Windows Logon та RDP: Захист доступу за допомогою двофакторної автентифікації

Рішення Protectimus Windows Logon & RDP 2FA додає двофакторну автентифікацію (2FA / MFA) для захисту доступу до комп’ютерів на:

• Windows 8;
• Windows 8.1;
• Windows 10;
• Windows 11;
• Windows Server 2012;
• Windows Server 2016;
• Windows Server 2019;
• Windows Server 2022.

Воно захищає доступ до комп’ютерів на Windows за допомогою двофакторної автентифікації (2FA) як локально (при вході в Windows), так і через RDP (протокол віддаленого робочого столу).

Завдяки функції бекап-коду рішення Windows 2FA працюватиме навіть в офлайн-режимі. Під час встановлення компонента 2FA на комп’ютер адміністратор може згенерувати та зберегти бекап-код. Цей код потім можна використати замість одноразового пароля для входу в облікові записи користувачів на комп’ютері без підключення до Інтернету.

Для отримання додаткової інформації відвідайте сторінку Рішення Protectimus для Windows і RDP 2FA.

Нижче наведено докладні інструкції з налаштування двофакторної автентифікації у Windows за допомогою Protectimus.

1. Зареєструйтеся та налаштуйте основні параметри

Зареєструйтеся в хмарному сервісі Protectimus і активуйте API або встановіть локальну платформу Protectimus.

2. Додайте ресурс

Ресурси використовуються для логічного групування користувачів і токенів та легкого управління ними.

Детальні інструкції щодо додавання ресурсів можна знайти в статті Як додати ресурс.

3. Налаштуйте політики доступу

1. Перейдіть до розділу Ресурси (Resources).

 

2. Натисніть на назву вашого ресурсу.

 

3. Відкрийте вкладку Winlogon.

 

4. Ви побачите список політик доступу. Налаштуйте рішення відповідно до ваших вимог.
   
   Ми наполегливо рекомендуємо вам увімкнути автоматичну реєстрацію користувачів і токенів.
   
   Коли ця функція активована, при першому вході в обліковий запис користувачеві потрібно буде ввести звичні логін і пароль Windows, а потім створити токен. Щоб увімкнути автоматичну реєстрацію користувачів і токенів, поставте галочку в наступних пунктах:
   
   
   • Доступ для незареєстрованих користувачів (Access for unregistered users);
   • Автоматична реєстрація користувачів (User auto-registration);
   • Автоматична реєстрація токенів (User auto-registration);
   • І виберіть тип токенів, які можуть випускати ваші користувачі (Protectimus Mail, Protectimus SMS або Protectimus SMART OTP).

 

ЗВЕРНІТЬ УВАГУ! Ви можете налаштувати різні параметри для локального входу в обліковий запис Windows та для входу через RDP.

