Windows Logon і RDP: налаштування двофакторної автентифікації (SaaS Сервіс)

Windows Logon та Remote Desktop Protocol (RDP) — одні з найпоширеніших точок входу в корпоративну інфраструктуру. Якщо ці точки доступу захищені лише паролями, зловмисники можуть отримати доступ за допомогою викрадених облікових даних, brute-force атак або фішингу.

Додавання двофакторної автентифікації (2FA) значно підвищує безпеку Windows, оскільки вимагає від користувачів підтвердження своєї особи за допомогою одноразового пароля (OTP) або повідомлення для автентифікації.

У цій інструкції пояснюється, як увімкнути двофакторну автентифікацію для Windows Logon і RDP за допомогою Protectimus SaaS Service. Вона охоплює налаштування в консолі Protectimus, параметри Winlogon, встановлення клієнта Winlogon і рекомендовані політики безпеки.

Ви також дізнаєтесь, як налаштувати автоматичну реєстрацію токенів, увімкнути офлайн-доступ за допомогою бекап-кодів і керувати політиками автентифікації для локального та віддаленого входу.

Швидка навігація

• Огляд налаштування
• Підготовка ресурсу
• Відкрити налаштування Winlogon
• Налаштування параметрів Winlogon
• Рекомендована політика для автоматичної реєстрації
• Додавання користувачів і токенів вручну
• Встановлення Protectimus Winlogon
• Бекап-коди та офлайн-доступ
• Логи та помилки
• Деінсталяція
• FAQ

Огляд налаштування 2FA для Windows Logon

Щоб захистити доступ до Windows Logon і RDP за допомогою двофакторної автентифікації, виконайте такі кроки:

1. Створіть обліковий запис у Protectimus SaaS Service.
2. Створіть ресурс у Protectimus.
3. Додайте користувачів і призначте токени або увімкніть автоматичну реєстрацію.
4. Налаштуйте політики автентифікації Winlogon.
5. Встановіть клієнт Protectimus Winlogon.
6. Перевірте автентифікацію як для локального входу в Windows, так і для доступу через RDP.

У розділах нижче кожен крок описано детально.

Навіщо захищати Windows Logon і RDP за допомогою MFA?

• Захист від викрадених або скомпрометованих паролів
• Допомагає запобігти brute-force атакам на RDP
• Захищає доступ адміністраторів до серверів і робочих станцій Windows
• Допомагає відповідати внутрішнім вимогам безпеки та комплаєнсу
• Зменшує ризик несанкціонованого доступу та ransomware-інцидентів

Рішення Protectimus Windows Logon & RDP додає двофакторну автентифікацію (2FA / MFA) для захисту доступу до комп’ютерів під керуванням Windows як локально, так і через RDP.

У цій інструкції описано процес налаштування Protectimus SaaS Service з оновленим інтерфейсом.

Якщо ви використовуєте Protectimus On-Premise Platform, зверніться до існуючої інструкції: Windows Logon & RDP: Securing Access with Two-Factor Authentication.

Рішення підтримує:

• Windows 8;
• Windows 8.1;
• Windows 10;
• Windows 11;
• Windows Server 2012;
• Windows Server 2016;
• Windows Server 2019;
• Windows Server 2022.

Protectimus дозволяє захистити як локальний вхід у Windows, так і доступ через RDP. Також підтримується офлайн-доступ за допомогою бекап-кодів.

Для отримання додаткової інформації відвідайте сторінку Protectimus Windows and RDP 2FA Solution.

1. Зареєструйтеся в Protectimus SaaS Service та підготуйте ресурс

Створіть обліковий запис у Protectimus Cloud Service та активуйте API.

Після цього створіть ресурс, додайте користувачів і призначте користувачів і токени за потреби. Детальні інструкції доступні в цих гайдах:

• Resource Management Guide
• User Management Guide

2. Відкрийте налаштування Winlogon

1. У меню ліворуч відкрийте розділ Resources.
2. На сторінці Resources натисніть на назву потрібного ресурсу.
3. На сторінці ресурсу натисніть Winlogon.

3. Налаштуйте параметри Winlogon

Вікно Winlogon Settings містить чотири вкладки: General, Local, RDP та Offline.

3.1. General

На вкладці General виберіть, які типи токенів можуть використовуватися з Protectimus Winlogon.

• Token Type — виберіть типи токенів, які будуть доступні для Protectimus Winlogon.
• Default Token Type For Legacy Winlogon Client (2.x) — виберіть тип токена для старих версій клієнта Winlogon.
• Enable Legacy Username Format (e.g., user@domain) — увімкніть цю опцію, якщо вам потрібен застарілий формат імені користувача.

Ми наполегливо рекомендуємо вмикати лише ті типи токенів, які дійсно потрібні у вашому середовищі.

3.2. Local

На вкладці Local налаштуйте, як користувачі проходитимуть автентифікацію під час входу безпосередньо на комп’ютері Windows.

