере в оффлайн режиме.

Вы можете узнать больше на странице с обзором решения двухфакторной аутентификации Protectimus для Windows и RDP.

Ниже приведена подробная инструкция по настройке двухфакторной аутентификации в Windows с помощью Protectimus.

1. Зарегистрируйтесь и задайте базовые настройки

Зарегистрируйтесь в Облачном сервисе Protectimus и активируйте API или установите Локальную платформу Protectimus.

2. Создайте ресурс

Ресурсы служат для логического объединения пользователей и токенов, а также для удобного управления ими.

Подробная инструкция по созданию ресурсов доступна в параграфе Как создать ресурс.

3. Настройте политики доступа

1. Перейдите на страницу Ресурсы.

 

2. Нажмите на название ресурса.

 

3. Перейдите во вкладку Winlogon.

 

4. Вы увидите список политик доступа. Настройте решение в соответствии с вашими требованиями.
   
   Мы настоятельно рекомендуем вам активировать автоматическую регистрацию пользователей и токенов.
   
   После активации этой функции, при первом входе в учетную запись, пользователь должен будет ввести свой обычный Windows логин, пароль, а после этого выпустить токен. Чтобы активировать авторегистрацию пользователей и токенов, отметьте галочками следующие пункты:
   • Доступ незарегистрированным пользователям (Access for unregistered users);
   • Авторегистрация пользователей (User auto-registration);
   • Авторегистрация токенов (Token auto-registration);
   • Выберите тип токена, который сможет выпустить пользователь (Protectimus Mail, Protectimus SMS, или Protectimus SMART OTP).

 

ВНИМАНИЕ! Вы можете задать разные настройки для локального доступа и для удаленного доступа по RDP.

1. Доступ (Access accepted) — активируется по умолчанию
   Открывает доступ к компьютеру. Если этот параметр деактивирован, доступ к компьютеру локально и/или по RDP будет полностью закрыт.
2. Применить 2FA (Apply 2FA) — активируется по умолчанию
   Этот параметр активирует двухфакторную аутентификацию при входе в учетную запись Windows локально и/или по RDP. Если этот параметр деактивирован, одноразовый пароль запрашиваться не будет.
3. Доступ незарегистрированным пользователям (Access for unregistered users)
   • Этот параметр позволяет активировать двухфакторную аутентификацию только для выбранных пользователей. Например, одним компьютером пользуется 3 человека — John, Adam и Michael, но вы хотите, чтобы одноразовый пароль запрашивался только при входе в учетную запись Adam. Для этого в сервисе Protectimus необходимо создать только одного пользователя (Adam) и активировать параметр доступа незарегистрированным пользователям, чтобы остальные пользователи (John и Michael) входили без двухфакторной аутентификации.
   • Без активации этого параметра невозможна авторегистрация пользователей и токенов.
   • Если этот параметр не активирован, войти в свои учетные записи смогут только пользователи, зарегистрированные в сервисе Protectimus.
4. Однофакторный доступ (Single Factor Access)
   Если этот параметр активирован, пользователи, назначенные на ресурс без токенов, могут входить в свои учетные записи без одноразовых паролей.
5. Авторегистрация пользователей (User auto-registration)
   Если этот параметр активирован, при своем первом входе в учетную запись пользователь пройдет автоматическую регистрацию в сервисе Protectimus и будет назначен на текущий ресурс.
6. Авторегистрация токенов (Token auto-registration)
   Если этот параметр активирован, при первом входе в свою учетную запись пользователь должен будет выпустить токен. Тип токена, который будет доступен пользователю, необходимо выбрать в поле “Тип токена”.
7. Тип токена (Token Type)
   В этом поле необходимо выбрать тип токена, который будет доступен пользователю при авторегистрации.
8. Доступ по IP (Access by IP addresses)
   Если вы активируете этот параметр и добавить список разрешенных IP адресов ниже, то при входе с доверенных IP адресов у пользователей не будет запрашиваться одноразовый пароль.
9. Разрешенные IP адреса (Allowed IP addresses)
   Если вы активировали доступ по IP, добавьте список доверенных IP адресов при входе с которых не будет запрашиваться одноразовый пароль.

