Configurar la MFA para una Computadora o Servidor

Aplica A: Autenticación Multifactor de AuthPoint, AuthPoint Total Identity Security

La Logon app le permite requerir autenticación cuando los usuarios inician sesión en una computadora o servidor. Esto incluye protección para RDP y RD Gateway.

La Logon app tiene dos partes:

Para configurar la MFA para una computadora o servidor, debe configurar un recurso para la Logon app en la AuthPoint management UI y luego instalar la Logon app en cada computadora o servidor que desee proteger. Para las conexiones de Escritorio Remoto y RDS, instale la Logon app en los hosts donde los usuarios se autentican. Para proteger el propio servidor de la RD Gateway, instale la Logon app en el servidor. Para proteger los hosts detrás de la RD Gateway, instale la Logon app en los hosts.

Al instalar la Logon app, se requiere autenticación para iniciar sesión. En la pantalla de inicio de sesión, los usuarios deben escribir su contraseña y luego seleccionar uno de los métodos de autenticación permitidos (notificación push, contraseña de un solo uso o código QR).

En las computadoras Mac y las computadoras con Windows con el Control de Cuentas de Usuario (UAC) habilitado, la MFA también es necesaria cuando los usuarios intentan realizar una acción que requiere privilegios administrativos, como cuando permiten que una aplicación realice cambios en el dispositivo. Para más información sobre el Control de Cuentas de Usuario de Windows, consulte la documentación de Microsoft.

Los usuarios pueden iniciar sesión con cuentas de usuario locales o de dominio, pero todos los usuarios deben tener una cuenta de usuario de AuthPoint activa con una política de autenticación para la Logon app. Los usuarios que no tienen una cuenta de usuario de AuthPoint con una política de autenticación para la Logon app no pueden autenticarse e iniciar sesión en una computadora con la Logon app instalada, a menos que usted habilite la opción de permitir que usuarios sin AuthPoint inicien sesión sin la MFA.

Si su licencia de AuthPoint expira, o si elimina el recurso de la Logon app, los usuarios pueden iniciar sesión en sus computadoras solo con su contraseña.

Puede descargar la Logon App desde la página de Descargas en la AuthPoint management UI.

Requisitos

Cuando configure e implemente la Logon app, tenga en cuenta estos requisitos:

  • Todos los usuarios locales y de dominio deben tener una cuenta de usuario de AuthPoint activa y ser parte de un grupo de AuthPoint con una política de autenticación para que la Logon app se autentique e inicie sesión

    Puede habilitar la opción para permitir que usuarios sin AuthPoint inicien sesión sin la MFA para los usuarios que no tienen una cuenta de usuario de AuthPoint.

  • El nombre de usuario para usuarios locales y de dominio debe ser el mismo que su nombre de usuario de AuthPoint
  • Los usuarios sincronizados desde Active Directory solo pueden iniciar sesión con un nombre de usuario en dominio\nombre de usuario si la computadora está conectada a Internet
  • Para iniciar sesión como usuario local (que no forma parte del dominio), debe tener una cuenta de usuario de AuthPoint con un token activo
  • Si su usuario local tiene el mismo nombre de usuario que su usuario de dominio, puede usar el mismo usuario de AuthPoint para autenticarse e iniciar sesión en ambas cuentas
  • Si su nombre de usuario local es diferente de su nombre de usuario de dominio, debe tener un usuario de AuthPoint separado para cada cuenta de usuario (uno para el usuario de dominio y otro para el usuario local)
  • Cuando instala la Logon app, la computadora debe estar conectada a Internet antes de iniciar sesión por primera vez

    Caution: Le recomendamos que no use la autenticación 802.1x para las conexiones Wi-Fi. Si su computadora se conecta automáticamente a una red Wi-Fi 802.1x después de instalar el agent for macOS y usted no configuro su computadora para que admita la autenticación 802.1x, esto le impedirá conectarse a Internet y no podrá iniciar sesión para cambiar su conexión Wi-Fi porque el agente requiere una conexión a Internet.

