Windows Logon та RDP: Захист доступу за допомогою двофакторної автентифікації

Рішення Protectimus Windows Logon & RDP 2FA додає двофакторну автентифікацію (2FA / MFA) для захисту доступу до комп’ютерів на:

• Windows 8;
• Windows 8.1;
• Windows 10;
• Windows 11;
• Windows Server 2012;
• Windows Server 2016;
• Windows Server 2019;
• Windows Server 2022.

Воно захищає доступ до комп’ютерів на Windows за допомогою двофакторної автентифікації (2FA) як локально (при вході в Windows), так і через RDP (протокол віддаленого робочого столу).

Завдяки функції бекап-коду рішення Windows 2FA працюватиме навіть в офлайн-режимі. Під час встановлення компонента 2FA на комп’ютер адміністратор може згенерувати та зберегти бекап-код. Цей код потім можна використати замість одноразового пароля для входу в облікові записи користувачів на комп’ютері без підключення до Інтернету.

Для отримання додаткової інформації відвідайте сторінку Рішення Protectimus для Windows і RDP 2FA.

Нижче наведено докладні інструкції з налаштування двофакторної автентифікації у Windows за допомогою Protectimus.

1. Зареєструйтеся та налаштуйте основні параметри

Зареєструйтеся в хмарному сервісі Protectimus і активуйте API або встановіть локальну платформу Protectimus.

2. Додайте ресурс

Ресурси використовуються для логічного групування користувачів і токенів та легкого управління ними.

Детальні інструкції щодо додавання ресурсів можна знайти в статті Як додати ресурс.

3. Налаштуйте політики доступу

1. Перейдіть до розділу Ресурси (Resources).

 

2. Натисніть на назву вашого ресурсу.

 

3. Відкрийте вкладку Winlogon.

 

4. Ви побачите список політик доступу. Налаштуйте рішення відповідно до ваших вимог.
   
   Ми наполегливо рекомендуємо вам увімкнути автоматичну реєстрацію користувачів і токенів.
   
   Коли ця функція активована, при першому вході в обліковий запис користувачеві потрібно буде ввести звичні логін і пароль Windows, а потім створити токен. Щоб увімкнути автоматичну реєстрацію користувачів і токенів, поставте галочку в наступних пунктах:
   • Доступ для незареєстрованих користувачів (Access for unregistered users);
   • Автоматична реєстрація користувачів (User auto-registration);
   • Автоматична реєстрація токенів (User auto-registration);
   • І виберіть тип токенів, які можуть випускати ваші користувачі (Protectimus Mail, Protectimus SMS або Protectimus SMART OTP).

 

ЗВЕРНІТЬ УВАГУ! Ви можете налаштувати різні параметри для локального входу в обліковий запис Windows та для входу через RDP.

1. Access accepted (активовано за замовчуванням)
   Відкриває доступ до комп’ютера. Якщо цей параметр вимкнено, доступ до комп’ютера локально та/або через RDP буде повністю вимкнено.
2. Apply 2FA (активовано за замовчуванням)
   Активуйте цей параметр, щоб увімкнути двофакторну автентифікацію при локальному вході у ваш обліковий запис Windows та/або при вході через RDP. Якщо цей параметр вимкнено, одноразовий пароль не запитуватиметься.
3. Access for unregistered users
   • Цей параметр дозволяє увімкнути двофакторну автентифікацію тільки для обраних користувачів. Наприклад, одним комп’ютером користуються 3 людини – Джон, Адам і Майкл – але ви хочете, щоб одноразовий пароль запитувався тільки при вході в обліковий запис Адама. Для цього створіть в сервісі Protectimus тільки одного користувача (Адама) і активуйте параметр “Доступ для незареєстрованих користувачів” (Access for unregistered users), щоб інші користувачі (Джон і Майкл) входили без двофакторної автентифікації.
   • Якщо цей параметр вимкнено, автореєстрація користувачів і токенів неможлива.
   • Якщо цей параметр вимкнено, лише користувачі, вже зареєстровані в сервісі Protectimus і призначені на ваш ресурс, зможуть увійти в свої акаунти Windows.
4. Single Factor Access
   Якщо цей параметр увімкнено, користувачі без токенів, призначені на цей ресурс, можуть входити у свої облікові записи Windows без одноразових паролів.
5. User auto-registration
   Якщо цей параметр увімкнено, при першому вході в обліковий запис користувачі будуть автоматично зареєстровані в сервісі Protectimus і будуть призначені на цей ресурс.
6. Token auto-registration
   Якщо цей параметр увімкнено, при першому вході в обліковий запис користувачам потрібно буде створити токен. Тип токена, який буде доступний користувачам, слід вибрати в полі “Token Type”.
7. Token Type
   У цьому полі ви повинні вибрати тип токена, який буде доступний користувачам під час автореєстрації токена.
8. Access by IP addresses
   Якщо увімкнути цю опцію і додати список дозволених IP-адрес нижче, то при вході з довірених IP-адрес у користувачів не буде запитуватися одноразовий пароль.
9. Allowed IP addresses
   Якщо ви активували доступ за IP-адресами (Access by IP addresses), додайте список довірених IP-адрес, при вході з яких не буде запитуватися одноразовий пароль.

