Защита Терминального сервера при помощи SMS и одноразовых паролей

Программа Rohos Logon Key позволяет установить надежную двух-факторную аутентификацию для защиты доступа на терминальный сервер Windows Server 2012/2016 с использованием SMS авторизации, одноразовых паролей (Google Authenticator) либо электронных ключей типа ruToken.

Системные требования: Windows 2008/2012/2016. А также Web Access

Поддерживаемые варианты 2-факторной аутентификации:

  1. Когда используется смартфон и служба Google Authenticator + Windows Login;
  2. Когда одноразовый пароль доставляется на любой мобильный телефон по SMS + Windows Login;
  3. Когда используется аппаратный генератор Одноразовых Паролей (Yubikey) + Windows Login;
  4. Когда используется только электронные ключи типа ruToken + PIN код
  5. Когда для каждого пользователя может быть сконфигурирован любой указанный выше тип.

Преимущества 2-факторной аутентификации для защиты Удаленного доступа:

  • Одноразовый пароль является уникальным и не может быть использован повторно;
  • Только смартфон пользователя способен сгенерировать одноразовый пароль;
  • Пользователь обязан использовать новый Одноразовый Пароль каждый раз для входа на Удаленный Рабочий Стол;
  • Перехват обычного пароля либо Одноразового пароля не позволит посторонним лицам получить доступ к серверу;
  • Позволяет установить двух-факторную авторизацию только для удаленного доступа к серверу в то время как локальный доступ будет выполняться по паролю как прежде.
  • Нет необходимости устанавливать программу Rohos logon Key на клиентском компьютере;

Гибкая настройка принудительной 2-факторной аутентификации для пользователей Удаленного Рабочего Стола:

  • Требовать одноразовый пароль для пользователей из списка настроенных пользователей в Rohos Logon Key;
  • Требовать одноразовый пароль — только к группе пользователей в Active Directory;
  • по фильтру IP адресов — Разрешать обычный доступ для всех пользователей при подключении из локальной сети (LAN) тогда как для подключений из внешней сети (WAN) требовать предъявление одноразового пароля либо электронного ключа.

Rohos Logon Key позволяет защитить доступ к удаленному рабочему столу Windows, используя популярную технологию аутентификации по одноразовым паролям (HOTP, TOPT, OATH), которая дополняет стандартный доступ по паролю.


Как Это работает.

Rohos Logon Key заменяет собой провайдер службы аутентификации терминальных сервисов. Программа добавляет уровень 2-факторной аутентификации к существующей инфраструктуре. После развертывания программы пользователи смогут войти на удаленный рабочий стол используя 2-факторную аутентификацию: код OTP а также обычный логин (имя пользователя \ пароль).

Сообщение программы Rohos Logon Key, при обязательной 2-факторной аутентификации:

Пользователь вводит код  OTP для продолжения входа на Удаленный Рабочий Стол :

Читайте далее как это настроить.


Установка Rohos Logon Key на терминальный сервер

1. Установите программу Rohos Logon Key на Терминальном Сервере Windows 2008/2012 :

Загрузить 15-дневную пробную версию Rohos Logon Key.

2. Включите 2-факторную аутентификацию с использованием одноразовых паролей. Откройте Опции и выберите  “Google Authenticator (OATH)”:

3. Настройте политику 2-факторной аутентификации:

  • For a listed users Обязательное использование 2-FA будет только для тех пользователей, для кого она была настроена. Все остальные могут входить по паролю как обычно. Список пользователей создается автоматически после настройки входа в окне “Setup a Key”. Для предварительного просмотра этого списка откройте окно “Users and Keys”.
  • For ‘rohos’ user group in Active Directoryкаждый пользователь из группы ‘rohos’ обязан использовать 2-факторную аутентификацию.Обратите внимание: группа ‘rohos’ должна быть предварительно создана администратором в домене; Все пользователи, для которых в дальнейшем будут создаваться аппаратные ключи, будут автоматически добавляться в группу ‘rohos’.
  • For Remote Desktop loginВсе удаленные сессии требуют 2-FA;
  • For Remote desktop login outside LAN(экспериментальная функция)Только те пользователи, которые приходят из внешней сети (через dial-up, DSL-соединения, и из других сетей) нуждаются в дополнительной проверке.

Чтобы это проверить, в качестве терминального сервера у вас должна быть установлена система Windows 2003/ 2008/ 2012 Server.

4. Настройте Аварийный вход

Чтобы предотвратить блокировку сервера из-за применения 2-факторной аутентификации мы рекомендуем настроить аварийный вход. Это позволит администратору войти на терминальный сервер с использованием имени пользователя, пароля и контрольных вопросов. Аварийный вход не требует 2-факторной аутентификации. Аварийный вход не требуется, если у вас есть доступ к консоли сервера.


Как включить 2-факторную аутентификацию для профиля пользователя

2-факторная аутентификация назначается индивидуально для каждого пользовательского профиля. Автоматическая установка возможна только при выборе опции “OTP delivery by SMS”.

