> Windows VPN 2FA
Windows VPN 2FA
Это руководство по настройке двухфакторной аутентификации (2FA) в Windows VPN с помощью системы мультифакторной аутентификации Protectimus. После интеграции Windows VPN и Protectimus, чтобы подключиться к Windows VPN, пользователи должны будут пройти два этапа аутентификации:
- Ввести свой логин и пароль.
- Ввести одноразовый пароль, который действует только 30 секунд.
Для генерации одноразовых паролей, вашим пользователям будут доступны следующие виды токенов: приложение-аутентификатор на смартфоне; доставка одноразовых кодов в Telegram, Viber, Facebook Messenger; физические TOTP токены; доставка одноразовых кодов по электронной почте или SMS.
Получить одновременный доступ и к стандартному паролю, и к одноразовому паролю практически невозможно. Поэтому двухфакторная аутентификация — базовый элемент защиты учетных записей пользователей Windows VPN от несанкционированного доступа и взлома с помощью таких атак как фишинг, брутфорс, кейлоггеры, социальная инженерия и подобных.
1. Двухфакторная аутентификация для Windows VPN — схема работы
В этом руководстве показано, как настроить двухфакторную аутентификация для Windows VPN с помощью Облачного сервиса двухфакторной аутентификации Protectimus или локальной 2FA платформы Protectimus и компонента RRAS. Для этого необходима интеграция RRAS с Protectimus по протоколу аутентификации RADIUS.Схема работы решения двухфакторной аутентификации Protectimus для Windows VPN представлена ниже.
![office-365-2fa-with-protectimus - Protectimus Limited Windows VPN 2FA](https://www.protectimus.com/wp-content/uploads/2022/09/Windows-VPN-2FA-with-Protectimus-ru.png)
2. Как настроить двухфакторную аутентификацию (2FA) в Windows VPN
Интеграция двухфакторной аутентификации Protectimus с Windows VPN возможна по протоколу RADIUS:
- Зарегистрируйтесь в Облачном сервисе двухфакторной аутентификации или установите Локальную платформу Protectimus и задайте базовые настройки.
- Установите и настройте компонент Protectimus RADIUS Server.
- Установите и настройте RRAS.
- Настройте Windows VPN.
2.1. Зарегистрируйтесь и задайте базовые настройки
- Зарегистрируйтесь в Облачном сервисе Protectimus и активируйте API или установите Локальную платформу Protectimus (если вы устанавливаете платформу Protectimus на Windows, поставьте галочку напротив пункта RProxy во время установки).
- Создайте ресурс.
- Добавьте пользователей.
- Добавьте токены или активируйте Портал самообслуживания пользователей.
- Назначите токены пользователям.
- Назначте токены с пользователями на ресурс.
2.2. Установите и настройте Protectimus RADIUS Server
Подробная инструкция по установке и настройке Protectimus RADIUS Server доступна здесь.В файле конфигурации так же нужно указать “inline-mode”. В разделе “auth” добавьте следующую настройку (сепаратор можно указать любой):
inline-mode:
enabled: true
separator: ‘,’
2.3. Установите и настройте Routing and Remote Access Service (RRAS)
Установка RRAS
- Откройте Server Manager, в меню Manage выберите «Add Roles and Features Wizard».
- В разделе “Server Roles” выберите «Remote Access».
- В разделе “Role Services” выберите «Direct Access and VPN (RAS)».
- Завершите установку.
Настройка RRAS
- Запустите «Routing and Remote Access».
- Выберите “Deploy VPN only”.
- Правой кнопкой нажмите на имя сервера, далее выберите «Configure and Enable Routing and Remote Access».
![windows-vpn-two-factor-authentication-setup-1 - Protectimus Limited Configure and Enable Routing and Remote Access](https://www.protectimus.com/wp-content/uploads/2022/09/windows-vpn-two-factor-authentication-setup-1.png)
- Выберите пункт «Custom Configuration».
- Далее отметьте пункт «VPN Access».
- Завершите установку и запустите сервис.
Настройка аутентификации
- Зайдите в в настройки нажав правой кнопкой на имя сервера и выбрав “Properties”, далее переключитесь на вкладку “Security”.
- В выпадающем списке “Authentication Provider” выберите “RADIUS Authentication”.
- Нажмите на кнопку “Configure” восле этого же выпадающего списка.
- Далее добавьте новый сервер:
- Server name: IP адрес компонета ПК, на котором установлен RADIUS сервер.
- Shared Secret: общий секрет, который был указан в файле radius.yml при настройке RADIUS.
- Так же выберите «Always use message authenticator».
- Остальные настройки оставьте по умолчанию.
- Сохраните добавленный сервер.
![windows-vpn-two-factor-authentication-setup-2 - Protectimus Limited Сохраните добавленный сервер](https://www.protectimus.com/wp-content/uploads/2022/09/windows-vpn-two-factor-authentication-setup-2.png)
- Далее нажмите на кнопку “Authentication methods”.
- В появившемся окне оставьте выбранным только “Unencrypted password (PAP)».
![windows-vpn-two-factor-authentication-setup-3 - Protectimus Limited Unencrypted password (PAP)](https://www.protectimus.com/wp-content/uploads/2022/09/windows-vpn-two-factor-authentication-setup-3.png)
- Сохраните все настройки.
2.4. Настройте Windows VPN
- Зайдите в настройки VPN.
- Нажмите “Добавить новое VPN-подключение”.
- Поставщик услуг VPN: Windows (встроенные).
- Имя или адрес сервера: адрес вашего сервера.
- Тип данных для входа: Имя пользователя и пароль.
- Сохраните VPN-подключение.
![windows-vpn-two-factor-authentication-setup-4 - Protectimus Limited Сохраните VPN-подключение](https://www.protectimus.com/wp-content/uploads/2022/09/windows-vpn-two-factor-authentication-setup-4.png)
- Далее зайдите в настройки параметров адаптера: Панель управления > Сеть и интернет > Сетевые подключения.
- Правой кнопкой нажмите на апаптер созданного VPN-подключения и нажмите “Свойства”.
- Во вкладке “Безопастность” выберите “Разрешить следующие протоколы”.
- Оставьте только “Незашифрованный пароль (PAP)”.
![windows-vpn-two-factor-authentication-setup-5 - Protectimus Limited Оставьте только “Незашифрованный пароль (PAP)”](https://www.protectimus.com/wp-content/uploads/2022/09/windows-vpn-two-factor-authentication-setup-5.png)
- Сохраните настройку.
- Вы завершили настройку Windows VPN, далее можно тестировать подключение.
Last updated on 2022-11-15