Windows Logon и RDP: Защита доступа с помощью двухфакторной аутентификации

Решение двухфакторной аутентификации Protectimus Winlogon & RDP позволяет защитить доступ к компьютерам под управлением следующих операционных систем:

• Windows 8;
• Windows 8.1;
• Windows 10;
• Windows 11;
• Windows Server 2012;
• Windows Server 2016;
• Windows Server 2019;
• Windows Server 2022.

Компонент Protectimus для двухфакторной аутентификации в Windows защищает доступ к Windows как локально (Windows logon), так и через RDP (Remote Desctop Protocol).

Функция бэкап кодов позволяет пользователям Windows входить в свои учетные записи, защищенные двухфакторной аутентификацией, даже если компьютер не подключен с сети. При установке компонента Protectimus Winlogon на компьютер, администратор может выпустить и сохранить бэкап код, который заменит одноразовый пароль при входе в любую из учетных записей на этом компьютере в оффлайн режиме.

Вы можете узнать больше на странице с обзором решения двухфакторной аутентификации Protectimus для Windows и RDP.

Ниже приведена подробная инструкция по настройке двухфакторной аутентификации в Windows с помощью Protectimus.

1. Зарегистрируйтесь и задайте базовые настройки

Зарегистрируйтесь в Облачном сервисе Protectimus и активируйте API или установите Локальную платформу Protectimus.

2. Создайте ресурс

Ресурсы служат для логического объединения пользователей и токенов, а также для удобного управления ими.

Подробная инструкция по созданию ресурсов доступна в параграфе Как создать ресурс.

3. Настройте политики доступа

1. Перейдите на страницу Ресурсы.

 

2. Нажмите на название ресурса.

 

3. Перейдите во вкладку Winlogon.

 

4. Вы увидите список политик доступа. Настройте решение в соответствии с вашими требованиями.
   
   Мы настоятельно рекомендуем вам активировать автоматическую регистрацию пользователей и токенов.
   
   После активации этой функции, при первом входе в учетную запись, пользователь должен будет ввести свой обычный Windows логин, пароль, а после этого выпустить токен. Чтобы активировать авторегистрацию пользователей и токенов, отметьте галочками следующие пункты:
   
   
   • Доступ незарегистрированным пользователям (Access for unregistered users);
   • Авторегистрация пользователей (User auto-registration);
   • Авторегистрация токенов (Token auto-registration);
   • Выберите тип токена, который сможет выпустить пользователь (Protectimus Mail, Protectimus SMS, или Protectimus SMART OTP).

 

ВНИМАНИЕ! Вы можете задать разные настройки для локального доступа и для удаленного доступа по RDP.

1. Доступ (Access accepted) — активируется по умолчанию
   Открывает доступ к компьютеру. Если этот параметр деактивирован, доступ к компьютеру локально и/или по RDP будет полностью закрыт.
2. Применить 2FA (Apply 2FA) — активируется по умолчанию
   Этот параметр активирует двухфакторную аутентификацию при входе в учетную запись Windows локально и/или по RDP. Если этот параметр деактивирован, одноразовый пароль запрашиваться не будет.
3. Доступ незарегистрированным пользователям (Access for unregistered users)
   • Этот параметр позволяет активировать двухфакторную аутентификацию только для выбранных пользователей. Например, одним компьютером пользуется 3 человека — John, Adam и Michael, но вы хотите, чтобы одноразовый пароль запрашивался только при входе в учетную запись Adam. Для этого в сервисе Protectimus необходимо создать только одного пользователя (Adam) и активировать параметр доступа незарегистрированным пользователям, чтобы остальные пользователи (John и Michael) входили без двухфакторной аутентификации.
   • Без активации этого параметра невозможна авторегистрация пользователей и токенов.
   • Если этот параметр не активирован, войти в свои учетные записи смогут только пользователи, зарегистрированные в сервисе Protectimus.
4. Однофакторный доступ (Single Factor Access)
   Если этот параметр активирован, пользователи, назначенные на ресурс без токенов, могут входить в свои учетные записи без одноразовых паролей.
5. Авторегистрация пользователей (User auto-registration)
   Если этот параметр активирован, при своем первом входе в учетную запись пользователь пройдет автоматическую регистрацию в сервисе Protectimus и будет назначен на текущий ресурс.
6. Авторегистрация токенов (Token auto-registration)
   Если этот параметр активирован, при первом входе в свою учетную запись пользователь должен будет выпустить токен. Тип токена, который будет доступен пользователю, необходимо выбрать в поле “Тип токена”.
7. Тип токена (Token Type)
   В этом поле необходимо выбрать тип токена, который будет доступен пользователю при авторегистрации.
8. Доступ по IP (Access by IP addresses)
   Если вы активируете этот параметр и добавить список разрешенных IP адресов ниже, то при входе с доверенных IP адресов у пользователей не будет запрашиваться одноразовый пароль.
9. Разрешенные IP адреса (Allowed IP addresses)
   Если вы активировали доступ по IP, добавьте список доверенных IP адресов при входе с которых не будет запрашиваться одноразовый пароль.

