Открытый порт 3389 и один пароль — это не защита. Боты сканируют IP-диапазоны круглосуточно, подбирают пароли по словарям, а утечка учётных данных через фишинг обнуляет даже сложный пароль за секунды. Команда IT For Prof прошла весь путь настройки двухфакторной аутентификации для RDP на standalone-сервере — без домена, без облака, за 30 минут. Делимся выверенной инструкцией.
Почему пароль не защищает RDP
По данным SANS Institute, RDP — наиболее частый вектор проникновения в корпоративные сети. Причина простая: порт 3389 по умолчанию открыт, а автоматизированные атаки работают непрерывно.
Типичные сценарии, в которых сервер остаётся уязвимым:
- VPS и выделенные серверы в дата-центрах без домена
- Тестовые среды, где упрощают доступ ради удобства
- Филиалы без контроллера домена — отдельные машины с локальными учётками
- Любой сервер, где RDP открыт наружу, а защита — только пароль
Даже сложный пароль не поможет, если он утёк через фишинг или кейлоггер. Второй фактор — одноразовый код на смартфоне — делает украденный пароль бесполезным: без физического устройства войти нельзя.
Большинство инструкций в рунете описывают настройку двухфакторной аутентификации для RDP только в связке с Active Directory. Что делать, если домена нет? Мы разобрались — и выяснили, что ИИ-ассистенты попросту выдумывают команды для этого сценария. Все команды ниже проверены на практике.
Что такое multiOTP и как он работает
multiOTP — открытый проект для двухфакторной аутентификации, сертифицированный OATH для алгоритмов HOTP и TOTP. Серверная часть распространяется под лицензией LGPL, Credential Provider — под Apache 2.0. Оба компонента бесплатны.
Ключевое отличие от большинства аналогов: multiOTP Credential Provider встраивается прямо в экран входа Windows и не требует RADIUS-сервера. Он работает полностью локально — standalone-режим официально поддерживается разработчиками.
Поддерживаемые алгоритмы:
- TOTP (RFC 6238) — одноразовые пароли по времени, меняются каждые 30 секунд
- HOTP (RFC 4226) — одноразовые пароли по счётчику
- mOTP, YubiKey OTP, SMS, резервные одноразовые пароли
Актуальные версии: multiOTP server 5.10.0.2 (2025-10-31), Credential Provider 5.10.1.2 (2026-01-05). Поддерживаемые ОС: Windows 7/8/8.1/10/11, Server 2012(R2)/2016/2019/2022. Только 64-разрядные версии.
Критически важно: расхождение часов между сервером и смартфоном более 30 секунд приводит к отклонению кодов. Синхронизация времени через NTP — обязательное условие до начала настройки.
Что потребуется перед установкой
- Windows Server 2012 R2 — 2022 или Windows 10/11 (64-разрядная)
- Локальная учётная запись с правами администратора
- Microsoft Visual C++ Redistributable 2015–2022 (x64)
- Приложение-аутентификатор: FreeOTP (рекомендация проекта, RuStore и F-Droid), Google Authenticator или Яндекс Ключ
- Настроенная синхронизация времени (NTP)
- Резервный способ доступа — KVM-консоль или консоль виртуализации
Установка и настройка: пошагово
Шаг 1. Скачать MSI-пакет со страницы загрузки multiOTP. Выбрать «No remote server, local multiOTP only».
Шаг 2. Выбрать режим: OTP mandatory for remote desktop only (рекомендуем), OTP mandatory for local and remote (максимальная защита) или тестовый.
Шаг 3. Создать пользователя: multiotp -fastcreatenopin имя_пользователя. Имя должно точно совпадать с локальной учёткой Windows.
Шаг 4. Получить QR-код: multiotp -qrcode имя_пользователя файл.png.
Критический нюанс: после установки Credential Provider запрашивает OTP у всех RDP-подключений — даже у учёток, которых нет в базе. Мы столкнулись с этим на практике и восстанавливали доступ через KVM-консоль. Создавайте пользователей до первого RDP-подключения после установки.
Управление пользователями и устранение ошибок
Основные команды:
- multiotp -fastcreatenopin пользователь — создать TOTP-аккаунт
- multiotp -qrcode пользователь файл.png — QR-код
- multiotp -scratchlist пользователь — резервные пароли
- multiotp -unlock пользователь — разблокировка
- multiotp -config default-request-prefix-pin=0 — отключить PIN-префикс
Блокировка: 3 неудачные попытки — 300 секунд, 6 — полная. Разблокировка: -unlock.
Типичные проблемы: пользователь не добавлен → войти локально и добавить; коды не принимаются → проверить NTP и PIN-префикс; VCRUNTIME140.DLL → обновить до 5.10.x с VC++ x64.
Кому подходит это решение
- VPS и выделенные серверы без домена
- Малый и средний бизнес без ресурсов на Active Directory
- Тестовые и изолированные среды
- Филиалы с автономными серверами
Решение работает офлайн, без подписок. multiOTP поддерживает синхронизацию с AD/LDAP — при появлении домена переход не потребует переустановки.
Двухфакторная аутентификация для RDP через multiOTP — это 30 минут работы, ноль рублей и серьёзное снижение риска взлома. Главное: синхронизировать NTP до установки, добавить пользователей до первого подключения и держать под рукой KVM. Если нужна помощь с настройкой — IT For Prof занимается этим в рамках IT-аутсорсинга.