Avanpost FAM/MFA+ : 4.4.6. Установка FAM Windows Logon (Credential Provider) в ОС Windows через GPO (групповые политики)

4.4.6. Установка FAM Windows Logon (Credential Provider) в ОС Windows через GPO (групповые политики)

Общие сведения

Компонент Avanpost FAM Windows Logon (Credential Provider) устанавливается через GPO (Group Policy) для решения следующих задач:

  • осуществления 2FA/MFA для получения доступа к рабочей станции;
  • осуществления 2FA/MFA для удалённого доступа к рабочей станции или серверу через RDP;
  • централизованного контроля доступа к рабочей станции или серверу через RDP.

Установка через групповые политики рекомендуется, когда компонент необходимо установить на большое количество устройств. В противном случае рекомендуется устанавливать компонент локально.

Для установки через механизм GPO рабочая станция или сервер должны находиться в домене, через который осуществляется управление. 

Компонент поддерживает следующие ОС Windows:

  • Microsoft Windows Desktop 7;
  • Microsoft Windows Desktop 8;
  • Microsoft Windows Desktop 10;
  • Microsoft Windows Desktop 11;
  • Microsoft Windows Server 2012R2;
  • Microsoft Windows Server 2016;
  • Microsoft Windows Server 2019;
  • Microsoft Windows Server 2022.

Загрузка дистрибутива

Перед установкой следует загрузить дистрибутив компонента Avanpost FAM Agent, представляющий собой zip-архив, содержащий:

  • установочный MSI-файл;
  • стандартный конфигурационный файл для MSI-файла.

Установка компонента на стороне MS AD

Настройка компонента в интерфейсе сервера MS AD осуществляется в следующей последовательности: 

  1. Распаковать скачанный дистрибутив в формате zip-архива в каталоге домена SYSVOL.
  2. Войти в консоль управления групповыми политиками (GPMS). Для этого следует открыть командную строку (Win+R), ввести gpmc.msc и нажать OK. 

    Консоль управления групповыми политиками (GPMS) доступна, если на контроллер домена установлена роль Active Directory Domain Service (AD DS). Установка ролей осуществляется через Диспетчер серверов. В диспетчере серверов следует войти с стандартное меню "Add roles and features" и выбрать компонент Group Policy Management.

  3. В консоли управления групповыми политиками необходимо создать пакет (Конфигурация компьютера Политики Конфигурация программ → Установка программ, ЛКМ Создать Пакет).

  4. Выбрать установочный MSI-файл, находящийся в каталоге домена SYSVOL вместе с файлом avanpostcred.ini.
  5. В открывшемся окне "Развертывание программ" выбрать метод развертывания "Назначенный" и нажать "ОК".

  6. В корневом каталоге c установочным файлом должен находиться ini-файл с именем «avanpostcred.ini» и содержимым, указанным в Приложении А.
  7. Отредактировать конфигурационный файл avanpostcred.ini, задав значения параметров в соответствии с Приложением А.
  8. Назначить объект GPO юниту с компьютерами, на которые требуется установить Avanpost FAM Credential Provider.

После первичной отладки рекомендуется отключить стандартные провайдеры аутентификации обеспечиваемые ОС Windows. Для этого следует:

  1. Войти в консоль управления групповыми политиками (GPMS). Для этого следует открыть командную строку (Win+R), ввести gpmc.msc и нажать OK. 
  2. Перейти в раздел созданного объекта групповой политики (Computer Configuration -> Preferences -> Windows Settings →Registry).
  3. Создать новый ключа реестра с параметрами:
    • Hive - HKEY_LOCAL_MACHINE
    • Key Path - SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{60b78e88-ead8-445c-9cfd-0b87f74ea6cd}
    • Value name - Disabled
    • Value type - REG_DWORD
    • Value data - 1

Если предполагается использование 2FA/MFA для RDP-подключения к текущей машине, то для корректной работы Avanpost FAM Credential Provider через RDP с включенными:

  • Network Layer Authentication 
  • SecurityLayer=3 (путь к параметру в Редакторе реестра: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\SecurityLayer)

на узле, куда планируется входить с помощью Credential Provider, требуется отключить стандартный провайдер Microsoft. Для этого следует:

  1. Войти в Редактор реестра. Для этого стоит открыть командную строку (Win+R), ввести regedit и нажать OK.
  2. Перейти по следующему пути в Редакторе реестра:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{60b78e88-ead8-445c-9cfd-0b87f74ea6cd} 
  3. Создать ключ DWORD (в контекстном меню нажать "Создать" и выбрать "DWORD 32 бита") с именем «Disabled» и значением «1».

На стороне административной консоли Avanpost FAM Server

Настройка компонента в интерфейсе административной консоли Avanpost FAM Server осуществляется в следующей последовательности: 

  1. Зайти во вкладку создания приложения, нажав кнопку "Добавить приложение" в сервисе "Приложения".
  2. На этапе "Основные настройки" требуется ввести наименование и выбрать тип Windows Logon (более подробно процесс создания и управления приложениями описан в разделах Управление приложениями и Управление Windows Logon-приложениями). В качестве названия приложения необходимо использовать "CredentialProvider".
  3. На вкладке "Настройки аутентификации" выбрать факторы аутентификации приложения, установив переключатели напротив тех или иных факторов (более подробно описано в Шаг 2. Настройки аутентификации для Windows Logon-приложения).

