Windows Server启用双因素认证(OTP)

原创 于 2025-12-03 12:16:35 发布 · 392 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows #web安全

背景:

        等保测评中,有一项是这样写的:

我们ECS,应用都有双因素认证,但是对于数据库的连接管理,因为产品、业务、技术等原因,无法开启双因素认证,(对于远程连接数据库服务器,直接管理数据库,我们不考虑,也不现实),本文档就是针对该情况在不影响正常业务和运维的情况下进行的整改。

思路:

        1、通过防火墙限制数据库端口的连接(仅限应用的IP+运维客户端IP+一台Windows Server

        2、为满足要求,需要在WS安装OTP服务并启用(重点)。

        3、登录这台WS通过数据库管理软件管理数据库。

实现方法:

        1、寻找符合要求的软件,最终选择:multiotp

下载地址:https://download.multiotp.net/credential-provider/

根据自己的版本进行下载,并解压到指定目录

2、安装

multiOTPCredentialProviderInstaller.msi,尽量以超管安装。

新的页面保持默认选项,直接点“next”下一步。

这里是要选择哪种登录方式需要两步验证,一般来说我们都选“only remote 远程登录需要验证就行了。

点“next”下一步,

来到最后一个页面,直接点“install”开始安装程序,很快就装好了,

最后点“finish”结束安装。

3、新建用户,并配置可远程连接的权限

4、配置

 安装完程序后,还需要进行些设置,我们来到multiotp的安装目录,一般来说是在C:\Program Files\multiOTP目录下。以管理员权限打开命令提示符,输入命令C:\Program Files\multiOTP回车,进到multiotp的安装目录;

#创建用户及赋权
net user 用户名 密码 /add
net localgroup "Remote Desktop Users" 用户名 /add

#启用OTP的用户及配置
multiotp.exe -fastcreatenopin 用户名
multiotp.exe -qrcode 用户名 用户名.png
multiotp.exe -two_step_hide_otp 用户名 用户名.png

然后输入multiotp.exe -fastcreatenopin 用户名 命令回车,其中 用户名 是你要设置两步验证的用户名。

问题分析及处理:

这是一个非常典型的 Windows 环境下运行 PHP 时遇到的 Visual C++ Redistributable 版本不兼容 错误。

简单来说,你的 PHP 程序在启动时,需要一个特定版本的 VCRUNTIME140.dll 文件来运行,但它找到了一个版本(14.22),而你的 PHP 版本在编译时链接的是另一个更新的版本(14.44)。版本不匹配导致 PHP 无法正常加载。

提示:根据你的错误信息(14.44 vs 14.22),你极大概率需要安装 Visual C++ 2022 Redistributable。请优先尝试这个。

双击安装,查看安装信息:

再次执行

输入完这段代码后就能在multiotp的安装目录看到新建的users文件夹和生成的图片。

绑定OTP验证码

手机动态码软件扫码绑定,这类的软件很多,这里不做赘述。

5、验证前的温馨提醒,建议(重要)

  1. 注意:Visual C++ Redistributable 版本不兼容,一般通过官网下载都能解决。
  2. 注意:尽量修改下注册表的部分信息,不然可能开启OTP认证导致管理员登录不进去(cpus_logon=1e),切记 需要修改成(cpus_logon=1d)

HKEY_CLASSES_ROOT\CLSID\{FCEFDFAB-B0A1-4C4D-8B2B-4FF4E0A3D978}

参考如下:

配置值作用范围显示模式最终效果
0e本地+远程仅 multiOTP全局强制双因素认证
0d本地+远程multiOTP + 其他全局按需双因素认证(推荐)
1e仅远程仅 multiOTP仅远程强制双因素认证(导致不显示其他登录方式,超管也不能远程登录)
1d仅远程multiOTP + 其他仅远程按需双因素认证
2e仅本地仅 multiOTP仅本地强制双因素认证
2d仅本地multiOTP + 其他仅本地按需双因素认证
3全部禁用-完全禁用 multiOTP
3d全部禁用确保其他可用最安全的禁用方式

