Захист Термінального сервера за допомогою SMS

сервера

Системні вимоги: Windows 2008/2012/2016. А також Web Access

Підтримувані варіанти 2-факторної аутентифікації

У разі віддаленого доступу Windows Remote Desktop перший етап автентифікації виконується користувачем на клієнтському ПК - у програмі MS Remote Desktop Connection при запиті автентифікації на мережному рівні (NLA). Після успішного проходження першого етапу користувач має пройти другий етап з використанням одноразового пароля.

Варіанти другого етапу аутентифікації з використанням одноразового пароля:

Переваги 2-факторної аутентифікації за допомогою одноразових Кодів:

Гнучке налаштування примусової 2-факторної автентифікації для користувачів віддаленого робочого столу:

Rohos Logon Key дозволяє захистити доступ до віддаленого робочого столу Windows, використовуючи популярну технологію автентифікації за одноразовими паролями (HOTP, TOPT, OATH), яка доповнює стандартний доступ за паролем.

Як це працює.

Rohos Logon Key замінює провайдер служби аутентифікації термінальних сервісів. Програма додає рівень 2-факторної автентифікації до існуючої інфраструктури. Після розгортання програми користувачі зможуть увійти на віддалений робочий стіл, використовуючи 2-факторну автентифікацію: код OTP а також звичайний логін (ім'я користувача \ пароль).

Повідомлення програми Rohos Logon Key, за обов'язкової 2-факторної аутентифікації:

захист

Користувач вводить код OTP для продовження входу на Віддалений Робочий Стіл:

захист

Читайте далі, як це налаштувати.

Встановлення Rohos Logon Key на термінальний сервер

1.Встановіть програму Rohos Logon Key на Термінальному Сервері Windows 2008/2012/2016 :

2. Увімкніть 2-факторну аутентифікацію за допомогою одноразових паролів. ВідкрийтеОпції та виберіть “Google Authenticator (OATH)”:

захист

3. Налаштуйте політику 2-факторної аутентифікації:

Щоб це перевірити, як термінальний сервер у вас має бути встановлена ​​система Windows 2003/2008/2012/2016 Server.

4. Налаштуйте Аварійний вхід

Як увімкнути 2-факторну автентифікацію для профілю користувача

2-факторна автентифікація призначається індивідуально для кожного профілю користувача. Автоматичне встановлення можливе лише при виборі опції “OTP delivery by SMS”.

Запустіть програмуRohos Logon Key та виконайте командуSetup a Key :

термінального

  1. Виберіть профіль користувача;
  2. Виберіть тип генератора одноразових паролів для користувача;
  3. Залишіть порожнім поле пароля;
  4. Натисніть кнопку “Enable OTP login”, щоб застосувати конфігурацію.

Виконайте команду “Display QR-Code” та “Copy code” для конфігурування Google Authenticator або надіслати конфігурацію Google Authenticator користувачу електронною поштою.

При використанні опції “OTP by SMS”:

— Переконайтеся, що підтримка шлюзу SMS в Options>Google Authenticator options.

Ваш Термінальний сервер має бути налаштований відповідно до таких вимог:

  1. PowerShell v.3 або вище (Windows 2008 R2 та вище);
  2. Виконання скриптів дозволено. (Script execution policy is enabled;) Щоб увімкнути цю опцію, необхідно виконати команду “Set-ExecutionPolicy -ExecutionPolicy RemoteSigned” у вікні PowerShell.Дозвіл на виконання необхідно виконати для обох PowerShell and PowerShell (x86) як Адміністратор Наприклад, як показано на скріншоті .

Налаштування доставки Одноразових Паролей по SMS або Email :

термінального

  1. У програмі Rohos Logon Key > Options > Google Auth, > Options…;
  2. Натиснути кнопку Edit, щоб відкрити скрипт OtpDeliveryScript.ps1
  3. Відредагувати відповідні поля

захист

Ось приклад визначень:

$NotifyBySms = $true; -означає увімкнути відправку по SMS

У скрипті знайти рядок $SmsGatewayUrl та записати туди URL служби доставки SMS gateway:

Віддалений вхід із SMS-автентифікацією буде автоматично включений:

сервера

Перевірка та усунення несправностей PowerShell

  • Запустіть програму Windows PowerShell ISE.
  • Відкрийте файл "C:\Program Files (x86)\Rohos\OtpDeliveryScript.ps1"
  • Перейдіть до кінця файлу в секцію «# PART 3 — main entry point»
  • Виконайте вказівки та закоментуйте деякі рядки для запуску скрипту в тестовому режимі: # coment out to test in Windows PowerShell ISE #$user = «user»; #set user name to test
  • F9 — Встановлення точки зупинки на вибраному рядку
  • F5 – запуск скрипта.
  • F10 - виконання наступної команди.

Після усунення несправностей закоментуйте рядки тому.

Як вимкнути або скинути 2-факторну автентифікацію

Є два способи відключення або скидання 2FA для всього сервера або вибраного профілю користувача.

Щоб вимкнути політику 2FA:

  • Деінсталяція Rohos Logon Key відновить звичайну аутентифікацію за паролем;
  • Встановлення в “none” опції “Allows to login by USB key”тимчасово вимкне 2FA для всіх користувачів.

Для скидання або переналаштування або відключення 2FA для певного користувача:

  1. Видалення облікового запису користувача з групиrohos в AD відключить потребу використання 2FA для цього користувача (тільки у разі застосування політики “for rohos user group in AD”)
  2. Відкрийте програмуRohos > діалогове вікноSetup a Key > виберіть профіль користувача > та натиснітьdisable OTP login. Це скине параметри 2-FA конфігурації для цього користувача. Генератор OTP, який використовується для цього користувача (за допомогою Google Authenticator, або Yubikey наприклад) стане недійсним.
  3. Відкрийте програмуRohos > діалогове вікноUser and Keys > знайдіть користувача та видаліть його зі списку. Це відключить вимогу 2-факторної аутентифікації для цього користувача (тільки у разі застосування політики for Listed users)

Як випробувати 2-FA для віддаленого підключення з використанням фільтра IP: