Inicio de sesión Windows

Requisitos:

Acceso al panel de Ironchip
Usuario con permisos de administrador para realizar la configuración
Conectividad con api.ironchip.com

Pasos a seguir:

Agregar aplicación en Ironchip

Para añadir la aplicación al panel de control de Ironchip, vaya al apartado aplicaciones > New application y cree una nueva aplicación .

Asigne un nombre descriptivo.Este nombre será importante ya que aparece en el autenticador y será más fácil identificarlo.

Guarde la API key.

Generar accesos a usuarios:

Los accesos se generan para determinar qué usuario o grupo tiene permitido realizar la autorización.

Vaya al servicio recién creado, “Add access”.

2. Seleccione el usuario o grupo que va a utilizar el servicio.
3. Configure el nombre de usuario para que coincida con el nombre del equipo o el dominio \ nombre de usuario. Ejemplo:

Usuarios Locales: Nombre del equipo \ usuario = PC-prueba\prueba

Usuarios del dominio: Dominio \ usuario = SERVER0\prueba

4. Establezca las condiciones de acceso.

En este apartado pondremos la forma en la que el usuario tendrá que autorizar el acceso, puede ser de varias formas. Ejemplo: Notificación al dispositivo móvil, un magik link, medianteTarjetas RFID…

5. Al Final tendría que verse algo así:

Instalación de plug-in de inicio de sesión

El primer paso es descargar el plug-in de Windows Logon desde la sección plugins del dashboard de administración de Ironchip.

Una vez tengamos el instalador.msi descargado, lo ejecutaremos en la máquina, la cual queremos proteger el inicio de sesión con Ironchip:

Pulsamos en Next, en la siguiente pantalla aceptarán los términos de uso y volverá a hacer clic en Next.

En el instalador tendremos varios apartados par ir personalizando según nuestras preferencias :

En la primera opción instalaremos el servicio de Ironchip Windows Logon.
En la segunda opción instalaremos el servicio OTP para el inicio de sesión offline.

Esta opción nos permitirá iniciar sesión cuando el equipo no disponga de conexión a internet. Generando un código OTP para el inicio de sesión sin conexión.

En la siguiente pantalla se seleccionará el entorno al cual está apuntando la aplicación, por defecto viene establecido el entorno de producción, aparte tendremos que añadir la API KEY generada en la creación de la aplicación en el panel.

Una vez en la siguiente pantalla nos pedirá si queremos recordar las credenciales de los usuarios que inicien sesión con el agente, esto implica que el usuario cuando vaya a iniciar sesión tendrá un botón el cual podrá activar para recordar las credenciales y no tener que volver a ponerlas.

En este apartado nos pedirá cómo queremos que el agente proteja el equipo ya sea de forma localmente o remotamente utilizando el protocolo RDP (Escritorio remoto de windows), excluyendo o no otros proveedores (Windows):

Logon (Inicio de sesión): Esta opción activará el agente a la hora de iniciar sesión en el equipo.

Unlock (Bloqueo de sesión): Esta opción activará el agente a la hora de iniciar sesión en el equipo una vez se haya bloqueado.

CredUI (Escalada de privilegios): Esta opción activará el agente a la hora de querer acceder a cualquier recurso con privilegios de administrador.

Password Change(Cambio de contraseñas): Esta opción activará el agente a la hora querer cambiar la contraseña.

Una vez en la siguiente pantalla y con todos los parámetros configurados de forma correcta, hacemos clic en el botón de Install.

Si todo ha sido configurado de forma correcta y la instalación se ha realizado con éxito, veremos la siguiente pantalla. Por último, para terminar con la instalación se pulsará el botón Finish.

Importante: Existe la posibilidad de realizar cambios una vez ya instalado, esto es posible volviendo al instalador, pulsad el botón Next y en la siguiente pantalla elegir la opción Change.

AUTENTICACIÓN SIN CONEXIÓN:

Para utilizar el agente de Ironchip con la opción sin conexión tienes que dirigirte al icono nuevo que tienes en tu escritorio llamado “Ironchip Offline Setup”o entrando en un navegador y buscando “localhost:10000”

Una vez en esta pantalla le daremos a “Continuar” y “Generar mi clave”.

Una vez en el apartado de “Generar clave sin conexión” le daremos al botón de Generar

Aquí tendremos la forma de escanear el QR o introducir el código manualmente.

Si queremos introducir el QR nos dirigiremos al autenticador del dispositivo móvil el cual nos permite escanear el QR.

Una vez dentro del autenticador de Ironchip nos dirigiremos al apartado de OTPs, abajo a la derecha.

En este apartado tendremos abajo un “+” le daremos al botón y nos saldrá un desplegable el cual nos permitirá la opción de “Scan a QR code”.Le daremos al botón y escaneamos el QR. Ya tendríamos disponible el OTP.

Si queremos introducir el código manualmente le daremos al botón de “Copiar código de texto en portapapeles”.

Una vez copiado el código nos dirigiremos al autenticador de ironchip. En el apartado de OTPs le daremos al botón de “+” pero esta vez le daremos a “Enter URL” y pegaremos el código previamente copiado.