• User Auto Registration — автоматично створює користувача в Protectimus під час першого успішного входу в Windows.
• Single Factor Access — дозволяє користувачам без призначеного токена входити без OTP.
• Unregistered User Access — дозволяє входити користувачам, які не зареєстровані в Protectimus.
• Token Auto Registration — пропонує користувачам зареєструвати токен під час першого входу.
• Access Accepted — дозволяє локальний доступ до комп’ютера.
• Apply 2FA — вимагає двофакторну автентифікацію для локального входу.

Для більшості сценаріїв ми рекомендуємо увімкнути User Auto Registration, Token Auto Registration, Access Accepted і Apply 2FA.

3.3. RDP

На вкладці RDP налаштуйте, як користувачі проходитимуть автентифікацію під час підключення через Remote Desktop Protocol.

• User Auto Registration — автоматично реєструє користувачів під час першого входу через RDP.
• Single Factor Access — дозволяє вхід без OTP для користувачів без призначених токенів.
• Unregistered User Access — дозволяє входити користувачам, не зареєстрованим у Protectimus.
• Token Auto Registration — пропонує користувачам зареєструвати токен під час першого входу через RDP.
• Access Accepted — дозволяє доступ через RDP.
• Apply 2FA — вимагає OTP під час входу через RDP.
• Bypass 2FA by IP — дозволяє обходити OTP для довірених IP-адрес (за потреби відповідно до вашої політики).

ЗВЕРНІТЬ УВАГУ! Доступ через RDP буде заборонений, доки на вкладці RDP не увімкнено параметр Access Accepted.

Щоб захистити RDP за допомогою двофакторної автентифікації, увімкніть одночасно Access Accepted і Apply 2FA.

3.4. Offline

На вкладці Offline налаштуйте резервний доступ на випадок відсутності підключення до Інтернету.

• Offline access — увімкнення офлайн-автентифікації.
• Days limit — визначає, скільки днів доступний офлайн-доступ.
• Attempts limit — визначає кількість дозволених спроб входу в офлайн-режимі.

Якщо офлайн-доступ увімкнено, користувачі зможуть входити за допомогою бекап-коду замість одноразового пароля, коли комп’ютер не має доступу до Інтернету.

4. Рекомендована політика для автоматичної реєстрації

Якщо ви хочете, щоб користувачі самостійно реєстрували свої токени під час першого входу, використовуйте таку рекомендовану конфігурацію:

• Увімкніть User Auto Registration;
• Увімкніть Token Auto Registration;
• Увімкніть Access Accepted;
• Увімкніть Apply 2FA;
• Увімкніть лише ті типи токенів, які користувачі зможуть реєструвати, на вкладці General.

Така конфігурація дозволяє користувачам спочатку увійти зі своїми звичайними обліковими даними Windows, а потім автоматично завершити реєстрацію токена.

ЗВЕРНІТЬ УВАГУ! Ви можете використовувати різні налаштування для локального входу в Windows і для доступу через RDP.

5. За потреби додайте користувачів і токени вручну

Якщо ви не хочете використовувати автоматичну реєстрацію, додайте та призначте користувачів і токени вручну.

УВАГА! Логін користувача в Protectimus має відповідати формату імені користувача Windows у вашому середовищі.


Для локальних облікових записів Windows логін у Protectimus повинен повністю збігатися з ім’ям користувача Windows.


У середовищах Active Directory може знадобитися використовувати формат login@domain залежно від конфігурації.

• Add Users manually;
• Add Tokens manually;
• Assign Tokens to Users;
• Assign Users and Tokens to a Resource.

6. Встановіть Protectimus Winlogon

6.1. Завантажте інсталятор і виконайте початкове налаштування

1. Завантажте останню версію інсталятора Protectimus Winlogon.
2. Запустіть інсталятор від імені адміністратора.
3. З’явиться вікно привітання. Натисніть Next, щоб продовжити.
4. Ознайомтесь із ліцензійною угодою, оберіть I accept the license і натисніть Next.

6.2. Введіть API URL, Login, API Key і оберіть Resource ID

1. Введіть API URL, Login і API Key, потім натисніть LogIn.
2. У полі Resource ID оберіть ресурс, який ви налаштували раніше, і натисніть Next.

Ці параметри означають:

• API URL — для SaaS Service використовуйте https://api.protectimus.com/.
• Login — логін вашого облікового запису Protectimus.
• API Key — доступний у вашому профілі.

Якщо ви ще не додали ресурс, спочатку створіть його в Protectimus SaaS Service.

6.3. Налаштуйте політику 2FA та збережіть бекап-код

Налаштуйте політику 2FA та за потреби збережіть бекап-код. За замовчуванням двофакторна автентифікація застосовується до всіх облікових записів на цьому комп’ютері, крім вбудованого адміністратора та гостьових акаунтів.

• Ви можете увімкнути 2FA для вбудованого адміністратора або групи користувачів.
• Можна налаштувати додаткові параметри, наприклад:
  • Вимагати 2FA під час входу, а не при розблокуванні;
  • Вимагати 2FA лише для входів через RDP;
  • Вимкнути офлайн-вхід.
• Ви можете зберегти бекап-код. Користувачі зможуть використовувати його для входу без доступу до Інтернету.

