Двухфакторная аутентификация в Windows с MultiOTP: полное руководство по настройке 2FA

Пароль — это, конечно, наш первый рубеж обороны, но, честно говоря, сам по себе он значит до обидного мало. Стоит только вспомнить утечки баз, коварный фишинг, незаметные кейлоггеры или даже банальные стикеры с паролями на мониторах — и вот ваша парольная защита уже дырявая, как решето. Здесь на помощь приходит двухфакторная аутентификация (2FA): она добавляет ещё один, второй, фактор — одноразовый код, который генерирует приложение на вашем смартфоне. Получается, даже если злоумышленник каким-то чудом узнает ваш пароль, без физического устройства он ни за что не попадёт внутрь. В этой статье я расскажу, как мы развернём совершенно бесплатный MultiOTP, чтобы надёжно защитить вход в Windows и RDP-подключения, да ещё и с полной интеграцией в Active Directory.

Что такое MultiOTP и почему именно он?

Что же такое MultiOTP? Это классный, бесплатный open-source сервер одноразовых паролей, который спокойно работает со стандартами TOTP (RFC 6238) и HOTP (RFC 4226). Состоит он, по сути, из трёх ключевых частей: есть серверная часть (это такое PHP-приложение с удобным веб-интерфейсом), есть утилита командной строки для разных задач, и, конечно, Windows Credential Provider — именно он и встраивается прямо в экран входа вашей Windows.

Чем хорош MultiOTP:

• Бесплатность — полная функциональность без лицензионных ограничений
• Интеграция с AD — автоматическая синхронизация пользователей через LDAP
• Credential Provider для Windows — 2FA на экране входа (локальный и RDP)
• Совместимость с любым аутентификатором — Google Authenticator, Microsoft Authenticator, Authy
• RADIUS-интеграция — для VPN, Wi-Fi, RD Gateway и других сервисов
• Работа без интернета — TOTP не требует подключения к внешним серверам

Архитектура решения: как работает 2FA с MultiOTP

А вся схема работы двухфакторки с MultiOTP выглядит так:

1. Пользователь вводит логин и пароль на экране входа Windows
2. Credential Provider запрашивает одноразовый OTP-код (второе поле)
3. Пользователь открывает приложение-аутентификатор на смартфоне и вводит 6-значный код
4. Credential Provider отправляет OTP на сервер MultiOTP для проверки
5. Сервер MultiOTP проверяет код по алгоритму TOTP (совпадение с текущим временным окном)
6. При успехе — Windows разрешает вход; при неудаче — отказ

Серверную часть MultiOTP можно разместить как на том же сервере, где у вас уже стоит Active Directory, так и на отдельной машине. Если вы спрашиваете меня, то ради максимальной отказоустойчивости я бы советовал вынести её на отдельный сервер. И не забывайте регулярно бэкапить базу пользователей — это очень важно!

Подготовка Active Directory: группы и сервисный аккаунт

Прежде чем мы начнём устанавливать MultiOTP, давайте подготовим Active Directory. Нам нужно будет завести все необходимые группы и одну сервисную учётную запись:

# Создаём группу пользователей, для которых будет 2FA
New-ADGroup -Name "2FAUsers" -GroupScope Global `
    -Path "OU=Groups,OU=Moscow,DC=company,DC=ru" `
    -Description "Пользователи с обязательной двухфакторной аутентификацией"

# Группа пользователей БЕЗ 2FA (сервисные аккаунты, аварийный доступ)
New-ADGroup -Name "No2FA" -GroupScope Global `
    -Path "OU=Groups,OU=Moscow,DC=company,DC=ru" `
    -Description "Пользователи, освобождённые от 2FA"

# Добавляем пользователей
Add-ADGroupMember -Identity "2FAUsers" -Members ivanov,petrov,sidorov

# Создаём сервисный аккаунт для LDAP-запросов MultiOTP
New-ADUser -Name "svc_multiotp" `
    -SamAccountName "svc_multiotp" `
    -UserPrincipalName "svc_multiotp@company.ru" `
    -Path "OU=ServiceAccounts,DC=company,DC=ru" `
    -AccountPassword (ConvertTo-SecureString "Str0ngP@ss!" -AsPlainText -Force) `
    -Enabled $true `
    -PasswordNeverExpires $true `
    -CannotChangePassword $true

Установка сервера MultiOTP на Windows

Скачайте актуальную версию MultiOTP с официального GitHub-репозитория. На момент написания статьи последняя версия — 5.9.7.

