2FA für on-Prem Active Directory
Hallo zusammen,
wir beschäftigen uns intern immer mehr mit dem Thema 2FA zur Absicherung kritischer Konto. Wir haben bereits USB Dongle der Fa. yubico besorgt. Wir konnten damit schon erfolgreich z. B. 2FA für Azure einrichten und sämtliche M365 Dienste.
Ich suche nun allerdings nach einer Möglichkeit mein on-Prem Active Directory abzusichern. Ziel ist es bei der Anmeldung am PC, die allesamt der gleichen Domäne angehören, 2FA mittels Authenticator abzusichern.
So wie ich das verstanden habe geht das mit Microsoft eigenen Bordmitteln nicht und es wird auf jeden Fall eine zusätzliche Software benötigt. Richtig so?
Kann mir da jemand was raten? Hat das irgendwer schon im Einsatz und kann mir einen Schubser in die richtige Richtung geben?
Oder geht das vielleicht sogar doch mit Microsoft eigenen Bordmitteln und ich finde einen geeigneten Artikel nicht dazu?
Habe für die meisten meiner kritischen Anwendungen bereits erfolgreich 2FA mittels yubico Dongle eingerichtet, nur die on-Prem Active Diretory wäre noch mein Sorgenkind.
wir beschäftigen uns intern immer mehr mit dem Thema 2FA zur Absicherung kritischer Konto. Wir haben bereits USB Dongle der Fa. yubico besorgt. Wir konnten damit schon erfolgreich z. B. 2FA für Azure einrichten und sämtliche M365 Dienste.
Ich suche nun allerdings nach einer Möglichkeit mein on-Prem Active Directory abzusichern. Ziel ist es bei der Anmeldung am PC, die allesamt der gleichen Domäne angehören, 2FA mittels Authenticator abzusichern.
So wie ich das verstanden habe geht das mit Microsoft eigenen Bordmitteln nicht und es wird auf jeden Fall eine zusätzliche Software benötigt. Richtig so?
Kann mir da jemand was raten? Hat das irgendwer schon im Einsatz und kann mir einen Schubser in die richtige Richtung geben?
Oder geht das vielleicht sogar doch mit Microsoft eigenen Bordmitteln und ich finde einen geeigneten Artikel nicht dazu?
Habe für die meisten meiner kritischen Anwendungen bereits erfolgreich 2FA mittels yubico Dongle eingerichtet, nur die on-Prem Active Diretory wäre noch mein Sorgenkind.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 71040356489
Url: https://administrator.de/forum/2fa-fuer-on-prem-active-directory-71040356489.html
Ausgedruckt am: 22.12.2024 um 11:12 Uhr
24 Kommentare
Neuester Kommentar
Du limitierst die Möglichkeiten, wenn Du wirklich nach etwas suchst, das zwangsläufig den Microsoft Authenticator nutzt - ist das Vorgabe?
Wenn nicht: Setze dich mit SmartCards oder virtuellen SmartCards auseinander. Das letzte ist kostenlos und funktioniert auch mit on-premises AD. Ich habe diverse HowTos dazu auf Lager. Bevor ich dazu komme, äußere dich zu dem Authenticator.
Für Authenticator dürfte das passen: TOTP für Windows-AD-Konten - open source!
Wenn nicht: Setze dich mit SmartCards oder virtuellen SmartCards auseinander. Das letzte ist kostenlos und funktioniert auch mit on-premises AD. Ich habe diverse HowTos dazu auf Lager. Bevor ich dazu komme, äußere dich zu dem Authenticator.
Für Authenticator dürfte das passen: TOTP für Windows-AD-Konten - open source!
Wenn es sich um eine Umgebung handelt in der zu 90% Windows Läuft würde ich mich mit Smartcards ( Virtuell oder eben als echte Karte oder Stick ) und Pin auseinander setzen. Läuft hier ohne Probleme. Wobei wir das nur für die High Sec Konten + und ab Abt.Leiter aufwärts haben.
Läuft alles mit Boardmitteln von MS.
Wenn der Authenticator von MS Pflicht ist dann wirds da allerdings schwer denn der Primäre, vom MS vorgesehene Weg, ist der mit Smartcard ( ist ja eigentlich nur ein Zertifikat was geschützt abgelegt ist ) und Pin bzw. Windows Hello.