УВАГА!
Після використання бекап-коду генерується новий. Збережіть новий код для наступного офлайн-входу. Бекап-код діє для всіх облікових записів на одному комп’ютері.

6.4. Оберіть параметри встановлення в домені

Якщо це не контролер домену, просто натисніть Install.

Якщо ви встановлюєте Protectimus Winlogon & RDP 2FA на контролер домену, ви побачите дві додаткові опції:

• Create a GPO for installation in the domain — створює об’єкт групової політики для автоматичного встановлення на комп’ютери домену.
• Perform remote installation in the domain — відкриває вікно для встановлення компонента безпосередньо на вибрані комп’ютери домену.

6.5. Завершіть встановлення

Після завершення встановлення натисніть OK. Двофакторна автентифікація буде активована під час наступного запуску комп’ютера.

7. Бекап-коди для офлайн-доступу

Для коректної роботи Protectimus Winlogon комп’ютер має бути підключений до Інтернету.

Якщо підключення відсутнє, користувачі можуть увійти за допомогою бекап-коду замість одноразового пароля.

Перший бекап-код видається під час встановлення. Він дійсний для всіх облікових записів на цьому комп’ютері та може бути використаний лише один раз. Після цього генерується новий код.

УВАГА! Коли користувач входить за допомогою бекап-коду, генерується новий код. Збережіть його для наступного офлайн-входу. Новий код також діє для всіх облікових записів на цьому комп’ютері.

7.1. Як перевипустити бекап-код

Якщо користувачі втратили бекап-код, вони можуть згенерувати новий, перебуваючи онлайн. Для цього головний адміністратор облікового запису Protectimus має запросити спеціальну утиліту за адресою support@protectimus.com.

Щоб скористатися утилітою:

• Увійдіть у Windows.
• Завантажте та запустіть утиліту.
• Натисніть CTRL + ALT + DEL.
• Збережіть новий бекап-код.

8. Логи та помилки

Якщо виникають проблеми, спочатку перевірте системні логи Windows: Event Viewer → Windows Logs → Application.

Також можна переглянути відповідні події у вашому обліковому записі Protectimus.

9. Деінсталяція

Якщо немає доступу до облікового запису Windows, можна вимкнути Protectimus Winlogon у безпечному режимі.

1. Відкрийте в Windows меню Uninstall or Change a Program, знайдіть Protectimus Winlogon і натисніть Uninstall.
2. Якщо це доменна інсталяція, відкриється вікно Start uninstallation setup. Ви можете використати той самий підхід, що і для віддаленого встановлення під час розгортання.
3. Після закриття попереднього вікна відкриється вікно Complete/Keep Uninstall, де ви можете:
   • Створити GPO для автоматичного видалення на комп’ютерах домену;
   • Залишити компонент на поточному комп’ютері для подальшого видалення.

УВАГА!
Якщо ви створюєте GPO для видалення Protectimus Winlogon & RDP на всіх машинах у вашому домені, видаліть цей GPO вручну після завершення деінсталяції.


Якщо цього не зробити, це може спричинити проблеми під час повторного встановлення компонента.

Часті запитання

Чи підтримує Protectimus автентифікацію Windows Server?

Так. Protectimus підтримує Windows Server 2012, 2016, 2019 і 2022, що дозволяє адміністраторам захищати як локальний вхід, так і доступ через RDP.

Чи можна захистити Remote Desktop (RDP) за допомогою двофакторної автентифікації?

Так. Protectimus Winlogon дозволяє адміністраторам вимагати одноразові паролі при вході через Remote Desktop, що допомагає запобігти несанкціонованому доступу.

Що відбувається, якщо комп’ютер офлайн?

Якщо комп’ютер не має підключення до Інтернету, користувачі можуть увійти за допомогою бекап-коду, згенерованого під час встановлення.

Чи підтримує Protectimus автоматичну реєстрацію користувачів?

Так. Адміністратори можуть увімкнути User Auto Registration і Token Auto Registration, щоб користувачі могли зареєструвати свої токени під час першого входу.

Які типи токенів можна використовувати для автентифікації Windows?

Protectimus підтримує кілька типів токенів, зокрема мобільні OTP-застосунки, апаратні токени, SMS OTP і токени на базі месенджерів — залежно від вашої конфігурації.

Рекомендації щодо впровадження MFA для Windows

• Вимагайте 2FA для всіх облікових записів адміністраторів
• Увімкніть Apply 2FA як для Local, так і для RDP-доступу, де це можливо
• Використовуйте User Auto Registration і Token Auto Registration для спрощення розгортання
• Залишайте активними лише необхідні типи токенів
• Зберігайте бекап-коди у безпечному місці та оновлюйте їх після кожного використання
• Регулярно перевіряйте логи Windows і Protectimus

Пов’язані інструкції

• Початок роботи з Protectimus SaaS MFA
• Як створювати та керувати ресурсами
• Як додавати та керувати користувачами
• Огляд OTP-токенів
• MFA-рішення Protectimus Winlogon