# Скачиваем и распаковываем
Invoke-WebRequest -Uri "https://download.multiotp.net/multiotp.zip" -OutFile C:\multiotp.zip
Expand-Archive C:\multiotp.zip -DestinationPath C:\MultiOTP

# Переходим в директорию
cd C:\MultiOTP\windows

Базовая конфигурация

# Отключаем требование PIN-кода перед OTP
multiotp -config default-request-prefix-pin=0

# Настраиваем LDAP-подключение к AD
multiotp -config ldap-domain-controllers="dc01.company.ru,ldap://192.168.1.10:389"
multiotp -config ldap-bind-dn="CN=svc_multiotp,OU=ServiceAccounts,DC=company,DC=ru"
multiotp -config ldap-server-password="Str0ngP@ss!"
multiotp -config ldap-base-dn="DC=company,DC=ru"
multiotp -config ldap-in-group="2FAUsers"
multiotp -config ldap-without2fa-in-group="No2FA"
multiotp -config ldap-network-timeout=10
multiotp -config ldap-time-limit=30

# Настраиваем серверный секрет для связи с Credential Provider
multiotp -config server-secret=MySecretOTP2026

Синхронизация пользователей из Active Directory

После настройки LDAP выполните первую синхронизацию:

# Синхронизация с отладочным выводом
multiotp -debug -display-log -ldap-users-sync

При успехе вы увидите сообщение вида: INFO: 15 users updated, 0 users created. Если появляется ошибка LDAP bind failed, проверьте:

• Правильность DN сервисного аккаунта (скопируйте из свойств объекта в AD)
• Пароль — попробуйте войти под этим аккаунтом на любом компьютере домена
• Сетевую доступность контроллера домена с сервера MultiOTP (порт 389)

Генерация QR-кодов и активация TOTP

Для каждого пользователя, которого мы синхронизировали, предстоит сгенерировать секретный ключ и, конечно же, QR-код. Этот код пользователь затем отсканирует своим приложением-аутентификатором — и готово!

# Генерация QR-кода для пользователя ivanov
multiotp -qrcode ivanov C:\MultiOTP\qrcodes\ivanov.png

# Проверка OTP-кода вручную (для тестирования)
multiotp ivanov 123456

QR-код можно также получить через веб-интерфейс MultiOTP. Запустите веб-сервер:

# Запуск встроенного веб-сервера
multiotp -config server-type=1
C:\MultiOTP\windows\webservice_install.cmd

Веб-интерфейс доступен по адресу http://server-ip:8112 (HTTP) или https://server-ip:8113 (HTTPS). Логин по умолчанию: admin / 1234. Обязательно смените пароль при первом входе!

Открытие портов брандмауэра

Чтобы Credential Provider достучался до сервера MultiOTP, откроем нужные порты:

# HTTP-порт для API
New-NetFirewallRule -DisplayName "MultiOTP HTTP" `
    -Direction Inbound -Protocol TCP -LocalPort 8112 -Action Allow

# HTTPS-порт для защищённого API
New-NetFirewallRule -DisplayName "MultiOTP HTTPS" `
    -Direction Inbound -Protocol TCP -LocalPort 8113 -Action Allow

# RADIUS-порт (если используется для VPN/Wi-Fi/RD Gateway)
New-NetFirewallRule -DisplayName "MultiOTP RADIUS" `
    -Direction Inbound -Protocol UDP -LocalPort 1812 -Action Allow

Установка Credential Provider на рабочие станции

Credential Provider — это компонент, который добавляет поле OTP на экран входа Windows. Скачайте его из того же архива MultiOTP и установите на целевых компьютерах.

# Установка Credential Provider (MSI-пакет)
msiexec /i "C:\MultiOTP\credential-provider\multiOTPCredentialProvider-x64.msi" /qn `
    MULTIOTP_URL="http://multiotp-server:8112" `
    MULTIOTP_SECRET="MySecretOTP2026" `
    MULTIOTP_TIMEOUT=5 `
    LOGIN_TITLE="OTP код" `
    MULTIOTP_FLAT_DOMAIN=1

После установки на экране входа появится дополнительное поле для ввода одноразового пароля. Важные параметры реестра Credential Provider:

# Расположение: HKLM\SOFTWARE\multiOTP\
# multiOTPServerURL — адрес сервера MultiOTP
# multiOTPServerSecret — общий секрет
# multiOTPServerTimeout — таймаут подключения (сек)
# multiOTPCacheEnabled — кэширование OTP при недоступности сервера
# cpus_logon — тип входа: 1=все, 2=только RDP, 3=только локальный

# Отключить кэширование (максимальная безопасность):
Set-ItemProperty -Path "HKLM:\SOFTWARE\multiOTP" -Name "multiOTPCacheEnabled" -Value 0

# Включить 2FA только для RDP (не для локального входа):
Set-ItemProperty -Path "HKLM:\SOFTWARE\multiOTP" -Name "cpus_logon" -Value 2