ВНИМАНИЕ!
Чтобы использовать аппаратные OTP токены или доставку одноразовых паролей через чат-ботов в мессенджерах:

1. Добавьте пользователей вручную.
   
   ВНИМАНИЕ! Логин пользователя в сервисе Protectimus должен соответствовать имени пользователя в Windows. Перед созданием пользователя убедитесь, что Ваше имя пользователя Windows содержит только латиницу, цифры и следующие символы: _-∽!#.$.. Пробелы и любые другие символы не допускаются.
   
   Для защиты локальной учетной записи пользователя в Windows, пользователь в сервисе Protectimus должен иметь логин вида login, где login — это имя пользователя в Windows. Например, если имя Вашего пользователя в Windows John-Doe, то в сервисе Protectimus необходимо добавить пользователя с логином John-Doe.
   
   Для учетных записей пользователей в Active Directory логин пользователя в сервисе должен иметь вид login@domain, где login — это имя пользователя в AD, а domain — Ваш корпоративный домен. Например, если имя Вашего пользователя в AD John-Doe а корпоративный домен google.com, то в сервисе Protectimus необходимо добавить пользователя с логином John-Doe@google.
2. Добавьте токены вручную.
3. Назначите токены пользователям.
4. Назначите токены с пользователями на ресурс.

4. Установите Protectimus Winlogon

4.1. Загрузите инсталлятор и настройте систему, следуя инструкциям

1. Загрузите последнюю версию инсталлятора Protectimus Winlogon.
2. Запустите инсталлятор от имени администратора.

 

3. Вы увидите экран приветствия. Нажмите кнопку Next, чтобы продолжить установку.

 

4. Ознакомьтесь с лицензионным соглашением, выберите пункт I accept the license и нажмите Next, чтобы продолжить установку.

4.2. Введите API URL, Login, API Key и выберите ID ресурса

1. Введите API URL, API Login, API Key и нажмите Login.
   
   Эти параметры означают:
   • API URL – это адрес конечной точки API. При использовании сервиса используйте API URL https://api.protectimus.com, при использовании платформы адрес для доступа к API будет адресом сервера, где запущена платформа (например, https://localhost:8443).
   • API Login – это адрес электронной почты, который был выбран при регистрации в сервисе.
   • API Key – ключ API находится в профиле пользователя. Чтобы перейти в профиль пользователя нажмите на своем логине в правом верхнем углу интерфейса и выберите пункт Профиль из выпадающего списка.

2. Resource ID. Выберите Ресурс, который вы создали перед началом установки. Затем нажмите Next, чтобы продолжить установку.

Если вы еще не создали ресурс, добавьте его сейчас. Нажмите Add Resource и придумайте любое название ресурса.

4.3. Настройте политики 2FA и сохраните бекап-код

Настройте политики 2FA и сохраните бекап-код, если это необходимо. По умолчанию двухфакторная аутентификация будет применена для всех учетных записей на этом компьютере, кроме главного администратора и гостевых аккаунтов.

• Вы можете включить 2FA для главного администратора или для группы пользователей.
• Можно настроить дополнительные параметры, такие как:
  • Требовать 2FA при входе, а не при разблокировке (доступно только для установки в домене);
  • Требовать 2FA только для RDP входов;
  • Отключить офлайн-логин.
• Вы также можете сохранить бекап-код. Этот код потребуется пользователям для входа в аккаунты Windows при отсутствии подключения к Интернету. Один и тот же бекап-код будет работать для всех аккаунтов на этом компьютере.
  
  

  ВНИМАНИЕ! При экстренном входе пользователя в систему с использованием бэкап кода, будет сгенерирован новый код, который необходимо сохранить и использовать при следующем входе в оффлайн режиме. Этот бекап-код также будет работать для всех аккаунтов на этом компьютере.

4.4. Выберите параметры установки в домене

Если это НЕ контроллер домена, просто нажмите Install.


