Windows Logon и RDP: настройка двухфакторной аутентификации (SaaS Сервис)

Windows Logon и Remote Desktop Protocol (RDP) — одни из самых распространённых точек входа в корпоративную инфраструктуру. Если эти точки доступа защищены только паролями, злоумышленники могут получить доступ с помощью украденных учетных данных, brute-force атак или фишинга.

Добавление двухфакторной аутентификации (2FA) значительно повышает безопасность Windows, поскольку пользователям необходимо подтверждать свою личность с помощью одноразового пароля (OTP) или уведомления для аутентификации.

В этой инструкции описано, как включить двухфакторную аутентификацию для Windows Logon и RDP с помощью Protectimus SaaS Service. Руководство охватывает настройку в консоли Protectimus, параметры Winlogon, установку клиента Winlogon и рекомендуемые политики безопасности.

Вы также узнаете, как настроить автоматическую регистрацию токенов, включить офлайн-доступ с помощью бэкап-кодов и управлять политиками аутентификации для локального и удалённого входа.

Быстрая навигация

• Обзор настройки
• Подготовка ресурса
• Открытие настроек Winlogon
• Настройка параметров Winlogon
• Рекомендуемая политика для автоматической регистрации
• Добавление пользователей и токенов вручную
• Установка Protectimus Winlogon
• Бэкап-коды и офлайн-доступ
• Логи и ошибки
• Удаление
• FAQ

Обзор настройки 2FA для Windows Logon

Чтобы защитить вход в Windows и доступ по RDP с помощью двухфакторной аутентификации, выполните следующие шаги:

1. Создайте учетную запись в Protectimus SaaS Service.
2. Создайте ресурс в Protectimus.
3. Добавьте пользователей и назначьте токены или включите автоматическую регистрацию.
4. Настройте политики аутентификации Winlogon.
5. Установите клиент Protectimus Winlogon.
6. Проверьте аутентификацию как для локального входа в Windows, так и для доступа по RDP.

В разделах ниже каждый шаг описан подробно.

Зачем защищать Windows Logon и RDP с помощью MFA?

• Защита от украденных или скомпрометированных паролей
• Помощь в предотвращении brute-force атак на RDP
• Защита административного доступа к Windows-серверам и рабочим станциям
• Помощь в соблюдении внутренних требований безопасности и комплаенса
• Снижение риска несанкционированного доступа и ransomware-инцидентов

Решение Protectimus Windows Logon & RDP добавляет двухфакторную аутентификацию (2FA / MFA) для защиты доступа к компьютерам под управлением Windows локально и через RDP.

В этой инструкции описан процесс настройки Protectimus SaaS Service в обновлённом интерфейсе.

Если вы используете Protectimus On-Premise Platform, обратитесь к существующей инструкции: Windows Logon & RDP: Securing Access with Two-Factor Authentication.

Решение поддерживает:

• Windows 8;
• Windows 8.1;
• Windows 10;
• Windows 11;
• Windows Server 2012;
• Windows Server 2016;
• Windows Server 2019;
• Windows Server 2022.

Protectimus позволяет защитить как локальный вход в Windows, так и доступ по RDP. Также поддерживается офлайн-доступ с помощью бэкап-кодов.

Дополнительную информацию можно найти на странице Protectimus Windows and RDP 2FA Solution.

1. Зарегистрируйтесь в Protectimus SaaS Service и подготовьте ресурс

Создайте учетную запись в Protectimus Cloud Service и активируйте API.

Затем создайте ресурс, добавьте пользователей и назначьте пользователей и токены при необходимости. Подробные инструкции доступны в следующих руководствах:

• Resource Management Guide
• User Management Guide

2. Откройте настройки Winlogon

1. В меню слева откройте раздел Resources.
2. На странице Resources нажмите на название нужного ресурса.
3. На странице ресурса нажмите Winlogon.

3. Настройте параметры Winlogon

Окно Winlogon Settings содержит четыре вкладки: General, Local, RDP и Offline.

3.1. General

На вкладке General выберите, какие типы токенов можно использовать с Protectimus Winlogon.

• Token Type — выберите типы токенов, которые будут доступны для Protectimus Winlogon.
• Default Token Type For Legacy Winlogon Client (2.x) — выберите тип токена для старых версий клиента Winlogon.
• Enable Legacy Username Format (e.g., user@domain) — включите эту опцию, если вам нужен старый формат имени пользователя.

Мы настоятельно рекомендуем включать только те типы токенов, которые действительно нужны для вашего развертывания.

3.2. Local

На вкладке Local настройте, как пользователи будут проходить аутентификацию при входе непосредственно на компьютере Windows.