Массовое развёртывание через GPO

Для автоматической установки Credential Provider на все рабочие станции используйте GPO с назначением MSI-пакета:

1. Разместите MSI-пакет на сетевом ресурсе: \\fileserver\share\multiotp\
2. Создайте GPO в Computer Configuration → Policies → Software Settings → Software Installation
3. Добавьте MSI-пакет с параметром Advanced Published or Assigned
4. Настройте transform (.mst) файл с параметрами URL, Secret и другими

# Создание MST-файла для кастомизации установки
# Используйте Orca (из Windows SDK) для редактирования:
# Property: MULTIOTP_URL = http://multiotp-server:8112
# Property: MULTIOTP_SECRET = MySecretOTP2026
# Property: MULTIOTP_FLAT_DOMAIN = 1

Настройка RADIUS для интеграции с VPN и RD Gateway

MultiOTP включает встроенный RADIUS-сервер, что позволяет использовать 2FA не только для входа в Windows, но и для VPN, Wi-Fi и RD Gateway:

# Установка RADIUS-сервиса
C:\MultiOTP\windows\radius_install.cmd

# Настройка RADIUS-клиентов
multiotp -config radius-reply-attributor=","
multiotp -config radius-reply-separator-hex="0a"

# Добавление RADIUS-клиента (например, RD Gateway)
# В файле C:\MultiOTP\windows\radius\etc\clients.conf:
# client rdgateway {
#     ipaddr = 192.168.1.50
#     secret = RadiusSecret123
# }

Решение проблемы «502 Bad Gateway» веб-интерфейса

Одна из самых частых проблем при установке — веб-интерфейс показывает ошибку 502. Причина — отсутствие библиотек Visual C++ Runtime:

# Установите Visual C++ 2015-2022 Redistributable (ОБЯЗАТЕЛЬНО x86!)
# Скачайте с https://aka.ms/vs/17/release/vc_redist.x86.exe
# Даже на 64-битной системе нужна 32-битная версия

# После установки перезапустите сервис
Restart-Service multiOTPservice

# Проверка доступности
Invoke-WebRequest -Uri "http://localhost:8112" -UseBasicParsing

Обход 2FA при отключении сети: как предотвратить?

Пользователи обнаружили, что если разорвать сетевое подключение во время запроса OTP при RDP-сессии, система может пропустить проверку. Это связано с кэшированием:

# Полностью отключить кэширование OTP
Set-ItemProperty -Path "HKLM:\SOFTWARE\multiOTP" `
    -Name "multiOTPCacheEnabled" -Value 0 -Type DWord

# Установить строгий режим: при недоступности сервера — отказ
Set-ItemProperty -Path "HKLM:\SOFTWARE\multiOTP" `
    -Name "multiOTPServerTimeout" -Value 10 -Type DWord

Мониторинг и аудит событий 2FA

Все события аутентификации записываются в лог MultiOTP:

# Просмотр логов
Get-Content C:\MultiOTP\windows\log\multiotp.log -Tail 50

# Фильтрация неудачных попыток
Select-String -Path C:\MultiOTP\windows\log\multiotp.log `
    -Pattern "ERROR|FAIL" | Select-Object -Last 20

Рекомендуется настроить пересылку критических событий в систему мониторинга (Zabbix, PRTG) или в Telegram через webhook. Отслеживайте:

• Множественные неудачные попытки ввода OTP (возможный брутфорс)
• Вход пользователей из группы No2FA (аномальная активность)
• Недоступность сервера MultiOTP (потеря связи с Credential Provider)

Синхронизация базы между сервером и клиентами

Credential Provider, кстати, умеет хранить локальный кэш пользовательских токенов. Если вдруг синхронизация начинает барахлить или что-то идёт не так, иногда приходится заходить и копировать их вручную:

# На сервере MultiOTP — файлы пользовательских токенов:
# C:\MultiOTP\windows\users\*.db

# На клиенте — локальный кэш:
# C:\Program Files\multiOTP\users\

# Ресинхронизация конкретного пользователя
multiotp -resync ivanov 123456 789012

Для команды -resync нужны два последовательных OTP-кода из приложения. Это сбросит счётчик временных окон и восстановит синхронизацию.

Обновление MultiOTP до новой версии

При обновлении не потеряйте базу пользователей — сохраните её заранее:

# 1. Остановите сервис
Stop-Service multiOTPservice

# 2. Сделайте бэкап
Copy-Item C:\MultiOTP\windows\users -Destination C:\MultiOTP-backup\users -Recurse
Copy-Item C:\MultiOTP\windows\config -Destination C:\MultiOTP-backup\config -Recurse

# 3. Распакуйте новую версию поверх старой (кроме папок users и config)
# 4. Запустите сервис
Start-Service multiOTPservice

# 5. Проверьте работоспособность
multiotp -status