ВНИМАНИЕ!

Чтобы использовать аппаратные OTP токены или доставку одноразовых паролей через чат-ботов в мессенджерах:

1. Добавьте пользователей вручную.
   
   ВНИМАНИЕ! Логин пользователя в сервисе Protectimus должен соответствовать имени пользователя в Windows. Перед созданием пользователя убедитесь, что Ваше имя пользователя Windows содержит только латиницу, цифры и следующие символы: _-∽!#.$.. Пробелы и любые другие символы не допускаются.
   
   Для защиты локальной учетной записи пользователя в Windows, пользователь в сервисе Protectimus должен иметь логин вида login, где login — это имя пользователя в Windows. Например, если имя Вашего пользователя в Windows John-Doe, то в сервисе Protectimus необходимо добавить пользователя с логином John-Doe.
   
   Для учетных записей пользователей в Active Directory логин пользователя в сервисе должен иметь вид login@domain, где login — это имя пользователя в AD, а domain — Ваш корпоративный домен. Например, если имя Вашего пользователя в AD John-Doe а корпоративный домен google.com, то в сервисе Protectimus необходимо добавить пользователя с логином John-Doe@google.


2. Добавьте токены вручную.


3. Назначите токены пользователям.


4. Назначите токены с пользователями на ресурс.

4. Установите Protectimus Winlogon

4.1. Загрузите инсталлятор и настройте систему, следуя инструкциям

1. Загрузите последнюю версию инсталлятора Protectimus Winlogon.
2. Запустите инсталлятор от имени администратора.

 

3. Вы увидите экран приветствия. Нажмите кнопку Next, чтобы продолжить установку.

 

4. Ознакомьтесь с лицензионным соглашением, выберите пункт I accept the license и нажмите Next, чтобы продолжить установку.

4.2. Введите API URL, Login, API Key и выберите ID ресурса

1. Введите API URL, API Login, API Key и нажмите Login.
   
   Эти параметры означают:
   
   
   • API URL – это адрес конечной точки API. При использовании сервиса используйте API URL https://api.protectimus.com, при использовании платформы адрес для доступа к API будет адресом сервера, где запущена платформа (например, https://localhost:8443).
   • API Login – это адрес электронной почты, который был выбран при регистрации в сервисе.
   • API Key – ключ API находится в профиле пользователя. Чтобы перейти в профиль пользователя нажмите на своем логине в правом верхнем углу интерфейса и выберите пункт Профиль из выпадающего списка.

2. Resource ID. Выберите Ресурс, который вы создали перед началом установки. Затем нажмите Next, чтобы продолжить установку.

Если вы еще не создали ресурс, добавьте его сейчас. Нажмите Add Resource и придумайте любое название ресурса.

4.3. Настройте политики 2FA и сохраните бекап-код

Настройте политики 2FA и сохраните бекап-код, если это необходимо. По умолчанию двухфакторная аутентификация будет применена для всех учетных записей на этом компьютере, кроме главного администратора и гостевых аккаунтов.

• Вы можете включить 2FA для главного администратора или для группы пользователей.
• Можно настроить дополнительные параметры, такие как:
  • Требовать 2FA при входе, а не при разблокировке (доступно только для установки в домене);
  • Требовать 2FA только для RDP входов;
  • Отключить офлайн-логин.
• Вы также можете сохранить бекап-код. Этот код потребуется пользователям для входа в аккаунты Windows при отсутствии подключения к Интернету. Один и тот же бекап-код будет работать для всех аккаунтов на этом компьютере.
  
  

  ВНИМАНИЕ!
  При экстренном входе пользователя в систему с использованием бэкап кода, будет сгенерирован новый код, который необходимо сохранить и использовать при следующем входе в оффлайн режиме. Этот бекап-код также будет работать для всех аккаунтов на этом компьютере.

4.4. Выберите параметры установки в домене

Если это НЕ контроллер домена, просто нажмите Install.


Если вы устанавливаете компонент двухфакторной аутентификации Protectimus Winlogon & RDP на контроллер домена, вы можете настроить параметры развертывания GPO на экране Install Policy.

