Как включить двухфакторную аутентификацию при входе в Windows (домен и локально) — Контур.Эгида

В этой статье

Как включить двухфакторную аутентификацию при входе в Windows (домен и локально)

25 марта 2026

Если в Windows при входе используется только пароль, этого недостаточно для защиты рабочих станций, серверов и удаленного доступа. Обычно второй фактор при входе в Windows внедряют через компонент, который встраивается в Windows Logon. Для локального входа и RDP порядок настройки различается.

Александр Котов

Зачем нужна двухфакторная аутентификация при входе в Windows

Риски слабых паролей в домене и локально

Самый частый сценарий компрометации — использование уже украденной учетной записи. В доменной среде одна учетка часто дает доступ сразу к нескольким ресурсам. Для локального входа зона риска уже, но доступ к машине, локальным данным, сохраненным учетным данным и приложениям все равно остается. Для администратора вывод простой: если пароль можно украсть, его одного недостаточно. Второй фактор нужен для того, чтобы украденная учетная запись сама по себе не давала вход.

Преимущества MFA Credential Provider

MFA Credential Provider Windows нужен в тех случаях, когда компания хочет усилить именно Windows Logon. Такой подход встраивает второй фактор в сам экран входа: пользователь вводит логин и пароль, затем подтверждает вход вторым шагом.

Это удобно для эксплуатации. Пользователь видит второй фактор прямо при входе в рабочую станцию, на сервер или в RDP-сеанс. Администратор получает единый сценарий настройки и контроля.

Локальный vs доменный доступ: различия 2FA

Сценарий Что защищаем Что обычно внедряют

Локальный вход

Учетную запись конкретной машины

Credential Provider для Windows Logon с поддержкой OTP, push или токена

Доменный вход

Учетку в AD и доступ к корпоративным ресурсам

Credential Provider для Windows Logon или другой доменный сценарий аутентификации

RDP

Удаленный доступ к ПК или серверу

MFA-сценарий для RDP с запросом второго фактора при удаленном входе

Локальный вход, доменный вход и RDP лучше настраивать и тестировать отдельно. Для этих сценариев различаются тип учетной записи, способ применения политики и порядок пилота.

Подготовка к настройке 2FA Windows входа

Требования к Windows 10/11 и Server

Перед внедрением стоит собрать короткий технический паспорт среды.

Узел ОС В домене Нужен RDP Кто работает

Рабочие станции

Windows 10/11

Да/нет

По ситуации

Пользователи

Серверы

Windows Server

Да

Да

Админы, ИТ

Автономные машины

Windows 10/11

Нет

Иногда

Локальные пользователи

Терминальные узлы

Windows Server

Да

Да

Массовый доступ

До пилота проверьте, есть ли тестовая машина или пилотная группа, есть ли резервный вход под локальным или доменным администратором, зарегистрирован ли тестовый пользователь в MFA-системе и настроен ли у него второй фактор.

Credential Provider и RADIUS в MFA для Windows Logon

Если второй фактор нужен прямо на экране входа Windows, в схеме используется Credential Provider. Именно он работает на этапе Windows Logon и взаимодействует с пользователем. Проверка второго фактора при этом обычно идет через серверную часть, часто с использованием RADIUS.

На практике корректнее говорить не о выборе между RADIUS и Credential Provider, а о выборе между двумя вариантами: Credential Provider в связке с RADIUS или Credential Provider без RADIUS. Первый сценарий используется чаще, потому что дает больше возможностей по интеграции и управлению. Второй возможен, но обычно применяется реже из-за более ограниченного функционала.

Регистрация пользователей и OTP токенов

До установки Credential Provider нужно заранее понять, как пользователь получит второй фактор и как ему восстановят доступ, если он потеряет телефон или токен.

Минимум для пилота:

  • тестовый пользователь;
  • его основная учетная запись;
  • второй фактор;
  • инструкция по первичной активации;
  • порядок сброса и перевыпуска.

Настройка 2FA для локального входа Windows

Настройка двухфакторной аутентификации Windows локально

Этот сценарий нужен для машин вне домена, автономных рабочих мест, стендов, терминалов и отдельных узлов.

Начинать лучше с одной тестовой машины, к которой есть физический или консольный доступ. Сначала проверьте пароль локального администратора и убедитесь, что он действительно работает. Затем установите Credential Provider, подготовленный для этого сценария. Если установка требует перезагрузки, перезагрузите машину и проверьте, что новый способ входа появился в Windows Logon.

