Настройка WinLogon

Двухфакторная аутентификация для бизнеса Контур.ID

Попробовать бесплатно

Для работы WinLogon установите:

RADIUS-адаптер.
Credential Provider для подтверждения второго фактора с помощью звонка или push-уведомления, если второй фактор Push/звонок.
Credential Provider для подтверждения второго фактора с помощью OTP-кода, если второй фактор OTP-код.

Шаги, необходимые для настройки двухфакторной аутентификации в WinLogon:

Шаг 1. Предварительная установка
Шаг 2. Создание конфигурации ресурса
Шаг 3. Установка компонентов
Шаг 4. Установка Filter
Обновление компонента

Шаг 1

Предварительная установка

В зависимости от вашей операционной системы, установите по порядку:

Для RADUIS:
- .NET Runtime 8: x64, x86, Arm64
- ASP.NET Core Runtime 8: x64, x86, Arm64.
Для Credential Provider:
- VCredist: x64, x86, Arm64
- .NET Runtime 8: x64, x86, Arm64.

Шаг 2

Создание конфигурации ресурса

Чтобы создать конфигурацию ресурса для защиты на двухфакторную аутентификацию:

Зайдите в кабинет администратора.
Перейдите в «Ресурсы» и выберите Windows.
Добавьте новую конфигурацию.
Заполните настройки:
- Название конфигурации: укажите любое имя, например, Kontur.ID.
- Второй фактор: выберите второй фактор — OTP-код, Push/звонок, либо оба сразу.
- Платформа: укажите операционную систему, на которой будет развернут серверный компонент RADIUS.
- IP-адрес Radius Adapter: укажите IP-адрес машины, на которой будет развернут серверный компонент RADIUS.
- Порт Radius Adapter: укажите порт адреса машины, на которой будет развернут серверный компонент RADIUS.
- Саморегистрация пользователей: включите или отключите саморегистрацию.
- Домен: укажите домен, в котором серверный компонент RADIUS будет проверять логин и пароль.
Нажмите на кнопку «Сохранить и скачать».

В результате вы получите zip-архив, в котором содержатся папки с настройками двухфакторной аутентификации:

Winlogon:
- CredentialProviderNotification, если в конфигурации ранее указали Push/звонок вторым фактором.
- CredentialProviderOtp, если в конфигурации ранее указали OTP-код вторым фактором.
- MsiPackage — файлы для установки Winlogon с помощью MSI.
RadiusProxyNotification, если в конфигурации ранее указали Push/звонок вторым фактором.
RadiusProxyOtp, если в конфигурации ранее указали OTP-код вторым фактором.

Файлы конфигурации уже настроены и готовы к использованию для защиты на второй фактор.

Для RadiusProxyNotification и RadiusProxyOtp, которые расположены на одном компьютере, укажите:

Разные номера портов.
Разные названия службы.

Шаг 3

Установка компонентов

Распакуйте скачанный zip-архив в произвольный каталог на устройстве пользователя.
Запустите установку Credential Provider любым удобным способом:
- Через автоматическую установку с помощью MSI-пакета.
- Через ручную установку с помощью скриптов.

Автоматическая установка Credential Provider через MSI-пакет

В распакованном архиве конфигурации откройте папку MsiPackage.
Запустите файл Kontur.ID.Installer-<номер версии>.msi.

Ручная установка Credential Provider через скрипты

Запустите консоль от имени администратора.
Перейдите в папку, где расположен файл установки install.bat. Файл размещён в папках CredentialProviderNotification и/или CredentialProviderOTP. Для этого в терминале наберите команду:
```
cd <абсолютный путь к файлу install.bat>
```
Запустите файл:
```
install.bat /s 
```

Шаг 4

Установка Filter

Установка Filter позволяет:

Закрыть на двухфакторную аутентификацию подключение к компьютеру пользователя по RDP.
Скрыть дополнительные Credential Provider.

Перед установкой Filter убедитесь, что при входе нет ошибок. Для этого проверьте работоспособность второго фактора на тестовом пользователе.

Автоматическая установка Filter через MSI-пакет

В распакованном архиве конфигурации откройте папку MsiPackage.
Запустите файл Kontur.ID.Installer-<номер версии>-Filter.msi.

Ручная установка Filter через скрипты

Запустите консоль от имени администратора.
Перейдите в папку, где расположен файл установки install.bat. Файл размещён в папках CredentialProviderNotification/Filter и/или CredentialProviderOTP/Filter. Для этого в терминале наберите команду:
```
cd <абсолютный путь к файлу install.bat>
```
Запустите файл:
```
install.bat /s 
```

Настройка двухфакторной аутентификации в WinLogon завершена.

Обновление компонента

Для предотвращения проблем с реальными пользователями рекомендуется сначала провести обновление в тестовой среде.

Перед началом обновления сделайте резервную копию текущих настроек. Это обеспечит возможность быстро вернуться к исходным параметрам при необходимости.

