База знаний FAM/MFA+ : Установка FAM Windows Logon (Credential Provider) в ОС Windows через GPO (групповые политики)

Общие сведения

Компонент Avanpost FAM Windows Logon (Credential Provider) может устанавливаться через GPO для решения следующих задач:

  • 2FA/MFA при доступе к рабочей станции;
  • 2FA/MFA при удалённом доступе к рабочей станции или серверу по RDP;
  • централизованного контроля доступа к рабочей станции или серверу по RDP.

Для установки через механизм GPO (Group Policy) рабочая станция или сервер должны находиться в домене, через который осуществляется управление.

Поддерживаются следующие ОС Windows:

  • Microsoft Windows Desktop 7;
  • Microsoft Windows Desktop 8;
  • Microsoft Windows Desktop 10;
  • Microsoft Windows Desktop 11;
  • Microsoft Windows Server 2012R2;
  • Microsoft Windows Server 2016;
  • Microsoft Windows Server 2019;
  • Microsoft Windows Server 2022.

Загрузка дистрибутива

Дистрибутив компонента Avanpost FAM Windows Logon (Credential Provider) доступен по ссылке: https://packages.avanpost.ru/ .

Компонент Avanpost FAM Windows Logon представляет собой zip-архив, содержащий:

  • установочный MSI-файл;
  • стандартный конфигурационный файл для MSI-файла.

Установка и настройка

На стороне сервера MS AD

  1. Создать объект групповой политики, в разделе объекта GPO: Computer Configuration -> Policies -> Software Settings -> Software installation, ЛКМ -> New -> Package.
  2. Выбрать установочный файл MSI, который должен находиться в каталоге домена SYSVOL вместе с файлом avanpostcred.ini , в окне «Deploy Software» - Advanced.
  3. В корневом каталоге c установочным файлом должен находиться ini-файл с именем «avanpostcred.ini» и содержимым, указанным в Приложении А.
  4. Назначить объект GPO юниту с компьютерами, на которые требуется установить Avanpost FAM Credential Provider.

Если требуется отключение стандартного провайдера Windows, то в разделе созданного объекта GPO: Computer Configuration -> Preferences -> Windows Settings ->Registry создать новый ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{60b78e88-ead8-445c-9cfd-0b87f74ea6cd}: создать ключ DWORD с именем « Disabled » и значением « 1 »:

Если предполагается использование 2FA/MFA для RDP-подключения к текущей машине, то для корректной работы Avanpost FAM Credential Provider через RDP с включенными Network Layer Authentication и SecurityLayer=3 ( HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\SecurityLayer ) нужно на текущем узле, куда требуется входить с помощью Credential Provider, отключить стандартный провайдер Microsoft: в реестре, по пути HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{60b78e88-ead8-445c-9cfd-0b87f74ea6cd}, создать ключ DWORD с именем «Disabled» и значением «1».

На стороне административной консоли Avanpost FAM Server

  1. Создать приложение с типом Desktop, имя приложения фиксированное – «CredentialProvider».

Обновление

На стороне сервера MS AD

  1. Для обновления Credential Provider`а в существующей политике по установке в разделе объекта GPO: Computer Configuration -> Policies -> Software Settings -> Software installation, ЛКМ -> New -> Package выбрать новую версию MSI Credential Provider, в окне «Deploy Software» - Advanced и выполнить настройки в соответствии со скриншотом:

  2. В случае обновления в каталоге с файлом MSI должен присутствовать корректный файл avanpostcred.ini .

    Для сохранения предварительно настроенного ini-файла:

    1. Скопировать ini-файл из ранее установленной версии Avanpost FAM Credential Provider.

    2. Разместить ini-файл в каталоге с файлом MSI.


Проверка после установки или обновления

В режиме доступа к рабочей станции:

  1. Инициировать вход на рабочую станцию.
  2. Выбрать Avanpost FAM Credential Provider.
  3. Пройти аутентификацию в соответствии с настроенным сценарием аутентификации.

В режиме доступа по RDP:

  1. Инициировать подключение по RDP на рабочую станцию.
  2. Пройти аутентификацию в соответствии с настроенным сценарием аутентификации.

Приложение А. Пример конфигурационного файла avanpostcred.ini

Конфигурационный файл avanpostcred.ini , содержащийся в zip-архиве дистрибутива, может быть настроен следующим образом:

[Avanpost]
Connect=192.168.10.10:9007
Flags=NOFAMDOMAIN,SHOWALLCP
Token=rtPKCS11.dll

где в параметре Connect указан IP-адрес Avanpost FAM Server и gRPC-порт (стандартный gRPC-порт для Credential Provider – 9007 TCP). Настройка gRPC-порта выполняется на стороне сервера и описана в инструкции по настройке gRPC .

Доступные переменные для параметра Flags :

  • NOFAMDOMAIN - не передавать в FAM префикс домена для поиска пользователя. При использовании доменной аутентификации данный флаг необходимо удалить.
  • CPDEFAULT - установить провайдер  по умолчанию при старте (при работе нескольких провайдеров Credential Provider будет предложен по умолчанию).
  • SHOWALLCP - показывать все провайдеры при входе. Без данного флага провайдер будет один – Avanpost FAM Credential Provider. Рекомендуется оставить этот флаг для первичной отладки.
  • SHOWLOGONCP - показывать все провайдеры для LOGON (вход в системы, разблокировка).
  • SHOWCREDUICP -  показывать все провайдеры для CREDUI (приложения запрашивают учетные данные, например RDP).
  • OFFLINE_ENABLE - установить вход в Систему по паролю учетной записи ОС Windows без проверки аутентификации через сервер FAM в случаях, когда сервер FAM недоступен.

Доступные значения для параметра Token:

  • rtPKCS11.dll – для Рутокена;
  • jcPKCS11-2.dll – для Jakarta.