1. Access accepted (активовано за замовчуванням)
   Відкриває доступ до комп’ютера. Якщо цей параметр вимкнено, доступ до комп’ютера локально та/або через RDP буде повністю вимкнено.
2. Apply 2FA (активовано за замовчуванням)
   Активуйте цей параметр, щоб увімкнути двофакторну автентифікацію при локальному вході у ваш обліковий запис Windows та/або при вході через RDP. Якщо цей параметр вимкнено, одноразовий пароль не запитуватиметься.
3. Access for unregistered users
   • Цей параметр дозволяє увімкнути двофакторну автентифікацію тільки для обраних користувачів. Наприклад, одним комп’ютером користуються 3 людини – Джон, Адам і Майкл – але ви хочете, щоб одноразовий пароль запитувався тільки при вході в обліковий запис Адама. Для цього створіть в сервісі Protectimus тільки одного користувача (Адама) і активуйте параметр “Доступ для незареєстрованих користувачів” (Access for unregistered users), щоб інші користувачі (Джон і Майкл) входили без двофакторної автентифікації.
   • Якщо цей параметр вимкнено, автореєстрація користувачів і токенів неможлива.
   • Якщо цей параметр вимкнено, лише користувачі, вже зареєстровані в сервісі Protectimus і призначені на ваш ресурс, зможуть увійти в свої акаунти Windows.
4. Single Factor Access
   Якщо цей параметр увімкнено, користувачі без токенів, призначені на цей ресурс, можуть входити у свої облікові записи Windows без одноразових паролів.
5. User auto-registration
   Якщо цей параметр увімкнено, при першому вході в обліковий запис користувачі будуть автоматично зареєстровані в сервісі Protectimus і будуть призначені на цей ресурс.
6. Token auto-registration
   Якщо цей параметр увімкнено, при першому вході в обліковий запис користувачам потрібно буде створити токен. Тип токена, який буде доступний користувачам, слід вибрати в полі “Token Type”.
7. Token Type
   У цьому полі ви повинні вибрати тип токена, який буде доступний користувачам під час автореєстрації токена.
8. Access by IP addresses
   Якщо увімкнути цю опцію і додати список дозволених IP-адрес нижче, то при вході з довірених IP-адрес у користувачів не буде запитуватися одноразовий пароль.
9. Allowed IP addresses
   Якщо ви активували доступ за IP-адресами (Access by IP addresses), додайте список довірених IP-адрес, при вході з яких не буде запитуватися одноразовий пароль.

ЗВЕРНІТЬ УВАГУ!

Щоб використовувати апаратні OTP-токени або увімкнути доставку OTP через чат-ботів у месенджерах:

1. Додайте користувачів вручну.
   
   УВАГА! Логін користувача в сервісі Protectimus повинен збігатися з іменем користувача Windows. Перед створенням користувача переконайтеся, що логін користувача Windows містить лише латинські літери, цифри та наступні символи: _-∽!#.$.. Пробіли та будь-які інші символи не допускаються.
   
   Коли ви додаєте багатофакторну автентифікацію до свого локального облікового запису користувача в Windows, логін користувача в сервісі Protectimus повинен збігатися з вашим ім’ям користувача в Windows. Наприклад, якщо ваше ім’я користувача в Windows – John-Doe, то в сервісі Protectimus вам потрібно додати користувача з логіном John-Doe.
   
   Коли ви додаєте користувачів з Active Directory, їхні логіни в сервісі Protectimus повинні мати вигляд login@domain, де login – це ім’я користувача в Active Directory, а domain – ваш корпоративний домен. Наприклад, якщо ім’я користувача в Active Directory – John-Doe, а корпоративний домен – google.com, то в сервісі Protectimus потрібно додати користувача з логіном John-Doe@google.


2. Додайте токени вручну.


3. Призначте токени користувачам.


4. Призначте токени з користувачами на ресурс.

4. Встановіть Protectimus Winlogon

4.1. Завантажте інсталятор і налаштуйте систему, слідуючи інструкціям

1. Завантажте останню версію інсталятора Protectimus Winlogon.
2. Запустіть інсталятор від імені адміністратора.

 

3. Ви побачите вікно привітання, натисніть Next, щоб продовжити.

 

4. Прочитайте ліцензійну угоду, поставте галочку I accept the license і натисніть Next , щоб продовжити.

4.2. Введіть API URL, Login, API Key а потім виберіть ID ресурсу

1. Введіть API URL, Login та API Key і натисніть LogIn.
   
   Ці параметри означають:
   
   
   • API URL – адреса кінцевої точки API. Якщо ви використовуєте SAAS-сервіс, API URL – це https://api.protectimus.com/. У випадку локальної платформи API URL – це адреса сервера, на якому працює платформа (наприклад, https://localhost:8443).
   • Login – логін вашого облікового запису, такий самий, як і для входу в систему.
   • API Key – ви знайдете його у своєму профілі. Щоб отримати доступ до профілю, натисніть на логін користувача у верхньому правому куті інтерфейсу і виберіть пункт “Profile” у випадаючому списку.

