Zwei-Faktor-Authentifizierung

Inhaltsverzeichnis

Die Zwei-Faktor-Authentifizierung fügt eine zusätzliche Sicherheitsebene hinzu und verhindert den Zugriff auf die Sitzung Ihrer Benutzer, selbst wenn jemand ihr Passwort kennt .

Eine Kombination aus zwei verschiedenen Faktoren wird verwendet, um ein höheres Maß an Sicherheit zu erreichen:

etwas, das sie wissen ein Passwort .
etwas, das sie haben, ein Gerät - wie ein Smartphone - mit einer installierten Authentifizierungs-App. .

Sie können eine der folgenden Authentifizierungs-Apps verwenden, um fortzufahren. Diese Apps sind auf einer Vielzahl von Plattformen verfügbar:

Jedes Mal, wenn sich ein Benutzer in seine Remote-Sitzung anmeldet, benötigt er sein Passwort und einen Verifizierungscode, der auf seinem Mobiltelefon verfügbar ist. Nach der Konfiguration zeigt die Authenticator-App einen Verifizierungscode an, um ihm oder ihr zu ermöglichen, sich jederzeit anzumelden. Es funktioniert sogar, wenn das Gerät offline ist.

ODER Sie können entscheiden, die Bestätigungscodes zu erhalten durch SMS In diesem Fall müssen Sie ein kostenloses Konto bei erstellen Twilio .

Die 2FA-Codes werden als TOTP generiert (einmaliges zeitbasiertes Passwort), und sind daher für den einmaligen Gebrauch.

Daher ist es nicht möglich, einen bereits verwendeten 2FA-Code erneut zu verwenden. Dies verhindert den Diebstahl und die anschließende Verwendung eines 2FA-Codes, indem der Benutzer beobachtet wird, während er seinen Code eingibt.

Die Zwei-Faktor-Authentifizierung erfordert TSplus Remote Access Mobile-Web oder Unternehmen Editionen.

Die Zwei-Faktor-Authentifizierung wird unterstützt durch:

TSplus Remote Access Webportal , sowohl für HTML5- als auch für Remoteapp-Verbindungen
TSplus Connection Client, für Clients, die seit Version 15.30.3.15 erstellt wurden, mit 2FA-Unterstützung ausdrücklich aktiviert. Siehe Portable Client Generator Unterstützung für Zwei-Faktor-Authentifizierung
2FA bezieht sich auf Windows-Benutzer und nicht auf Web-Anmeldeinformationen

Dieser Authentifizierungsmodus unterstützt kein Login über den standardmäßigen Microsoft Remote Desktop-Client (mstsc.exe).

Um eine noch sicherere Lösung zu bieten, werden RDP-Verbindungen für Benutzer mit aktivierter Zwei-Faktor-Authentifizierung verweigert.

Als Voraussetzung müssen der TSplus-Server und die Geräte rechtzeitig sein. Sehen Sie die Zeit-Synchronisierung und Einstellungen Abschnitte für weitere Konfigurationsinformationen.

Die Funktion der Zwei-Faktor-Authentifizierung ist im Add-On-Tab des AdminTools zu finden:

Activating-Two-Factor-Authentication 1

Führen Sie die folgenden Schritte aus, um die Zwei-Faktor-Authentifizierung für Ihren TSplus-Server oder Ihre Bereitstellung zu aktivieren. Wenn Ihre TSplus-Bereitstellung so konfiguriert ist, dass mehrere Server verwendet werden, führen Sie diese Aufgabe auf dem TSplus-Server aus, der als einziger Zugangspunkt für Benutzer oder mit der Rolle des Reverse-Proxys exponiert ist.

Öffnen Sie die Anwendung zur Verwaltung der Zwei-Faktor-Authentifizierung. Der Status der Zwei-Faktor-Authentifizierung und der Lizenzstatus werden angezeigt:

Two-factor Authentication

Standardmäßig ist 2FA für das TSplus-Gateway und die eigenständigen Anwendungsserver aktiviert.

Sie können es nur für TSplus-Anwendungsserver aktivieren, indem Sie die URL des Authentifizierungsservers eingeben:

Two-factor Authentication Application Server

Oder deaktivieren Sie es:

Two-factor Authentication is disabled

Sobald die Zwei-Faktor-Authentifizierung aktiviert ist, können Sie Benutzer für die Zwei-Faktor-Authentifizierung konfigurieren.

Von der Verwaltung Anwendung zur Zwei-Faktor-Authentifizierung klicken Sie auf die Benutzer verwalten Tab.
Dann klicken Sie auf Hinzufügen Benutzern und/oder Benutzergruppen auszuwählen. Die Benutzer oder Gruppen auswählen Box öffnet sich.