  • Si instala la Logon app en una computadora en un dominio de Active Directory, debe configurar una política de grupo para permitir que los usuarios del dominio se autentiquen (inicien sesión) localmente
  • Para admitir el inicio de sesión del usuario con Windows Hello, debe instalar el Agent for Windows v3.0 o superior
  • Para admitir el inicio de sesión del usuario con Touch ID, debe instalar el Agent for macOS versión 2.0 o superior
  • Para admitir la MFA para el control de cuentas de usuario de Windows, debe instalar la Logon app v3.1 o superior
  • La Logon app admite hasta 30 inicios de sesión del usuario simultáneos sin conexión a Internet
  • Para obtener información sobre los sistemas operativos compatibles con la Logon app, vaya a Compatibilidad del Sistema Operativo para los Componentes AuthPoint en las notas de versión de AuthPoint.

WARNING: No instale la Logon app en computadoras que ejecutan Windows 7 o inferior o en servidores que ejecutan Windows 2008 R2 o inferior.

Agregar un Recurso de la Logon App

Para comenzar, debe agregar un recurso para la Logon app. No necesita un recurso de la Logon app separado para cada computadora en la que está instalada. Puede utilizar un recurso de la Logon app para todas sus políticas de autenticación del sistema operativo (OS).

Después de agregar un recurso de la Logon app en AuthPoint, debe agregar el recurso a sus políticas de autenticación existentes o agregar nuevas políticas de autenticación para el recurso de la Logon app que incluyen los grupos de usuarios que deben autenticarse para iniciar sesión en sus computadoras.

Para agregar un recurso de la Logon app:

  1. En el menú de navegación de AuthPoint, seleccione Recursos.

Screen shot of the Resources page.

  1. Haga clic en Agregar Recurso.

    Se abre la página Agregar Recurso.

Screen shot of the Add Resource page.

  1. En la lista desplegable Tipo, seleccione Logon App.
    Aparecen campos adicionales.

Screen shot of the Add Resource page.

  1. En el cuadro de texto Nombre, ingrese un nombre para este recurso.
  2. (Opcional) En el cuadro de texto Mensaje de Soporte, escriba un mensaje para mostrar en la pantalla de inicio de sesión.

Screen shot of the Add Resource page.

  1. En la lista desplegable Acceso para Usuarios sin AuthPoint, seleccione si desea permitir que los usuarios que no tienen una cuenta de usuario de AuthPoint inicien sesión en computadoras protegidas sin MFA. Puedes elegir entre tres opciones:
    • No permitir usuarios sin AuthPoint
    • Permitir que usuarios sin AuthPoint específicos inicien sesión sin MFA
    • Permitir que todos los usuarios sin AuthPoint inicien sesión sin MFA

    Los usuarios sin AuthPoint solo pueden iniciar sesión sin MFA si no existe una cuenta de usuario de AuthPoint con el mismo nombre del usuario.

  1. Si elige permitir que usuarios sin AuthPoint específicos inicien sesión sin MFA, en el cuadro de texto Agregar Nombres de Usuario, escriba el nombre de usuario de cada usuario sin AuthPoint que pueda iniciar sesión sin MFA. Puede especificar hasta 50 usuarios sin AuthPoint y que pueden iniciar sesión sin la MFA.

Screen shot of the Add Resource page.

  1. Haga clic en Guardar.
  2. Agregue el recurso de la Logon app a sus políticas de autenticación existentes o agregue nuevas políticas de autenticación para el recurso de la Logon app (consulte Acerca de las Políticas de Autenticación de AuthPoint). Recomendamos que la política de autenticación para la Logon app incluya el código QR o las opciones de autenticación OTP para que los usuarios puedan autenticarse cuando no están conectados a Internet.

Descargar e Instalar la Logon App

Puede usar un símbolo del sistema de Windows para instalar la Logon app. También puede usar la opción de la línea de comandos para la implementación a través de Objetos de Política de Grupo (GPO) de Active Directory. Para instalar la Logon app desde un símbolo del sistema de Windows, debe descargar el archivo de instalación .MSI y el archivo de configuración de la Logon app.

Cuando instala la Logon app, la computadora donde la instala debe estar conectada a Internet antes de que el usuario inicie sesión por primera vez. Esto es necesario para que la Logon app pueda comunicarse con AuthPoint a fin de verificar las políticas de autenticación.

