Установка FAM Windows Logon в ОС Windows локально


[ Общие сведения ] [ Загрузка дистрибутива ] [ Установка компонента на рабочей станции под управлением ОС Microsoft Windows ] [ Установка и настройка компонента на стороне Avanpost FAM Server ] [ Настройка TLS-шифрования передаваемых данных в рамках gRPC-интерфейса ] [ Обновление компонента ] [ Проверка установки или обновления Avanpost FAM Windows Logon (Credential Provider) ] [ Приложение А. Параметры конфигурационного файла avanpostcred.ini ]

Общие сведения

Компонент Avanpost FAM Windows Logon (Credential Provider) устанавливается локально на устройство пользователя для следующих задач:

  • осуществления 2FA/MFA для получения доступа к рабочей станции;
  • осуществления 2FA/MFA для удалённого доступа к рабочей станции или серверу через RDP;
  • централизованного контроля доступа к рабочей станции или серверу через RDP.

Локальная установка Avanpost FAM Windows Logon рекомендуется в следующих случаях:

  • Рабочая станция расположена не в домене (например, если в качестве рабочей станции используется ноутбук, не подключенный к домену, либо домашний компьютер сотрудника).
  • Сервер расположен не в домене из соображений безопасности.

Если планируется установка Avanpost FAM Windows Logon на большое количество устройств, рекомендуется использовать способ установки через GPO.

Компонент поддерживает следующие ОС Windows:

  • Microsoft Windows Desktop 7 (до 2024);
  • Microsoft Windows Desktop 8.1;
  • Microsoft Windows Desktop 10;
  • Microsoft Windows Desktop 11;
  • Microsoft Windows Server 2012R2 (до 2024);
  • Microsoft Windows Server 2016;
  • Microsoft Windows Server 2019;
  • Microsoft Windows Server 2022.

Загрузка дистрибутива

Перед установкой следует загрузить дистрибутив компонента Avanpost FAM Agent, представляющий собой zip-архив, содержащий:

  • установочный MSI-файл;
  • стандартный конфигурационный файл для MSI-файла.

Установка компонента на рабочей станции под управлением ОС Microsoft Windows

Установка Avanpost FAM Windows Logon (Credential Provider) осуществляется пошагово при помощи мастера установки. В процессе установки у пользователя есть возможность отменить установку нажатием кнопки "Отмена" или вернутся на предыдущий шаг нажатием кнопки ""Назад". Установка осуществляется в следующей последовательности:

  1. Распаковать скачанный дистрибутив в формате zip-архива в произвольный каталог каталог на устройстве пользователя.
  2. Отредактировать конфигурационный файл avanpostcred.ini(после установки конфигурационный файл можно найти для редактирования параметров по пути C:\windows\avanpostcred.ini), указав в качестве значения параметра Connect адрес gRPC-интерфейса Avanpost FAM Server (см. Приложение А).
  3. Запустить установку MSI-пакета из каталога, где был распакован zip-архив.
  4. В приветственном окне нажать "Далее".
  5. В окне подтверждения установки нажать "Далее".
  6. Дождаться окончания установки и перезагрузить устройство.

Важно

Начиная с версии 1.0-20 FAM Windows Logon использует пакет vcredist 2019, который должен быть установлен в ОС.

Установка и настройка компонента на стороне Avanpost FAM Server

Настройка компонента в интерфейсе административной консоли Avanpost FAM Server осуществляется в следующей последовательности: 

  1. Зайти во вкладку создания приложения, нажав кнопку "Добавить приложение" в сервисе "Приложения".
  2. На этапе "Основные настройки" требуется ввести наименование и выбрать тип Windows Logon (более подробно процесс создания и управления приложениями описан в разделах Управление приложениями и Управление Windows Logon-приложениями). В качестве названия приложения необходимо использовать "CredentialProvider".

  3. На вкладке "Настройки аутентификации" выбрать факторы аутентификации приложения, установив переключатели напротив тех или иных факторов (более подробно описано в Шаг 2. Настройки аутентификации для Windows Logon-приложения).

    1. На первом шаге рекомендуется установить вход по паролю: установить переключатель в строке Password в положение "Активно" ().

