En nuestros servidores Windows, una buena medida de seguridad es habilitar el doble factor de autenticación (2FA) para acceder por escritorio remoto en vez de usar sólo login/password.

Gracias a la versión gratuita de Duo Security llamada Duo Free podemos habilitar 2FA en nuestros servidores Windows.  Duo Security https://duo.com es una empresa líder dedicada a realizar productos de seguridad informática, actualmente perteneciente a Cisco.

 

Ahora vamos a detallar los pasos a seguir para habilitar el doble factor de autenticación (a partir de ahora 2FA) en nuestros servidores Windows.

Lo primero que necesitamos es crear una cuenta de Duo Security. Para ello vamos a https://duo.com/pricing/duo-free

Ahora pulsamos en Duo Free y luego en Start a Free Trial

 

Una vez rellenamos todos los datos que nos solicitan, pulsamos en Create My Account

La siguiente página nos dice que vayamos a nuestro mailbox  ya que habremos recibido un mail de registro de parte de Duo Security.

Abrimos el mail recibido y pulsamos en Verify Your Email

En la página que se abre se  nos solicita un password,  escribimos uno y pulsamos Continue

Ahora debemos de instalarnos en nuestro móvil la app Duo Mobile

 

Una vez instalada, en el paso 2 seguimos las indicaciones como es agregar la cuenta en la app móvil, escaneando el QR-Code que nos muestran

 

En el paso 3 nos solicitan un número de teléfono de respaldo, el cuál puede se usado como forma de autenticación 2FA. Por último pulsamos en Finish.

Una vez realizados estos pasos, ya estamos en el dashboard de Duo Security.

En el menú de la izquierda vamos a Applications.

Una vez dentro, pulsamos en Protect an Application

Nos aparece un listado de aplicaciones que podemos proteger con Duo Security. Hacemos scroll hasta encontrar Microsoft RDP y pulsamos en Protect this Application

 

En la siguiente página se nos dice que se ha agregado correctamente Microsof RDP como una aplicación a proteger.

Nos muestra una serie de datos que son Integration key, Secret key y API hostname. Esta información nos va a hacer falta en el siguiente paso, donde vamos instalar el plugin en nuestro servidor.

 

Ahora nos descargamos el paquete de instalación que debemos instalar en el servidor donde se va a habilitar 2FA. El enlace de descarga es:

https://dl.duosecurity.com/duo-win-login-latest.exe

NOTA: Pulsando sobre el enlace RDP Documentation podeís encontrar los mismos pasos explicados que describo yo en este artículo.

Una vez descargado en nuestro servidor, lo ejecutamos, y ya nos solicita los datos disponibles en el paso anterior. Nos solicita el API Hostname.

Pulsamos en Next.

Ahora introducimos el Integration Key y el Secret Key. Pulsamos en Next.

En la siguiente pantalla se  nos ofrece las siguientes opciones:

Bypass Duo authentication when offline (FailOpen): Si activamos esta opción, en caso de no tener conexión a internet o no tener conexión al servidor de Duo, podamos acceder únicamente usando user y password.

En nuestro caso vamos a desactivar esta opción, ya que como veremos más adelante vamos a activar la opción de Offline Access para el usuario que va a acceder al servidor.

Use auto push to authenticate if avalible: Habilitamos esta opción, para que en vez de tener que introducir un One Time Password de 6 dígitos cada vez que nos autenticamos, podamos haciendo solo click en un botón  en nuestra mobile app o con una llamada de teléfono validar el acceso.

Only prompt for Duo authentication when logging via RDP: Con esta opción habilitada, decimos que solo vamos a habilitar 2FA cuando los usuarios accedan desde escritorio remoto.

En la siguiente pantalla, pulsamos en Next ya que en este ejemplo no vamos a hacer uso de una Smart Card.

Por último pulsamos en Install.

La instalación no dura nada. Pulsamos en Finish.

Después de instalar el complemento en nuestro servidor Windows, volvemos a nuestro dashboard de Duo, porque vamos a crear el usuario que va a acceder al servidor.

Una vez dentro del dashboard, vamos al menú de la izquierda Users–>Add User

Nos aparece un formulario donde debemos de poner el username del usuario a crear. Este username debe de coincidir con el usuario de Windows que accede al servidor de Windows, en mi caso 2fawinserveruser. Por último pulsar en Add user

Ahora se nos solicita más datos, siendo el más importante el email ya que se nos va a enviar un email de enrollment para que activemos nuestro usuario. Ponemos en Status Active y por último al final del formulario pulsamos Save Changes

 

Ahora vamos al principio de la página y pulsamos en Send Enrollment Email, para así recibir un mail y podamos activar nuestro usuario.

A continuación, vamos a nuestro correo y vemos que hemos recibido el correo de enrollment por parte de Duo.

Entramos en el mailbox, accedemos al mail y pulsamos en el enlace que viene en el cuerpo del mail.

Nos aparece una página de bienvenida. Pulsamos en Start setup.

Nos solicitan cuál va a ser el dispositivo que usado para realizar la autenticación. En nuestro caso elegimos Mobile phone. Pulsamos en Continue

En la siguiente pantalla introducimos nuestro número de móvil. Una vez introducido el número  pulsamos en Continue.

Nos piden que tipo de telefono es, en mi caso Android. Pulsamos Continue.

Ahora nos pide instalar Duo Mobile. Como ya lo hemos instalado al principio del artículo no hace falta. Pulsamos en I have Duo installed.

Ahora debemos abrir en nuestro móvil Duo Mobile y seguir los pasos indicados en la imagen de abajo.

Una vez realizados los pasos, se nos dice que todo ha ido OK. Pulsamos en Continue.

Ahora nos pide un metodo de autenticación por defecto para realizar el 2FA. Elegimos enviar un Duo Push, para que con solo apretar un botón desde nuestro móvil validemos la autenticación. Ahora pulsamos en Finish Enrollment.

Y por último, una pantalla nos dice que ya hemos realizado el enrollment correctamente.

Y ahora por fin queda la mejor parte y la finalidad de este artículo, acceder a nuestro servidor Windows con 2FA habilitado.

Accedemos a nuestro servidor por escritorio remoto. Introducimos user y password.

Si el usuario y password es correcto, se nos muestra esto:

Aprobamos en nuestro móvil la petición de login

Y ya podemos acceder a nuestro servidor

Espero os haya gustado el artículo y hasta la próxima¡¡¡

 

Leave a Reply

Your email address will not be published. Required fields are marked *