Поиск по базе знаний

Как установить SMS PASSCODE в режиме защиты RDP сервера

Защита терминального сервера по протоколу RDP - одна из самых распространенных интеграций SMS PASSCODE. Сама интеграция называется Windows Logon Protection и позволяет добавлять двухфакторную аутентификацию через SMS для входа в Windows, будь-то консольный вход или удаленный по протоколу RDP. 

Интеграция Windows Logon Protection является самой простой в настройке: фактически все, что нужно - это установить программу, выбрать несколько опций, после чего при входе в Windows будет запрашиваться не только имя пользователя и пароль, но также и одноразовый код, высылаемый на мобильный телефон в виде SMS. 

Для того, чтобы установить SMS PASSCODE в этом режиме, вам понадобится: 

  1. Дистрибутив программы
  2. Лицензия: приобретенная или пробная
  3. GSM-модем для отправки SMS или доступ к SMS-шлюзу. На время тестирования программы вы можете пользоваться нашим SMS-шлюзом совершенно бесплатно!
  4. Сервер Windows Server 2003/2008/2012, физический или виртуальный. Вы также можете установить программу на Windows Vista/7/8 с определенными ограничениями

Шаг 1: Установка программы. 

Запустите программу установки и дойдите до раздела выбора компонентов для установки. SMS PASSCODE состоит из нескольких компонентов, каждый из которых может находиться на своем сервере. Это может понадобиться, например, для обеспечения отказоустойчивости. Распределение компонентов по разным серверам и подключение их друг к другу - тема отдельной статьи, поэтому на данном этапе оставьте список устанавливаемых компонентов без изменения, как видно на рисунке ниже. 

Установка компонентов SMS PASSCODE

Database service - обеспечивает хранение, доступ и синхронизацию всех настроек SMS PASSCODE, в особенности списка пользователей, которые будут проходить аутентификацию. 

Web Administration Service - веб-интерфейс для настройки программы.

Transmitter Service - служба отправки SMS. 

Load Balancing Service - служба, которая управляет взаимодействием всех других компонентов системы.

На следующих экранах программа установщик запросит лицензионный ключ, папку для установки программы и код страны, куда преимущественно будут отправляться SMS (+7 для России). 

Если вы планируете отправлять SMS через свой GSM-модем или воспользоваться нашим SMS-шлюзом, то вам следует выбрать последовательный порт, который будет использоваться для этого. Если вы уже подключили модем к серверу или установили программу Nport, то номер порта вам уже известен. Если вы оставили эту задачу для выполнения позднее, можно оставить COM-порт по умолчанию (вы сможете поменять его позже из раздела настроек SMS PASSCODE). 

Порт, на котором будет работать веб-интерфейс администрирования программы по умолчанию - 2000, менять его не следует без необходимости. 

На экране Authentication Clients необходимо обязательно выбрать Windows Logon Protection. Именно на этом этапе вы сообщаете SMS PASSCODE, с чем необходимо интегрировать программу и какую информационную систему защищать. 

Выбор режима интеграции SMS PASSCODE

Шаг 2: Настройка с помощью SMS PASSCODE Configuration Tool

Большая часть настроек прозводится из веб интерфейса, однако базовые, наиболее важные настройки, выполняются из программы SMS PASSCODE Configuration Tool. Сразу после установки эта программа запускается автоматически. Ее также можно запустить из программной группы SMS PASSCODE (кнопка Пуск -> Программы -> SMS PASSCODE). 

Все, что Вам необходимо задать сейчас - это Shared Secret, пароль, используемый для аутентификации модулей SMS PASSCODE, взаимодействующих друг с другом. 

Настройка в SMS PASSCODE Configuration Tool

Шаг 3: Настройка с помощью веб-интерфейса SMS PASSCODE

С помощью ярлыка в программной группе SMS PASSCODE Web Admin запустите веб-интерфейс администрирования SMS PASSCODE. На данный момент необходимо лишь добавить пользователя в базу данных программы. Для этого откройте раздел Users и затем Maintain Users. 

Нажмите на кнопку Add new user и добавьте его, как показано на рисунке ниже, в формате DOMAIN\User, а также номер мобильного телефона пользователя. Вы также можете протестировать систему отправки SMS, нажав на кнопку Test

Добавление пользователя в базу данных SMS PASSCODE

 

Добавление пользователя в базу данных SMS PASSCODE

Шаг 4: Удостовериться, что пользователь включен в нужную группу пользователей Active Directory

В процессе установки SMS PASSCODE создает три группы пользователей: SMS PASSCODE Administrators, SMS PASSCODE console exclusion и SMS PASSCODE general exclusion. Эти группы предназначены для исключения определенных пользователей, в частности администраторов, из числа тех, кто проходит через двухфакторную аутентификацию. Поэтому пользователь, которого мы будем проверять, не должен состоять ни в одной из этих групп. Также пользователь не должен состоять ни в одной из групп, которые включены в любую из вышеперечисленных групп SMS PASSCODE. 

Наконец, и это уже не относится напрямую к SMS PASSCODE, проверьте, что пользователю даны права на удаленное подключение по протоколу RDP. Для этого, например, можно добавить пользователя в группу Remote Desktop Users, а самой группе предоставить право на удаленный вход в Windows, как показано на рисунках ниже. 

Добавление пользователя SMS PASSCODE в группу Active Directory

 

Установка прав на подключение по протоколу RDP

Шаг 5: Проверка работоспособности!

Все, что осталось сделать - это подключиться удаленно к серверу и ввести имя пользователя и пароль. После этого будет отправлен и запрошен одноразовый код, после ввода которого пользователь сможет войти в систему. 

Запрос одноразового кода SMS PASSCODE

В данной статье не рассматривается вопрос настройки GSM-модема или других методов отправки SMS.