Add Users and Groups

Fügen Sie so viele Benutzer und Gruppen hinzu, wie erforderlich, und klicken Sie dann auf OK Die Benutzer und Gruppen werden zur Liste hinzugefügt und für die Zwei-Faktor-Authentifizierung aktiviert.

Hier sind Befehle zum Hinzufügen von Benutzern/Gruppen
3 Arten möglicher Argumente:

nur der domainName
TwoFactor.Admin.exe /addusers domainName1

fügt den Benutzer mit den Standardwerten hinzu (Empfangsmethode = App, E-Mail- und Telefonfelder nicht eingegeben)

der domainName und die Empfangsmethode
TwoFactor.Admin.exe /addusers domainName1;SMS

fügt den Benutzer mit der gewünschten Empfangsmethode hinzu, versucht jedoch nicht, sie zu aktivieren

der domainName, die Empfangsmethode, das Telefonfeld (auch wenn leer), das E-Mail-Feld (auch wenn leer)
*TwoFactor.Admin.exe /addusers domainName1;SMS;+33606060606; [email protected] domainName2;E-Mail;; [email protected] domainName3;SMS;+33606060607;domainName4

Das gleiche Verhalten wie im HMI, wenn wir einen Benutzer hinzufügen und dann mit den korrekten Informationen bearbeiten: wir versuchen, den Benutzer zu aktivieren.

Wie im letzten Beispiel gezeigt, können mehrere Benutzer angegeben werden (durch ein Leerzeichen getrennt). Die verschiedenen Felder eines Benutzers sind durch ein Semikolon getrennt.

Für einzelne Gruppen:
TwoFactor.Admin.exe /addgroups gruppe1 gruppe2 gruppe3

Auf demselben Kachel können Sie die Art und Weise bearbeiten, wie Benutzer Verifizierungscodes erhalten, indem Sie einen Benutzer auswählen und auf die Schaltfläche „Bearbeiten“ klicken.

Edit Users

Der Benutzer erhält standardmäßig Verifizierungscodes in der Authentifizierungs-App. Sie können wählen, dass er/sie diese per SMS oder E-MAIL erhält, indem Sie die Option auswählen.

Ausgewählte SMS und die Telefonnummer des Benutzers im Feld hinzugefügt oder E-MAIL ausgewählt und die E-Mail des Benutzers hinzugefügt.

Um Benutzer oder Gruppen zu entfernen, wählen Sie den Benutzer oder die Gruppe aus und klicken Sie dann auf Entfernen Eine Bestätigungsnachricht wird angezeigt.

Remove Users and Groups

Klicken Ja Der Benutzer oder die Gruppe wird aus seiner Liste entfernt und kann sich nicht mehr mit Zwei-Faktor-Authentifizierung verbinden.

Im Falle des Verlusts des authentifizierenden Geräts für einen Benutzer oder wenn der Benutzer den geheimen QR-Code erneut anzeigen muss, müssen Sie die Benutzerauthentifizierungseinstellungen zurücksetzen.

Von der Verwaltung Anwendung zur Zwei-Faktor-Authentifizierung klicken Sie auf die Benutzer verwalten Tab.
Wählen Sie einen oder mehrere aktivierte Benutzer aus und klicken Sie dann auf Zurücksetzen Eine Bestätigungsnachricht wird angezeigt.

Reset Users

Klicken Ja Die ausgewählten Benutzer erhalten beim nächsten Login einen neuen QR-Code, den sie in der Authentifizierungs-App ihres Geräts scannen müssen.

Sie können auch die Telefonnummer des Benutzers ändern, damit er einen Bestätigungscode auf seinem neuen Gerät erhalten kann.

Sobald ein Benutzer für die Verwendung der Zwei-Faktor-Authentifizierung aktiviert wurde, wird bei seiner nächsten erfolgreichen Anmeldung über das TSplus-Webportal eine Aktivierungsnachricht angezeigt.

Activate Two-factor Authentication

Um die erforderlichen Schritte abzuschließen, haben Sie zwei Möglichkeiten: entweder Codes über eine Authenticator-App zu generieren oder den Benutzer Codes per SMS empfangen zu lassen.

Der Benutzer muss eine Authentifizierungs-App auf einem tragbaren Gerät, wie seinem Smartphone, installieren.

Sie können eine der folgenden Authentifizierungs-Apps verwenden, um fortzufahren. Diese Apps sind auf einer Vielzahl von Plattformen verfügbar:

Bitte verwenden Sie die Dokumentation jeder App für weitere Details, wie Sie Ihr TSplus-Konto hinzufügen können.

Um zu gewährleisten, dass der Benutzer Bestätigungscodes per SMS erhält, müssen Sie dies zuerst aktivieren. Klicken Sie auf die SMS konfigurieren Tab:

TSplus nutzt Twilio, um Verifizierungscodes per SMS zu senden. Twilio ist eine Drittanbieter-Cloud-Plattform, die nicht mit TSplus verbunden ist.

