4.4.6. Установка FAM Windows Logon (Credential Provider) в ОС Windows

Общие сведения

Компонент Avanpost FAM Windows Logon (Credential Provider) устанавливается на устройство пользователя для следующих задач:

• осуществления 2FA/MFA для получения доступа к рабочей станции;
• осуществления 2FA/MFA для удалённого доступа к рабочей станции или серверу через RDP;
• централизованного контроля доступа к рабочей станции или серверу через RDP.

Установка Avanpost FAM Windows Logon может осуществляться:

• локально на устройство пользователя;
• через групповые политики (GPO).

Локальная установка Avanpost FAM Windows Logon рекомендуется в следующих случаях:

• Рабочая станция расположена не в домене (например, если в качестве рабочей станции используется ноутбук, не подключенный к домену, либо домашний компьютер сотрудника).
• Сервер расположен не в домене из соображений безопасности.

Установка Avanpost FAM Windows Logon через групповые политики рекомендуется в следующих случаях:

• Компонент необходимо установить на большое количество устройств. 
• Сервер и рабочие станции расположены в домене.

Компонент поддерживает следующие ОС Windows:

• Microsoft Windows Desktop 7 (до 2024);
• Microsoft Windows Desktop 8.1;
• Microsoft Windows Desktop 10;
• Microsoft Windows Desktop 11;
• Microsoft Windows Server 2012R2 (до 2024);
• Microsoft Windows Server 2016;
• Microsoft Windows Server 2019;
• Microsoft Windows Server 2022.

Загрузка дистрибутива

Перед началом установки следует загрузить дистрибутив компонента Avanpost FAM Agent, представляющий собой zip-архив, содержащий:

• установочный MSI-файл;
• стандартный конфигурационный файл для MSI-файла.

Установка компонента в ОС Windows локально

Установка компонента на рабочей станции под управлением ОС Microsoft Windows

Установка Avanpost FAM Windows Logon (Credential Provider) осуществляется пошагово при помощи мастера установки. В процессе установки у пользователя есть возможность отменить установку нажатием кнопки "Отмена" или вернутся на предыдущий шаг нажатием кнопки ""Назад". Установка осуществляется в следующей последовательности:

1. Распаковать скачанный дистрибутив в формате zip-архива в произвольный каталог каталог на устройстве пользователя.
2. Отредактировать конфигурационный файл avanpostcred.ini(после установки конфигурационный файл можно найти для редактирования параметров по пути C:\windows\avanpostcred.ini), указав в качестве значения параметра Connect адрес gRPC-интерфейса Avanpost FAM Server (см. Приложение А).
3. Запустить установку MSI-пакета из каталога, где был распакован zip-архив.
4. В приветственном окне нажать "Далее".
5. В окне подтверждения установки нажать "Далее".
6. Дождаться окончания установки и перезагрузить устройство.

Установка и настройка компонента на стороне Avanpost FAM Server

Настройка компонента в интерфейсе административной консоли Avanpost FAM Server осуществляется в следующей последовательности: 

1. Зайти во вкладку создания приложения, нажав кнопку "Добавить приложение" в сервисе "Приложения".
2. На этапе "Основные настройки" требуется ввести наименование и выбрать тип Windows Logon (более подробно процесс создания и управления приложениями описан в разделах Управление приложениями и Управление Windows Logon-приложениями). В качестве названия приложения необходимо использовать "CredentialProvider".

3. На вкладке "Настройки аутентификации" выбрать факторы аутентификации приложения, установив переключатели напротив тех или иных факторов (более подробно описано в Шаг 2. Настройки аутентификации для Windows Logon-приложения).

   1. На первом шаге рекомендуется установить вход по паролю: установить переключатель в строке Password в положение "Активно" ().

