2026. március 4.

Kétfaktoros Windows távoli asztal: a Notakey WCP beállítása

A Notakey Windows Credential Provider beállítása kétfaktoros távoli asztali bejelentkezéshez: a készüléktől a jelszó nélküli működésig.

Ez az útmutató lépésről lépésre bemutatja, hogyan állítsa be a Notakey Windows Credential Providert (WCP, hitelesítőadat-szolgáltató) távoli asztali bejelentkezéshez, telefonos második faktorral.

A készülék beállítása

Hozza létre az alkalmazást. A Notakey készülékben hozzon létre egy új alkalmazást Windows Remote Desktop néven. A hozzá tartozó grafika automatikusan betöltődik. Engedélyezze a biometrikus ellenőrzés támogatását; ha a bejelentkezéshez minden esetben ujjlenyomat- vagy arcfelismerést szeretne megkövetelni, kapcsolja be a force biometric check (biometrikus ellenőrzés kikényszerítése) opciót is.

Adja meg a felhasználókat. Hozzon létre felhasználókat közvetlenül, vagy csatlakoztasson külső felhasználói forrást: a leggyakoribb választás az Active Directory, amelyet a készülék dokumentációja részletesen tárgyal. Az AD-ból szinkronizált felhasználókhoz később eszkalációs vagy többfelhasználós jóváhagyási szabályok is rendelhetők.

Állítsa be a regisztrációs követelményeket, hogy az alkalmazás megjelenjen a Notakey Authenticatorban. Ha az AD-ban szerepelnek telefonszámok, SMS-es vagy WhatsAppos regisztráció is elérhető. Ha a regisztrációhoz olyan egyszerű bejelentkezési adatokat használ, amelyeket az AD ellenőriz, szerkessze a követelményt, és jelölje be az Authenticate against remote AUTH user sources opciót.

Generáljon API-hozzáférést. Hozzon létre egy új API-klienst üres scopes mezővel. A rendszer legenerálja a credential providerhez szükséges Client ID-t és titkos kulcsot.

A Windows-gép beállítása

Hozzon létre egy registry-fájlt a készülék hozzáférési adataival, mentse wcp_notakey.reg néven, majd dupla kattintással importálja:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Notakey]

[HKEY_LOCAL_MACHINE\SOFTWARE\Notakey\WindowsCP]
"ServiceURL"="https://your-appliance.example.com/api/"
"ServiceID"="29afa6c0-907d-40f4-898f-8a96fcdf7230"
"ClientID"="c6df76db-10a7-4349-8e05-8b3656a4d404"
"ClientSecret"="pZ5lSo1Rz_ftCDg4h302794ZlmjMO64sVtiAvHop6dI"
"MessageTtlSeconds"=dword:0000001e
"MessageActionTitle"="Winlogin"
"MessageDescription"="Proceed as {0} on server {1}?"
"AuthCreateTimeoutSecs"=dword:00000014
"AuthWaitTimeoutSecs"=dword:0000003c

Az első négy értéket cserélje ki a sajátjára: a ServiceURL a készülék API-végpontja, a ServiceID az alkalmazás azonosítója, a ClientID/ClientSecret pedig a fent generált API-hozzáférés. A többi érték észszerű alapbeállítás, hexadecimálisan megadva: a MessageTtlSeconds (0x1e = 30 mp) azt szabja meg, meddig hagyható jóvá az értesítés, az AuthCreateTimeoutSecs (0x14 = 20 mp) azt, hogy a WCP meddig vár a kérés létrehozására, az AuthWaitTimeoutSecs (0x3c = 60 mp) pedig azt, hogy meddig vár a felhasználó válaszára. A MessageDescription mezőben a {0} a felhasználónevet, az {1} a gép nevét jelöli.

Telepítse a legfrissebb Windows Credential Providert a letöltési oldalról, indítsa újra a Windowst, és jelentkezzen be egyszer a megszokott módon. Ezután ellenőrizze a LastLoggedOnProvider értéket itt: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI.

Zárolja a gépet, és válassza a Notakey Credential Providert. Adja meg a felhasználónevet és a jelszót. A Notakey engedélyt kér a jelszó titkosítására, és ettől kezdve a bejelentkezéshez elég a felhasználónév és a telefonos jóváhagyás.

Áttérés a kizárólag jelszó nélküli bejelentkezésre

Ha azt szeretné, hogy a Notakey legyen az egyetlen belépési út, tiltsa le az alapértelmezett credential providert: keresse meg a CLSID-jét itt: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers, és vegyen fel alá egy Disabled nevű DWORD bejegyzést 1 értékkel. Nagyobb géppark esetén ugyanez Group Policyval is kiosztható.

Ezután már csak a Notakey Credential Provider marad aktív: a bejelentkezéshez elég a felhasználónév és a második faktor.

← Minden bejegyzés

Az első jelszó nélküli bejelentkezés már ezen a héten

30 perces beszélgetés egy mérnökkel – nem értékesítési prezentáció. Közösen megtervezzük, hogyan indulhat el egy működő pilotprojekt az Ön VPN-, SSO- vagy Windows-környezetében.