Avanpost FAM/MFA+ : 4.4.5. Установка FAM Windows Logon (Credential Provider) в ОС Windows локально

Общие сведения

Компонент Avanpost FAM Windows Logon (Credential Provider) устанавливается локально на устройство пользователя для следующих задач:

  • осуществления 2FA/MFA для получения доступа к рабочей станции;
  • осуществления 2FA/MFA для удалённого доступа к рабочей станции или серверу через RDP;
  • централизованного контроля доступа к рабочей станции или серверу через RDP.

Локальная установка Avanpost FAM Windows Logon рекомендуется в следующих случаях:

  • Рабочая станция расположена не в домене (например, если в качестве рабочей станции используется ноутбук, не подключенный к домену, либо домашний компьютер сотрудника).
  • Сервер расположен не в домене из соображений безопасности.

Если планируется установка Avanpost FAM Windows Logon на большое количество устройств, рекомендуется использовать способ установки через GPO.

Компонент поддерживает следующие ОС Windows:

  • Microsoft Windows Desktop 7 (до 2024);
  • Microsoft Windows Desktop 8.1;
  • Microsoft Windows Desktop 10;
  • Microsoft Windows Desktop 11;
  • Microsoft Windows Server 2012R2 (до 2024);
  • Microsoft Windows Server 2016;
  • Microsoft Windows Server 2019;
  • Microsoft Windows Server 2022.

Загрузка дистрибутива

Перед установкой следует загрузить дистрибутив компонента Avanpost FAM Agent, представляющий собой zip-архив, содержащий:

  • установочный MSI-файл;
  • стандартный конфигурационный файл для MSI-файла.

Установка компонента на рабочей станции под управлением ОС Microsoft Windows

Установка Avanpost FAM Windows Logon (Credential Provider) осуществляется пошагово при помощи мастера установки. В процессе установки у пользователя есть возможность отменить установку нажатием кнопки "Отмена" или вернутся на предыдущий шаг нажатием кнопки ""Назад". Установка осуществляется в следующей последовательности:

  1. Распаковать скачанный дистрибутив в формате zip-архива в произвольный каталог каталог на устройстве пользователя.
  2. Отредактировать конфигурационный файл avanpostcred.ini(после установки конфигурационный файл можно найти для редактирования параметров по пути C:\windows\avanpostcred.ini), указав в качестве значения параметра Connect адрес gRPC-интерфейса Avanpost FAM Server (см. Приложение А).
  3. Запустить установку MSI-пакета из каталога, где был распакован zip-архив.
  4. В приветственном окне нажать "Далее".
  5. В окне подтверждения установки нажать "Далее".
  6. Дождаться окончания установки и перезагрузить устройство.

Важно

Начиная с версии 1.0-20 FAM Windows Logon использует пакет vcredist 2019, который должен быть установлен в ОС.

После первичной отладки рекомендуется отключить стандартные провайдеры аутентификации обеспечиваемые ОС Windows. Для этого следует:

  1. Войти в Редактор реестра. Для этого стоит открыть командную строку (Win+R), ввести regedit и нажать OK.
  2. Перейти по следующему пути в Редакторе реестра:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{60b78e88-ead8-445c-9cfd-0b87f74ea6cd} 
  3. Создать ключ DWORD (в контекстном меню нажать "Создать" и выбрать "DWORD 32 бита") с именем «Disabled» и значением «1».

Установка и настройка компонента на стороне Avanpost FAM Server

Настройка компонента в интерфейсе административной консоли Avanpost FAM Server осуществляется в следующей последовательности: 

  1. Зайти во вкладку создания приложения, нажав кнопку "Добавить приложение" в сервисе "Приложения".
  2. На этапе "Основные настройки" требуется ввести наименование и выбрать тип Windows Logon (более подробно процесс создания и управления приложениями описан в разделах Управление приложениями и Управление Windows Logon-приложениями). В качестве названия приложения необходимо использовать "CredentialProvider".
  3. На вкладке "Настройки аутентификации" выбрать факторы аутентификации приложения, установив переключатели напротив тех или иных факторов (более подробно описано в Шаг 2. Настройки аутентификации для Windows Logon-приложения).

    1. На первом шаге рекомендуется установить вход по паролю: установить переключатель в строке Password в положение "Активно" ().

      Для беспарольной аутентификации по QR-коду через мобильное приложение Avanpost Authenticator на первом шаге аутентификации следует перевести переключатель "Вход по QR-коду" в положение "Активно" ()Первичный вход в Систему будет осуществлен по паролю, затем будет использоваться QR-код. Для обеспечения беспарольного входа в Систему предусмотрено сохранение до трех учетных записей пользователя.

    2. На последующих шагах установить дополнительные факторы аутентификации.

      Данные о настройке аутентификации по смарт-карте даны в разделе Настройка фактора Смарт-карта.

  4. На этапе завершения настройки установить флажок "Сделать приложение активным" и сохранить (более подробно описано в Шаг 3. Завершение для Windows Logon-приложения)

Настройка TLS-шифрования передаваемых данных в рамках gRPC-интерфейса 

Для включения режима TLS-шифрования в файле настроек (конфигурационный файл avanpostcred.ini) необходимо задать параметры:

CA=< имя файла сертификата сервера с полным путем >
SslTargetName=< имя хоста сервера, которое совпадает с именем в сертификате >

Обновление компонента

Обновление Avanpost FAM Windows Logon (Credential Provider) осуществляется на стороне рабочей станции пользователя.