Если вы устанавливаете компонент двухфакторной аутентификации Protectimus Winlogon & RDP на контроллер домена, у вас будет два варианта. Выберите тот, который лучше всего вам подходит:

• Create a GPO for installation in the domain: эта опция создает GPO для автоматической установки программного обеспечения Protectimus на всех компьютерах Windows в домене
• Perform remote installation in the domain: этот параметр открывает окно установки для установки компонента непосредственно на любой компьютер в домене.

4.4.1. Создать GPO для установки в домене (Create a GPO for installation in the domain)

Если вы выберете Create a GPO for installation in the domain, GPO будет содержать скрипты для автоматической установки при запуске компьютера.

В ввыпадающих меню вы можете выбрать компьютеры, на которые будет установлен компонент Protectimus с помощью объектов групповой политики (GPO). Принцип выбора компьютеров аналогичен тому, который используется при работе с группами на предыдущем этапе. Если флажок «Create GPO for install in domain» не выбран, выпадающие меню будут отключены.

ВНИМАНИЕ!

Если вы решите удалить компонент Protectimus Winlogon & RDP на контроллере домена, вам будет предложено создать объект групповой политики (GPO) для автоматического удаления этого программного обеспечения на всех других машинах в домене.

Если вы используете GPO для удаления Protectimus Winlogon на всех машинах в вашем домене, удалите этот объект групповой политики вручную после того, как удалите все ПО Protectimus на всех компьютерах.

Если вы не удалите этото объект групповой политики вручную, это может привести к конфликтам при повторной установке компонента Protectimus Winlogon & RDP. В этом случае программное обеспечение может быть не установлено/удалено автоматически на компьютерах с Windows в домене.

4.4.2. Выполнить удаленную установку в домене (Perform remote installation in the domain)

Если вы выберете опцию Выполнить удалённую установку в домене (Perform remote installation in the domain), на заключительном этапе установки появится окно, где вы сможете выбрать компьютеры для удалённой установки. Оттуда вы сможете установить 2FA компонент напрямую на любую выбранную машину в домене. Этот вариант удобен тем, что позволяет избежать перезагрузки компьютера, которая требуется при развертывании через GPO.

4.5. Выберите вариант установки на контроллер домена

Если вы устанавливаете компонент двухфакторной аутентификации Protectimus Winlogon & RDP на контроллер домена, у вас будет два варианта. Выберите тот, который лучше всего вам подходит:

• Install on current computer: При выборе этой опции компонент Protectimus устанавливается непосредственно на текущем компьютере. Например, если установка происходит на контроллере домена, и на экране «Install Policy» мы указали, что компонент не должен быть установлен на контроллере домена, то выбор этого флажка приведет к его установке на текущем компьютере, то есть на контроллере домена.
• Protect installation from deletion: Включение этой опции обеспечивает защиту компонента от удаления на рабочих станциях, гарантируя, что его можно будет удалить только через авторизованные действия на контроллере домена, тем самым повышая уровень безопасности. Эта опция включена по умолчанию.

Кроме того, можно сохранить текущую конфигурацию установки для ручной установки в домене с помощью кнопки Save.

4.6. Выбор компьютеров для удаленной установки

Если на шаге 4.4 вы выбрали опцию Выполнить удаленную установку в домене (Perform remote installation in the domain), появится окно со списком всех компьютеров в домене, с помощью которого вы можете установить компонент непосредственно на любой из них.

По умолчанию выбраны все компьютеры, кроме контроллера домена (DC). Процесс установки для каждого компьютера обычно занимает 1-2 секунды. Рекомендуется использовать эту функцию для установки компонента на несколько компьютеров, а не на большое количество. Для масштабных инсталляций лучше использовать GPO.

Чтобы проверить статус компьютера, наведите курсор на его название и появится подсказка с описанием.

Колонка Component Version отображает версию компонента, если компонент уже установлен.

Кнопка G1/G2 выбирает компьютеры в соответствии с настройками на экране Install Policy (шаг 8).

Кнопка Clear All сбрасывает флажки со всех чекбоксов.

Чекбокс Ping target before install включит отправку ICMP-запроса (ping) на выбранную машину перед самой установкой.