• User Auto Registration — автоматически создает пользователя в Protectimus при первом успешном входе в Windows.
• Single Factor Access — позволяет пользователям без назначенного токена входить без OTP.
• Unregistered User Access — позволяет входить пользователям, не зарегистрированным в Protectimus.
• Token Auto Registration — предлагает пользователям зарегистрировать токен при первом входе.
• Access Accepted — разрешает локальный доступ к компьютеру.
• Apply 2FA — требует двухфакторную аутентификацию для локального входа.

Для большинства развертываний мы рекомендуем включить User Auto Registration, Token Auto Registration, Access Accepted и Apply 2FA.

3.3. RDP

На вкладке RDP настройте, как пользователи будут проходить аутентификацию при подключении через Remote Desktop Protocol.

• User Auto Registration — автоматически регистрирует пользователей при первом входе по RDP.
• Single Factor Access — позволяет входить без OTP пользователям без назначенных токенов.
• Unregistered User Access — позволяет входить пользователям, не зарегистрированным в Protectimus.
• Token Auto Registration — предлагает пользователям зарегистрировать токен при первом входе по RDP.
• Access Accepted — разрешает доступ по RDP.
• Apply 2FA — требует OTP при входе по RDP.
• Bypass 2FA by IP — позволяет обходить OTP для доверенных IP-адресов, если это предусмотрено вашей политикой.

ОБРАТИТЕ ВНИМАНИЕ! Доступ по RDP запрещен, пока на вкладке RDP не включена опция Access Accepted.

Чтобы защитить RDP с помощью двухфакторной аутентификации, включите одновременно Access Accepted и Apply 2FA.

3.4. Offline

На вкладке Offline настройте резервный доступ на случай, если у компьютера нет подключения к Интернету.

• Offline access — включает офлайн-аутентификацию.
• Days limit — определяет, сколько дней офлайн-доступ остается доступным.
• Attempts limit — определяет, сколько попыток офлайн-входа разрешено.

Если офлайн-доступ включен, пользователи смогут входить с помощью бэкап-кода вместо одноразового пароля, когда компьютер не может подключиться к Интернету.

4. Рекомендуемая политика для автоматической регистрации

Если вы хотите, чтобы пользователи самостоятельно регистрировали свои токены при первом входе, используйте эту рекомендуемую настройку:

• Включите User Auto Registration;
• Включите Token Auto Registration;
• Включите Access Accepted;
• Включите Apply 2FA;
• На вкладке General включите только те типы токенов, которые пользователи смогут регистрировать.

Такая конфигурация позволяет пользователям сначала войти со своими обычными учетными данными Windows, а затем автоматически завершить регистрацию токена.

ОБРАТИТЕ ВНИМАНИЕ! Вы можете использовать разные настройки для локального входа в Windows и для доступа по RDP.

5. При необходимости добавьте пользователей и токены вручную

Если вы не хотите использовать автоматическую регистрацию, добавьте и назначьте пользователей и токены вручную.

ВНИМАНИЕ! Логин пользователя в Protectimus должен соответствовать формату имени пользователя Windows, который используется в вашей среде.


Для локальных учетных записей Windows логин в Protectimus должен точно совпадать с именем пользователя Windows.


В средах Active Directory может потребоваться использовать имена пользователей в формате login@domain — в зависимости от вашей конфигурации.

• Add Users manually;
• Add Tokens manually;
• Assign Tokens to Users;
• Assign Users and Tokens to a Resource.

6. Установите Protectimus Winlogon

6.1. Скачайте инсталлятор и выполните первоначальную настройку

1. Скачайте последнюю версию инсталлятора Protectimus Winlogon.
2. Запустите инсталлятор от имени администратора.
3. Вы увидите экран приветствия. Нажмите Next, чтобы продолжить.
4. Ознакомьтесь с лицензионным соглашением, выберите I accept the license и нажмите Next.

6.2. Введите API URL, Login, API Key и выберите Resource ID

1. Введите API URL, Login и API Key, затем нажмите LogIn.
2. В поле Resource ID выберите ресурс, который вы настроили ранее, затем нажмите Next.

Эти параметры означают:

• API URL — для SaaS Service используйте https://api.protectimus.com/.
• Login — логин вашей учетной записи Protectimus.
• API Key — доступен в вашем профиле.

Если вы еще не добавили ресурс, сначала создайте его в Protectimus SaaS Service.

6.3. Настройте политику 2FA и сохраните бэкап-код

Настройте политику 2FA и при необходимости сохраните бэкап-код. По умолчанию двухфакторная аутентификация применяется ко всем учетным записям на этом компьютере, кроме встроенной учетной записи администратора и гостевых аккаунтов.

• Вы можете включить 2FA для встроенного администратора или для группы пользователей.
• Вы можете настроить дополнительные параметры, например:
  • Требовать 2FA при входе, а не при разблокировке;
  • Требовать 2FA только для входов по RDP;
  • Отключить офлайн-вход.
• Вы можете сохранить бэкап-код. Пользователи смогут использовать этот код для входа, когда нет подключения к Интернету.