Una vez pegado el codigo ya tendremos disponible la opción de inicio de sesión sin conexión con OTP.

¡Ya puedes utilizar Ironchip como método de autenticación en Windows!!!

Distribución masiva

Instalación masiva de Windows Logon a través de GPO.

Para hacer el despliegue de Windows Logon tendremos que usar una herramienta para editar el msi. En esta documentación usaremos Orca.

Para empezar generamos un .mst, este .mst contendrá la configuración que queremos aplicar en el instalador cuando se instale mediante la GPO. Para ello editaremos el instalador con Orca.

Dentro del panel de Orca le daremos a Transform y New transform.

Una vez hecho iremos al apartado de Property y elegiremos la configuración que queremos que se aplique cuando se instale. Para ello editaremos los apartados CPUS_.

Las opciones que tenemos son las siguientes:

0: Aplicar credenciales de Ironchip al acceder a la máquina local y remotamente

1: Aplicar credenciales de Ironchip al acceder a la máquina remotamente (RDP

2: Aplicar credenciales de Ironchip al acceder a la máquina localmente

3: Deshabilitar el proveedor de credenciales de Ironchip

e: Permitir solo el uso de Ironchip; deshabilitar cualquier otro proveedor de credenciales

d: Permitir otros proveedores

Una vez hecha la configuración tendremos que indicarle la API KEY para ello haremos click derecho y añadiremos una nueva línea.

El nombre de la linea sera IRONCHIP_SECRET y el value será la API KEY.

IRONCHIP_REMEBER_CREDENTIALS:

Esta opción es para activar el parámetro de recordar las credenciales una vez el usuario inicie sesión, para tenerlo activado tendremos que dejarlo en “1” si queremos dejarlo desactivado tendremos que dejarlo en “0”.

Volveremos a darle a Transform y le daremos a Generate Transform para guardar la configuración.

Una vez hecho, generamos una carpeta compartida y guardamos el instalador junto con el archivo de configuración (el .mst). Y por último compartiremos la carpeta a todos con permisos de lectura.

Ahora procederemos a crear la GPO, y una vez creada la editaremos.

Iremos a Computer Configuration > Policies > Software Settings > Software installation y añadiremos el instalador desde la ruta compartida.

En la siguiente ventana seleccionamos la opción Avanzado y pulsamos OK.

Se abrirá una nueva ventana de las propiedades de la política donde seleccionamos la opción Asignados (debemos seleccionarla así aparezca ya marcada), de está forma se habilitará la opción de Instalar está aplicación al inicio de sesión la cual debemos marcar también.

Nos dirigimos a la pestaña Modificaciones, allí debemos pulsar el botón de Agregar

En esta pantalla debemos elegir el archivo .mst generado antes, recuerda elegirlo desde la carpeta compartida, la misma usada al momento de elegir el archivo .msi anterior.

Luego pulsamos Open.

Ahora veremos la ruta desde donde ha sido seleccionado el archivo, lo siguiente será pulsar OK.

Para terminar volveremos a la configuración de la GPO e indicaremos en que equipos queremos que se instale el Windows Logon

Cerramos la ventana Group Policy Management y abrimos una consola de comando de Windows.

En la consola debemos introducir el comando gpupdate /force. El servidor informará de que no podrá aplicar la política de instalación sin reiniciar y ofrecerá reiniciar. Escriba en la línea de comandos Y, y pulse la tecla Enter. El sistema se reiniciará 1 minuto después de introducir el comando. O simplemente reinicie el servidor a través del menú Inicio.

Luego de esto, veremos la aplicación instalada en todos los equipos que fueron incluidos en la GPO.

Registro de windows

Para realizar las configuraciones de Registro de Windows, nos dirigiremos al registro de windows y a la siguiente ubicación (“Computer -> HKEY_LOCAL_MACHINE -> SOFTWARE -> Classes -> CLSID -> {D2CBBFE7-22CC-4FF0-A7C4-8FCDCFB141B7}”)

La primera opción configurable es “companyLogoPath”, la cual permite personalizar el logotipo que se muestre en la pantalla de inicio de sesion.

Tendremos 2 parámetros para editar:

Nombre de valor: Lo dejaremos como está.
Información del valor: Pondremos la ubicación en la que se encuentra el logotipo de la empresa, tienes que tener en cuenta que el logotipo tiene que tener los siguientes requisitos:
- Dimensiones de 512x512px.
- Extensión.bmp
- Menos de 1mb
- 24 bits

Vinculada a la primera configuración, la opción “companyName” permite personalizar el nombre de la empresa que se muestra en la pantalla de inicio de sesión.

Tras configurar estos dos parámetros, la pantalla de inicio de sesión mostrará de forma personalizada tanto el logotipo como el nombre de su empresa:

La segunda opción que podemos editar en este apartado es “ironchipCachedUsers”, permite almacenar los nombre de usuarios para facilitar accesos futuros.

La tercera opción que podemos editar en este apartado será “IronchipExcludeUsers”. La cual permite definir una lista de usuarios exentos de autorización. Aquellos incluidos en este apartado no requerirán validación adicional al iniciar sesión en el equipo.