La Logon app almacena una copia de las políticas de autenticación localmente en la computadora. La Logon app utiliza este archivo de política local cuando un usuario que está sin conexión se autentica, y el archivo de política local se actualiza la próxima vez que la computadora se conecta a Internet. El archivo de política local almacena la información de la política solo para las últimas 30 cuentas de usuario que se han autenticado. Si otros 30 o más usuarios se autenticaron desde la última vez que un usuario se conectó a una computadora, se requiere una conexión a Internet para iniciar sesión.

Descargar el Archivo de Instalación y Configuración de la Logon App

Para descargar el archivo de instalación y configuración de la Logon app:

  1. En el menú de navegación, seleccione Descargas.
    Aparece la página Descargas.
  2. En la sección Logon App, junto a su sistema operativo, haga clic en Descargar Instalador.
  3. Para descargar el archivo de configuración para la Logon app, haga clic en Descargar Config. Puede usar el mismo archivo de configuración para cada instalación de la Logon app, independientemente del sistema operativo.

Screen shot that shows the Logon App section of the Downloads page.

Instalar Manualmente la Logon App

Para instalar manualmente la Logon app en su computadora, mueva el archivo de configuración descargado al mismo directorio que el instalador de la Logon app (archivo .MSI o .PKG). Ejecute el instalador de la Logon app e instálela en la computadora o servidor que desea proteger.

Instalar la Logon App desde un Símbolo del Sistema de Windows

Para instalar la Logon app desde un símbolo del sistema de Windows:

  1. En el menú Inicio de Windows, haga clic con el botón derecho en Símbolo del Sistema y seleccione Ejecutar como Administrador.
    Aparece una ventana del Símbolo del Sistema de Windows.
  2. Cambie el directorio a la ubicación del archivo .MSI.
  3. Ejecute el instalador de la Logon app con uno de estos comandos:
    • Para pasar la ruta al archivo de configuración:
      msiexec -i AuthPoint_Agent_for_Windows_x64-2.1.0.218.msi CONFIG_PATH="[path]\wlconfig.cfg"
    • Para pasar el contenido del archivo de configuración:
      msiexec -i AuthPoint_Agent_for_Windows_x64-2.1.0.218.msi CONFIG_CONTENT="config_file_content_without_spaces"

    Asegúrese de actualizar el comando para que coincida con la versión del instalador que desea ejecutar.

    Para instalar la Logon app de forma silenciosa, sin necesidad de interacción del usuario, agregue /q o /qn al comando. Para evitar que la computadora se reinicie cuando se complete la instalación, agregue /norestart al comando. Para más información, consulte la Documentación de Microsoft para el comando msiexec.

Utilizar un GPO de Active Directory para Instalar la Logon App

Puede utilizar los comandos descritos en el procedimiento anterior para instalar la Logon app de forma remota en varias computadoras a través de un Objeto de Política de Grupo (GPO) de Active Directory. Debe usar un método de instalación que admita parámetros de línea de comandos.

Podría configurar su script para impedir la instalación de la Logon app en aquellas computadoras que ya tengan instalado el agente.

Hay dos métodos para configurar un GPO para instalarlo desde un archivo .MSI con parámetros de línea de comando:

Configure un GPO para una secuencia de comandos de inicio o una secuencia de comandos de inicio de sesión que ejecuta un archivo de lote que instala la Logon app. El archivo de lote contiene solo una línea, que especifica la ruta de red al archivo .MSI. Los otros parámetros son los mismos que se describen en el procedimiento anterior para la instalación desde el símbolo del sistema de Windows.

  • Para pasar la ruta al archivo de configuración:
    msiexec -i "[path]\AuthPoint_Agent_for_Windows_x64-2.1.0.218.msi" CONFIG_PATH="[path]\wlconfig.cfg"
  • Para pasar el contenido del archivo de configuración:
    msiexec -i "[path]\AuthPoint_Agent_for_Windows_x64-2.1.0.218.msi" CONFIG_CONTENT="config_file_content_without_spaces"

Asegúrese de actualizar el comando para que coincida con la versión del instalador que desea ejecutar.