ЗВЕРНІТЬ УВАГУ!
Щоб використовувати апаратні OTP-токени або увімкнути доставку OTP через чат-ботів у месенджерах:

1. Додайте користувачів вручну.
   
   УВАГА! Логін користувача в сервісі Protectimus повинен збігатися з іменем користувача Windows. Перед створенням користувача переконайтеся, що логін користувача Windows містить лише латинські літери, цифри та наступні символи: _-∽!#.$.. Пробіли та будь-які інші символи не допускаються.
   
   Коли ви додаєте багатофакторну автентифікацію до свого локального облікового запису користувача в Windows, логін користувача в сервісі Protectimus повинен збігатися з вашим ім’ям користувача в Windows. Наприклад, якщо ваше ім’я користувача в Windows – John-Doe, то в сервісі Protectimus вам потрібно додати користувача з логіном John-Doe.
   
   Коли ви додаєте користувачів з Active Directory, їхні логіни в сервісі Protectimus повинні мати вигляд login@domain, де login – це ім’я користувача в Active Directory, а domain – ваш корпоративний домен. Наприклад, якщо ім’я користувача в Active Directory – John-Doe, а корпоративний домен – google.com, то в сервісі Protectimus потрібно додати користувача з логіном John-Doe@google.
2. Додайте токени вручну.
3. Призначте токени користувачам.
4. Призначте токени з користувачами на ресурс.

4. Встановіть Protectimus Winlogon

4.1. Завантажте інсталятор і налаштуйте систему, слідуючи інструкціям

1. Завантажте останню версію інсталятора Protectimus Winlogon.
2. Запустіть інсталятор від імені адміністратора.

 

3. Ви побачите вікно привітання, натисніть Next, щоб продовжити.

 

4. Прочитайте ліцензійну угоду, поставте галочку I accept the license і натисніть Next , щоб продовжити.

4.2. Введіть API URL, Login, API Key а потім виберіть ID ресурсу

1. Введіть API URL, Login та API Key і натисніть LogIn.
   
   Ці параметри означають:
   • API URL – адреса кінцевої точки API. Якщо ви використовуєте SAAS-сервіс, API URL – це https://api.protectimus.com/. У випадку локальної платформи API URL – це адреса сервера, на якому працює платформа (наприклад, https://localhost:8443).
   • Login – логін вашого облікового запису, такий самий, як і для входу в систему.
   • API Key – ви знайдете його у своєму профілі. Щоб отримати доступ до профілю, натисніть на логін користувача у верхньому правому куті інтерфейсу і виберіть пункт “Profile” у випадаючому списку.

2. Resource ID. Виберіть Ресурс, який ви створили перед початком встановлення компонента Protectimus Winlogon. Після цього натисніть Next, щоб продовжити.

Якщо ви ще не додали ресурс, додайте його зараз. Натисніть Add Resource і введіть будь-яку назву ресурсу.

4.3. Налаштуйте політики 2FA та збережіть резервний код

Налаштуйте політики 2FA і збережіть резервний код, якщо це необхідно. За замовчуванням двофакторна автентифікація буде застосована до всіх облікових записів на цьому комп’ютері, окрім вбудованого адміністратора та гостьових облікових записів.

• Ви можете увімкнути 2FA для вбудованого адміністратора або для групи користувачів.
• Ви можете налаштувати додаткові параметри, такі як:
  • Вимагати 2FA під час входу, а не при розблокуванні (доступно тільки для установки в домені);
  • Вимагати 2FA тільки для RDP входів;
  • Вимкнути офлайн-логін.
• Ви також можете зберегти бекап-код. Цей код знадобиться вашим користувачам для входу в облікові записи Windows за відсутності підключення до Інтернету. Один і той самий бекап-код буде працювати для всіх облікових записів на цьому комп’ютері.
  
