Настройка модуля интеграции Windows Logon для работы с RDP. Данный сценарий может использоваться вместо модуля интеграции RDP Windows Logon.
Для корректной работы данного сценария требуется отключение NLA, что является небезопасным.
Описание
При реализации данного сценария, запрос авторизации происходит на стороне терминального клиента, в качестве способа аутентификации будет вызвано окно Indeed AM Windows logon, в котором вы сможете аутентифицироваться по доступному пользователю провайдеру аутентификации (Passcode, TOTP, Z2USB, Futronik (отпечаток пальца) и т.д).
Установка
- Установить Indeed AM Windows Logon на машину, к которой будет осуществляться RDP подключение;
- Установить требуемые провайдеры аутентификации на машину, к которой будет осуществляться RDP подключение;
(если используются USB устройства для аутентификации: Z2USB, Futronic, Omnikey и т.п., тогда требуется установить данные провайдеры и на машину с которой будет осуществляться подключение);
Настройка
- Настройка через GPO:
В настройках групповых политик в разделе Local Computer Policy\Computer Configuration\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Security выставить следующие значения групповых политик для данного сервера:
- Настройка через Реестр:
Данные параметры можно настроить, изменив параметры в реестре. Для этого в редакторе реестра необходимо выполнить следующее:
-
Перейти в раздел HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services;
-
Для параметра "UserAuthentication" тип DWORD задать значение 0 (если данный параметр отсутствует, его необходимо создать);
-
Для параметра "MinEncryptionLevel" тип DWORD задать значение 3 (если данный параметр отсутствует, его необходимо создать);
-
Для параметра "SecurityLayer" тип DWORD задать значение 0 (если данный параметр отсутствует, его необходимо создать);
- Перейти в раздел HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\Logon for Windows;
- Для параметра "CredProvFilter" тип DWORD задать значение 2 (если данный параметр отсутствует, его необходимо создать);
Пример работы Windows Logon с RDP
Если при подключении, окно Indeed WL не перехватывает авторизацию
Вероятнее всего произошёл конфликт Indeed AM WL и стандартных поставщиков учетных данных Windows. Следует воспользоваться рекомендациями из данной статьи: Не отображается окно Windows Logon при входе.
|