a.esposito
Goto Top

2FA für on-Prem Active Directory

Hallo zusammen,

wir beschäftigen uns intern immer mehr mit dem Thema 2FA zur Absicherung kritischer Konto. Wir haben bereits USB Dongle der Fa. yubico besorgt. Wir konnten damit schon erfolgreich z. B. 2FA für Azure einrichten und sämtliche M365 Dienste.

Ich suche nun allerdings nach einer Möglichkeit mein on-Prem Active Directory abzusichern. Ziel ist es bei der Anmeldung am PC, die allesamt der gleichen Domäne angehören, 2FA mittels Authenticator abzusichern.

So wie ich das verstanden habe geht das mit Microsoft eigenen Bordmitteln nicht und es wird auf jeden Fall eine zusätzliche Software benötigt. Richtig so?

Kann mir da jemand was raten? Hat das irgendwer schon im Einsatz und kann mir einen Schubser in die richtige Richtung geben?

Oder geht das vielleicht sogar doch mit Microsoft eigenen Bordmitteln und ich finde einen geeigneten Artikel nicht dazu?

Habe für die meisten meiner kritischen Anwendungen bereits erfolgreich 2FA mittels yubico Dongle eingerichtet, nur die on-Prem Active Diretory wäre noch mein Sorgenkind.

Content-ID: 71040356489

Url: https://administrator.de/forum/2fa-fuer-on-prem-active-directory-71040356489.html

Ausgedruckt am: 22.12.2024 um 11:12 Uhr

Dirmhirn
Dirmhirn 20.11.2023 um 10:54:55 Uhr
Goto Top
Hi,
wir nutzen DUO für server. Kostet aber pro Nutzer.
Mehr Erfahrung habe ich nicht, da wir das damals empfohlen und quasi über Nacht eingeführt wurde.
Sg Dirm
Coreknabe
Coreknabe 20.11.2023 um 11:34:09 Uhr
Goto Top
Moin,

+1 für Duo.

Gruß
DerWoWusste
DerWoWusste 20.11.2023 um 12:04:24 Uhr
Goto Top
Du limitierst die Möglichkeiten, wenn Du wirklich nach etwas suchst, das zwangsläufig den Microsoft Authenticator nutzt - ist das Vorgabe?

Wenn nicht: Setze dich mit SmartCards oder virtuellen SmartCards auseinander. Das letzte ist kostenlos und funktioniert auch mit on-premises AD. Ich habe diverse HowTos dazu auf Lager. Bevor ich dazu komme, äußere dich zu dem Authenticator.

Für Authenticator dürfte das passen: TOTP für Windows-AD-Konten - open source!
Mr-Gustav
Mr-Gustav 20.11.2023 um 12:28:25 Uhr
Goto Top
Wenn es sich um eine Umgebung handelt in der zu 90% Windows Läuft würde ich mich mit Smartcards ( Virtuell oder eben als echte Karte oder Stick ) und Pin auseinander setzen. Läuft hier ohne Probleme. Wobei wir das nur für die High Sec Konten + und ab Abt.Leiter aufwärts haben.
Läuft alles mit Boardmitteln von MS.
Wenn der Authenticator von MS Pflicht ist dann wirds da allerdings schwer denn der Primäre, vom MS vorgesehene Weg, ist der mit Smartcard ( ist ja eigentlich nur ein Zertifikat was geschützt abgelegt ist ) und Pin bzw. Windows Hello.
Fabian82
Fabian82 20.11.2023 um 13:29:41 Uhr
Goto Top
Moin,
wir hatten vor einer Weile ähnliche Anforderungen. Primär ging es um die Absicherung von RDP Verbindungen auf die Server für die Admins, hier wollten wir gerne MFA haben. Das Ganze ohne extra Client.

Das Produkt, dass es für uns gelöst hat, ist: Silverfort

Sehr elegant, da es sich einfach an die ADs ran klemmt und von dort aus 2FA macht.
Man kann sowohl Yubikey und auch MS Auth nutzen.
Windows Logins kann man auch absichern, dann benötigt man allerdings einen Client. Das nutzen wir nur auf den PAWs.

Für unterschiedlichste Services kann man ansonsten verschiedene Regeln festlegen.

Teils komme ich mir immer vor, wie ein Verkäufer von Silverfort - bin ich aber nicht! Mich hat die Software nur wirklich überzeugt.

Leider nicht ganz umsonst.

Grüße
Fabian
a.esposito
a.esposito 20.11.2023 um 13:55:58 Uhr
Goto Top
Zitat von @Dirmhirn:

Hi,
wir nutzen DUO für server. Kostet aber pro Nutzer.
Mehr Erfahrung habe ich nicht, da wir das damals empfohlen und quasi über Nacht eingeführt wurde.
Sg Dirm

Danke für den Tipp!
a.esposito
a.esposito 20.11.2023 um 13:56:05 Uhr
Goto Top
Zitat von @Coreknabe:

Moin,

+1 für Duo.

Gruß

Danke für den Tipp!
a.esposito
a.esposito 20.11.2023 um 13:57:06 Uhr
Goto Top
Zitat von @DerWoWusste:

Du limitierst die Möglichkeiten, wenn Du wirklich nach etwas suchst, das zwangsläufig den Microsoft Authenticator nutzt - ist das Vorgabe?

Wenn nicht: Setze dich mit SmartCards oder virtuellen SmartCards auseinander. Das letzte ist kostenlos und funktioniert auch mit on-premises AD. Ich habe diverse HowTos dazu auf Lager. Bevor ich dazu komme, äußere dich zu dem Authenticator.

Für Authenticator dürfte das passen: TOTP für Windows-AD-Konten - open source!

nein nein, der MS Authenticator ist keine Vorgabe, aktuell schauen wir nach verschiedenen Möglichkeiten und entscheiden erst dann für eine geeignete Lösung. Danke!
a.esposito
a.esposito 20.11.2023 um 13:58:49 Uhr
Goto Top
Zitat von @Mr-Gustav:

Wenn es sich um eine Umgebung handelt in der zu 90% Windows Läuft würde ich mich mit Smartcards ( Virtuell oder eben als echte Karte oder Stick ) und Pin auseinander setzen. Läuft hier ohne Probleme. Wobei wir das nur für die High Sec Konten + und ab Abt.Leiter aufwärts haben.
Läuft alles mit Boardmitteln von MS.
Wenn der Authenticator von MS Pflicht ist dann wirds da allerdings schwer denn der Primäre, vom MS vorgesehene Weg, ist der mit Smartcard ( ist ja eigentlich nur ein Zertifikat was geschützt abgelegt ist ) und Pin bzw. Windows Hello.

ja, es handelt sich um eine 98%ige Windows Umgebung. Es ist bei uns ebenfalls geplant "nur" die High Sec Konten wie Dom-Admins oder Geschäftsführer damit auszustatten.

verstehe ich das richtig dass ich dann immer noch mein Kennwort UND Smartcard benötige? Oder ersetzt die Smartcard lediglich meine Kennworteingabe?
a.esposito
a.esposito 20.11.2023 um 13:59:53 Uhr
Goto Top
Zitat von @Fabian82:

Moin,
wir hatten vor einer Weile ähnliche Anforderungen. Primär ging es um die Absicherung von RDP Verbindungen auf die Server für die Admins, hier wollten wir gerne MFA haben. Das Ganze ohne extra Client.

Das Produkt, dass es für uns gelöst hat, ist: Silverfort

Sehr elegant, da es sich einfach an die ADs ran klemmt und von dort aus 2FA macht.
Man kann sowohl Yubikey und auch MS Auth nutzen.
Windows Logins kann man auch absichern, dann benötigt man allerdings einen Client. Das nutzen wir nur auf den PAWs.

Für unterschiedlichste Services kann man ansonsten verschiedene Regeln festlegen.

Teils komme ich mir immer vor, wie ein Verkäufer von Silverfort - bin ich aber nicht! Mich hat die Software nur wirklich überzeugt.

Leider nicht ganz umsonst.

Grüße
Fabian

Danke für den hilfreichen Tipp, Silverfront werde ich mir auch ansehen.
Mr-Gustav
Mr-Gustav 20.11.2023 aktualisiert um 14:48:24 Uhr
Goto Top
Du brauchst dann für die Anmeldung die Smardcard ( Plastikkarte oder USB Stick ) und dann entsprechend den PIN für die Karte. Sozusagen wie beim Geld anholen am Automaten. Die EC Karte ist sozusagen die Smardcard und der Pin dann der zweite Faktor.

Haben wir bei uns wie gesagt für die Admins und High Security Konten eingerichtet und funktioniert ganz gut.
Haken im AD setzen das der Benutzer verpflichtet ist die Smartcard zu benutzen und somit Kennwort nicht verwendet werden darf. Oder du machst das Kenwort entsprechend lang und Komplex damit es keiner eingeben will face-smile
a.esposito
a.esposito 20.11.2023 um 15:04:57 Uhr
Goto Top
Zitat von @Mr-Gustav:

Du brauchst dann für die Anmeldung die Smardcard ( Plastikkarte oder USB Stick ) und dann entsprechend den PIN für die Karte. Sozusagen wie beim Geld anholen am Automaten. Die EC Karte ist sozusagen die Smardcard und der Pin dann der zweite Faktor.

Haben wir bei uns wie gesagt für die Admins und High Security Konten eingerichtet und funktioniert ganz gut.
Haken im AD setzen das der Benutzer verpflichtet ist die Smartcard zu benutzen und somit Kennwort nicht verwendet werden darf. Oder du machst das Kenwort entsprechend lang und Komplex damit es keiner eingeben will face-smile

Verstehe. Danke!

gibt es denn eine Möglichkeit AD-Passwort UND Smartcard zu erzwingen? Oder ist Anmeldung mittels Smartcard tatsächlich so viel sicherer als nur das reine AD-Passwort?
DerWoWusste
Lösung DerWoWusste 20.11.2023 um 15:35:51 Uhr
Goto Top
gibt es denn eine Möglichkeit AD-Passwort UND Smartcard zu erzwingen? Oder ist Anmeldung mittels Smartcard tatsächlich so viel sicherer als nur das reine AD-Passwort?
Wozu? Das ist doch schon 2FA, wozu das Kennwort als dritter Faktor? Ich könnte so etwas bauen, falls Du es wirklich willst, halte es aber für die allermeisten für übertriebene Sicherheit.
Der-Phil
Der-Phil 20.11.2023 um 15:48:14 Uhr
Goto Top
Ich kann AuthLite sehr empfehlen. Dann musst Du dich auch nicht umgewöhnen mit den Yubikeys...
a.esposito
a.esposito 20.11.2023 um 15:52:07 Uhr
Goto Top
Zitat von @DerWoWusste:

gibt es denn eine Möglichkeit AD-Passwort UND Smartcard zu erzwingen? Oder ist Anmeldung mittels Smartcard tatsächlich so viel sicherer als nur das reine AD-Passwort?
Wozu? Das ist doch schon 2FA, wozu das Kennwort als dritter Faktor? Ich könnte so etwas bauen, falls Du es wirklich willst, halte es aber für die allermeisten für übertriebene Sicherheit.

verstehe. nein du hast recht. ich habe die smartcard immer nur als "einen" Faktor gesehen. Aber ja, im Grunde ist es schon 2FA und sollte so ausreichen.

Danke für den Input!
DerWoWusste
DerWoWusste 20.11.2023 um 16:04:38 Uhr
Goto Top
Falls Du dir auch die virtuellen SmartCards anschauen willst: genau genommen ist das nur dann 2FA, wenn man davon ausgeht, dass ein potentieller Angreifer nie in der Lage sein wird, einen hochgefahrenen Rechner gesperrt vorzufinden. Microsofts Idee von 2FA ist hier: die Möglichkeit, den Rechner hochzufahren, ist selbst schon der erste Faktor.

Ich habe deshalb 2FA "nachgerüstet" über einen Kunstgriff: Echte 2FA mit TPM-VSC (virtuelle Smartcards)
a.esposito
a.esposito 20.11.2023 um 16:53:19 Uhr
Goto Top
Zitat von @DerWoWusste:

Falls Du dir auch die virtuellen SmartCards anschauen willst: genau genommen ist das nur dann 2FA, wenn man davon ausgeht, dass ein potentieller Angreifer nie in der Lage sein wird, einen hochgefahrenen Rechner gesperrt vorzufinden. Microsofts Idee von 2FA ist hier: die Möglichkeit, den Rechner hochzufahren, ist selbst schon der erste Faktor.

Ich habe deshalb 2FA "nachgerüstet" über einen Kunstgriff: Echte 2FA mit TPM-VSC (virtuelle Smartcards)

Du hast mir tatsächlich klar gemacht dass ich die ganze Zeit einen logischen Gedankenfehler hatte, für mich war die Smartcard immer nur "ein" Faktor und wollte deshalb meine Anmeldung mit AD-Kennwort als zweiten Faktor forcieren. War komplett auf dem falschen Pfad. Aber ja, so rum macht das ganze mehr Sinn.

Danke vielmals! das mit der virtuellen Smartcard werde ich mir auf jeden Fall auch mal ansehen.
Mr-Gustav
Mr-Gustav 21.11.2023 um 07:41:08 Uhr
Goto Top
Ist ja wie bei der EC-Karte / Kreditkarte. Faktor 1 = Karte und der Pin = Faktor 2. Pin bringt dir ohne Karte nix und Karte ohne PIN ebenfalls nicht. Also Faktor 1 die Karte und der zweite ist der PIN.
Bzw. bei VSC eben Rechner einschalten und Sperrbildschirm + PIN für die VSC als 2FA


Mach dir aber nix draus...... den Fehler haben wir hier im Unternehmen über Wochen diskutiert weil einer das nicht kapiert hat. Der Verleich mit der EC Karte brachte dann die "erleuchtung"
hannes.hutmacher
hannes.hutmacher 21.11.2023 um 12:22:31 Uhr
Goto Top
Funktioniert MultiOTP auch mit Univention Corporate Server DCs oder nur MS ADDC? Hat das schon jemand getestet?
a.esposito
a.esposito 23.11.2023 um 09:55:38 Uhr
Goto Top
Zitat von @Mr-Gustav:

Ist ja wie bei der EC-Karte / Kreditkarte. Faktor 1 = Karte und der Pin = Faktor 2. Pin bringt dir ohne Karte nix und Karte ohne PIN ebenfalls nicht. Also Faktor 1 die Karte und der zweite ist der PIN.
Bzw. bei VSC eben Rechner einschalten und Sperrbildschirm + PIN für die VSC als 2FA


Mach dir aber nix draus...... den Fehler haben wir hier im Unternehmen über Wochen diskutiert weil einer das nicht kapiert hat. Der Verleich mit der EC Karte brachte dann die "erleuchtung"

genau das. Wir haben jetzt eben die Diskussion ob dann eben "nur" die Smartcard mit "nur" eine 6stelligen PIN reicht. Wie und warum sollte eine 6stellige PIN sicherer oder besser sein als mein 20stelliges AD Kennwort, welches auch noch komplex ist?

der Vergleich mit der EC-Karte ist sehr valide und richtig. nur geht es jetzt eben in die Köpfe nicht rein dass "nur" die smartcard besser sein soll als das AD-Kennwort... Danke für den Input, mir war das jetzt auch nicht so ganz klar...
DerWoWusste
DerWoWusste 23.11.2023 aktualisiert um 10:06:17 Uhr
Goto Top
Das Verständnis musst Du Dir erarbeiten.
Wenn die Karte eine 6-stellige PIN hat, sind das 1 Million Zahlenkombinationen. Du hast 3 Versuche dafür, dann sperrt die Karte und nur die PUK kann entsperren. Wie hoch ist die Wahrscheinlichkeit, dass Du es also errätst? 3/1000stel Promille (0.000003) oder 1 zu 333.333. Das ist sehr gut. UND du musst die Karte erst einmal haben.

Bei einem Kennwort mit 20 Zeichen hast Du weit mehr Möglichkeiten, das ist richtig. Aber es bleibt ein einzelner Faktor. Hat jemand das Kennwort mitgelesen (Kamera, Keylogger, Shouldersurfing), hast Du verloren.
Mr-Gustav
Mr-Gustav 24.11.2023 um 08:14:59 Uhr
Goto Top
Der vorteil ist eben das du ZWEI Sachen brauchst. Kennwort mitgelesen durch nachsehen / erraten / Keylogger etc.... und du hast verloren. Egal wie niedrig du die Kontosperre bzgl. falscher Passwörter setzt.
Smartcard benötigt die KARTE + PIN. Wenn jemand die PI hat braucht es auch immer die Karte zusätzlich bzw. wenn die Karte da ist eben die PIN. Ja auch die PIN kann man "abgreifen" aber nicht eben mal schnell mit Keylogger denn das klappt nicht.

Allerdings darf man wenn man den Arbeitsplatz verlässt die Karte nicht stecken lassen denn dann ist das ganze wieder nur 1 Faktor face-smile weil die Karte als 2FA immer "eingebaut ist "
kuwakz01
kuwakz01 27.11.2023 aktualisiert um 11:17:31 Uhr
Goto Top
Hi a.esposito, wir arbeiten seit sechs Jahren mit Yubikeys (on Premise AD in Verbindung mit hauptsächlich macOS Clients) funktioniert tadellos und absolut unproblematisch. Allerdings gibt es hinsichtlich Windows eine heftige Einschränkung die sehr schnell sehr unangenehm werden kann: Yubico hat keine vernünftige Roadmap und unterstützt ARM-Prozessoren unter Windows nicht. Das heißt unsere Windows 11 ARM Maschinen sind bei unserer aktuellen Lösung von einem "Lockout" betroffen – was zunehmend auch die ganze Firma aufgrund der Zertifikate-Rollouts betrifft. Deshalb werden wir uns mittelfristig von dem Anbieter aufgrund seiner Trägheit und unzuverlässigen Aussagen/Roadmap verabschieden.
HSB1364
HSB1364 27.11.2023 um 13:33:51 Uhr
Goto Top
wir nutzen SilverFort und funktoniert super