Skip to main content

Агент Indeed Logon

Агент Indeed Logon — это Credential Provider (поставщик учетных данных) для операционных систем семейства Microsoft Windows, который позволяет выполнять проверку второго фактора на сервере сервиса MFA компании «Индид Облако», повышая безопасность пользовательской аутентификации при:

  • Консольном (физическом) доступе к операционной системе;
  • Удаленном доступе по протоколу RDP;
  • Использовании UAC (User Account Control) при консольном доступе;
  • Использовании UAC (User Account Control) при RDP доступе;
  • Исходящем удаленном доступе по протоколу RDP;
  • Повторном консольном входе в систему после блокировки сессии.

Для реализации второго фактора необходимо установить и настроить модуль Indeed Logon в операционной системе Microsoft Windows.

Обмен данными при выполнении двухфакторной аутентификации происходит следующим образом:

  1. Пользователь проходит базовую аутентификацию по логину и паролю; в случае, если правилами Indeed Logon установлено требование двухфакторной аутентификации, пользователь вводит значение OTP или формирует триггер для отправки push-уведомления или одноразового кода по внешним каналам связи.
  2. В случае успешной аутентификации пользователь получает доступ к операционной системе.
Подсказка

Рекомендуется использовать Token Validator Proxy. для централизованного сбора запросов на аутентификацию и дальнейшей трансляции их на сервер аутентификации MFA.

Поддерживаемые операционные системы

Агент Indeed Logon поддерживает следующие операционные системы (все доступные редакции для версии операционной системы):

  • Microsoft Windows 10 x64;
  • Microsoft Windows 11 x64;
  • Microsoft Windows Server 2019 (Server with Desktop Experience);
  • Microsoft Windows Server 2022 (Server with Desktop Experience);
  • Microsoft Windows Server 2025 (Server with Desktop Experience).

При попытке установить Indeed Logon на неподдерживаемую операционную систему инсталлятором будет выдано сообщение об ошибке, процесс установки будет прерван.

Для корректной работы агента требуется установка Microsoft .NET Desktop Runtime версии 8.0.X (рекомендуется установка актуальной версии окружения с устранёнными уязвимостями с официального сайта производителя). Runtime окружение может быть установлено после установки Indeed Logon в целевую операционную систему.

Агент Indeed Logon поддерживает работу с русской и английской локализацией. Определение локализации осуществляется автоматически на основании локализации операционной системы, в которой установлен агент.

Примечание

При публикации рабочего стола по протоколу RDP необходимо отключение механизма безопасности Microsoft NLA (Network Level Authentication).

Настройка узлов аутентификации

Чтобы организовать аутентификацию пользователей в операционной системе, в консоли администрирования добавьте адрес хоста, где установлен Indeed Logon, в список узлов аутентификации.

Для этого:

  1. Войдите в консоль с учетными данными оператора виртуального сервера.
  2. Выберите сервер на вкладке Виртуальные серверы.
  3. Выберите вкладку второго ряда Настройки.
  4. Раскройте панель Узлы аутентификации.
  5. Нажмите Добавить или Изменить.
  6. Укажите имя узла и его IP-адрес.
Примечание

Если между сервером аутентификации и хостом с Indeed Logon используется трансляция сетевых адресов (NAT), то в качестве IP-адреса указывайте внешний IP-адрес, через который поступают запросы на сервер аутентификации.

Настройка агента Indeed Logon

Для реализации второго фактора необходимо установить и настроить модуль Indeed Logon в операционной системе Microsoft Windows.

Для этого:

  1. Запустите инсталляционный пакет с правами администратора.
  2. В появившемся мастере нажмите Далее.
  3. Укажите каталог для установки Indeed Logon и нажмите Далее.
  4. Нажмите Установить и подтвердите начало установки.
  5. После завершения установки на рабочем столе отобразится ярлык приложения Logon Manager.
Примечание

Если при первом запуске появится сообщение «You must install .Net Desktop Runtime to run this application», перейдите по ссылке из сообщения, скачайте и установите .NET Desktop Runtime, затем снова запустите Logon Manager.

После установки агента необходимо выполнить базовое конфигурирование.

Настройка подключения к серверу аутентификации

Для этого:

  1. Запустите Logon Manager от имени администратора.
  2. На вкладке Связь с сервером задайте адрес сервера аутентификации: mfa.indeed-cloud.ru
  3. Для организации безопасного SSL‑соединения рекомендуется активировать опцию Проверять SSL — в этом случае агент будет проверять валидность сертификата (даты, цепочку, Common Name, список отозванных сертификатов).
  4. Нажмите Применить для сохранения изменений.
  5. Нажмите кнопку Тест, чтобы убедиться, что соединение с серверами аутентификации успешно установлено.

