База знаний FAM/MFA+ : Установка FAM Windows Logon (Credential Provider) в ОС Windows локально

Общие сведения

Компонент Avanpost FAM Windows Logon (Credential Provider) может устанавливаться локально для решения следующих задач:

  • 2FA/MFA при доступе к рабочей станции;
  • 2FA/MFA при удалённом доступе к рабочей станции или серверу по RDP;
  • централизованного контроля доступа к рабочей станции или серверу по RDP.

Локальная установка Avanpost FAM Windows Logon может быть удобна в следующих случаях:

  • рабочая станция находится не в домене. К примеру, если в качестве рабочей станции используется ноутбук, не подключенный к домену, либо домашний компьютер сотрудника;
  • сервер находится не в домене из соображений безопасности.

В случае большого числа машин, на которые планируется установка Avanpost FAM Credential Provider, рекомендуется использовать способ установки через GPO .

Поддерживаются следующие ОС Windows:

  • Microsoft Windows Desktop 7 (до 2024);
  • Microsoft Windows Desktop 8.1;
  • Microsoft Windows Desktop 10;
  • Microsoft Windows Desktop 11;
  • Microsoft Windows Server 2012R2 (до 2024);
  • Microsoft Windows Server 2016;
  • Microsoft Windows Server 2019;
  • Microsoft Windows Server 2022.

Загрузка дистрибутива

Дистрибутив компонента Avanpost FAM Windows Logon доступен по ссылке: https://packages.avanpost.ru/ .

Компонент Avanpost FAM Windows Logon представляет собой zip-архив, содержащий:

  • установочный MSI-файл;
  • стандартный конфигурационный файл для MSI-файла.

Установка и настройка

На стороне рабочей станции под управлением ОС Microsoft Windows

  1. Распаковать дистрибутив в формате zip-архива в любой каталог.
  2. Отредактировать конфигурационный файл avanpostcred.ini , указав значение параметра Connect, равным адресу gRPC-интерфейса Avanpost FAM Server (см. Приложение А).
  3. Запустить установку MSI-пакета. Установщик предложит выполнить установку.
  4. После завершения установки перезагрузить машину.

Если предполагается использование 2FA/MFA для RDP-подключения к текущей машине, то для корректной работы Avanpost FAM Credential Provider через RDP с включенными Network Layer Authentication и SecurityLayer=3 ( HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\SecurityLayer ) необходимо на текущем узле, куда требуется входить с помощью  Avanpost FAM Credential Provider, отключить стандартный провайдер Microsoft: в реестре, по пути HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{60b78e88-ead8-445c-9cfd-0b87f74ea6cd}, создать ключ DWORD с именем «Disabled» и значением «1».

На стороне административной консоли Avanpost FAM Server

  1. Создать приложение с типом Desktop, имя фиксированное – «CredentialProvider», оставив пустым шаблон.
  2. На вкладке "Настройки аутентификации"(MFA) задать факторы аутентификации приложения:

    – на первом шаге: Password ( Рисунок );



    Для беспарольной аутентификации по QR-коду через Avanpost Authenticator на этом же шаге аутентификации перевести переключатель "Вход по QR-коду" в положение "Активно" ( Рисунок ).

    Первичный вход в Систему производится по паролю, далее – по QR-коду.

    Для обеспечения беспарольного входа в Систему предусмотрено сохранение до трех учетных записей пользователя.


    – на следующем шаге: установить второй фактор аутентификации.

  3. На этапе завершения настройки установить флажок "Сделать приложение активным" и сохранить.

Для настройки аутентификации по смарт-карте см. Настройка фактора Смарт-карта

Настройка TLS-шифрования передаваемых данных в рамках gRPC-интерфейса

Для включения режима TLS-шифрования в файле настроек ( ini  ) необходимо задать параметры:

CA=< имя файла сертификата сервера с полным путем >

SslTargetName=< имя хоста сервера, которое совпадает с именем в сертификате >

Обновление

На стороне сервера MS AD

При обновлении необходимо предпринять дополнительные шаги, чтобы сохранить предварительно настроенный ini-файл.

1. Скопировать ini-файл из ранее установленной версии Avanpost FAM Credential Provider.

2. Удалить ini-файл из нового распакованного дистрибутива.

3. Вернуть предварительно настроенный ini-файл в новую директорию дистрибутива.

Для стандартного обновления:

  1. Распаковать дистрибутив в формате zip-архива в любой каталог.
  2. Отредактировать конфигурационный файл avanpostcred.ini в дистрибутиве, указав значение параметра Connect, равным адресу gRPC-интерфейса Avanpost FAM Server (пример конфигурационного файла приведен в Приложении А).
  3. Запустить установку MSI-пакета. Установщик предложит выполнить обновление.
  4. После завершения обновления перезагрузить машину, на которой было произведено обновление Avanpost FAM Credential Provider.

Проверка установки или обновления

В режиме доступа к рабочей станции:

  1. Инициировать вход на рабочую станцию.
  2. Выбрать Avanpost FAM Credential Provider.
  3. Пройти аутентификацию в соответствии с настроенным сценарием аутентификации.

В режиме доступа по RDP:

  1. Инициировать подключение по RDP на рабочую станцию.
  2. Пройти аутентификацию в соответствии с настроенным сценарием аутентификации.

Приложение А. Пример настроенного конфигурационного файла avanpostcred.ini

Конфигурационный файл avanpostcred.ini , содержащийся в zip-архиве дистрибутива, может быть настроен следующим образом:

[Avanpost]
Connect=192.168.10.10:9007
Flags=NOFAMDOMAIN,SHOWALLCP
Token=rtPKCS11.dll

где в параметре Connect указан IP-адрес Avanpost FAM Server и gRPC-порт (стандартный gRPC-порт для Credential Provider – 9007 TCP). Настройка gRPC-порта выполняется на стороне сервера и описана в инструкции по настройке gRPC .

Доступные переменные для параметра Flags :

  • NOFAMDOMAIN - не передавать в FAM префикс домена для поиска пользователя. При использовании доменной аутентификации этот флаг необходимо удалить.
  • CPDEFAULT - установить провайдер  по умолчанию при старте (при работе нескольких провайдеров Credential Provider будет предложен по умолчанию).
  • SHOWALLCP - показывать все провайдеры при входе. Без данного флага провайдер будет один – Avanpost FAM Credential Provider. Рекомендуется оставить этот флаг для первичной отладки.
  • SHOWLOGONCP - показывать все провайдеры для LOGON (вход в системы, разблокировка).
  • SHOWCREDUICP -  показывать все провайдеры для CREDUI (приложения запрашивают учетные данные, например RDP).
  • OFFLINE_ENABLE – установить вход в Систему по паролю учетной записи ОС Windows без проверки аутентификации через сервер FAM в случаях, когда сервер FAM недоступен.

Доступные значения для параметра Token:

  • rtPKCS11.dll – для Рутокена;
  • jcPKCS11-2.dll – для Jakarta.