6、修改了注册表,需重启WS,进行验证。

这样的话,各种登录方式都有,符合现有方式。

exchange邮件双因素认证需求参考
liaomingwu的专栏
10-20 890
exchange邮件双因素认证需求汇总,虽然都是exchange邮件双因素认证,都有提高安全性的需求,但是不同企业有不同的情况,需求侧重点还是不同的。这里将遇到的各个场景进行总结,以便能够更好的完善和丰富产品功能和特性,以便能够更好的满足更多的实际需求。
【Freeradius】使用Freeradius、LDAP和Google Authenticator实现双因素身份验证
u012153104的博客
10-08 4549
随着网络安全威胁的增加,传统的用户名和密码已经变得不再安全。为了加强网络访问的安全性,双因素身份验证成为了一种流行且有效的解决方案。在本文中,我们将介绍如何在已有的Windows AD环境下,在Ubuntu 22.04上安装和配置Freeradius和Google Authenticator来实现双因素身份验证,来提供网络访问服务器认证、授权和帐户信息。
云桌面系统启用TOTP双因子认证
云飞扬的桌面云
07-22 1115
双因素认证(Two-Factor Authentication, 2FA)是一种安全机制,要求用户通过两种独立的验证因素来确认身份。本文介绍了DoraCloud云桌面系统上启用 双因素认证的过程。
SLA操作系统双因素认证实现Windows远程桌面OTP双因子安全登录—从零搭建企业级RDP安全加固体系
安当加密
09-30 1654
摘要: Windows远程桌面协议(RDP)因便利性被广泛使用,但安全性问题突出。据统计,68%的暴力破解攻击针对RDP,传统密码认证已不足抵御自动化攻击。本文提出基于SLA操作系统级双因素认证(2FA)的解决方案,结合OTP动态口令技术(如TOTP),在操作系统内核层实现安全增强。该方案支持离线验证、兼容AD域控,并通过设备绑定、IP白名单等策略提升防护能力。实施步骤包括部署OTP服务、集成SLA认证模块及配置审计策略,有效抵御暴力破解、凭证填充等攻击,企业部署成本低且无需改造现有架构,可降低99.9%的
33、Windows Server 网络配置与 DirectAccess 详解
aa123的博客
08-28 61
本文详细介绍了 Windows Server 2019 的多种网络配置功能,包括点协议配置、局域网路由、网络地址转换(NAT)以及 DirectAccess 远程访问解决方案。通过图文结合的方式,解析了各项功能的配置步骤和注意事项,并重点探讨了 DirectAccess 的部署要求、拓扑结构、服务器与客户端配置流程以及常见问题的解决思路。文章旨在帮助管理员构建安全高效的网络环境,实现无缝的远程访问和管理。
FreeIPA FreeRadius FreeOTP 实现双因素认证登录
chenjingwen的博客
12-17 9846
FreeIPA FreeRadius FreeOTP 实现VPN双因素认证登录
告别黑客攻击!手把手教你在AD域中实施MultiOTP双因素身份验证(2FA)及避坑指南
shot_gan的博客
01-10 2122
下载 MultiOTP 服务器安装包:前往 MultiOTP 官方网站(https://download.multiotp.net/),根据你的操作系统版本选择合适的安装包进行下载(我下载的是multiotp_5.9.7.1版本)。确保在执行这些命令之前,你已经正确安装并配置了 multiOTP 系统,并且了解每个命令的具体作用,以便正确地进行配置。如果你在配置过程中遇到问题,可能需要检查 LDAP 服务器的设置,确保网络连接,或者查看 multiOTP 的日志文件以获取错误信息。
Windows登录系统配置双因子认证的解决方案
安当加密
09-19 754
【摘要】在数字化转型中,企业面临80%的网络攻击源于凭证泄露(Verizon 2023)。SLA双因素认证系统为Windows环境提供硬核防护方案:支持USBKey+OTP动态口令等组合认证,有效应对钓鱼攻击和合规要求。通过政务、金融等行业案例验证,该系统实现:军事级加密、2分钟快速部署、硬件广泛兼容等六大优势,使勒索攻击下降92%,成功拦截百万级损失。SLA以"双保险"机制重构身份安全边界,成为企业对抗网络威胁的关键防线。