Запустите программу  Rohos Logon Key и выполните команду  Setup a Key:

  1. Выберите профиль пользователя;
  2. Выберите тип генератора одноразовых паролей для данного пользователя;
  3. Оставьте пустым поле пароля;
  4. Нажмите кнопку “Enable OTP login” чтобы применить конфигурацию.

Выполните команду “Display QR-Code” и “Copy code” для конфигурирования Google Authenticator или отправить конфигурацию Google Authenticator пользователю по электронной почте.

При использовании опции “OTP by SMS” :

— Введите номер мобильного телефона или убедитесь, что заполнено поле «телефон» в свойствах профиля пользователя.

— Убедитесь в поддержке шлюза SMS в Options>Google Authenticator options.


Автоматическая  2-факторная аутентификация через отправку кода OTP через SMS

Rohos Logon Key позволяет использовать автоматическую 2-FA для пользователей удаленного доступа. Rohos будет автоматически отправлять одноразовый пароль по SMS пользователю на телефон при авторизации на Remote Desktop.

Ваш Терминальный сервер должен быть настроен в соответствии со следующими требованиями:

  • Поле телефона пользователя должно содержать номер его мобильного телефона;
  • Rohos Logon Key должен быть настроен с поддержкой SMS-шлюза

Настройка SMS-шлюза

  1. Выберите пожалуйста одну из доступных  служб доставки SMS по Web в вашей стране (это платный сервис);
  2. Настройте http-запрос шлюза доставки SMS в программе  Rohos Logon Key > Options > Google Auth, > Options…;
  3. Настройте в URL параметры %phone% и %text%.

Вот пример адреса URL :

innosend.de/gateway/sms.php?id=USERNAME&pw=PASSWORD&text=%text%&empfaenger=%phone%&type=2

в этом запросе поля %phone% и %text% будут заменены номером телефона пользователя и текстом кода OTP.

Введите номер телефона и нажмите кнопку “test” чтобы отправить тестовое SMS с кодом OTP.

Удаленный вход с SMS-аутентификацией будет автоматически включен:

remote-desktop-login-otp-sms-2-authentication-sms


Как отключить или сбросить 2-факторную аутентификацию

Есть два способа отключения или сброса 2FA для всего сервера или выбранного пользовательского профиля.

Чтобы отключить политику 2FA:

  • Деинсталляция Rohos Logon Key восстановит обычную аутентификацию по паролю;
  • Установка в “none” опции “Allows to login by USB key” временно отключит 2FA для всех пользователей.

Для сброса или перенастройки или отключения 2FA для какого-то определенного пользователя:

  1. Удаление учетной записи пользователя из группы rohos в AD отключит потребность использования 2FA для этого пользователя (только в случае применения политики  “for rohos user group in AD”)
  2. Откройте программу Rohos > диалоговое окно Setup a Key > выберите профиль пользователя > и нажмите кнопку disable OTP login. Это сбросит настройки 2-FA конфигурации для этого пользователя.  Генератор OTP, используемый для этого пользователя (с помощью Google Authenticator, или Yubikey например) станет недействительным.
  3. Откройте программу Rohos > диалоговое окно User and Keys > найдите пользователя и удалите его из списка. Это отключит требование 2-факторной аутентификации для этого пользователя (только в случае применения политики “for Listed users”)

Включение 2-FA с использованием фильтра IP-адреса

Экспериментальная функция программы Rohos Logon Key позволяет фильтровать удаленные подключения по IP-адресу клиента и требует 2-FA по маске IP.

Как испытать 2-FA для удаленного подключения с использованием фильтра IP:

  1. Находясь в сессии Remote Desktop откройте опции Rohos Logon Key.
  2. Выберите в списке “Allow to login only by USB Key” значение “For Remote Desktop users outside LAN”.
  3. Щелкнув на [?] вы можете проверить, смогла ли программа Rohos определить WAN IP адрес вашего клиента.
  4. Укажите “LAN IP Filter:” , это должен быть префикс от адреса вашей локальной сети. Использую этот префикс, программа Rohos Logon key отличит соединение LAN от WAN, и будет требовать 2-факторную аутентификацию для клиента с внешним IP-адресом.


Какая лицензия нужна для Remote Desktop Connection?

        • Если на компьютере, исполняющем роль сервера, установлена операционная система Windows XP, Windows Vista, 7 или 8, программе Rohos Logon Key, установленной на нем, нужна PRO лицензия.
        • Если на компьютере, исполняющем роль сервера, установлена операционная система Windows 2000, 2003, 2008, 2011SBS или 2012, то программе Rohos Logon Key нужна Серверная лицензия.
        • Количество подключаемых пользователей не ограничено.

 

Загрузка Rohos Logon Key v.3.1. beta

Подробнее о защите Терминального Сервера с помощью Rohos Logon Key