2. Resource ID. Виберіть Ресурс, який ви створили перед початком встановлення компонента Protectimus Winlogon. Після цього натисніть Next, щоб продовжити.

Якщо ви ще не додали ресурс, додайте його зараз. Натисніть Add Resource і введіть будь-яку назву ресурсу.

4.3. Налаштуйте політики 2FA та збережіть резервний код

Налаштуйте політики 2FA і збережіть резервний код, якщо це необхідно. За замовчуванням двофакторна автентифікація буде застосована до всіх облікових записів на цьому комп’ютері, окрім вбудованого адміністратора та гостьових облікових записів.

• Ви можете увімкнути 2FA для вбудованого адміністратора або для групи користувачів.
• Ви можете налаштувати додаткові параметри, такі як:
  • Вимагати 2FA під час входу, а не при розблокуванні (доступно тільки для установки в домені);
  • Вимагати 2FA тільки для RDP входів;
  • Вимкнути офлайн-логін.
• Ви також можете зберегти бекап-код. Цей код знадобиться вашим користувачам для входу в облікові записи Windows за відсутності підключення до Інтернету. Один і той самий бекап-код буде працювати для всіх облікових записів на цьому комп’ютері.
  
  

  УВАГА!
  Коли користувач увійде в систему з цим бекап-кодом, буде згенеровано новий код, який необхідно зберегти і використати наступного разу, коли користувачу знадобиться увійти в свій обліковий запис в офлайн-режимі. Новий бекап-код також буде працювати для всіх облікових записів на цьому комп’ютері.

4.4. Виберіть параметри встановлення в домені

Якщо це НЕ контролер домену, просто натисніть Install.


Якщо ви встановлюєте компонент Protectimus Winlogon & RDP 2FA на контролер домену, ви можете налаштувати параметри розгортання GPO на екрані Install Policy.

На цьому екрані ви можете:

• вибрати кілька груп, які потрібно включити або виключити з розгортання через GPO;
• задати назву GPO у полі GPO Name;
• вибрати, чи потрібно автоматично прив’язати GPO за допомогою прапорця Link GPO to.

Якщо встановлено прапорець Create GPO, інсталятор створить GPO, який міститиме скрипт для автоматичного встановлення під час запуску комп’ютера.

Якщо прапорець Create GPO не встановлено, GPO створено не буде.

Поле GPO Name визначає назву, під якою цей GPO буде відображатися в Active Directory.

Параметри вибору груп дозволяють визначити, на які групи буде застосовано цей GPO.

ЗВЕРНІТЬ УВАГУ!

Прапорець Link GPO to визначає, чи буде створений GPO автоматично прив’язаний до поточного домену.

Щоб GPO працював, його потрібно не лише створити, але й прив’язати до домену, сайту або іншого об’єкта Active Directory.

Якщо Link GPO to увімкнено, інсталятор автоматично прив’яже GPO до поточного домену облікового запису, від імені якого виконується встановлення.

Якщо Link GPO to вимкнено, GPO буде створено та відображатиметься за назвою, але залишатиметься неактивним, доки ви не прив’яжете його вручну за допомогою стандартних інструментів Active Directory, таких як Group Policy Management у MMC.

Це зручно у складніших середовищах, коли адміністратор хоче вручну прив’язати GPO до іншого домену, сайту або об’єкта Active Directory.

УВАГА!

Якщо ви пізніше вирішите видалити компонент Protectimus Winlogon & RDP на контролері домену, вам може бути запропоновано створити GPO для автоматичного видалення цього програмного забезпечення на інших комп’ютерах домену.

Коли ви створюєте GPO для видалення Protectimus Winlogon & RDP на всіх комп’ютерах у домені, видаліть цей GPO вручну після завершення видалення.

Якщо не видалити GPO вручну, це може спричинити проблеми під час повторного встановлення компонента Protectimus Winlogon & RDP. У такому випадку програмне забезпечення може не встановлюватися або не видалятися автоматично на комп’ютерах Windows у домені.