После этого зарегистрируйте тестового пользователя и привяжите к нему второй фактор. Затем выполните вход под этим пользователем и убедитесь, что после логина и пароля появляется второй шаг. После успешного входа отдельно проверьте блокировку и разблокировку сеанса, а затем — вход после перезагрузки.

MFA Credential Provider Windows: установка

Перед тестом пройдитесь по короткому чек-листу.

Проверка Ожидаемый результат

Есть локальный администратор

Доступ можно восстановить

Credential Provider установлен

Новый способ входа доступен в Windows Logon

Пользователь зарегистрирован

Второй фактор назначен пользователю

Credential Provider видит MFA-сервис

Второй фактор запрашивается при входе

Вход после reboot работает

Поведение после перезагрузки не меняется

После установки проверьте обычный вход, вход с неверным OTP, вход после перезагрузки и вход при отключенной сети, если решение поддерживает такой режим.

Включить OTP вход Windows без домена

На практике это означает установку внешнего компонента для local logon.

Рабочая последовательность выглядит так:

  1. Установить Credential Provider на тестовую машину.
  2. Привязать клиента к MFA-сервису.
    Зарегистрировать локального пользователя.
  3. Выполнить первый вход с OTP.
  4. Проверить отказ при неверном коде.
  5. Проверить аварийный вход под локальным администратором.
  6. После успешного теста переносить схему на остальные машины.

Если автономных устройств много, заранее пропишите, кто сбрасывает второй фактор и кто подтверждает личность сотрудника при восстановлении доступа.

2FA в доменной среде Windows

2FA Windows вход домен через Active Directory

В домене внедрение удобнее начинать с пилотной OU или небольшой security group. В пилот обычно включают несколько пользователей, несколько рабочих станций и отдельно хотя бы одного администратора.

Дальше порядок такой: настраивается серверная часть MFA-решения, регистрируются пользователи пилота, подготавливается пакет Credential Provider, затем его развертывают вручную или через GPO. После установки нужно проверить вход обычного пользователя, отказ при неверном OTP, блокировку и разблокировку сеанса, вход после перезагрузки и отдельный сценарий администратора.

OTP для Windows домен развертывание

Если для домена выбран OTP-сценарий, удобнее идти волнами.

Сначала выдайте токены только пилотной группе, проверьте первичную активацию у каждого пользователя, затем разверните клиент на пилотных машинах и протестируйте:

  • вход обычного пользователя;
  • отказ при неверном OTP;
  • вход после блокировки и разблокировки;
  • вход после перезагрузки;
  • сценарий потери токена.

После этого политику можно расширять на следующие группы: сначала обычные пользователи, затем чувствительные группы, затем администраторы и ИТ.

Как работает интеграция 2FA в Windows через RADIUS

Если в схеме есть RADIUS, проверьте архитектуру до запуска. Нужно понимать, какой компонент отвечает за экран входа Windows, кто обращается к RADIUS и что произойдет при его недоступности.

Для пилота достаточно одной схемы:

Credential Provider →  RADIUS  → MFA-сервис

RDP и удаленный доступ с двухфакторкой

Настройка MFA RDP Windows

Для RDP нужна отдельная инструкция, даже если уже настроена защита локального или доменного входа.

Сначала выберите пилотный сервер или рабочую станцию с удаленным доступом и убедитесь, что у вас есть альтернативный административный способ входа. Затем проверьте базовую конфигурацию RDP и только после этого подключайте MFA-компонент, который поддерживает удаленный вход.

После назначения пилотной группы пользователей выполните тестовое подключение по RDP. Проверьте успешный вход, отказ при неверном втором факторе, поведение после перезагрузки узла и сценарий при недоступности сервиса аутентификации.

RDP двухфакторка локальный доступ

Если RDP используется на машине вне домена, отдельно проверьте локальный аварийный вход. В этом сценарии ошибка конфигурации быстрее всего приводит к блокировке узла.

Достаточно пройти такой порядок:

  1. Тестовый вход по RDP с корректным OTP.
  2. Тест с неверным OTP.
  3. Перезагрузка узла.
  4. Повторный вход.
  5. Восстановление доступа локальным администратором.

Безопасный вход Windows MFA для удаленки

После пилота проверьте несколько базовых вещей: успешный вход без помощи ИТ, отказ при неверном втором факторе, вход после перезагрузки узла, замена второго фактора и журналирование событий входа. Если хотя бы один из этих сценариев работает нестабильно, расширять внедрение рано.

Александр Котов
Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Подписаться

Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Пришлем ссылку на результаты исследований о человеческом факторе в ИБ на почту, которую вы указали
Подписаться