Защита Терминального сервера при помощи SMS / Email и одноразовых паролей

Программа Rohos Logon Key позволяет установить надежную авторидвух-факторную аутентификацию для защиты доступа на терминальный сервер Windows Server при помощи одноразовых паролей (OATH), созданными в Google Authenticator либо другими брелками-генераторами. Возможна также усиленная аутентификация посредством доставки одноразового пароля по Email/SMS при каждой новой попытке доступа.

Системные требования: Windows 2008/2012/2016. А также Web Access

Поддерживаемые варианты 2-факторной аутентификации

В случае удаленного доступа Windows Remote Desktop первый этап аутентификации выполняется пользователем на клиентском ПК — в программе MS Remote Desktop Connection при запросе аутентификации на сетевом уровне (NLA). После успешного прохождения первого этапа пользователь обязан пройти второй этап с использованием одноразового пароля.

Варианты второго этапа аутентификации с использованием одноразового пароля:

  1. Когда используется смартфон и программа Google Authenticator где отображается одноразовый код доступа;
  2. Когда одноразовый пароль генерируется на Сервере в момент доступа и доставляется на мобильный телефон пользователя по SMS;
  3. Такой же как и 2) но одноразовый пароль доставляется посредством E-mail почты на смартфон пользователя;
  4. Когда используется аппаратный генератор Одноразовых Паролей (eToken OTP, JaCarta WebPass);
  5. Когда используется электронные ключи типа ruToken + PIN код (Читать подробнее)

Возможно настроить Варианты 1-4 для разных групп пользователей.
В случае использования Вариантов 2-3 секретный ключ для генерации Кода храниться только на сервере, что исключает кражу или копирование генератора Кодов.

Преимущества 2-факторной аутентификации при помощи одноразовых Кодов:

  • Одноразовый пароль является уникальным, не может быть использован повторно и годен к применению максимум 2 минуты;
  • Только смартфон пользователя способен сгенерировать одноразовый пароль;
  • Пользователь обязан использовать новый Одноразовый Пароль каждый раз для входа на Удаленный Рабочий Стол;
  • Перехват обычного пароля либо Одноразового пароля по отдельности не позволит посторонним лицам получить доступ к серверу;
  • Позволяет установить двух-факторную аутентификацию только для удаленного доступа к серверу в то время как локальный доступ будет выполняться одним фактором — по паролю как обычно.
  • Нет необходимости устанавливать программу Rohos logon Key на клиентском компьютере;

Гибкая настройка принудительной 2-факторной аутентификации для пользователей Удаленного Рабочего Стола:

  • Требовать одноразовый пароль для пользователей из списка настроенных пользователей в Rohos Logon Key;
  • Требовать одноразовый пароль — только к группе пользователей в Active Directory;
  • по фильтру IP адресов — Разрешать обычный доступ для всех пользователей при подключении из локальной сети (LAN) тогда как для подключений из внешней сети (WAN) требовать предъявление одноразового пароля либо электронного ключа.

Rohos Logon Key позволяет защитить доступ к удаленному рабочему столу Windows, используя популярную технологию аутентификации по одноразовым паролям (HOTP, TOPT, OATH), которая дополняет стандартный доступ по паролю.


Как Это работает.

Rohos Logon Key заменяет собой провайдер службы аутентификации терминальных сервисов. Программа добавляет уровень 2-факторной аутентификации к существующей инфраструктуре. После развертывания программы пользователи смогут войти на удаленный рабочий стол используя 2-факторную аутентификацию: код OTP а также обычный логин (имя пользователя \ пароль).

Сообщение программы Rohos Logon Key, при обязательной 2-факторной аутентификации:

Пользователь вводит код  OTP для продолжения входа на Удаленный Рабочий Стол :

Читайте далее как это настроить.


Установка Rohos Logon Key на терминальный сервер

1. Установите программу Rohos Logon Key на Терминальном Сервере Windows 2008/2012/2016 :

Загрузить 15-дневную пробную версию Rohos Logon Key.