Cree un archivo de transformación (.MST) que contenga los parámetros de línea de comando requeridos. La herramienta Orca para crear el archivo .MST está en el SDK de Windows, que está disponible en Microsoft.

Para crear el archivo .MST en Orca:

  1. Abra Orca.
  2. Seleccione Archivo > Abrir y seleccione el archivo .MSI que descargó.
  3. Para comenzar una nueva transformación, seleccione Transformación > Nueva Transformación.
  4. En la lista Propiedad, agregue una propiedad:
    • Para pasar la ruta al archivo de configuración, agregue la propiedad CONFIG_PATH con la ruta al archivo de configuración.
    • Para pasar el contenido del archivo de configuración, agregue la propiedad CONFIG_CONTENT con el contenido del archivo de configuración (sin espacios).
    • Si el instalador y el archivo de configuración están en la misma ubicación, no es necesario que agregue una propiedad.
  5. Para generar el archivo de transformación, seleccione Transformación > Generar Transformación.
  6. Para guardar el archivo de transformación, seleccione Archivo > Guardar Transformado Como.
  7. Copie el archivo .MSI original en el directorio que contiene el archivo .MST.
  8. Para probar manualmente la instalación, escriba este comando:
    instale: msiexec -i AuthPoint_Agent_for_Windows_x64-2.1.0.218.msi -t TRANSFORMS=[Logon app mst file]

    Asegúrese de actualizar el comando para que coincida con la versión del instalador que desea ejecutar.

Después de crear el archivo .MST, cree un GPO de Instalación de Software que incluya los archivos .MSI y .MST.

Para crear el GPO de Instalación de Software:

  1. Abra el Editor de Administración de Políticas de Grupo.
  2. Navegue a los ajustes de instalación del software.
  3. Haga clic con el botón derecho y seleccione Nuevo > Paquete.
  4. Especifique la ruta de red al archivo .MSI.
  5. Seleccione Avanzado.
  6. Seleccione la pestaña Modificaciones.
  7. Haga clic en Agregar.
  8. Especifique la ruta de red al archivo .MST.
  9. Haga clic en Aceptar.
  10. En el menú Inicio de Windows, haga clic con el botón derecho en Símbolo del Sistema y seleccione Ejecutar como Administrador.
    Aparece una ventana del Símbolo del Sistema de Windows.
  11. Use gpupdate para actualizar la configuración de la política de grupo.
  12. Para probar el GPO, reinicie una computadora en el dominio.

Configurar Windows para requerir credenciales para UAC

El comportamiento de la solicitud de elevación de UAC de Windows puede configurarse para que solicite credenciales a los usuarios o para que solo solicite a los usuarios que aprueben la acción (sin necesidad de credenciales). Para que el AuthPoint agent for Windows aplique la MFA para las solicitudes de UAC, la computadora debe estar configurada para requerir credenciales para las solicitudes de UAC.

Puede configurar esto desde el editor de política de grupo.

  1. Abra el Editor de Política de Grupo.
  2. Vaya a Configuración de Computadora > Ajustes de Windows > Ajustes de Seguridad > Políticas Locales > Opciones de Seguridad.
  3. Edite los ajustes de la política de grupo y cambie los ajustes de seguridad a Solicitar credenciales.
    • Control de Cuentas de Usuario: Comportamiento de la solicitud de elevación para usuarios estándares
    • Control de Cuentas de Usuario: Comportamiento de la solicitud de elevación para administradores en el Modo de Aprobación de Administrador

Para más información, vaya a Ajustes y configuración del Control de Cuentas de Usuario de Microsoft.

Actualizar la Logon App

La Logon app no se actualiza automáticamente a la última versión. Para actualizar la Logon app, debe descargar e instalar la versión actualizada del agent for Windows o el agent for macOS. La versión más actual del agente está disponible en la página Descargas.

No es necesario desinstalar la Logon app ni descargar un nuevo archivo de configuración cuando instala una versión actualizada del agente.

Para actualizar el agent for Windows:

  1. En la AuthPoint management UI, seleccione Descargas.
  2. En la sección Logon App, junto a su sistema operativo, haga clic en Descargar Instalador. No es necesario descargar el archivo de configuración.

Screenshot that shows the Logon app section of the Downloads page.