4.5. Виберіть параметри встановлення на контролері домену

Якщо ви встановлюєте компонент Protectimus Winlogon & RDP 2FA на контролер домену, на фінальному етапі встановлення доступні такі параметри:

• Perform remote installation in the domain: відображає список комп’ютерів домену та дозволяє встановити компонент безпосередньо на вибрані машини без очікування застосування GPO та перезавантаження. Цей варіант зручний, якщо потрібно швидко розгорнути компонент на конкретних комп’ютерах.
• Install on current computer: встановлює компонент безпосередньо на поточний комп’ютер. Наприклад, якщо встановлення виконується на контролері домену, і в налаштуваннях GPO зазначено, що компонент не повинен встановлюватися на контролері домену, вибір цього прапорця дозволить встановити його на поточну машину.
• Protect installation from deletion: захищає компонент від видалення на робочих станціях, гарантуючи, що його можна видалити лише через авторизовані дії на контролері домену. Цей параметр увімкнено за замовчуванням.

Якщо ви оберете Perform remote installation in the domain, на наступному кроці з’явиться екран, де ви зможете вибрати комп’ютери для віддаленого встановлення.

4.6. Вибір комп’ютерів для віддаленого встановлення

Якщо на кроці 4.4 ви вибрали опцію Виконати віддалене встановлення у домені (Perform remote installation in the domain), з’явиться вікно зі списком усіх комп’ютерів у домені, за допомогою якого ви зможете встановити компонент безпосередньо на будь-який з них.

За замовчуванням вибрано всі комп’ютери, окрім контролера домену (DC). Процес встановлення для кожного комп’ютера зазвичай займає 1-2 секунди. Ми рекомендуємо використовувати цю функцію для встановлення компонента на декілька комп’ютерів, а не на велику кількість. Для масштабних інсталяцій краще використовувати GPO.

Щоб перевірити статус комп’ютера, наведіть курсор на його назву, і з’явиться підказка з описом.

Колонка Component Version відображає версію компонента, якщо компонент вже встановлено.

Кнопка G1/G2 вибирає комп’ютери відповідно до налаштувань на екрані Install Policy (Крок 8).

Кнопка Clear All прибирає всі прапорці в чекбоксах.

Чекбокс Ping target before install увімкне надсилання ICMP-запиту (ping) на вибрану машину перед самим встановленням.

4.7. Завершіть інсталяцію

Після завершення інсталяції натисніть OK. Під час наступного запуску комп’ютера двофакторна автентифікація буде ввімкнена.

5. Як увімкнути доступ по RDP

ЗВЕРНІТЬ УВАГУ! Поки ви не зробите наступне, доступ до комп’ютера через RDP буде заборонено.

1. Перейти до розділу Ресурси натисніть на назву вашого ресурсу і перейдіть на вкладку Winlogon.
2. Активуйте параметр Access accepted для RDP. Активація цього параметра дозволяє доступ до комп’ютера по RDP без двофакторної автентифікації.

 

3. Щоб увімкнути двофакторну автентифікацію при запиті доступу через RDP, додатково активуйте параметр Apply 2FA для RDP.

6. Бекап-коди для офлайн доступу

Для нормальної роботи системи двофакторної автентифікації Protectimus комп’ютер повинен бути підключений до Інтернету.

Для екстрених випадків, коли користувач не може підключитися до Інтернету, є можливість увійти в обліковий запис, використовуючи бекап-код замість одноразового пароля.

Перший бекап-код видається під час встановлення компонента. Зверніть увагу, що цей код дійсний для всіх облікових записів, зареєстрованих на цьому комп’ютері. Він може бути використаний один раз, після чого буде згенеровано новий код, який буде показано користувачеві одразу після вводу першого коду. Новий бекап-код також буде дійсний для всіх облікових записів, зареєстрованих на цьому комп’ютері.