2. Включите 2-факторную аутентификацию с использованием одноразовых паролей. Откройте Опции и выберите  “Google Authenticator (OATH)”:

3. Настройте политику 2-факторной аутентификации:

  • For a listed users
    Обязательное использование 2-FA будет только для тех пользователей, для кого она была настроена. Все остальные могут входить по паролю как обычно. Список пользователей создается автоматически после настройки входа в окне “Setup a Key”. Для предварительного просмотра этого списка откройте окно “Users and Keys”.
  • For ‘rohos’ user group in Active Directory
    каждый пользователь из группы ‘rohos’ обязан использовать 2-факторную аутентификацию.Обратите внимание: группа ‘rohos’ должна быть предварительно создана администратором в домене; Все пользователи, для которых в дальнейшем будут создаваться аппаратные ключи, будут автоматически добавляться в группу ‘rohos’.
  • For Remote Desktop login
    Все удаленные сессии требуют 2-FA;
  • For Remote desktop login outside LAN
    Только те пользователи, которые приходят из внешней сети (через dial-up, DSL-соединения, и из других сетей) нуждаются в дополнительной проверке. В настройках необходимо ввести подстроку, пример IP локальной сети, чтобы Rohos мог определить какой IP считать внешним.

Чтобы это проверить, в качестве терминального сервера у вас должна быть установлена система Windows 2003/ 2008/ 2012 /2016 Server.

4. Настройте Аварийный вход

Чтобы предотвратить блокировку сервера из-за применения 2-факторной аутентификации мы рекомендуем настроить аварийный вход. Это позволит администратору войти на терминальный сервер с использованием имени пользователя, пароля и контрольных вопросов. Аварийный вход не требует 2-факторной аутентификации. Аварийный вход не требуется, если у вас есть доступ к консоли сервера.


Как включить 2-факторную аутентификацию для профиля пользователя

2-факторная аутентификация назначается индивидуально для каждого пользовательского профиля. Автоматическая установка возможна только при выборе опции “OTP delivery by SMS”.

Запустите программу  Rohos Logon Key и выполните команду  Setup a Key:

  1. Выберите профиль пользователя;
  2. Выберите тип генератора одноразовых паролей для данного пользователя;
  3. Оставьте пустым поле пароля;
  4. Нажмите кнопку “Enable OTP login” чтобы применить конфигурацию.

Выполните команду “Display QR-Code” и “Copy code” для конфигурирования Google Authenticator или отправить конфигурацию Google Authenticator пользователю по электронной почте.

При использовании опции “OTP by SMS” :

— Введите номер мобильного телефона или убедитесь, что заполнено поле «телефон» в свойствах профиля пользователя.

— Убедитесь в поддержке шлюза SMS в Options>Google Authenticator options.


Автоматическая  2-факторная аутентификация через отправку кода OTP через SMS либо E-mail

Rohos Logon Key позволяет использовать автоматическую 2-FA для пользователей удаленного доступа. Rohos будет автоматически отправлять одноразовый пароль по SMS либо по электронной почте (Email) пользователю на телефон при аутентификации в Windows Remote Desktop.

Ваш Терминальный сервер должен быть настроен в соответствии со следующими требованиями:

  • Поле «Мобильный телефон» в учетной записи пользователя должно содержать номер его мобильного телефона;
    Либо Поле Email должно быть заполнено.
  • Rohos Logon Key должен быть настроен с поддержкой SMS-шлюза

Системные требования:

  1. PowerShell v.3 или выше  (Windows 2008 R2 и выше);
  2. Выполнение скриптов разрешено. (Script execution policy is enabled;)
    Чтобы включить эту опцию необходимо выполнить команду  “Set-ExecutionPolicy -ExecutionPolicy RemoteSigned” в окне PowerShell. Разрешение на выполнение необходимо выполнить для обоих PowerShell and PowerShell (x86) как Администратор  Например как показано на скриншоте .