ВНИМАНИЕ!
Когда бэкап-код используется, генерируется новый код. Сохраните новый код для следующего офлайн-входа. Бэкап-код работает для всех учетных записей на одном компьютере.

6.4. Выберите параметры установки в домене

Если это не контроллер домена, просто нажмите Install.

Если вы устанавливаете Protectimus Winlogon & RDP 2FA на контроллер домена, вы увидите две дополнительные опции:

• Create a GPO for installation in the domain — создает объект групповой политики для автоматической установки на компьютеры домена.
• Perform remote installation in the domain — открывает окно для прямой установки на выбранные компьютеры домена.

6.5. Завершите установку

После завершения установки нажмите OK. Двухфакторная аутентификация будет включена при следующем запуске компьютера.

7. Бэкап-коды для офлайн-доступа

Для нормальной работы Protectimus Winlogon компьютер должен быть подключен к Интернету.

Если подключение к Интернету недоступно, пользователи могут войти с помощью бэкап-кода вместо одноразового пароля.

Первый бэкап-код выдается во время установки. Этот код действует для всех учетных записей, зарегистрированных на одном компьютере. Его можно использовать только один раз. После этого генерируется новый бэкап-код.

ВНИМАНИЕ! Когда пользователь входит с помощью бэкап-кода, генерируется новый код. Сохраните его для следующего офлайн-входа. Новый код также действует для всех учетных записей на этом компьютере.

7.1. Как перевыпустить бэкап-код

Если пользователи потеряли бэкап-код, они могут сгенерировать новый, пока находятся онлайн. Для этого главный администратор учетной записи Protectimus должен запросить специальную утилиту по адресу support@protectimus.com.

Чтобы воспользоваться утилитой:

• Войдите в Windows.
• Скачайте и запустите утилиту.
• Нажмите CTRL + ALT + DEL.
• Сохраните новый бэкап-код.

8. Логи и ошибки

Если возникли проблемы, сначала проверьте системные логи Windows: Event Viewer → Windows Logs → Application.

Также можно просмотреть соответствующие события в вашей учетной записи Protectimus.

9. Удаление

Если доступа к учетной записи Windows нет, приложение Protectimus Winlogon можно отключить в безопасном режиме.

1. Откройте в Windows меню Uninstall or Change a Program, найдите Protectimus Winlogon и нажмите Uninstall.
2. Если это доменная установка, откроется окно Start uninstallation setup. Вы можете использовать тот же подход, что и для удаленной установки при развертывании.
3. После закрытия предыдущего окна откроется окно Complete/Keep Uninstall, где вы сможете:
   • Создать GPO для автоматического удаления на компьютерах домена;
   • Оставить компонент на текущем компьютере для будущих задач удаления.

ВНИМАНИЕ!
Если вы создаете GPO для удаления Protectimus Winlogon & RDP на всех машинах в вашем домене, удалите этот GPO вручную после завершения удаления.


Если не удалить uninstall GPO вручную, это может вызвать проблемы при повторной установке компонента в будущем.

Часто задаваемые вопросы

Поддерживает ли Protectimus аутентификацию Windows Server?

Да. Protectimus поддерживает Windows Server 2012, 2016, 2019 и 2022, позволяя администраторам защищать как локальный вход, так и доступ по RDP.

Можно ли защитить Remote Desktop (RDP) с помощью двухфакторной аутентификации?

Да. Protectimus Winlogon позволяет администраторам требовать одноразовые пароли при входе через Remote Desktop, помогая предотвращать несанкционированный доступ.

Что происходит, если компьютер офлайн?

Если у компьютера нет подключения к Интернету, пользователи могут войти с помощью бэкап-кода, сгенерированного во время установки.

Поддерживает ли Protectimus автоматическую регистрацию пользователей?

Да. Администраторы могут включить User Auto Registration и Token Auto Registration, чтобы пользователи могли зарегистрировать свои токены при первом входе.

Какие типы токенов можно использовать для аутентификации Windows?

Protectimus поддерживает несколько типов токенов, включая мобильные OTP-приложения, аппаратные токены, SMS OTP и токены на базе мессенджеров — в зависимости от вашей конфигурации.

Рекомендации по развертыванию MFA для Windows

• Требуйте 2FA для всех учетных записей администраторов
• По возможности включайте Apply 2FA как для Local, так и для RDP-доступа
• Используйте User Auto Registration и Token Auto Registration для более простого развертывания
• Оставляйте включенными только необходимые типы токенов
• Храните бэкап-коды в безопасном месте и обновляйте их после каждого использования офлайн-входа
• Регулярно проверяйте логи Windows и Protectimus

Связанные инструкции

• Начало работы с Protectimus SaaS MFA
• Как создавать ресурсы и управлять ими
• Как добавлять пользователей и управлять ими
• Обзор OTP-токенов
• MFA-решение Protectimus Winlogon