      Для беспарольной аутентификации по QR-коду через мобильное приложение Avanpost Authenticator на первом шаге аутентификации следует перевести переключатель "Вход по QR-коду" в положение "Активно" ()Первичный вход в Систему будет осуществлен по паролю, затем будет использоваться QR-код. Для обеспечения беспарольного входа в Систему предусмотрено сохранение до трех учетных записей пользователя.

    2. На последующих шагах установить дополнительные факторы аутентификации.

      Данные о настройке аутентификации по смарт-карте даны в разделе Настройка фактора Смарт-карта.

  4. На этапе завершения настройки установить флажок "Сделать приложение активным" и сохранить (более подробно описано в Шаг 3. Завершение для Windows Logon-приложения)

Настройка TLS-шифрования передаваемых данных в рамках gRPC-интерфейса 

Для включения режима TLS-шифрования в файле настроек (конфигурационный файл avanpostcred.ini) необходимо задать параметры:

CA=< имя файла сертификата сервера с полным путем >
SslTargetName=< имя хоста сервера, которое совпадает с именем в сертификате >

Обновление компонента

Обновление Avanpost FAM Windows Logon (Credential Provider) осуществляется на стороне рабочей станции пользователя.

При обновлении необходимо предпринять дополнительные шаги, чтобы сохранить предварительно настроенный ini-файл.

1. Скопировать ini-файл из ранее установленной версии Avanpost FAM Credential Provider.

2. Удалить ini-файл из нового распакованного дистрибутива.

3. Вернуть предварительно настроенный ini-файл в новую директорию дистрибутива.

Стандартное обновление осуществляется следующим образом:

  1. Распаковать дистрибутив в формате zip-архива в произвольный каталог.
  2. Отредактировать конфигурационный файл avanpostcred.ini в дистрибутиве, указав в качестве значения параметра Connect адрес gRPC-интерфейса Avanpost FAM Server (пример конфигурационного файла приведен в Приложении А).
  3. Запустить установку MSI-пакета.
  4. Когда мастер установки предложит выполнить обновление, согласиться и нажать "Далее".
  5. Дождаться завершения обновления и перезагрузить устройство.

Проверка установки или обновления Avanpost FAM Windows Logon (Credential Provider)

В режиме доступа к рабочей станции:

  1. Инициировать вход на рабочую станцию.
  2. Выбрать Avanpost FAM Credential Provider.
  3. Пройти аутентификацию в соответствии с настроенным сценарием аутентификации.

В режиме доступа по RDP:

  1. Инициировать подключение по RDP на рабочую станцию.
  2. Пройти аутентификацию в соответствии с настроенным сценарием аутентификации.

Приложение А. Параметры конфигурационного файла avanpostcred.ini

Конфигурационный файл avanpostcred.ini обладает следующими параметрами.

ПараметрОписаниеОбязательность
ConnectIP-адрес Avanpost FAM Server и gRPC-порт (стандартный gRPC-порт для Credential Provider – 9007 TCP). Настройка gRPC-порта выполняется на стороне сервера и описана в инструкции по настройке gRPC.Да
Flags

Доступные переменные для параметра Flags (перечисляются через запятую):

  • NOFAMDOMAIN - не передавать в FAM префикс домена для поиска пользователя. При использовании доменной аутентификации данный флаг необходимо удалить.
  • CPDEFAULT - установить провайдер по умолчанию при старте (при работе нескольких провайдеров Credential Provider будет предложен по умолчанию).
  • SHOWALLCP - показывать все провайдеры при входе. Без данного флага провайдер будет один – Avanpost FAM Credential Provider. Рекомендуется оставить этот флаг для первичной отладки.
  • SHOWLOGONCP - показывать все провайдеры для LOGON (вход в системы, разблокировка).
  • SHOWCREDUICP -  показывать все провайдеры для CREDUI (приложения запрашивают учетные данные, например RDP).
  • OFFLINE_ENABLE - установить вход по паролю учетной записи ОС Windows без проверки аутентификации через FAM Server в случаях, когда FAM Server недоступен (например, пользователь оффлайн), но пользователь пользователь аутентифицировался через FAM Server ранее (не рекомендуется включать данный флага из-за снижения безопасности аутентификации). 
  • SECURE_PROFILE_1 - заменять ответ от сервера UserNotFound на AccessReject.
  • RDP_SET_DOMAIN - флаг, отвечающий за, то какой домен используется при входе на RDP (установить, чтобы использовать домен, полученный системой через шлюз/при неустановленном флаге на стороне провайдера используется домен NETBIOS при условии, что компьютер входит в домен).   

