Pokud potřebujete řešit 2FA zabezpečení RDP, nabízím tip: SecurEnvoy
Dostal se mi do ruky k otestování produkt SecurAccess. Jedná se sice o placenou věc, ale jednoduchost nasazení, licencování na uživatele (Active Directory, Novell, LDAP) a bezplatná HA instalace bez limitu počtu HA node je zajímavá.
SecurAccess funguje jako Radius server a umožňuje ověřit uživatele pomocí SMS (HW modem nebo internetová služba), pomocí SW generátoru kódů nebo pomocí HW tokenu. Výrobce nabízí popis integrace s celou řadou výrobců jako je Checkpoint, Microsoft, Cisco ASA, F5 atp.
Integrační návody: https://www.securenvoy.com/en-gb/integration-guides
My se ale podíváme na jednu komponentu, která Vám vyřeší 2FA přístup na server Windows: Windows Login Agent
"Windows Login Agent" je komponenta, která rozšiřuje standardní login dialog o další vrstvu - Radius authetikaci a 2FA. Stačí nainstalovat, nastavit https URI k SecurEnvoy serveru a definovat která skupina uživatelů bude muset použít 2FA pro úspěšné přihlášení.
- všichni 1FA + vyjmenovaná skupina 2FA
- všichni 2FA
- a varianty :-)
V případě výpadku spojení na SecurEnvoy server pak lze definovat Recovery uživatele.
Takže stačí:
- Nainstalovat SecurEnvoy na nějaký podporovaný Windows Server
- Nastavit zdrojový adresář s uživateli
- Nastavit 2FA metrodu dle Vašich potřeb
- Aktivovat uživateli 2FA
Akce tak na 30 minut. - Na hlídaný server instalovat Windows Logon Agenta
- Nastavit URI na SecurEnvoy server
- Aktivovat 2FA během Logon procesu.
Akce na 5 minut.
Snadné, přehledné, spolehlivé.
Dokumentaci najdete na webu Securenvoy