远程桌面二次认证的落地实践:从合规要求到零信任演进
安当加密
10-18 991
在攻击者日益擅长窃取凭证的今天,依赖单一密码的 RDP 登录无异于“裸奔”。通过轻量、合规、易用的 OTP 二次认证,企业可以在不改变运维习惯的前提下,构建一道“即使密码泄露也无法登录”的安全防线。对于金融、政务、能源等关键基础设施行业,选择通过国家商用密码产品认证、支持国密算法、部署简单的 OTP 认证方案,不仅是满足等保与密评的必要举措,更是迈向零信任架构的坚实第一步。(全文完,约11,500字)作者长期从事身份安全与零信任架构设计,参与多个国家级关键信息基础设施的 MFA 改造项目。
【Hostinger账户安全必修课】:双因素认证的全面实施与管理指南
为了达到这一目的,传统的单一密码系统已不再足够,因此,双因素认证(Two-Factor Authentication,2FA)应运而生,成为了提高安全性的重要手段。 ## 1.1 认证流程的演变 从最初的单一密码认证到现在的双因素认证...
java基础-集合进阶
qq_33631393的博客
11-29 690
/如果往set集合中添加数据,如果当前添加的数据不存在,方法返回true,如果添加的数据存在了,方法返回false(set系统不允许重复)//remove(int index):删除指定索引删除元素,返回被删除的元素,删除后,原索引之后的元素依次想前移动。//返回值也是返回一个布尔类型的值,如果查询的值包含在集合里面,就返回true,如果不包含就返回false。//答案是:索引1,因为在调用方法的时候,如果方法出现了重载,优先调用,实参和形参类型一致的那个方法。
【Linux驱动开发】Linux虚拟文件系统(VFS)技术架构深度解析
love131452098的博客
12-02 490
Linux的VFS是一个内核软件层,用来处理所有与文件系统相关的系统调用。它为用户空间程序提供了统一的文件操作接口。
【C++】map和set的使用
weixin_59251911的博客
12-02 419
本文主要介绍C++中的map和set
阿里140-n值纯算
wstc2689784536的博客
12-02 833
阿里140-n值逆向纯算
深入理解IAsyncEnumerable:.NET中的异步迭代利器
dotnethello的博客
12-02 730
在.NET开发中,处理大量数据或进行异步操作时,传统的同步迭代方式可能会导致性能瓶颈和响应迟缓。应运而生,它允许我们以异步的方式进行迭代操作,提高应用程序的响应性和性能,特别适用于处理网络请求、数据库查询等可能耗费大量时间的异步场景。
[优选算法专题九.链表 ——NO.53~54合并 K 个升序链表、 K 个一组翻转链表]
最新发布
2401_83386596的博客
12-02 448
本文介绍了合并K个升序链表和K个一组翻转链表的两种经典解法。对于合并K个升序链表,采用分治策略将问题分解为两两链表合并,时间复杂度为O(Nlogk),空间复杂度为O(logk)。K个一组翻转链表则通过分组局部翻转和整体衔接实现,使用虚拟头节点简化操作,时间复杂度为O(n),空间复杂度为O(1)。两种解法都体现了链表操作的常见技巧,如分治、虚拟头节点和指针管理等。
高效日志分离器:一键筛选关键信息
浪客川
11-29 221
【代码】高效日志分离器:一键筛选关键信息。
So-arm 101机械臂训练搭建全流程
weixin_44020969的博客
12-02 176
因旧物理机设备太差,现将训练一半的数据、程序等迁移至新设备继续训练。
winlogon源代码分析之winlogon!notifylist中Winlogon\\Notify\\sclgntfy节点的由来
linux-0.11调试教程
11-29 388
winlogon源代码分析之winlogon!notifylist中Winlogon\\Notify\\sclgntfy节点的由来
利用windows server NPS
08-15
