> Winlogon & RDP

Winlogon & RDP

Решение двухфакторной аутентификации Protectimus Winlogon & RDP позволяет защитить доступ к компьютерам под управлением Windows 7, 8, 8.1, 10, 11, а также Windows Server 2012, 2016, 2019, 2022. Компонент Protectimus Winlogon & RDP защищает доступ к Windows как локально, так и через RDP.

Функция бэкап кодов позволяет пользователям Windows входить в свои учетные записи, защищенные двухфакторной аутентификацией, даже если компьютер не подключен с сети. При установке компонента Protectimus Winlogon на компьютер, администратор может выпустить и сохранить бэкап код, который заменит одноразовый пароль при входе в любую из учетных записей на этом компьютере в оффлайн режиме.

Вы можете узнать больше о решении двухфакторной аутентификации Protectimus для Windows и RDP здесь.

Ниже приведена подробная инструкция по настройке двухфакторной аутентификации в Windows с помощью Protectimus.

1. Зарегистрируйтесь и задайте базовые настройки

Зарегистрируйтесь в Облачном сервисе Protectimus и активируйте API или установите Локальную платформу Protectimus.

2. Создайте ресурс

Ресурсы служат для логического объединения пользователей и токенов, а также для удобного управления ими. Подробная инструкция по созданию ресурсов доступны здесь.

3. Настройте политики доступа

  1. Перейдите на страницу Ресурсы.
Настройка Protectimus Winlogon & RDP - политики аутентификации 1  
  1. Нажмите на название ресурса.
Настройка Protectimus Winlogon & RDP - политики аутентификации 2  
  1. Перейдите во вкладку Winlogon.
Настройка Protectimus Winlogon & RDP - политики аутентификации 3  
  1. Вы увидите список политик доступа. Настройте решение в соответствии с вашими требованиями. Мы настоятельно рекомендуем вам активировать автоматическую регистрацию пользователей и токенов.

    После активации этой функции, при первом входе в учетную запись, пользователь должен будет ввести свой обычный Windows логин, пароль, а после этого выпустить токен.

    Чтобы активировать авторегистрацию пользователей и токенов, отметьте галочками следующие пункты:
    • Доступ незарегистрированным пользователям;
    • Авторегистрация пользователей;
    • Авторегистрация токенов;
    • Выберите тип токена, который сможет выпустить пользователь (Protectimus Mail, Protectimus SMS, или Protectimus SMART OTP).
Настройка Protectimus Winlogon & RDP - авторегистрация пользователей и токенов  
ВНИМАНИЕ!
Вы можете задать разные настройки для локального доступа и для удаленного доступа по RDP.
  1. Доступ (активируется по умолчанию)
    Открывает доступ к компьютеру. Если этот параметр деактивирован, доступ к компьютеру локально и/или по RDP будет полностью закрыт.
  2. Применить 2FA (активируется по умолчанию) 
    Этот параметр активирует двухфакторную аутентификацию при входе в учетную запись Windows локально и/или по RDP. Если этот параметр деактивирован, одноразовый пароль запрашиваться не будет.
  3. Доступ незарегистрированным пользователям
    • Этот параметр позволяет активировать двухфакторную аутентификацию только для выбранных пользователей. Например, одним компьютером пользуется 3 человека — John, Adam и Michael, но вы хотите, чтобы одноразовый пароль запрашивался только при входе в учетную запись Adam. Для этого в сервисе Protectimus необходимо создать только одного пользователя (Adam) и активировать параметр доступа незарегистрированным пользователям, чтобы остальные пользователи (John и Michael) входили без двухфакторной аутентификации.
    • Если этот параметр не активирован, войти в свои учетные записи смогут только пользователи, зарегистрированные в сервисе Protectimus.
    • Без активации этого параметра невозможна авторегистрация пользователей и токенов.
  4. Однофакторный доступ
    Если этот параметр активирован, пользователи, назначенные на ресурс без токенов, могут входить в свои учетные записи без одноразовых паролей.
  5. Авторегистрация пользователей
    Если этот параметр активирован, при своем первом входе в учетную запись пользователь пройдет автоматическую регистрацию в сервисе Protectimus и будет назначен на текущий ресурс.
  6. Авторегистрация токенов
    Если этот параметр активирован, при первом входе в свою учетную запись пользователь должен будет выпустить токен. Тип токена, который будет доступен пользователю, необходимо выбрать в поле “Тип токена”.
  7. Тип токена
    В этом поле необходимо выбрать тип токена, который будет доступен пользователю при авторегистрации.
  8. Доступ по IP
    Если вы активируете этот параметр и добавить список разрешенных IP адресов ниже, то при входе  с доверенных IP адресов у пользователей не будет запрашиваться одноразовый пароль.
  9. Разрешенные IP адреса
    Если вы активировали доступ по IP, добавьте список доверенных IP адресов при входе с которых не будет запрашиваться одноразовый пароль.
 