На этом экране вы можете:

• выбрать несколько групп, которые нужно включить или исключить из развертывания через GPO;
• задать имя GPO в поле GPO Name;
• указать, нужно ли автоматически привязать GPO с помощью флажка Link GPO to.

Если установлен флажок Create GPO, установщик создаст объект групповой политики (GPO), содержащий скрипт для автоматической установки при запуске компьютера.

Если флажок Create GPO не установлен, GPO создан не будет.

Поле GPO Name определяет имя, под которым этот GPO будет отображаться в Active Directory.

Параметры выбора групп позволяют определить, на какие группы будет распространяться данный GPO.

ОБРАТИТЕ ВНИМАНИЕ!

Флажок Link GPO to определяет, будет ли созданный GPO автоматически привязан к текущему домену.

Чтобы GPO начал работать, его необходимо не только создать, но и привязать к домену, сайту или другому объекту Active Directory.

Если Link GPO to включен, установщик автоматически привяжет GPO к текущему домену учетной записи, от имени которой выполняется установка.

Если Link GPO to отключен, GPO будет создан и виден по имени, но останется неактивным, пока вы не привяжете его вручную с помощью стандартных инструментов Active Directory, таких как Group Policy Management в MMC.

Это полезно в более сложных инфраструктурах, где администратор хочет вручную привязать GPO к другому домену, сайту или объекту Active Directory.

ВНИМАНИЕ!

Если вы позже решите удалить компонент Protectimus Winlogon & RDP на контроллере домена, вам может быть предложено создать GPO для автоматического удаления этого программного обеспечения на других компьютерах домена.

Если вы создаете GPO для удаления Protectimus Winlogon & RDP на всех компьютерах домена, удалите этот GPO вручную после завершения удаления.

Если не удалить GPO вручную, это может привести к проблемам при повторной установке компонента Protectimus Winlogon & RDP. В этом случае программное обеспечение может не устанавливаться или не удаляться автоматически на компьютерах Windows в домене.

4.5. Выберите параметры установки на контроллере домена

Если вы устанавливаете компонент двухфакторной аутентификации Protectimus Winlogon & RDP на контроллер домена, на финальном этапе установки доступны следующие параметры:

• Perform remote installation in the domain: отображает список компьютеров домена и позволяет установить компонент непосредственно на выбранные машины без ожидания применения GPO и перезагрузки. Этот вариант удобен, если необходимо быстро развернуть компонент на конкретных компьютерах.
• Install on current computer: устанавливает компонент непосредственно на текущий компьютер. Например, если установка выполняется на контроллере домена, и в настройках GPO указано, что компонент не должен устанавливаться на контроллере домена, выбор этого флажка позволит установить его на текущую машину.
• Protect installation from deletion: защищает компонент от удаления на рабочих станциях, гарантируя, что его можно удалить только через авторизованные действия на контроллере домена. Этот параметр включен по умолчанию.

Если вы выберете Perform remote installation in the domain, на следующем шаге появится экран, где можно выбрать компьютеры для удаленной установки.

4.6. Выбор компьютеров для удаленной установки

Если на шаге 4.4 вы выбрали опцию Выполнить удаленную установку в домене (Perform remote installation in the domain), появится окно со списком всех компьютеров в домене, с помощью которого вы можете установить компонент непосредственно на любой из них.

По умолчанию выбраны все компьютеры, кроме контроллера домена (DC). Процесс установки для каждого компьютера обычно занимает 1-2 секунды. Рекомендуется использовать эту функцию для установки компонента на несколько компьютеров, а не на большое количество. Для масштабных инсталляций лучше использовать GPO.

Чтобы проверить статус компьютера, наведите курсор на его название и появится подсказка с описанием.

Колонка Component Version отображает версию компонента, если компонент уже установлен.

Кнопка G1/G2 выбирает компьютеры в соответствии с настройками на экране Install Policy (шаг 8).

Кнопка Clear All сбрасывает флажки со всех чекбоксов.

Чекбокс Ping target before install включит отправку ICMP-запроса (ping) на выбранную машину перед самой установкой.

4.7. Завершите установку

После завершения установки нажмите кнопку OK. При следующем запуске компьютера компонент уже будет активен.

5. Настройка доступа через RDP

ВНИМАНИЕ! Если Вы НЕ выполните следующие действия, доступ к компьютеру по RDP будет полностью запрещен.

1. Перейдите на страницу Ресурсы, нажмите на название ресурса и выберите вкладку Winlogon.
2. Активируйте параметр Доступ (Access accepted) для RDP. Активация данного параметра открывает доступ к компьютеру по протоколу RDP без двухфакторной аутентификации.

