Налаштування двофакторної автентифікації (2FA) для Windows VPN

Цей посібник показує, як налаштувати 2FA (двофакторну аутентифікацію) для Windows VPN за допомогою системи багатофакторної аутентифікації Protectimus. Після інтеграції Windows VPN з системою MFA Protectimus, для підключення до Windows VPN користувачі повинні пройти два етапи аутентифікації:

1. Ввести свій логін та пароль.
2. Ввести одноразовий пароль, який дійсний лише протягом 30 секунд.

Для генерації одноразових паролів користувачі зможуть використовувати такі типи токенів для двофакторної автентифікації: 2FA застосунок на смартфоні; доставка одноразових кодів через Telegram, Viber та Facebook Messenger; фізичні TOTP токени; доставка одноразових кодів через електронну пошту або SMS.

Майже неможливо одночасно зламати стандартний пароль і одноразовий пароль. Тому двофакторна аутентифікація є необхідним елементом для захисту облікових записів користувачів Windows VPN від несанкціонованого доступу та атак, таких як фішинг, брутфорс, кейлогери, соціальна інженерія та інші.

1. Двофакторна аутентифікація для Windows VPN — Як це працює

Цей посібник показує, як налаштувати двофакторну аутентифікацію для Windows VPN за допомогою хмарного сервісу двофакторної аутентифікації Protectimus або локальної платформи Protectimus 2FA та компонента RRAS. Інтеграція RRAS з Protectimus через протокол аутентифікації RADIUS є обов’язковою.

Схема роботи рішення двофакторної аутентифікації Protectimus для Windows VPN показана нижче.

2. Як налаштувати 2FA для Windows VPN

Ви можете налаштувати двофакторну автентифікацію (2FA) для Windows VPN за допомогою Protectimus, використовуючи протокол RADIUS:

1. Зареєструйтесь у SAAS сервісі Protectimus або встановіть локальну платформу Protectimus та налаштуйте основні параметри.
2. Встановіть та налаштуйте Protectimus RADIUS Server.
3. Встановіть і налаштуйте RRAS (Routing and Remote Access Service).
4. Налаштуйте політики автентифікації для Windows VPN.

2.1. Зареєструйтеся та налаштуйте основні параметри Protectimus

Виберіть варіант розгортання та виконайте базове налаштування:

Хмарний сервіс Protectimus

1. Зареєструйтеся в хмарному сервісі Protectimus та активуйте API.
2. Додайте ресурс.
3. Додайте користувачів.
4. Додайте токени вручну або активуйте Портал самообслуговування користувачів.
5. Призначте токени користувачам.
6. Призначте токени з користувачами на ресурс.

Локальна платформа Protectimus

1. Встановіть локальну платформу Protectimus. Якщо ви встановлюєте платформу Protectimus на Windows, не забудьте вибрати опцію RADIUS під час встановлення.
2. Додайте ресурс.
3. Додайте користувачів.
4. Додайте токени вручну або активуйте Портал самообслуговування користувачів.
5. Призначте токени користувачам.
6. Призначте токени з користувачами на ресурс.

2.2. Встановіть та налаштуйте Protectimus RADIUS Server

Докладні інструкції щодо встановлення та налаштування Protectimus RADIUS Server доступні в нашому Посібнику з налаштування Protectimus RADIUS Server для Windows VPN 2FA.

Вкажіть “inline-mode” у файлі конфігурації. У розділі “auth” додайте такі налаштування (ви можете вказати будь-який роздільник):

inline-mode:
  enabled: true
  separator: ‘,’

2.3. Встановіть та налаштуйте служби маршрутизації та віддаленого доступу (RRAS)

Встановлення RRAS

1. Відкрийте Server Manager та виберіть “Add Roles and Features Wizard” у меню Manage.
2. У розділі “Server Roles” виберіть “Remote Access”.
3. У розділі “Role Services” виберіть “DirectAccess and VPN (RAS)”.
4. Завершіть установку.

Налаштування RRAS

1. Запустіть “Routing and Remote Access”.
2. Виберіть “Deploy VPN only”.
3. Клацніть правою кнопкою на назві сервера, потім виберіть “Configure and Enable Routing and Remote Access”.

4. Виберіть “Custom Configuration”.
5. Далі поставте галочку біля “VPN Access”.
6. Завершіть установку та запустіть службу.

Налаштування автентифікації

1. Перейдіть до налаштувань, клацнувши правою кнопкою миші на назві сервера та виберіть “Properties”, потім перейдіть на вкладку “Security”.
2. Виберіть “RADIUS Authentication” зі списку “Authentication Provider”.
3. Натисніть кнопку “Configure” у тому ж випадаючому списку.
4. Далі додайте новий сервер:
   
   
   • Server name: IP-адреса комп’ютера, на якому встановлений RADIUS сервер.
   • Shared Secret: секретний ключ, зазначений у файлі radius.yml під час налаштування RADIUS.
   • Також виберіть “Always use message authenticator”.
   • Залиште решту налаштувань за замовчуванням.
   
   
5. Збережіть доданий сервер.

6. Далі натисніть на кнопку “Authentication methods”.
7. У вікні, що з’явиться, залиште вибраним лише “Unencrypted password (PAP)”.

8. Збережіть усі налаштування.

2.4. Налаштуйте Windows VPN

1. Перейдіть до налаштувань VPN.
2. Натисніть “Add a VPN connection”.
   
   
   • VPN provider: Windows (built-in).
   • Server name or address: введіть адресу вашого сервера.
   • Type of sign-in info: ім’я користувача та пароль.
   
   
3. Збережіть VPN-з’єднання.

4. Далі перейдіть до налаштувань адаптера: Control Panel > Network and Internet > Network Connections.
5. Клацніть правою кнопкою миші на створеному адаптері VPN-з’єднання та виберіть Properties.
6. На вкладці “Security” виберіть “Allow the following protocols”.
7. Залиште лише “Unencrypted password (PAP)”.

8. Збережіть налаштування.
9. Ви завершили налаштування 2FA для Windows VPN, тепер ви можете протестувати з’єднання.

Інтеграція двофакторної автентифікації в Windows VPN завершена.

Якщо у вас є питання, будь ласка, звертайтеся до служби підтримки Protectimus.