      Для беспарольной аутентификации по QR-коду через мобильное приложение Avanpost Authenticator на первом шаге аутентификации следует перевести переключатель "Вход по QR-коду" в положение "Активно" (). Первичный вход в Систему будет осуществлен по паролю, затем будет использоваться QR-код. Для обеспечения беспарольного входа в Систему предусмотрено сохранение до трех учетных записей пользователя.

   2. На последующих шагах установить дополнительные факторы аутентификации.

      Данные о настройке аутентификации по смарт-карте даны в разделе Настройка фактора Смарт-карта.

4. На этапе завершения настройки установить флажок "Сделать приложение активным" и сохранить (более подробно описано в Шаг 3. Завершение для Windows Logon-приложения). 
   

Настройка TLS-шифрования передаваемых данных в рамках gRPC-интерфейса 

Для включения режима TLS-шифрования в файле настроек (конфигурационный файл avanpostcred.ini) необходимо задать параметры:

CA=< имя файла сертификата сервера с полным путем >
SslTargetName=< имя хоста сервера, которое совпадает с именем в сертификате >

Обновление компонента в ОС Windows локально

Обновление Avanpost FAM Windows Logon (Credential Provider) осуществляется на стороне рабочей станции пользователя.

Стандартное обновление осуществляется следующим образом:

1. Распаковать дистрибутив в формате zip-архива в произвольный каталог.
2. Отредактировать конфигурационный файл avanpostcred.ini в дистрибутиве, указав в качестве значения параметра Connect адрес gRPC-интерфейса Avanpost FAM Server (пример конфигурационного файла приведен в Приложении А).
3. Запустить установку MSI-пакета.
4. Когда мастер установки предложит выполнить обновление, согласиться и нажать "Далее".
5. Дождаться завершения обновления и перезагрузить устройство.

Установка компонента в ОС Windows через групповые политики (GPO)

Установка компонента на стороне MS AD

Настройка компонента в интерфейсе сервера MS AD осуществляется в следующей последовательности: 

1. Распаковать скачанный дистрибутив в формате zip-архива в каталоге домена SYSVOL.
2. Войти в консоль управления групповыми политиками (GPMS). Для этого следует открыть командную строку (Win+R), ввести gpmc.msc и нажать OK. 

   Консоль управления групповыми политиками (GPMS) доступна, если на контроллер домена установлена роль Active Directory Domain Service (AD DS). Установка ролей осуществляется через Диспетчер серверов. В диспетчере серверов следует войти с стандартное меню "Add roles and features" и выбрать компонент Group Policy Management.

3. В консоли управления групповыми политиками необходимо создать пакет (Конфигурация компьютера → Политики → Конфигурация программ → Установка программ, ЛКМ → Создать → Пакет).
   
   
4. Выбрать установочный MSI-файл, находящийся в каталоге домена SYSVOL вместе с файлом avanpostcred.ini.
5. В открывшемся окне "Развертывание программ" выбрать метод развертывания "Назначенный" и нажать "ОК".
   
   
6. В корневом каталоге c установочным файлом должен находиться ini-файл с именем «avanpostcred.ini» и содержимым, указанным в Приложении А.
7. Отредактировать конфигурационный файл avanpostcred.ini, задав значения параметров в соответствии с Приложением А.
8. Назначить объект GPO юниту с компьютерами, на которые требуется установить Avanpost FAM Credential Provider.

На стороне административной консоли Avanpost FAM Server

Настройка компонента в интерфейсе административной консоли Avanpost FAM Server осуществляется в следующей последовательности: 

1. Зайти во вкладку создания приложения, нажав кнопку "Добавить приложение" в сервисе "Приложения".
2. На этапе "Основные настройки" требуется ввести наименование и выбрать тип Windows Logon (более подробно процесс создания и управления приложениями описан в разделах Управление приложениями и Управление Windows Logon-приложениями). В качестве названия приложения необходимо использовать "CredentialProvider".

3. На вкладке "Настройки аутентификации" выбрать факторы аутентификации приложения, установив переключатели напротив тех или иных факторов (более подробно описано в Шаг 2. Настройки аутентификации для Windows Logon-приложения).