 

3. Чтобы включить двухфакторную аутентификацию при запросе доступа по RDP, дополнительно активируйте параметр Применить 2FA (Apply 2FA) при доступе через RDP.

6. Работа в офлайн режиме (бэкап коды)

Чтобы система двухфакторной аутентификации Protectimus работала в штатном режиме, компьютер должен быть подключен к сети интернет.

Для экстренных случаев, когда у пользователя нет возможности подключиться к сети, предусмотрена возможность входа в учетную запись с использованием бэкап кода вместо одноразового пароля.

Первый бэкап код выдается при установке компонента. Этот код действует для всех учетных записей, зарегистрированных на данном компьютере. Его можно использовать один раз, затем будет сгенерирован новый код, который будет показан пользователю. Новый резервный код также будет действителен для всех учетных записей пользователей, зарегистрированных на этом компьютере.

ВНИМАНИЕ! При экстренном входе в систему с использованием бэкап кода, будет сгенерирован новый код, который необходимо сохранить и использовать при следующем входе в оффлайн режиме. Этот бэкап код также будет действовать для всех учетных записей на этом компьютере.

6.1. Перевыпуск бэкап кода

Если по какой-то причине бэкап код был утерян, пользователь может выпустить новый бэкап код. Для этого необходима специальная утилита, которую главный администратор Protectimus должен запросить по адресу support@protectimus.com.

Чтобы воспользоваться утилитой:

• Войдите в свою учетную запись Windows.
• Скачайте и запустите утилиту.
• Нажмите CTRL + ALT + DEL
• Сохраните ваш новый бэкап код.

7. Логи и ошибки

В случае возникновения ошибки, есть несколько способов проверить, что происходит. Прежде всего, можно проверить логи системы в Windows (Event Viewer -> Windows Logs -> Application).

В Локальной платформе Protectimus логи можно найти в директориях PLATFORM_DIR и TOMCAT_HOME/logs (например C:\Windows\Temp\Protectimus.log).

Также посетите страницу «События» в Платформе, и вы увидите соответствующую информацию.

8. Удаление программы

Если у вас нет доступа к учетной записи Windows, вы можете отключить приложение Protectimus Winlogon в безопасном режиме.

Процесс удаления может включать один или оба следующих этапа в зависимости от вашей среды:

• Удаление на уровне домена через GPO (если компонент развернут в доменной среде);
• Прямое удаление с использованием интерфейса установщика.

Если компонент не установлен в доменной среде, будет выполнено только прямое удаление.

1. Войдите в меню установки и удаления программ в своей операционной системе, найдите программу Protectimus Winlogon и нажмите Удалить.
2. Если компонент был установлен в доменной среде, процесс удаления начнется с экрана Uninstall Policy.
   
   На этом экране вы можете при необходимости настроить GPO для автоматического удаления компонента в домене:
   
   
   • Выбрать несколько групп, которые нужно включить или исключить из удаления.
   • Указать имя GPO в поле GPO Name для политики удаления.
   • Задать автоматическую привязку GPO с помощью флажка Link GPO to.
   
   Если установлен флажок Create GPO, установщик создаст GPO для автоматического удаления компонента на выбранных машинах.
   
   Если Link GPO to включен, GPO будет автоматически привязан к текущему домену. В противном случае он останется неактивным, пока вы не привяжете его вручную с помощью стандартных инструментов Active Directory.
   
   
   
3. После настройки (или пропуска) шага с GPO откроется окно Start uninstallation setup.
   
   На этом этапе выполняется прямое удаление с использованием интерфейса установщика.
   
   Здесь вы можете выбрать компьютеры, на которых необходимо удалить компонент, либо выполнить удаление только на текущем компьютере.
   
   
   
4. После закрытия предыдущего окна отобразится экран Complete/Keep Uninstall с одним параметром:
   
   
   • Keep the installation on this computer to allow remote uninstallation later — если включено, компонент останется на текущем компьютере для последующего удаленного удаления.
   
   Если флажок не установлен, компонент будет немедленно удален с текущего компьютера.
   
   

ВНИМАНИЕ!

Если вы создаете GPO для удаления Protectimus Winlogon & RDP на всех компьютерах в домене, удалите этот GPO вручную после завершения удаления.

Если не удалить GPO вручную, это может привести к проблемам при повторной установке компонента Protectimus Winlogon & RDP. В этом случае программное обеспечение может не устанавливаться или не удаляться автоматически на компьютерах домена.