ОБРАТИТЕ ВНИМАНИЕ!

Чтобы использовать аппаратные OTP токены или доставку одноразовых паролей через чат-ботов в мессенджерах:
  1. Добавьте пользователей вручную.

    ВНИМАНИЕ! Логин пользователя в сервисе Protectimus должен соответствовать имени пользователя в Windows. Перед созданием пользователя убедитесь, что Ваше имя пользователя Windows содержит только латиницу, цифры и следующие символы: _-∽!#.$.. Пробелы и любые другие символы не допускаются.

    Для защиты локальной учетной записи пользователя в Windows, пользователь в сервисе Protectimus должен иметь логин вида login, где login — это имя пользователя в Windows. Например, если имя Вашего пользователя в Windows John-Doe, то в сервисе Protectimus необходимо добавить пользователя с логином John-Doe

    Для учетных записей пользователей в Active Directory логин пользователя в сервисе должен иметь вид [email protected], где login — это имя пользователя в AD, а domain — Ваш корпоративный домен. Например, если имя Вашего пользователя в AD John-Doe а корпоративный домен google.com, то в сервисе Protectimus необходимо добавить пользователя с логином [email protected]

  2. Добавьте токены вручную.
  3. Назначьте токены пользователям.
  4. Назначите токены с пользователями на ресурс.

4. Установите Protectimus Winlogon

  1. Скачайте инсталлятор Protectimus Winlogon здесь.
  2. Запустите инсталлятор от имени администратора.
Protectimus OWA two-factor authentication component installation - run the intaller as administrator  
  1.  Вы увидите экран приветствия. Нажмите кнопку Next, чтобы продолжить установку.
Protectimus Winlogon setup - step 1  
  1. Ознакомьтесь с лицензионным соглашением, выберите пункт I accept the license и нажмите Next, чтобы продолжить установку.
Protectimus Winlogon setup - step 2 (License Agreement)  
  1.  Введите API URL, API Login, API Key и нажмите Login.Эти параметры означают:
    • API URL. При использовании сервиса используйте данный API URL https://api.protectimus.com, при использовании платформы адрес для доступа к API будет адресом сервера, где запущена платформа.
    • Login. Это адрес электронной почты, который был выбран при регистрации в сервисе.
    • API Key. Ключ API находится в профиле пользователя. Чтобы перейти в профиль пользователя нажмите на своем логине в правом верхнем углу интерфейса и выберите пункт Профиль из выпадающего списка.
Protectimus Winlogon setup - step 3 (Login)  
  1. Resource ID. Выберите Ресурс, который вы создали перед началом установки. Затем нажмите Next, чтобы продолжить установку.
Если вы еще не создали ресурс, добавьте его сейчас. Нажмите Add Resource и придумайте любое имя ресурса.
Protectimus Winlogon setup - step 4 (Resource ID)  
  1. Задайте групповые настройки, если это необходимо. На этом этапе вы можете включить 2FA для главного администратора или для группы пользователей. По умолчанию двухфакторная аутентификация будет применена для всех учетных записей на этом компьютере, кроме главного администратора.
Protectimus Winlogon setup - step 5 (2FA Policy)  
  1. Сохраните бэкап код в безопасном месте. Этот код нужен для входа в учетные записи Windows в офлайн режиме (при отсутствии подключения к интернету). Один и тот же бэкап код сработает для всех учетных записей на этом компьютере.
ВНИМАНИЕ! При экстренном входе в систему с использованием бэкап кода, будет сгенерирован новый код, который необходимо сохранить и использовать при следующем входе в оффлайн режиме.
Protectimus Winlogon setup - step 6 (Backup Code)  
  1. Все готово к установке, нажмите кнопку Install.
ОБРАТИТЕ ВНИМАНИЕ! На этом этапе вы можете создать MSI-файл для развертывания Protectimus Winlogon через GPO.
Protectimus Winlogon setup - step 7 (Ready to Install)  
  1. После завершения установки нажмите кнопку OK. При следующем запуске компьютера компонент уже будет активен.
Protectimus Winlogon setup - step 8 (The istallation was successful)