Erstellen Sie einfach ein kostenloses Konto auf Twilio indem Sie auf die Schaltfläche unten „Starten Sie Ihre kostenlose Testversion mit Twilio“ klicken:

Configure SMS

Auf Ihrem Twilio-Konto-Dashboard Sie müssen Ihre Testnummer aktivieren:

Configure SMS

Der nächste Schritt ist nur für Testversionen erforderlich. Er ermöglicht es Twilio, die tatsächliche Telefonnummer zu überprüfen, an die SMS gesendet werden.

Geben Sie diese Nummer unter dem ein “Telefonnummern” Menü - “Verifizierte Anrufer-IDs” Tab :

Configure SMS

Sie können dann Ihre Kontos-ID, Authentifizierungstoken und eingeben Testnummer als die Telefonnummer auf dem SMS konfigurieren Tab von TSplus:

Configure SMS

Dann klicken Sie auf Speichern. Die folgende Nachricht wird angezeigt:

Configure SMS

Sie können Ihr Twilio-Abonnement auf dem Twilio-Abonnement verwalten Abschnitt, am Ende der SMS konfigurieren Verwalten Sie Ihr Konto, sehen Sie den Service-Status oder erreichen Sie das Twilio Support Center, indem Sie einfach auf die entsprechenden Schaltflächen klicken.

Damit der Benutzer Bestätigungscodes per E-MAIL erhält, müssen Sie zuerst Ihr SMTP-E-Mail konfigurieren.

Configure EMAIL

Sobald ein Benutzer sein TSplus-Konto in seiner Authentifizierungs-App konfiguriert hat, kann er sich mit seinem Passwort und dem von seiner Authentifizierungs-App, per SMS oder E-Mail bereitgestellten Code verbinden.

Vom TSplus Remote Access Webportal:

Vom TSplus generierten Client:

TSplus-Anwendungsserver und Client-Geräte müssen die gleiche Zeit teilen. Das bedeutet, dass die Uhrzeit und das Datum des Servers mit einem Zeitserver synchronisiert werden müssen. Client-Geräte müssen ebenfalls eine Zeit-Synchronisierung haben, unabhängig von der Zeitzone, in der sie konfiguriert sind.

Wenn eine Authentifizierungsanfrage von einem Gerät kommt, dessen Datum und Uhrzeit nicht synchronisiert sind, oder wenn das Datum und die Uhrzeit des Servers nicht synchronisiert sind, kann diese Anfrage abgelehnt werden.

Die Validierung der Informationen zwischen dem Gerät und dem Server bezieht sich auf die UTC-Zeit.

Im Einstellungen Abschnitt, der Discrepency-Parameter wird verwendet, um den Gültigkeitszeitraum des Codes in Intervallen von 30 Sekunden zu verwalten.

Beispiel für Validierung oder gültige Authentifizierung:

der Server ist mit einem Zeitserver synchronisiert, die Zeitzone ist UTC + 2, es ist 14:30 Uhr
Das Gerät ist mit einem Zeitserver synchronisiert, die Zeitzone ist UTC + 1, es ist 13:30 Uhr.
der Discrepency-Parameter ist auf 60 konfiguriert, d.h. eine Gültigkeitsdauer des Codes von 30 Minuten
auf UTC-Zeit bezogen sind die Gerätez Zeit und die Serverzeit identisch.

Beispiel für gültige oder ungültige Authentifizierung:

der Server ist mit einem Zeitserver synchronisiert, die Zeitzone ist UTC + 2, es ist 14:30 Uhr
Das Gerät ist nicht mit einem Zeitserver synchronisiert, die Zeitzone ist UTC-1, die Uhrzeit ist manuell auf 13:30 Uhr eingestellt.
der Discrepency-Parameter ist auf 60 konfiguriert, d.h. eine Gültigkeitsdauer des Codes von 30 Minuten
Die Serverzeit, die sich auf die UTC-Zeit bezieht, ist 12:30 Uhr.
Die von dem Gerät mitgeteilte Zeit, die auf UTC-Zeit verweist, ist 14:30 Uhr.
Der Unterschied beträgt 120 Minuten, der Validierungscode wird daher abgelehnt.

Die Registerkarte Einstellungen ermöglicht es Ihnen, Benutzer auf die Whitelist setzen, damit sie sich mit einem RDP-Client verbinden können, ohne einen Zwei-Faktor-Authentifizierungscode eingeben zu müssen.

Klicken Sie auf die Schaltfläche „Hinzufügen“, um einen Benutzer hinzuzufügen, und entfernen Sie einen Benutzer, indem Sie ihn auswählen und auf die Schaltfläche „Entfernen“ klicken.

Two-factor Authentication-Settings

Der Reiter "Erweitert" ermöglicht es Ihnen, die Einstellungen für die Zwei-Faktor-Authentifizierung im Detail zu konfigurieren.