  1. Ejecute el instalador de la Logon app descargado en la computadora o siga los pasos de las secciones anteriores para instalar el agente con la línea de comandos o un GPO.

Desinstalar la Logon App

Puede desinstalar la Logon app cuando ya no necesite proteger una computadora o servidor con la MFA de AuthPoint.

Si su licencia de AuthPoint expira y la Logon app está instalada, los usuarios pueden iniciar sesión en sus computadoras usando solo su contraseña.

  1. Abra el menú Inicio de Windows y seleccione Ajustes.
  2. Navegue a Aplicaciones y Funciones.
  3. Seleccione AuthPoint Agent for Windows.
  4. Haga clic en Desinstalar.
  5. Después de desinstalar la Logon app, reinicie su computadora.

Para desinstalar la versión 1.5.21 o superior de la Logon app para macOS, debe ejecutar el archivo de paquete Logon_App_for_Mac_uninstall.pkg.

  1. Navegue a /Users/$USER/Applications/WatchGuard.
  2. Ejecute el archivo de paquete Logon_App_for_Mac_uninstall.pkg.
  3. Siga los pasos del asistente. Cuando termine, debe reiniciar su computadora.

Para desinstalar la versión 1.5.20 o inferior de la Logon app para macOS, debe usar la aplicación Terminal para ejecutar el script uninstall.sh. Puedes encontrar el script uninstall.sh en la carpeta Aplicaciones (/Users/$USER/Applications/WatchGuard/uninstall.sh).

  1. Cuando la computadora se inicie, presione Command + S para ingresar al Modo de Usuario Único.
  2. Para configurar el disco para lectura y escritura, escriba el comando mount -o update /.
  3. Para ejecutar el script de desinstalación, escriba el comando sudo sh /Applications/WatchGuard/Logon\ App\ for\ Mac/uninstall.sh.
  4. Después de desinstalar la Logon app, reinicie su computadora.

Si su inicio de sesión de usuario falla, aún puede desinstalar la Logon APP con su computadora en Modo Seguro.

El Instalador de Windows (msiserver) no funciona de forma predeterminada en Modo Seguro. Para habilitar el Instalador de Windows en Modo Seguro, debe modificar una clave de registro.

  1. Inicie su computadora en Modo Seguro.
  2. Una vez que haya iniciado sesión, escriba cmd en el cuadro de búsqueda de Cortana.
  3. Haga clic con el botón derecho en la aplicación Símbolo del Sistema y seleccione Ejecutar como administrador.
    Aparece el cuadro de diálogo Control de Cuentas de Usuario.
  4. Haga clic en .
  5. En el cuadro de diálogo del Símbolo del Sistema, escriba uno de estos comandos y presione Enter:
    • Si su computadora está en Modo Seguro, escriba reg add "hklm\system\currentcontrolset\control\safeboot\minimal\msiserver" /ve /t reg_sz /f /d "service".
    • Si su computadora está en Modo Seguro con Red, escriba reg add "hklm\system\currentcontrolset\control\safeboot\network\msiserver" /ve /t reg_sz /f /d "service".
  6. Para iniciar el msiserver, en el cuadro de diálogo del Símbolo del Sistema, escriba net start msiserver. Presione Enter.
  7. Ahora puede desinstalar la Logon app en Modo Seguro:
    1. Abra el menú Inicio de Windows y seleccione Ajustes.
    2. Navegue a Aplicaciones y Funciones.
    3. Seleccione AuthPoint Agent for Windows.
    4. Haga clic en Desinstalar.
  8. Después de desinstalar la Logon app, reinicie su computadora.
  1. Cuando se inicie la computadora, presione inmediatamente y mantenga presionadas las teclas Comando (⌘)/ALT + R.
    Aparece el logo de Apple.
  2. Suelte las teclas Comando (⌘)/ALT + R cuando vea las opciones de recuperación.
  3. Si FileVault está habilitada, al entrar en el modo de recuperación se le pedirá que especifique una cuenta de la que conozca la contraseña. Debe desmontar y volver a montar el disco antes de desinstalar la Logon app. Si FileVault no está habilitada, continúe con el paso 4.
    1. Seleccione la cuenta de usuario e introduzca la contraseña para desbloquear el accionamiento.
    2. Inicie la aplicación Disk Utility.
    3. Seleccione Macintosh HD.
    4. Para desmontar el disco, seleccione Archivo > Desmontar.
    5. Para volver a montar el disco, seleccione Archivo > Montar.
  4. Seleccione Utilidades > Terminal.
  5. En la ventana de Terminal, escriba el comando cd /Volumes/Macintosh\ HD/Applications/WatchGuard/Logon\ App\ for\ Mac/.
  6. Escriba el comando sh .recovery.sh.
  7. Escriba reboot.
  8. Inicie sesión en la computadora con su nombre del usuario y contraseña. Después de iniciar la sesión, haga clic y cierre la ventana AuthPoint que aparece.
  9. Para desinstalar la Logon app, navegue a /Users/$USER/Applications/WatchGuard.
  10. Ejecute el archivo de paquete Logon_App_for_Mac_uninstall.pkg.
  11. Siga los pasos del asistente. Cuando termine, debe reiniciar su computadora.