Процедура обновления Credential Provider и Filter включает следующие шаги:

В кабинете администратора скачайте актуальный адаптер WinLogon. Это может быть новая конфигурация или существующая, которую вы хотите обновить.
Проверьте технические требования. Перед обновлением WinLogon убедитесь, что установлены следующие компоненты:
1. Visual C++.
2. .NET Runtime 8: x64, x86, Arm64.
Обновите Credential Provider и Filter одним из способов:
- Если установка была с помощью MSI-пакета.
- Если установка была через скрипты.

Обновление MSI-пакета

Перейдите в раздел «Программы и компоненты» и найдите приложение Kontur.ID (MSI).
Щелкните правой кнопкой мыши по строке с приложением и выберите «Удалить».
В распакованном архиве конфигурации откройте папку MsiPackage.
Запустите новый файл Kontur.ID.Installer-<номер версии>.msi для установки Credential Provider.
Перед установкой Filter убедитесь, что при входе с помощью двухфакторной аутентификации нет ошибок.
Запустите новый файл Kontur.ID.Installer-<номер версии>-Filter.msi. для установки Filter.

Таким образом, вы обновите Credential Provider и Filter для WinLogon через MSI.

Обновление через скрипты

Удалите Credential Provider и Filter следуя инструкции из раздела «Удаление через скрипты».
Проверьте в реестре, что Credential Provider и Filter удалены.
Установите Credential Provider и Filter, следуя инструкции из раздела «Ручная установка через скрипты».

Таким образом, вы обновите Credential Provider и Filter для WinLogon через скрипты.

Удаление компонента

Удалите Credential Provider и Filter одним из способов:

Если установка была с помощью MSI-пакета.
Если установка была через скрипты.

Удаление MSI-пакета

Перейдите в раздел «Программы и компоненты»:
- В Windows 10/11: перейдите в раздел «Приложения» и выберите «Установленные приложения».
- В Windows 7/8: перейдите в раздел «Программы» и выберите «Программы и компоненты».
Найдите приложение Kontur.ID (MSI).
Щелкните правой кнопкой мыши по строке с приложением и выберите «Удалить».

Удаление через скрипты

Для Credential Provider:

Запустите консоль от имени администратора.
Перейдите в папку, где расположен файл установки uninstall.bat. Файл размещён в папках CredentialProviderNotification и/или CredentialProviderOTP. Для этого в терминале наберите команду:
```
cd <абсолютный путь к файлу uninstall.bat>
```
Запустите файл:
```
uninstall.bat /s 
```

Для Filter:

Запустите консоль от имени администратора.
Перейдите в папку, где расположен файл установки uninstall.bat. Файл размещён в папках CredentialProviderNotification/Filter и/или CredentialProviderOTP/Filter. Для этого в терминале наберите команду:
```
cd <абсолютный путь к файлу uninstall.bat>
```
Запустите файл:
```
uninstall.bat /s
```

Вопросы и ответы

Как проверить, что установился Credential Provider

На экране блокировки появятся плитки с новыми способами входа — push-уведомлением и/или OTP-кодом:

В реестре появится Provider для push-уведомления и/или OTP-кода.

Для push-уведомления:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{D24FE6A0-2FE3-4AEA-BB94-499937DC7B8D}

Для OTP-кода:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{D26F523C-A346-4FC8-B9B4-2B57EAEDA723}

Где расположены логи Credential Provider

Для push-уведомления:

C:\Windows\Logs\Kid.WinLogon.Provider.Notification

Для OTP-кода:

C:\Windows\Logs\Kid.WinLogon.Provider.OTP

Где расположены логи MSI

C:\Windows\SkbKontur\Kontur.ID

Как добавить пользователя в белый список

Откройте реестр:

Для push-уведомления:

HKEY_LOCAL_MACHINE\SOFTWARE\SkbKontur\Kontur.Id\Kid.WinLogon.Provider.Notification\Settings\AuthenticationSettings

Для OTP-кода:

HKEY_LOCAL_MACHINE\SOFTWARE\SkbKontur\Kontur.Id\Kid.WinLogon.Provider.OTP\Settings\AuthenticationSettings

Найдите настройку WhiteListUsers:
- в значение впишите учётные данные в формате NetBiosDomainName\login;
- сохраните и перезагрузите компьютер.

После перезагрузки компьютера проверьте, что вход под указанной выше учётной записью работает без ошибок. После проверки, установите Filter.

Как проверить, что установился Filter

В реестре появится Filter:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Provider Filters\{3FE25E07-e42e-4703-9980-2431c49e9d08}

Типы учётных записей

Локальные пользователи

Для входа с локальной учётной записью используйте формат:

<computername>\<localusername>
<localusername>

Пользователи Active Directory

Для входа с доменной учётной записью используйте форматы:

<localusername>@<domain>
<domain>\<localusername>

Устранение неполадок

Не работает Credential Provider или Filter

Проверьте, что папку с установленным Credential Provider или Filter:

Не удалили.
Не переместили в другую директорию.

Не работает автоматическая установка с помощью MSI

При установке адаптера WinLogon c помощью MSI может появиться форма с сообщением:

Для устранения неполадки, выполните одно из следующих действий:

Следуйте инструкции для ручной настройки MST и MSI-пакета. Если самостоятельно настроить MST и MSI-пакет не удаётся, обратитесь в службу поддержки или скачайте адаптер позже.