Поиск по базе знаний

Как организовать двухфакторную SMS аутентификацию при входе в Windows 7

SMS PASSCODE - это серверное программное обеспечение и обычно используется для защиты входа в разнообразные корпоративные серверные приложения, а также для удаленного доступа к серверам. Тем не менее SMS PASSCODE можно использовать и для защиты рабочих станций Windows под управлением Vista, Windows 7 и Windows 8. 

Как и в случае защиты обычного Windows сервера, речь идет о двухфакторной аутентификации через SMS для входа в Windows либо с консоли (применяется редко), либо удаленно по протоколу RDP. Интеграция такого вида носит название Windows Logon Protection

В отличие от варианта установки на сервер, у вас нет возможность установить все необходимые компоненты на рабочую станцию. Поэтому вам потребуется как минимум один сервер и одна рабочая станция. 

Что нужно установить на сервер?

Проще всего установить все компоненты на сервер, но не выбирать ни одну из интеграций, которые предлагаются в процессе установки. Просто выбирайте такие опции как Windows Logon Protection и IIS Web Site protection, которые будут предлагаться на одном из экранов в процессе установки. Сразу после установки в утилите настройки (Configuration Tool) задайте Shared Secret - он должен быть точно таким же, какой вы укажите при установке SMS PASSCODE на рабочую станцию. 

Что нужно установить на рабочую станцию? 

Воспользуйтесь тем же самым дистрибутивом и запустите его на рабочей станции. На экране выбора компонентов у вас будет лишь один пункт, это и есть сам агент интеграции с системой входа в Windows. 

Выбор компонентов при установке SMS PASSCODE на Windows 7

Как настроить? 

Во-первых, необходимо обеспечить "видимость" сервера для рабочей станции и открыть порт для передачи данных (8988). По этому порту будет происходить обмен данными между рабочей станцией и серверными компонентами SMS PASSCODE (этот порт можно поменять при необходимости).

Во-вторых, в инструменте настройки Configuration Tool на рабочей станции на вкладке Transmission необходимо выбрать опцию Load Balancing Host и добавить его в список. Добавить можно как имя сервера, так и IP адрес. После этого нажать кнопку Test и убедиться в том, что соединение устанавливается. Не забудьте там же, в Configuration Tool, ввести Shared Secret, который совпадает с тем, что вы ввели при настройке на сервере. 

Дальше Вам необходимо создать пользователя на сервере с использованием веб-интерфейса настройки. В разделе Users, откройте страницу Maintain Users и добавьте нового пользователя. В зависимости от версии операционной системы рабочей станции вам нужно ввести либо просто имя пользователя, либо имя пользователя в формате имя_компьютера\имя пользователя, либо в формате DOMAIN\Username, если рабочая станция подключена к домену Active Directory. 

Также введите номер мобильного телефона пользователя, на который будут отправляться SMS. 

Как проверить? 

Создайте пользователя, который не является администратором и, соответственно, не будет входить в группу SMS PASSCODE general exlusion. После этого можно попробовать войти на рабочую станцию под этими учетными данными. Если все нормально работает, у вас будет экран, примерно как ниже на рисунке. 

Обратите внимание, что в этой статье предполагается, что вы уже настроили SMS PASSCODE для отправки SMS с помощью GSM-модема или веб-сервиса. 

Окно входа в Windows 8, защищенного с помощью SMS PASSCODE