Autenticación con la Logon App

Cuando la Logon app se instala en una computadora, se requiere autenticación para iniciar sesión. En la pantalla de inicio de sesión, los usuarios deben ingresar su contraseña y luego seleccionar uno de los métodos de autenticación permitidos. La política de autenticación más alta que incluye el recurso de la Logon app y el grupo de usuarios determina los métodos de autenticación.

La Logon app para Windows no valida las contraseñas de los usuarios hasta que se completa la MFA. Cuando un usuario introduce su contraseña, la Logon app procede a la parte MFA del flujo de autenticación, incluso si la contraseña es incorrecta. Después de que la MFA se complete con éxito, la Logon app valida la contraseña. Si la contraseña es incorrecta, la autenticación falla.

Si la autenticación push está habilitada, los usuarios pueden marcar la casilla de selección Enviar automáticamente una notificación push cuando inicio sesión para facilitar el proceso de autenticación. Cuando se selecciona esta opción, la Logon app envía automáticamente una notificación push al usuario después de que ingresa su nombre de usuario y contraseña.

La Logon app no admite el inicio de sesión automático para Windows.

Para iniciar sesión en una computadora con la Logon app instalada:

  1. En el cuadro de texto Nombre de Usuario, escriba el nombre de usuario para su usuario de dominio. Para iniciar sesión como usuario local, escriba su nombre de usuario como nombre de host\nombre de usuario.
  2. En el cuadro de texto Contraseña, escriba su contraseña de Windows o Mac o autentíquese con identificación biométrica (huella dactilar o rostro). Para las cuentas de usuario de Active Directory, escriba su contraseña de AD.
  3. Haga clic en Siguiente.
    Si se requiere la MFA, se mostrará la pantalla de autenticación. Si la política de autenticación de su grupo solo requiere una contraseña, ya habrá iniciado sesión.
  4. Si se requiere la MFA, debajo de las Opciones de inicio de sesión, seleccione una opción de autenticación. Push es el método de autenticación predeterminado. Si selecciona otra opción de autenticación, se convierte en el método de autenticación predeterminado.

    Si su computadora no tiene conexión a Internet y se requiere la MFA, debe seleccionar la contraseña de un solo uso o las opciones de autenticación del código QR para autenticarse sin conexión.

  5. Presione Enter o Returno y autentíquese.
    • Push — Apruebe la notificación push que se envía a su dispositivo móvil.
    • Código QR — Utilice la aplicación móvil AuthPoint para escanear el código QR y, a continuación, escriba el código de verificación que se muestra en la aplicación.
    • Contraseña de Un Solo Uso — Escriba la contraseña de un solo uso para su token.

Si no tiene su token, debe usar la función Olvidé mi Token para iniciar sesión en una computadora con la Logon app instalada. Para más información, consulte Autenticación Sin Su Dispositivo Móvil.

Ver la Versión de la Logon App Instalada

Cuando inicie sesión en una computadora que tenga instalada la Logon app, en la pantalla de autenticación puede hacer clic en el icono ? para ver información sobre la Logon app.

Temas Relacionados

Configurar la MFA

Acerca de las Políticas de Autenticación de AuthPoint

Acerca de la Autenticación