При обновлении необходимо предпринять дополнительные шаги, чтобы сохранить предварительно настроенный ini-файл.

1. Скопировать ini-файл из ранее установленной версии Avanpost FAM Credential Provider.

2. Удалить ini-файл из нового распакованного дистрибутива.

3. Вернуть предварительно настроенный ini-файл в новую директорию дистрибутива.

Стандартное обновление осуществляется следующим образом:

  1. Распаковать дистрибутив в формате zip-архива в произвольный каталог.
  2. Отредактировать конфигурационный файл avanpostcred.ini в дистрибутиве, указав в качестве значения параметра Connect адрес gRPC-интерфейса Avanpost FAM Server (пример конфигурационного файла приведен в Приложении А).
  3. Запустить установку MSI-пакета.
  4. Когда мастер установки предложит выполнить обновление, согласиться и нажать "Далее".
  5. Дождаться завершения обновления и перезагрузить устройство.

Проверка установки или обновления Avanpost FAM Windows Logon (Credential Provider)

В режиме доступа к рабочей станции:

  1. Инициировать вход на рабочую станцию.
  2. Выбрать Avanpost FAM Credential Provider.
  3. Пройти аутентификацию в соответствии с настроенным сценарием аутентификации.

В режиме доступа по RDP:

  1. Инициировать подключение по RDP на рабочую станцию.
  2. Пройти аутентификацию в соответствии с настроенным сценарием аутентификации.

Приложение А. Параметры конфигурационного файла avanpostcred.ini

Конфигурационный файл avanpostcred.ini обладает следующими параметрами.

ПараметрОписание
ConnectIP-адрес Avanpost FAM Server и gRPC-порт (стандартный gRPC-порт для Credential Provider – 9007 TCP). Настройка gRPC-порта выполняется на стороне сервера и описана в инструкции по настройке gRPC.
Flags

Доступные переменные для параметра Flags:

  • NOFAMDOMAIN - не передавать в FAM префикс домена для поиска пользователя. При использовании доменной аутентификации данный флаг необходимо удалить.
  • CPDEFAULT - установить провайдер по умолчанию при старте (при работе нескольких провайдеров Credential Provider будет предложен по умолчанию).
  • SHOWALLCP - показывать все провайдеры при входе. Без данного флага провайдер будет один – Avanpost FAM Credential Provider. Рекомендуется оставить этот флаг для первичной отладки.
  • SHOWLOGONCP - показывать все провайдеры для LOGON (вход в системы, разблокировка).
  • SHOWCREDUICP -  показывать все провайдеры для CREDUI (приложения запрашивают учетные данные, например RDP).
  • OFFLINE_ENABLE - установить вход в Систему по паролю учетной записи ОС Windows без проверки аутентификации через сервер FAM в случаях, когда сервер FAM недоступен. 
Token

Указывает библиотеку для используемых токенов.

Доступные значения для параметра Token:

  • rtPKCS11.dll – для Рутокена (для работы с Рутокен S, Рутокен Lite и ЭЦП PKI/2.0/3.0, с использованием зарубежных криптографических алгоритмов RSA);
  • rtPKCS11ECP.dll – для Рутокена (для работы с Рутокен ЭЦП PKI/2.0/3.0, с использованием российских стандартов ГОСТ 34.10-2001, ГОСТ 34.10-2012, ГОСТ 34.11-94, ГОСТ 34.11-2012, ГОСТ 28147-89, ГОСТ-34.12-2015/2018
  • jcPKCS11-2.dll – для Jakarta.
Model

Определяет модели используемых аппаратных токенов.

Пример моделей для JaCard:

  • Model="JaCarta Laser"
  • Model="JaCarta GOST 2.0"
QR

Позволяет провайдеру изменить основную иконку на QR-код заданной ссылки.

IconFile

Позволяет задать пользовательский логотип иконки провайдера (брендирование) с помощью указанного файла в формате BMP.

Tile

Задает количество сохраненных логинов в дополнение к основным:

  • если параметр не задан, то значение по умолчанию 3;
  • если указано значение 0, то  будет показано только одно окно ввода логин-пароля.
LOG

Указывает адрес, по которому будет сохраняться файл с логами. Формат: путь + имя файла логирования.

LogLevel

Показывает уровень детальности логирования. По умолчанию уровень детализации INFO. Допустимо указание следующих параметров для фиксации информации:

  • ERROR (только ошибки);
  • INFO (информация об общем ходе работы и фиксация ошибок);
  • DEBUG (информация об общем ходе работы, фиксация ошибок, детальная информация для разработчика).
SslTargetName

Указывает при необходимости поддержки TLS-шифрования имя хоста сервера, которое совпадает с именем из сертификата.

CA

Указывает при необходимости поддержки TLS-шифрования на расположение сертификата, параметр необходимо указать в формате: путь + имя файла сертификата.

Конфигурационный файл avanpostcred.ini, содержащийся в zip-архиве дистрибутива, может быть настроен следующим образом.

Пример настройки конфигурационного файла avanpostcred.ini
[Avanpost]
Connect=192.168.10.10:9007
Flags=NOFAMDOMAIN,SHOWALLCP
Token=rtPKCS11.dll
LogLevel=INFO

Обсуждение