Pokud potřebujete řešit 2FA zabezpečení RDP, nabízím tip: SecurEnvoy

Dostal se mi do ruky k otestování produkt SecurAccess. Jedná se sice o placenou věc, ale jednoduchost nasazení, licencování na uživatele (Active Directory, Novell, LDAP) a bezplatná HA instalace bez limitu počtu HA node je zajímavá.

SecurAccess funguje jako Radius server a umožňuje ověřit uživatele pomocí SMS (HW modem nebo internetová služba), pomocí SW generátoru kódů nebo pomocí HW tokenu. Výrobce nabízí popis integrace s celou řadou výrobců jako je Checkpoint, Microsoft, Cisco ASA, F5 atp.

Integrační návody: https://www.securenvoy.com/en-gb/integration-guides

My se ale podíváme na jednu komponentu, která Vám vyřeší 2FA přístup na server Windows: Windows Login Agent

"Windows Login Agent"  je komponenta, která rozšiřuje standardní login dialog o další vrstvu - Radius authetikaci a 2FA. Stačí nainstalovat, nastavit https URI k SecurEnvoy serveru a definovat která skupina uživatelů bude muset použít 2FA pro úspěšné přihlášení. 

  • všichni 1FA + vyjmenovaná skupina 2FA
  • všichni 2FA
  • a varianty :-)

V případě výpadku spojení na SecurEnvoy server pak lze definovat Recovery uživatele.

Takže stačí:

  1. Nainstalovat SecurEnvoy na nějaký podporovaný Windows Server
  2. Nastavit zdrojový adresář s uživateli
  3. Nastavit 2FA metrodu dle Vašich potřeb
  4. Aktivovat uživateli 2FA

    Akce tak na 30 minut.
  5. Na hlídaný server instalovat Windows Logon Agenta
  6. Nastavit URI na SecurEnvoy server
  7. Aktivovat 2FA během Logon procesu.

    Akce na 5 minut.

Snadné, přehledné, spolehlivé.

Dokumentaci najdete na webu Securenvoy