### Windows Server NPS 配置与使用指南 Windows Server 中的网络策略服务器(Network Policy Server, NPS)是基于 RADIUS(Remote Authentication Dial-In User Service)协议的一种服务,能够实现对网络访问请求的集中管理和认证。NPS 常用于远程访问控制、802.1X 身份验证、网络访问保护(NAP)等场景。 #### 1. NPS 的基本功能 NPS 提供以下核心功能: - **RADIUS 服务器**:用于集中管理远程访问和无线接入的身份验证。 - **网络访问策略管理**:通过定义网络策略,控制用户和设备的访问权限。 - **审计和日志记录**:支持记录用户访问日志、身份验证尝试等信息,便于安全审计和故障排查。 #### 2. 配置 Windows Server NPS 的步骤 ##### 安装 NPS 角色 1. 打开 **服务器管理器**。 2. 点击 **添加角色和功能**。 3. 在向导中选择 **网络策略和访问服务**(Network Policy and Access Services)。 4. 选择 **网络策略服务器 (NPS)** 角色服务,完成安装。 ##### 配置 RADIUS 服务器 1. 打开 **NPS 管理控制台**(`Start > Administrative Tools > Network Policy Server`)。 2. 在左侧导航栏中,选择 **RADIUS 客户端和服务器**。 3. 右键点击 **RADIUS 客户端**,选择 **新建 RADIUS 客户端**。 4. 输入客户端的 IP 地址和共享密钥,并指定客户端名称。 5. 完成配置后,确保客户端设备使用相同的共享密钥进行通信。 ##### 创建网络策略 1. 在 **NPS 管理控制台** 中,导航到 **策略 > 网络策略**。 2. 右键点击 **网络策略**,选择 **新建**。 3. 设置策略名称,选择连接类型(如远程访问或无线连接)。 4. 在条件页面中,添加用户组、设备属性等条件。 5. 在约束页面中,设置身份验证方法(如 MS-CHAP v2)和网络访问限制。 6. 在设置页面中,配置属性(如 Vendor-Specific 属性)以满足特定供应商的需求,例如华为设备的权限级别分配(属性号 29,值 1-15)[^3]。 7. 最后,启用策略并测试其有效性。 ##### 日志和审计 1. 在 **NPS 管理控制台** 中,导航到 **日志**。 2. 启用详细的日志记录,选择日志文件的位置和格式。 3. 使用 **事件查看器**(Event Viewer)查看具体的认证请求和拒绝事件。 #### 3. NPS 的高级应用场景 - **802.1X 认证**:在有线或无线网络中,NPS 可作为 RADIUS 服务器,为 802.1X 提供身份验证支持。 - **网络访问保护 (NAP)**:结合 NAP,NPS 可以强制执行客户端健康策略,确保只有符合安全要求的设备才能接入网络。 - **多因素身份验证**:NPS 支持集成智能卡、一次性密码(OTP)等多因素认证机制,提升安全性。 #### 4. 常见问题排查 - **共享密钥不匹配**:确保客户端和服务器端的共享密钥完全一致。 - **网络策略未生效**:检查策略的条件和约束设置,确保其适用于当前用户或设备。 - **日志记录缺失**:确认日志路径和权限设置,确保 NPS 有权限写入日志文件。 ### 示例代码:NPS 配置文件(RADIUS 客户端) 以下是一个简单的 RADIUS 客户端配置示例,用于命令行工具(如 `netsh`)管理 RADIUS 服务器: ```bash # 添加 RADIUS 客户端 netsh ras add client <ClientIP> <ClientName> <SharedSecret> ``` 替换 `<ClientIP>`、`<ClientName>` 和 `<SharedSecret>` 为实际的客户端 IP 地址、名称和共享密钥。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值