    1. На первом шаге рекомендуется установить вход по паролю: установить переключатель в строке Password в положение "Активно" ().

      Для беспарольной аутентификации по QR-коду через мобильное приложение Avanpost Authenticator на первом шаге аутентификации следует перевести переключатель "Вход по QR-коду" в положение "Активно" ()Первичный вход в Систему будет осуществлен по паролю, затем будет использоваться QR-код. Для обеспечения беспарольного входа в Систему предусмотрено сохранение до трех учетных записей пользователя.

    2. На последующих шагах установить дополнительные факторы аутентификации.

      Данные о настройке аутентификации по смарт-карте даны в разделе Настройка фактора Смарт-карта.

  4. На этапе завершения настройки установить флажок "Сделать приложение активным" и сохранить (более подробно описано в Шаг 3. Завершение для Windows Logon-приложения). 

Обновление компонента

Обновление Avanpost FAM Windows Logon (Credential Provider) осуществляется на стороне сервера MS AD.

Для сохранения предварительно настроенного ini-файла: 

1. Скопировать ini-файл из ранее установленной версии Avanpost FAM Credential Provider.

2. Разместить ini-файл в каталоге с файлом MSI.

Стандартное обновление осуществляется следующим образом:

  1. Войти в консоль управления групповыми политиками (GPMS). Для этого следует открыть командную строку (Win+R), ввести gpmc.msc и нажать OK.
  2. Зайти в раздел объекта GPO (Computer Configuration -> Policies -> Software Settings -> Software installation, ЛКМ -> New -> Package).
  3. Выбрать установочный MSI-файл новой версии Credential Provider.

    При обновлении в каталоге с файлом MSI должен присутствовать корректный файл avanpostcred.ini.

  4. В окне Deploy Software нажать "Advanced".
  5.  В окне Avanpost FAM Credential Provider Properties во разделе "Upgrades" нажать "Add"  и установить значения параметров:
    •  Choose a package from - Current Group Policy Object (GPO);
    •  Uninstall the existing package, then install the upgrade package.
  6. Нажать ОК и дождаться завершения обновления.

Проверка после установки или обновления

В режиме доступа к рабочей станции:

  1. Инициировать вход на рабочую станцию.
  2. Выбрать Avanpost FAM Credential Provider.
  3. Пройти аутентификацию в соответствии с настроенным сценарием аутентификации.

В режиме доступа по RDP:

  1. Инициировать подключение по RDP на рабочую станцию.
  2. Пройти аутентификацию в соответствии с настроенным сценарием аутентификации.

Приложение А. Параметры конфигурационного файла avanpostcred.ini

Конфигурационный файл avanpostcred.ini обладает следующими параметрами.

ПараметрОписание
ConnectIP-адрес Avanpost FAM Server и gRPC-порт (стандартный gRPC-порт для Credential Provider – 9007 TCP). Настройка gRPC-порта выполняется на стороне сервера и описана в инструкции по настройке gRPC.
Flags

Доступные переменные для параметра Flags:

  • NOFAMDOMAIN - не передавать в FAM префикс домена для поиска пользователя. При использовании доменной аутентификации данный флаг необходимо удалить.
  • CPDEFAULT - установить провайдер по умолчанию при старте (при работе нескольких провайдеров Credential Provider будет предложен по умолчанию).
  • SHOWALLCP - показывать все провайдеры при входе. Без данного флага провайдер будет один – Avanpost FAM Credential Provider. Рекомендуется оставить этот флаг для первичной отладки.
  • SHOWLOGONCP - показывать все провайдеры для LOGON (вход в системы, разблокировка).
  • SHOWCREDUICP -  показывать все провайдеры для CREDUI (приложения запрашивают учетные данные, например RDP).
  • OFFLINE_ENABLE - установить вход в Систему по паролю учетной записи ОС Windows без проверки аутентификации через сервер FAM в случаях, когда сервер FAM недоступен. 
Token

Указывает библиотеку для используемых токенов.

Доступные значения для параметра Token:

  • rtPKCS11.dll – для Рутокена;
  • jcPKCS11-2.dll – для Jakarta.
Model

Определяет модели используемых токенов.

Пример моделей для JaCard:

  • Model="JaCarta Laser"
  • Model="JaCarta GOST 2.0"
QR

 Позволяет провайдеру изменить основную иконку на QR-код заданной ссылки.

IconFile

Позволяет задать пользовательский логотип иконки провайдера (брендирование) с помощью указанного файла в формате BMP.

Tile

Задает количество сохраненных логинов в дополнение к основным:

  • если параметр не задан, то значение по умолчанию 3;
  • если указано значение 0, то  будет показано только одно окно ввода логин-пароля.
LOG

Указывает адрес, по которому будет сохраняться файл с логами. Формат: путь + имя файла логирования.

SslTargetName

Указывает при необходимости поддержки TLS-шифрования имя хоста сервера, которое совпадает с именем из сертификата.

CA

Указывает при необходимости поддержки TLS-шифрования на расположение сертификата, параметр необходимо указать в формате: путь + имя файла сертификата.

Конфигурационный файл avanpostcred.ini, содержащийся в zip-архиве дистрибутива, может быть настроен следующим образом.

Пример настройки конфигурационного файла avanpostcred.ini
[Avanpost]
Connect=192.168.10.10:9007
Flags=NOFAMDOMAIN,SHOWALLCP
Token=rtPKCS11.dll
LogLevel=INFO

Обсуждение