Активация провайдера Indeed MFA

После проверки подключения к серверу MFA выполните проверку работы провайдера и его активацию.

Для этого:

  1. В каталоге установки Indeed Logon запустите модуль CredUITester.exe. Данный модуль отображает все зарегистрированные в системе поставщики учетных данных.
  2. В открывшемся окне выберите Больше вариантов, затем провайдер Indeed MFA и укажите параметры входа, включая второй фактор субъекта.
Примечание

При установке провайдер Indeed MFA исключает проверку второго фактора для локальных и доменных администраторов.

  1. После успешной проверки в Logon Manager на вкладке Настройки включите параметр Агент активен и нажмите Применить.
  2. Выполните перезагрузку системы.

После перезагрузки в системе будет доступен только провайдер Indeed MFA — как при консольном, так и при RDP‑доступе.

Обновление и удаление агента Indeed Logon

Для обновления Indeed Logon необходимо выполнить процесс установки на базе новой версии дистрибутива. Все ранее установленные параметры будут сохранены.

Для удаления Indeed Logon необходимо под учетной записью администратора запустить оснастку Приложения, выбрать пункт Установленные приложения, выбрать приложение Indeed Logon, вызвать пункт Удалить, подтвердить удаление агента.

Параметры агента Indeed Logon

Агент Indeed Logon имеет множество настроек, которые могут быть активированы с помощью Logon Manager. Ниже представлен список поддерживаемых параметров.

Настройки

Наименование параметраОписание параметраЗначение по умолчанию
Агент активен (Enable agent)Активирует провайдер Indeed Logon в системе. При изменении параметра требуется перезагрузка системы.Отключено
Удалять NetBIOS имя (Strip NetBIOS name)Удалять префикс хоста/домена в имени пользователя при отправке данных на сервер аутентификации.Включено
Удалять суффикс в UPN записи (Strip realm from UPN)Удалять суффикс в записи UPN в имени пользователя при отправке данных на сервер аутентификации.Включено
Пробрасывать IP-адрес агента (Enable IP forward)Пробрасывать IP-адрес агента при аутентификации пользователя.Отключено
Включить режим отладки (Debug mode)Включение режима отладки. Записи отладочной информации сохраняются в каталоге C:\Windows\Logs\IndeedLogon. Также при включенной опции и запуске модуля CredUITest записи аудита будут выводиться в системную консоль.Отключено
Авто вызов (Auto Challenge)Данная опция позволяет автоматически отправлять запрос на отправку одноразового кода (push-уведомления) без участия пользователя. Поддерживаются режимы: Отключено (Disable), Токен по умолчанию (Default Token), Аппаратный (Hardware), Программный (Software), Мобильный пуш (Mobile push), SMS (SMS), Почта (Email), Telegram (Telegram).Отключено

Связь с сервером

Наименование параметраОписание параметраЗначение по умолчанию
Адрес первого SAS (First SAS address)Первый адрес SAS-сервера. Необходимо указать mfa.indeed-cloud.ruНе задан
Второй адрес SAS (Second SAS address)Второй адрес SAS-сервера. В случае использования порта, отличного от 443, необходимо адрес сервера прописать в формате <адрес>:<порт>.Не задан
Таймаут соединения (Connection timeout)Таймаут соединения в секундах с сервером аутентификации, после которого идет переключение на второй сервер аутентификации.10 секунд
Таймаут восстановления (Failedback timeout)Таймаут восстановления в секундах на упавшую ноду сервера аутентификации.180 секунд
Проверять SSL (Verify SSL)Проверка валидности сертификата при работе по HTTPS протоколу (даты, цепочка, Common Name, список отозванных сертификатов).Включено
Кнопка Тест (Test)Проверка соединения с первым и вторым серверами аутентификации.

Аутентификация

Наименование параметраОписание параметраЗначение по умолчанию
Исключать локальных и доменных администраторов (Exclude local and domain administrators)Исключать требование второго фактора для локальных и доменных администраторов.Включено
Использовать Indeed MFA для консольного входа (Use Indeed MFA for console logon)Использовать провайдер Indeed Logon при консольном входе (физический доступ к хосту). При изменении параметра требуется перезагрузка системы.Включено
Использовать Indeed MFA для входящего RDP соединения (Use Indeed MFA for incoming RDP connection)Использовать провайдер Indeed Logon при входящем RDP соединении.Включено
Использовать Indeed MFA для UAC при консольной сессии (Use Indeed MFA for UAC in console session)Использовать провайдер Indeed Logon при вызове функции UAC в консольном режиме.Отключено
Использовать Indeed MFA для UAC при RDP сессии (Use Indeed MFA for UAC in RDP connection)Использовать провайдер Indeed Logon при вызове функции UAC при RDP соединении.Отключено
Использовать Indeed MFA для исходящего RDP соединения (Use Indeed MFA for out-going RDP connection)Использовать провайдер Indeed Logon при исходящем RDP соединении.Отключено
Использовать Indeed MFA для разблокировки сессии (Use Indeed MFA for session unlocking)Использовать провайдер Indeed Logon для разблокировки сессии.Отключено