5. Настройка доступа через RDP

ВНИМАНИЕ! Если Вы НЕ выполните следующие действия, доступ к компьютеру по RDP будет полностью запрещен.
  1. Перейдите на страницу Ресурсы, нажмите на название ресурса и выберите вкладку Winlogon.
  2. Активируйте параметр Доступ для RDP. Активация данного параметра открывает доступ к компьютеру по протоколу RDP без двухфакторной аутентификации.
Настройка Protectimus Winlogon & RDP - доступ по RDP  
  1. Чтобы включить двухфакторную аутентификацию при запросе доступа по RDP, дополнительно активируйте параметр Применить 2FA при доступе через RDP.
Настройка Protectimus Winlogon & RDP - доступ по RDP с двухфакторной аутентификацией

6. Работа в офлайн режиме (бэкап коды)

Чтобы система двухфакторной аутентификации Protectimus работала в штатном режиме, компьютер должен быть подключен к сети интернет.

Для экстренных случаев, когда у пользователя нет возможности подключиться к сети, предусмотрена возможность входа в учетную запись с использованием бэкап кода вместо одноразового пароля.

Первый бэкап код выдается при установке компонента. Этот код действует для всех учетных записей, зарегистрированных на данном компьютере.

ВНИМАНИЕ! При экстренном входе в систему с использованием бэкап кода, будет сгенерирован новый код, который необходимо сохранить и использовать при следующем входе в оффлайн режиме. Этот бэкап код также будет действовать для всех учетных записей на этом компьютере.
Protectimus Winlogon setup - step 6 (Backup Code)

Перевыпуск бэкап кода

Если по какой-то причине бэкап код был утерян, пользователь может выпустить новый бэкап код. Для этого необходима специальная утилита, которую главный администратор Protectimus должен запросить по адресу [email protected].

Чтобы воспользоваться утилитой:
  • Войдите в свою учетную запись Windows.
  • Скачайте и запустите утилиту.
  • Нажмите CTRL+ALT+DEL
  • Сохраните ваш новый бэкап код.

7. Логи и ошибки

В случае возникновения ошибки, есть несколько способов проверить, что происходит. Прежде всего, можно проверить логи системы в Windows (Event Viewer -> Windows Logs ->  Application).

В платформе логи можно найти в директориях PLATFORM_DIR и TOMCAT_HOME/logs.

Также посетите страницу «События» в Платформе, и вы увидите соответствующую информацию.

8. Удаление программы

Если у Вас нет доступа к учетной записи в Windows, удалить компонент Protectimus Winlogon можно через безопасный режим.
  1. Войдите в меню установки и удаления программ в своей операционной системе, найдите программу Protectimus WinLogon и нажмите Удалить.
  2. Подтвердите, что хотите удалить программу.
  3. Вы увидите диалоговое окно, оповещающее вас об успешном удалении программы. Нажмите кнопку OK, чтобы завершить процесс.
Last updated on 2022-04-19