4.7. Завершите установку

После завершения установки нажмите кнопку OK. При следующем запуске компьютера компонент уже будет активен.

5. Настройка доступа через RDP

ВНИМАНИЕ! Если Вы НЕ выполните следующие действия, доступ к компьютеру по RDP будет полностью запрещен.

1. Перейдите на страницу Ресурсы, нажмите на название ресурса и выберите вкладку Winlogon.
2. Активируйте параметр Доступ (Access accepted) для RDP. Активация данного параметра открывает доступ к компьютеру по протоколу RDP без двухфакторной аутентификации.

 

3. Чтобы включить двухфакторную аутентификацию при запросе доступа по RDP, дополнительно активируйте параметр Применить 2FA (Apply 2FA) при доступе через RDP.

6. Работа в офлайн режиме (бэкап коды)

Чтобы система двухфакторной аутентификации Protectimus работала в штатном режиме, компьютер должен быть подключен к сети интернет.

Для экстренных случаев, когда у пользователя нет возможности подключиться к сети, предусмотрена возможность входа в учетную запись с использованием бэкап кода вместо одноразового пароля.

Первый бэкап код выдается при установке компонента. Этот код действует для всех учетных записей, зарегистрированных на данном компьютере. Его можно использовать один раз, затем будет сгенерирован новый код, который будет показан пользователю. Новый резервный код также будет действителен для всех учетных записей пользователей, зарегистрированных на этом компьютере.

ВНИМАНИЕ! При экстренном входе в систему с использованием бэкап кода, будет сгенерирован новый код, который необходимо сохранить и использовать при следующем входе в оффлайн режиме. Этот бэкап код также будет действовать для всех учетных записей на этом компьютере.

6.1. Перевыпуск бэкап кода

Если по какой-то причине бэкап код был утерян, пользователь может выпустить новый бэкап код. Для этого необходима специальная утилита, которую главный администратор Protectimus должен запросить по адресу support@protectimus.com.

Чтобы воспользоваться утилитой:

• Войдите в свою учетную запись Windows.
• Скачайте и запустите утилиту.
• Нажмите CTRL + ALT + DEL
• Сохраните ваш новый бэкап код.

7. Логи и ошибки

В случае возникновения ошибки, есть несколько способов проверить, что происходит. Прежде всего, можно проверить логи системы в Windows (Event Viewer -> Windows Logs -> Application).

В Локальной платформе Protectimus логи можно найти в директориях PLATFORM_DIR и TOMCAT_HOME/logs (например C:\Windows\Temp\Protectimus.log).

Также посетите страницу «События» в Платформе, и вы увидите соответствующую информацию.

8. Удаление программы

Если у Вас нет доступа к учетной записи в Windows, удалить компонент Protectimus Winlogon можно через безопасный режим.

1. Войдите в меню установки и удаления программ в своей операционной системе, найдите программу Protectimus Winlogon и нажмите Удалить.
2. Откроется окно настроек для удаления компонента в домене (Start uninstallation setup). Используйте тот же подход, что и для опции Выполнить удаленную установку в домене (Perform remote installation in the domain) во время установки, чтобы удалить компонент. Это необязательный шаг, вы можете закрыть окно и удалить компонент с помощью GPO или только на текущем компьютере.
   
   
   
3. После закрытия предыдущего окна откроется окно Завершить/Сохранить удаление (Complete/Keep Uninstall), где у вас есть 2 варианта:
   • Первый чекбокс создаст GPO для автоматического удаления этого ПО на всех других машинах в домене.
   • Второй вариант оставит компонент на текущем компьютере для дальнейшего удаления.
   

ВНИМАНИЕ!

Если вы используете GPO для удаления Protectimus Winlogon на всех машинах в вашем домене, удалите этот объект групповой политики вручную после того, как удалите все ПО Protectimus на всех компьютерах.

Если вы не удалите этото объект групповой политики вручную, это может привести к конфликтам при повторной установке компонента Protectimus Winlogon & RDP. В этом случае программное обеспечение может не быть установлено/удалено автоматически на компьютерах Windows в домене.