Общие кнопки

Наименование параметраОписание параметраЗначение по умолчанию
OK (OK)Сохранить изменения и выйти из приложения Logon Manager.
Отмена (Cancel)Отменить сохранение изменений и выйти из приложения Logon Manager.
Применить (Apply)Сохранить изменения без выхода из приложения Logon Manager.

Автоматическое развертывание Indeed Logon с помощью групповых политик

Автоматический процесс установки Indeed Logon и .NET Runtime основан на применении механизма групповых политик Microsoft Windows для автоматической установки приложений.

Для развертывания данной экосистемы необходимо выполнить следующие действия:

Подготовка сетевого ресурса

Убедитесь, что у вас есть права администратора домена для создания и редактирования GPO.

Создайте сетевую папку, доступную для чтения всех компьютеров целевой группы, и разместите в ней:

  • инсталлятор Indeed Logon (формат MSI);

  • установщик .NET Runtime (формат EXE);

  • файл net_installer.bat со следующим содержимым:

    @echo off
    "\\10.79.63.100\installers\windowsdesktop-runtime-8.0.25-win-x64.exe" /install /quiet /norestart

    где:

    • 10.79.63.100 – адрес сетевого ресурса;
    • installers – общий сетевой каталог;
    • windowsdesktop-runtime-8.0.25-win-x64.exe – официальный установщик Microsoft .NET.

Импорт ADMX-шаблонов

Чтобы в редакторе групповых политик появились параметры Indeed Logon, необходимо импортировать ADMX-шаблон и файлы локализации.

Для этого:

  1. Скопируйте файл Indeed.admx из дистрибутива в каталог:

    \\your-domain.com\SYSVOL\your-domain.com\Policies\PolicyDefinitions

  2. Скопируйте файл локализации Indeed.adml:

    • для английской локали — из каталога en-US дистрибутива в каталог:
      \\your-domain.com\SYSVOL\your-domain.com\Policies\PolicyDefinitions\en-US
    • для русской локали — из каталога ru-RU дистрибутива в каталог:
      \\your-domain.com\SYSVOL\your-domain.com\Policies\PolicyDefinitions\ru-RU

Создание и настройка групповой политики

Для этого:

  1. Запустите консоль управления групповыми политиками: нажмите Win + R, введите gpmc.msc и нажмите Enter.
  2. В дереве консоли найдите домен или подразделение, нажмите на него правой кнопкой мыши и выберите "Create a GPO in this domain and link it here…". Задайте имя новому объекту.
  3. Настройте параметры развертывания для .NET Runtime:
    • Выберите созданную политику, вызовите контекстное меню и перейдите в режим редактирования.
    • Перейдите в раздел Computer Configuration – Policies – Windows Settings – Scripts (Start/Shutdown).
    • Дважды нажмите Startup, в появившемся окне нажмите Add и укажите UNC-путь к файлу net_installer.bat.
    • Сохраните изменения.
  4. Настройте параметры развертывания для Indeed Logon:
    • Выберите созданную политику, вызовите контекстное меню и перейдите в режим редактирования.
    • Перейдите в раздел Computer Configuration – Policies – Software Settings – Software Installation.
    • В контекстном меню выбрать пункт New - Package и укажите UNC-путь к инсталлятору Indeed Logon, выберите пункт развертывания Assigned.
    • Сохраните изменения.
  5. Настройте параметры агента Indeed Logon:
    • Выберите созданную политику, вызовите контекстное меню и перейдите в режим редактирования.
    • Перейдите в раздел Computer Configuration – Polices – Administrative Templates.
    • Выберите шаблон Indeed Logon и включите необходимые параметры.

Применение политики к целевым хостам

Для этого:

  1. Выберите созданную политику в консоли gpmc.msc.
  2. В разделе Security Filtering нажмите кнопку Add и укажите список хостов, к которым будет применена политика (в фильтре поиска указать дополнительный пункт — Computers).
  3. Сохраните изменения.

Принудительное применение политики

Групповая политика применится на целевых компьютерах автоматически в фоновом режиме с заданным интервалом. Если необходимо применить её немедленно, выполните принудительное обновление.

Для этого:

  1. На целевом компьютере откройте командную строку от имени администратора.
  2. Выполните команду:
    gpupdate /force
  3. Перезагрузите хост.