Настройка доставки Одноразовых Паролей по SMS либо Email :

  1. В программе  Rohos Logon Key > Options > Google Auth, > Options…;
  2. Нажать Edit для того чтобы открыть скрипт OtpDeliveryScript.ps1
  3. Отредактировать соответствующие поля

Вот пример определений:

$NotifyByEmail= false;

$NotifyBySms = $true;  -означает включить отправку по SMS

В скрипте найти строку $SmsGatewayUrl и записать туда URL службы доставки SMS gateway:

Например:

$SmsGatewayUrl = “https://api.clickatell.com/http/sendmsg?api_id=xxxx&user=xxxx&password=xxxx&to=$($AdUserName.telephoneNumber)&text=$($SmsNotificationText)”

Значение $($AdUserName.telephoneNumber) $SmsNotificationText означают номер телефона учетной записи и текст сообщения.

Введите номер телефона и нажмите кнопку “test” чтобы отправить тестовое SMS с кодом OTP.

Удаленный вход с SMS-аутентификацией будет автоматически включен:

remote-desktop-login-otp-sms-2-authentication-sms

Проверка и устранение неполадок PowerShell

  • Запустите приложение ‘Windows PowerShell ISE’.
  • Откройте файл «C:\Program Files (x86)\Rohos\OtpDeliveryScript.ps1»
  • Перейдите в конец файла в секцию «# PART 3 — main entry point»
  • Следуйте указаниям и закоментируйте некоторые строки для запуска скрипта в тестовом режиме:
    # coment out to test in ‘Windows PowerShell ISE’
    #$user = «user»; #set user name to test
  • F9 — установка точки остановки на выбранной строке
  • F5 — запуск скрипта.
  • F10 — выполнение следующей команды .

После устранения неполадок закоментируйте строки назад.


Как отключить или сбросить 2-факторную аутентификацию

Есть два способа отключения или сброса 2FA для всего сервера или выбранного пользовательского профиля.

Чтобы отключить политику 2FA:

  • Деинсталляция Rohos Logon Key восстановит обычную аутентификацию по паролю;
  • Установка в “none” опции “Allows to login by USB key” временно отключит 2FA для всех пользователей.

Для сброса или перенастройки или отключения 2FA для какого-то определенного пользователя:

  1. Удаление учетной записи пользователя из группы rohos в AD отключит потребность использования 2FA для этого пользователя (только в случае применения политики  “for rohos user group in AD”)
  2. Откройте программу Rohos > диалоговое окно Setup a Key > выберите профиль пользователя > и нажмите кнопку disable OTP login. Это сбросит настройки 2-FA конфигурации для этого пользователя.  Генератор OTP, используемый для этого пользователя (с помощью Google Authenticator, или Yubikey например) станет недействительным.
  3. Откройте программу Rohos > диалоговое окно User and Keys > найдите пользователя и удалите его из списка. Это отключит требование 2-факторной аутентификации для этого пользователя (только в случае применения политики “for Listed users”)

Включение 2-FA с использованием фильтра IP-адреса

Экспериментальная функция программы Rohos Logon Key позволяет фильтровать удаленные подключения по IP-адресу клиента и требует 2-FA по маске IP.

Как испытать 2-FA для удаленного подключения с использованием фильтра IP:

  1. Находясь в сессии Remote Desktop откройте опции Rohos Logon Key.
  2. Выберите в списке “Allow to login only by USB Key” значение “For Remote Desktop users outside LAN”.
  3. Щелкнув на [?] вы можете проверить, смогла ли программа Rohos определить WAN IP адрес вашего клиента.
  4. Укажите “LAN IP Filter:” , это должен быть префикс от адреса вашей локальной сети. Использую этот префикс, программа Rohos Logon key отличит соединение LAN от WAN, и будет требовать 2-факторную аутентификацию для клиента с внешним IP-адресом.


Какая лицензия нужна для Remote Desktop Connection?

        • Если на компьютере, исполняющем роль сервера, установлена операционная система Windows XP, Windows Vista, 7 или 8, программе Rohos Logon Key, установленной на нем, нужна PRO лицензия.
        • Если на компьютере, исполняющем роль сервера, установлена операционная система Windows 2000, 2003, 2008, 2011SBS или 2012, то программе Rohos Logon Key нужна Серверная лицензия.
        • Количество подключаемых пользователей не ограничено.

 

Загрузка Rohos Logon Key v.3.1. beta

Подробнее о защите Терминального Сервера с помощью Rohos Logon Key