Двухфакторная аутентификация на Windows Server 2012

Открывать RDP для всего мира довольно чревато - какая-нибудь зараза вполне может подобрать пароль. С другой стороны, использовать VPN тоже далеко не всегда удобно (если нужно подключить пользователя быстро или он не хочет/не может устанавливать дополнительное ПО или настраивать всякие PPTP/L2TP/etc).

Одно из решений - двухфакторная аутентификация.

Есть много решений - платных и открытых. Минусы платных (например https://duo.com/) - привязка к сервису, сервер должен иметь доступ к интернету, стоимость как самого сервиса так и звонков/СМС и т.д.

Поэтому данное решение я делаю на основе MultiOTP. Это крайне мощная штука, много чего умеет - Windows, Hyper-V, VMWare, RADIUS и совместима практически со всем. Минус на мой взгляд только один: добавление пользователей не очень удобное.

Настройки времени

Время на сервере и вашем устройстве (телефон, компьютер) должно совпадать, иначе ключи будут генерироваться неверно!

Внимание

При установке необходимо все сделать аккуратно и внимательно, в противном случае придется загружаться в безопасный режим!
  • Качаем MultiOTP с сайта https://www.multiotp.net
  • Распаковываем архив, содержимое папки windows копируем в папку C:\MultiOTP
  • Создаем пользователя в системе (например tester)
  • Открываем командную строку с правами администратора, переходим в папку C:\MultiOTP
  • Генерируем 160-битный ключ (20 шестнадцатеричных знаков) - я использую генератор паролей KeePass с шаблоном «h{20}», например он будет «d7e5bc8ed5aa4837478d». Примечание: [a-z 0-9] (маленькие буквы и цифры)
  • Добавляем пользователя в MultiOTP. Формат команды: multiotp.exe -debug -create %USERNAME% %TOTP% %KEY% %PIN% %LENGTH% %LIVETIME%
  • multiotp.exe -create tester TOTP d7e5bc8ed5aa4837478d 1234 6 30
    • %USERNAME% - существующий пользователь системы
    • %KEY% - шестнадцатеричный ключ длиной 160 бит
    • %PIN% - четырехзначный цифровой пин-код. Этот пин не будет использоваться если вы не создаете аккаунт с ключем «-prefix-pin»
    • %LENGTH% - длина пароля OTP (по умолчанию «6»)
    • %LIVETIME% - время жизни пароля OTP (по умолчанию «30» секунд)
  • Сбрасываем пин-код, т.к. он нам не нужен:
    • multiotp.exe -set tester pin=
  • Конвертируем этот ключ при помощи сервиса http://www.darkfader.net/toolbox/convert/ из «Hexadecimal (%16) lowercase» в «Base32 (%32) lowercase», у меня получился код «27s3zdwvvjedor4n»

Качаем нужный пакет отсюда (x32 или x64): https://github.com/LastSquirrelIT/MultiOneTimePassword-CredentialProvider

Устанавливаем, при установке включаем «Default provider», указываем путь до нашей папки с MultiOTP (в моем случае это C:\MultiOTP), заполняем «Login Text» (например «Введите логин, пароль и одноразовый код»)

Для генерации OTP-паролей необходимо установить аутентификатор - это может быть плагин для браузера (Google Chrome: Authenticator) или отдельное приложение на Android (приложение «Google Authenticator») или iOS.

Запускаем аутентикатор, создаем новый аккаунт: вводим понятное название и ранее созданный ключ (у меня это «27s3zdwvvjedor4n»), тип ключа: «По времени» (Time Based)

Подключаемся, вводим логин, пароль и полученный ключ OTP. Если все сделано правильно - попадаем на сервер.

  • software/microsoft/2012-otp.txt
  • Последнее изменение: 2020/08/20 17:50
  • fireball