  

  УВАГА! Коли користувач увійде в систему з цим бекап-кодом, буде згенеровано новий код, який необхідно зберегти і використати наступного разу, коли користувачу знадобиться увійти в свій обліковий запис в офлайн-режимі. Новий бекап-код також буде працювати для всіх облікових записів на цьому комп’ютері.

4.4. Виберіть параметри для встановлення в домені

Якщо це НЕ контролер домену, просто натисніть кнопку Install.


Якщо ви встановлюєте компонент Protectimus Winlogon & RDP 2FA на контролер домену, на цьому етапі ви побачите два варіанти:

• Create a GPO for installation in the domain: ця опція створює GPO для автоматичного встановлення програмного забезпечення Protectimus на всіх комп’ютерах Windows у домені
• Perform remote installation in the domain: цей параметр відкриває вікно інсталяції для встановлення компонента безпосередньо на будь-який ПК в домені.

4.4.1. Створити GPO для встановлення в домені (Create a GPO for installation in the domain)

Якщо ви виберете Create a GPO for installation in the domain, GPO міститиме скрипти для автоматичного встановлення під час запуску комп’ютера.

У випадаючих меню ви можете вибрати комп’ютери, на яких компонент буде встановлено через Об’єкти групових політик (GPO), використовуючи таку ж логіку, як і для груп на попередньому кроці. Якщо не вибрано пункт “Create a GPO for installation in the domain“, випадаючі меню будуть недоступні.

УВАГА!

Якщо ви вирішите видалити компонент Protectimus Winlogon & RDP на контролері домену, вам буде запропоновано створити GPO для автоматичного видалення цього програмного забезпечення на всіх інших машинах в домені.

Коли ви створюєте GPO для видалення Protectimus Winlogon & RDP на всіх машинах у вашому домені, видаліть цей GPO вручну після завершення видалення програмного забезпечення.

Якщо ви не видалите GPO для деінсталяції вручну, це може спричинити проблеми під час повторної інсталяції компонента Protectimus Winlogon & RDP. В такому випадку програмне забезпечення може не бути встановлено чи видалено автоматично на комп’ютерах з Windows у домені.

4.4.2. Виконати віддалене встановлення в домені (Perform remote installation in the domain)

Якщо ви оберете пункт Perform remote installation in the domain, на останньому кроці встановлення з’явиться екран, на якому ви зможете вибрати комп’ютери для віддаленого встановлення. Звідти ви зможете встановити компонент безпосередньо на будь-який вибраний комп’ютер у домені. Цей параметр зручний, оскільки дозволяє уникнути перезавантаження комп’ютера, яке необхідне при встановленні через GPO.

4.5. Виберіть варіант встановлення на контролер домену

Якщо ви встановлюєте компонент Protectimus Winlogon & RDP 2FA на контролер домену, у вас буде два варіанти. Виберіть той, який найкраще відповідає вашим потребам:

• Встановити на поточний комп’ютер (Install on current computer): Вибір цієї опції дозволяє встановити компонент безпосередньо на поточний комп’ютер. Наприклад, якщо встановлення відбувається на контролері домену і на екрані “Install Policy” вказано, що компонент не повинен бути встановлений на контролері домену, вибір цього пункту дозволить встановити його саме на поточний комп’ютер, тобто на контролер домену.
• Захистити інсталяцію від видалення (Protect installation from deletion): Вибір цієї опції захищає компонент від видалення на робочих станціях, гарантуючи, що його можна видалити лише за допомогою авторизованих дій на контролері домену, що підвищує безпеку. Цей параметр увімкнено за замовчуванням.

Крім того, ви можете зберегти поточну конфігурацію інсталяції для ручного встановлення в домені за допомогою кнопки Save.

4.6. Вибір комп’ютерів для віддаленого встановлення

Якщо на кроці 4.4 ви вибрали опцію Виконати віддалене встановлення у домені (Perform remote installation in the domain), з’явиться вікно зі списком усіх комп’ютерів у домені, за допомогою якого ви зможете встановити компонент безпосередньо на будь-який з них.

За замовчуванням вибрано всі комп’ютери, окрім контролера домену (DC). Процес встановлення для кожного комп’ютера зазвичай займає 1-2 секунди. Ми рекомендуємо використовувати цю функцію для встановлення компонента на декілька комп’ютерів, а не на велику кількість. Для масштабних інсталяцій краще використовувати GPO.

Щоб перевірити статус комп’ютера, наведіть курсор на його назву, і з’явиться підказка з описом.

Колонка Component Version відображає версію компонента, якщо компонент вже встановлено.

Кнопка G1/G2 вибирає комп’ютери відповідно до налаштувань на екрані Install Policy (Крок 8).

Кнопка Clear All прибирає всі прапорці в чекбоксах.

Чекбокс Ping target before install увімкне надсилання ICMP-запиту (ping) на вибрану машину перед самим встановленням.

4.7. Завершіть інсталяцію

Після завершення інсталяції натисніть OK. Під час наступного запуску комп’ютера двофакторна автентифікація буде ввімкнена.

5. Як увімкнути доступ по RDP

ЗВЕРНІТЬ УВАГУ! Поки ви не зробите наступне, доступ до комп’ютера через RDP буде заборонено.

1. Перейти до розділу Ресурси натисніть на назву вашого ресурсу і перейдіть на вкладку Winlogon.
2. Активуйте параметр Access accepted для RDP. Активація цього параметра дозволяє доступ до комп’ютера по RDP без двофакторної автентифікації.

 

3. Щоб увімкнути двофакторну автентифікацію при запиті доступу через RDP, додатково активуйте параметр Apply 2FA для RDP.

6. Бекап-коди для офлайн доступу

Для нормальної роботи системи двофакторної автентифікації Protectimus комп’ютер повинен бути підключений до Інтернету.

Для екстрених випадків, коли користувач не може підключитися до Інтернету, є можливість увійти в обліковий запис, використовуючи бекап-код замість одноразового пароля.

Перший бекап-код видається під час встановлення компонента. Зверніть увагу, що цей код дійсний для всіх облікових записів, зареєстрованих на цьому комп’ютері. Він може бути використаний один раз, після чого буде згенеровано новий код, який буде показано користувачеві одразу після вводу першого коду. Новий бекап-код також буде дійсний для всіх облікових записів, зареєстрованих на цьому комп’ютері.

УВАГА! Коли користувач увійде в систему з бекап-кодом, буде згенеровано новий код, який необхідно зберегти і використати наступного разу, коли користувачу знадобиться увійти в свій обліковий запис в офлайн-режимі. Цей бекап-код також буде працювати для всіх облікових записів на цьому комп’ютері.

6.1. Як перевипустити бекап-код

Якщо користувачі з якихось причин втратили бекап-код, вони можуть випустити новий бекап-код, перебуваючи в мережі. Для цього потрібна спеціальна утиліта, яку ваш головний адміністратор облікового запису Protectimus може запросити за адресою support@protectimus.com.

Використовувати утиліти:

• Увійдіть у свій обліковий запис Windows.
• Завантажте та запустіть утиліту.
• Натисніть CTRL + ALT + DEL
• Збережіть новий бекап-код.

7. Логи та помилки

У разі виникнення помилок, у вас є кілька способів перевірити, що сталося. По-перше, перевірте системні логи Windows (Event Viewer -> Windows Logs -> Application).

Логи локальної платформи Protectimus можна знайти в каталогах PLATFORM_DIR та TOMCAT_HOME/logs (наприклад, C:\Windows\Temp\Protectimus.log).

Також відвідайте сторінку Події (Events) на платформі Protectimus, де ви побачите відповідну інформацію.

8. Деінсталяція

Якщо не вдається увійти в обліковий запис Windows, спробуйте вимкнути Protectimus Winlogon через безпечний режим.

1. Перейдіть до меню “Видалення або зміни програм” в Windows, знайдіть програму Protectimus Winlogon і натисніть “Видалити”.
2. Відкриється вікно налаштувань для видалення компонента (Start uninstallation setup) в домені. Використовуйте той самий підхід, що і для опції Виконати віддалену установку в домені (Perform remote installation in the domain) під час процесу інсталяції, щоб видалити компонент. Це необов’язковий крок, ви можете закрити вікно та видалити компонент за допомогою GPO або лише на поточному комп’ютері.
   
   
   
3. Після закриття попереднього вікна відкриється вікно Завершити/Зберегти видалення (Complete/Keep Uninstall), де у вас є 2 варіанти:
   • Перший чекбокс створить GPO для автоматичного видалення цього програмного забезпечення на всіх інших машинах в домені.
   • Другий варіант залишить компонент на поточному комп’ютері для подальшого видалення.
   

УВАГА!

Коли ви створюєте GPO для видалення Protectimus Winlogon & RDP на всіх машинах у вашому домені, видаліть цей GPO вручну після завершення видалення програмного забезпечення.

Якщо ви не видалите GPO для деінсталяції вручну, це може спричинити проблеми під час повторної інсталяції компонента Protectimus Winlogon & RDP. В такому випадку програмне забезпечення може не бути встановлено чи видалено автоматично на комп’ютерах з Windows у домені.