   1. На первом шаге рекомендуется установить вход по паролю: установить переключатель в строке Password в положение "Активно" ().

      Для беспарольной аутентификации по QR-коду через мобильное приложение Avanpost Authenticator на первом шаге аутентификации следует перевести переключатель "Вход по QR-коду" в положение "Активно" (). Первичный вход в Систему будет осуществлен по паролю, затем будет использоваться QR-код. Для обеспечения беспарольного входа в Систему предусмотрено сохранение до трех учетных записей пользователя.

   2. На последующих шагах установить дополнительные факторы аутентификации.

      Данные о настройке аутентификации по смарт-карте даны в разделе Настройка фактора Смарт-карта.

4. На этапе завершения настройки установить флажок "Сделать приложение активным" и сохранить (более подробно описано в Шаг 3. Завершение для Windows Logon-приложения). 

Обновление компонента через групповые политики (GPO)

Обновление Avanpost FAM Windows Logon (Credential Provider) осуществляется на стороне сервера MS AD.

Стандартное обновление осуществляется следующим образом:

1. Войти в консоль управления групповыми политиками (GPMS). Для этого следует открыть командную строку (Win+R), ввести gpmc.msc и нажать OK.
2. Зайти в раздел объекта GPO (Computer Configuration -> Policies -> Software Settings -> Software installation, ЛКМ -> New -> Package).
3. Выбрать установочный MSI-файл новой версии Credential Provider.

   При обновлении в каталоге с файлом MSI должен присутствовать корректный файл avanpostcred.ini.

4. В окне Deploy Software нажать "Advanced".
5. В окне Avanpost FAM Credential Provider Properties во разделе "Upgrades" нажать "Add"  и установить значения параметров:
   •  Choose a package from - Current Group Policy Object (GPO);
   •  Uninstall the existing package, then install the upgrade package.
6. Нажать кнопку "ОК" и дождаться завершения обновления.

Проверка установки или обновления Avanpost FAM Windows Logon (Credential Provider)

Вне зависимости от используемого способа установки компонента пользователь должен получить возможность успешно аутентифицироваться как в режиме физического доступа к рабочей станции, так и через RDP.

В режиме физического доступа к рабочей станции проверку выполнять следующим образом:

1. Инициировать вход на рабочую станцию.
2. Выбрать Avanpost FAM Credential Provider.
3. Пройти аутентификацию в соответствии с настроенным сценарием аутентификации.

В режиме доступа по RDP проверку выполнять следующим образом:

1. Инициировать подключение по RDP на рабочую станцию.
2. Пройти аутентификацию в соответствии с настроенным сценарием аутентификации.

Приложение А. Параметры конфигурационного файла avanpostcred.ini

Конфигурационный файл avanpostcred.ini обладает следующими параметрами.

Конфигурационный файл avanpostcred.ini, содержащийся в zip-архиве дистрибутива, может быть настроен следующим образом.

[Avanpost]
Connect=192.168.10.10:9007
Flags=NOFAMDOMAIN,SHOWALLCP
Token=rtPKCS11.dll
IconFile=С:\\Windows\Avanpost.BMP
LogLevel=INFO
CASubject=Test

Приложение Б. Сертификат Avanpost Credential Provider

После установки компонента Avanpost FAM Windows Logon (Credential Provider) у авторизованных пользователей, не являющихся локальными (рабочие станции пользователей расположены в домене), в контейнере системной учетной записи в хранилище сертификатов автоматически появляется сертификат Avanpost Credential Provider. Данный сертификат используется для шифрования вспомогательных данных, связанных с работой модуля аутентификации. Сертификат генерируется уникально для каждой установки и обеспечивает безопасное хранение информации о пользователе, аутентифицирующемся посредством FAM Windows Logon. 

Сертификат шифрует следующие данные: