Podwójna autoryzacja RDP – MultiOTP
Za nami rok zmagania się z pandemią COVID19 , a co za tym idzie pracą zdalną. Wielu administratorów małych sieci zastanawiało się pewnie w jaki sposób bezpiecznie udostępnić zasoby komputera z pracy zdalnej nie narażając sieci na włamania. Z pomocą przychodzi aplikacja MultiOTP, Ma ona bardzo dużą zaletę, umożliwia włączenie autoryzacji tylko dla połączeń zdalnych poprzez protokół RDP. Instalacja jest banalnie prosta, do katalogu c:/windows/system32 należy skopiować plik MultiOTPCredentialProviderV2.dll zaimportować wpis rejestru. Pliki załączone wraz z MultioOTYP Oraz z wypakowanego pliku katalog multiotp skopiować na głowną partycje c:\. W powstałym katalogu c:\multiotp\windows uruchomić plik multiotp.exe Wygeneruje on domyślną konfiguracje w katalogu config, multiotp.ini ,w pliku tym można ustawić np Issuer – nazwa wystawcy MULTIOTP czas ważności kodu itp.
Aby wygenerować kod autoryzacyjny trzeba wykonać trzy komendy:
- c:\multiotp\windows\multiotp -log -create nazwa_uzytkownika TOTP 4d123df5bf645cf0ad154cff528b6ee221d398e1 1234 6 30
- c:\multiotp\windows\multiotp -debug -set nazwa_uzytkownika pin=
- c:\multiotp\windows\multiotp -debug -qrcode nazwa_uzytkownika nazwa_uzytkownika.png
W pierwszej komendzie tworzymy użytkownika wraz z hashem kodującym ( ciąg 41 znaków). Druga komenda ustawia pin, tak mozna jeszcze dodatkowo ustawć, ta komenda go wyłącza. Trzecia komenda generuje kod QR dla aplikacji wyświetlającej token.
Do obsługi tokena świetnie nadaje się Aplikacja na systemy Android i IOS – Microsoft Authenticator, dostępna za darmo w sklepi GooglePlay lub AppStore
Autoryzacja wygląda w następujący sposób: Po poprawnym zalogowaniu się do pulpitu zdalnego wymagana jest powtórna autoryzacja z dodatkowym użyciem tokena z aplikacji Microsoft Authenticator.
Bardzo ważną kwestią jest dokładna synchronizacja zegara komputera z urządzeniem generującym kod ( telefonem) różnica rzędu 2-5 sekund nie będzie sprawiać większego problemu, natomiast różnica większa od czasu zmiany tokena nie pozwoli na zdalne zalogowanie się
Skompresowany MultiOTP z plikiem reg oraz dll –>multiotp.zip