УВАГА! Коли користувач увійде в систему з бекап-кодом, буде згенеровано новий код, який необхідно зберегти і використати наступного разу, коли користувачу знадобиться увійти в свій обліковий запис в офлайн-режимі. Цей бекап-код також буде працювати для всіх облікових записів на цьому комп’ютері.

6.1. Як перевипустити бекап-код

Якщо користувачі з якихось причин втратили бекап-код, вони можуть випустити новий бекап-код, перебуваючи в мережі. Для цього потрібна спеціальна утиліта, яку ваш головний адміністратор облікового запису Protectimus може запросити за адресою support@protectimus.com.

Використовувати утиліти:

• Увійдіть у свій обліковий запис Windows.
• Завантажте та запустіть утиліту.
• Натисніть CTRL + ALT + DEL
• Збережіть новий бекап-код.

7. Логи та помилки

У разі виникнення помилок, у вас є кілька способів перевірити, що сталося. По-перше, перевірте системні логи Windows (Event Viewer -> Windows Logs -> Application).

Логи локальної платформи Protectimus можна знайти в каталогах PLATFORM_DIR та TOMCAT_HOME/logs (наприклад, C:\Windows\Temp\Protectimus.log).

Також відвідайте сторінку Події (Events) на платформі Protectimus, де ви побачите відповідну інформацію.

8. Деінсталяція

Якщо у вас немає доступу до облікового запису Windows, ви можете вимкнути застосунок Protectimus Winlogon у безпечному режимі.

Процес деінсталяції може включати один або обидва з наведених нижче етапів залежно від вашого середовища:

• Видалення на рівні домену через GPO (якщо компонент розгорнуто в доменному середовищі);
• Пряма деінсталяція з використанням інтерфейсу інсталятора.

Якщо компонент не встановлений у доменному середовищі, буде виконано лише пряму деінсталяцію.

1. Перейдіть до меню Видалення або зміни програм в Windows, знайдіть програму Protectimus Winlogon і натисніть Видалити.
2. Якщо компонент був встановлений у доменному середовищі, процес деінсталяції почнеться з екрана Uninstall Policy.
   
   На цьому екрані ви можете за потреби налаштувати GPO для автоматичного видалення компонента в домені:
   
   
   • Вибрати кілька груп, які потрібно включити або виключити з деінсталяції.
   • Задати назву GPO у полі GPO Name для політики видалення.
   • Вказати, чи потрібно автоматично прив’язати GPO за допомогою прапорця Link GPO to.
   
   Якщо встановлено прапорець Create GPO, інсталятор створить GPO для автоматичного видалення компонента на вибраних машинах.
   
   Якщо Link GPO to увімкнено, GPO буде автоматично прив’язаний до поточного домену. В іншому випадку він залишиться неактивним, доки ви не прив’яжете його вручну за допомогою стандартних інструментів Active Directory.
   
   
   
3. Після налаштування (або пропуску) кроку з GPO відкриється вікно Start uninstallation setup.
   
   На цьому етапі виконується пряма деінсталяція з використанням інтерфейсу інсталятора.
   
   Тут ви можете вибрати комп’ютери, на яких потрібно видалити компонент, або виконати деінсталяцію лише на поточному комп’ютері.
   
   
   
4. Після закриття попереднього вікна з’явиться екран Complete/Keep Uninstall з одним параметром:
   
   
   • Keep the installation on this computer to allow remote uninstallation later — якщо увімкнено, компонент залишиться на поточному комп’ютері для подальшого віддаленого видалення.
   
   Якщо прапорець не встановлено, компонент буде негайно видалено з поточного комп’ютера.
   
   

УВАГА!

Коли ви створюєте GPO для видалення Protectimus Winlogon & RDP на всіх комп’ютерах у вашому домені, видаліть цей GPO вручну після завершення деінсталяції.

Якщо не видалити GPO вручну, це може спричинити проблеми під час повторного встановлення компонента Protectimus Winlogon & RDP. У такому випадку програмне забезпечення може не встановлюватися або не видалятися автоматично на комп’ютерах з Windows у домені.