Нет

Token

Указывает библиотеку для используемых токенов.

Доступные значения для параметра Token:

  • rtPKCS11.dll – для Рутокена (для работы с Рутокен S, Рутокен Lite и ЭЦП PKI/2.0/3.0, с использованием зарубежных криптографических алгоритмов RSA);
  • rtPKCS11ECP.dll – для Рутокена (для работы с Рутокен ЭЦП PKI/2.0/3.0, с использованием российских стандартов ГОСТ 34.10-2001, ГОСТ 34.10-2012, ГОСТ 34.11-94, ГОСТ 34.11-2012, ГОСТ 28147-89, ГОСТ-34.12-2015/2018
  • jcPKCS11-2.dll – для Jakarta.

Нет

Model

Определяет модели используемых аппаратных токенов.

Пример моделей для JaCard:

  • Model="JaCarta Laser"
  • Model="JaCarta GOST 2.0"

Нет

QR

Позволяет провайдеру изменить основную иконку на QR-код заданной ссылки.

Нет

IconFile

Позволяет задать пользовательский логотип иконки провайдера (брендирование) с помощью указанного файла.

Требования к изображению:

  • Формат: BMP;
  • Размер изображения: 256х256 пикселей;
  • Количество цветов: 256.

Нет

Tile

Задает количество сохраненных логинов в дополнение к основным:

  • если параметр не задан, то значение по умолчанию 3;
  • если указано значение 0, то  будет показано только одно окно ввода логин-пароля.

Нет

LOG

Указывает адрес, по которому будет сохраняться файл с логами. Формат: путь + имя файла логирования.

Нет

LogLevel

Показывает уровень детальности логирования. По умолчанию уровень детализации INFO. Допустимо указание следующих параметров для фиксации информации:

  • ERROR (только ошибки);
  • INFO (информация об общем ходе работы и фиксация ошибок);
  • DEBUG (информация об общем ходе работы, фиксация ошибок, детальная информация для разработчика).

Нет

SslTargetName

Указывает при необходимости поддержки TLS-шифрования имя хоста сервера, которое совпадает с именем из сертификата.

Нет

CA

Указывает при необходимости поддержки TLS-шифрования на расположение сертификата, параметр необходимо указать в формате: путь + имя файла сертификата.

Нет

CASubject

Строка, по которой производится поиск сертификата для TLS-шифрования. Сертификат, содержащий данную строку, выбирается для использования. Поиск сертификата осуществляется провайдером в хранилище CERT_SYSTEM_STORE_LOCAL_MACHINE в разделе "Личные". 

Нет

AppName

Имя приложения для Avanpost FAM Server (если параметр не задан, автоматически используется название CredentialProvider).   

Нет

Timeout

Время ожидания ответа для сервера (по умолчанию 45 секунд).

На время ожидания первого запроса (запрос проверки наличия QR-кода длиной 15 секунд) параметр не влияет.

Нет

Agent

Полный путь и имя файла для FAM Agent. Допускается замена параметра переменной окружения VAR_AVANPOST_AGENT.

Предназначен для передачи в Avanpost FAM Agent информации о сессии и пользователе после успешного входа через FAM Windows Logon. 

Нет

Конфигурационный файл avanpostcred.ini, содержащийся в zip-архиве дистрибутива, может быть настроен следующим образом.

Пример настройки конфигурационного файла avanpostcred.ini
[Avanpost]
Connect=192.168.10.10:9007
Flags=NOFAMDOMAIN,SHOWALLCP
Token=rtPKCS11.dll
IconFile=С:\\Windows\Avanpost.BMP
LogLevel=INFO
CASubject=Test

Обсуждение