Läuft alles mit Boardmitteln von MS.
Wenn der Authenticator von MS Pflicht ist dann wirds da allerdings schwer denn der Primäre, vom MS vorgesehene Weg, ist der mit Smartcard ( ist ja eigentlich nur ein Zertifikat was geschützt abgelegt ist ) und Pin bzw. Windows Hello.
Moin,
wir hatten vor einer Weile ähnliche Anforderungen. Primär ging es um die Absicherung von RDP Verbindungen auf die Server für die Admins, hier wollten wir gerne MFA haben. Das Ganze ohne extra Client.
Das Produkt, dass es für uns gelöst hat, ist: Silverfort
Sehr elegant, da es sich einfach an die ADs ran klemmt und von dort aus 2FA macht.
Man kann sowohl Yubikey und auch MS Auth nutzen.
Windows Logins kann man auch absichern, dann benötigt man allerdings einen Client. Das nutzen wir nur auf den PAWs.
Für unterschiedlichste Services kann man ansonsten verschiedene Regeln festlegen.
Teils komme ich mir immer vor, wie ein Verkäufer von Silverfort - bin ich aber nicht! Mich hat die Software nur wirklich überzeugt.
Leider nicht ganz umsonst.
Grüße
Fabian
wir hatten vor einer Weile ähnliche Anforderungen. Primär ging es um die Absicherung von RDP Verbindungen auf die Server für die Admins, hier wollten wir gerne MFA haben. Das Ganze ohne extra Client.
Das Produkt, dass es für uns gelöst hat, ist: Silverfort
Sehr elegant, da es sich einfach an die ADs ran klemmt und von dort aus 2FA macht.
Man kann sowohl Yubikey und auch MS Auth nutzen.
Windows Logins kann man auch absichern, dann benötigt man allerdings einen Client. Das nutzen wir nur auf den PAWs.
Für unterschiedlichste Services kann man ansonsten verschiedene Regeln festlegen.
Teils komme ich mir immer vor, wie ein Verkäufer von Silverfort - bin ich aber nicht! Mich hat die Software nur wirklich überzeugt.
Leider nicht ganz umsonst.
Grüße
Fabian
Du brauchst dann für die Anmeldung die Smardcard ( Plastikkarte oder USB Stick ) und dann entsprechend den PIN für die Karte. Sozusagen wie beim Geld anholen am Automaten. Die EC Karte ist sozusagen die Smardcard und der Pin dann der zweite Faktor.
Haben wir bei uns wie gesagt für die Admins und High Security Konten eingerichtet und funktioniert ganz gut.
Haken im AD setzen das der Benutzer verpflichtet ist die Smartcard zu benutzen und somit Kennwort nicht verwendet werden darf. Oder du machst das Kenwort entsprechend lang und Komplex damit es keiner eingeben will
Haben wir bei uns wie gesagt für die Admins und High Security Konten eingerichtet und funktioniert ganz gut.
Haken im AD setzen das der Benutzer verpflichtet ist die Smartcard zu benutzen und somit Kennwort nicht verwendet werden darf. Oder du machst das Kenwort entsprechend lang und Komplex damit es keiner eingeben will
gibt es denn eine Möglichkeit AD-Passwort UND Smartcard zu erzwingen? Oder ist Anmeldung mittels Smartcard tatsächlich so viel sicherer als nur das reine AD-Passwort?
Wozu? Das ist doch schon 2FA, wozu das Kennwort als dritter Faktor? Ich könnte so etwas bauen, falls Du es wirklich willst, halte es aber für die allermeisten für übertriebene Sicherheit.
Falls Du dir auch die virtuellen SmartCards anschauen willst: genau genommen ist das nur dann 2FA, wenn man davon ausgeht, dass ein potentieller Angreifer nie in der Lage sein wird, einen hochgefahrenen Rechner gesperrt vorzufinden. Microsofts Idee von 2FA ist hier: die Möglichkeit, den Rechner hochzufahren, ist selbst schon der erste Faktor.
Ich habe deshalb 2FA "nachgerüstet" über einen Kunstgriff: Echte 2FA mit TPM-VSC (virtuelle Smartcards)
Ich habe deshalb 2FA "nachgerüstet" über einen Kunstgriff: Echte 2FA mit TPM-VSC (virtuelle Smartcards)
Ist ja wie bei der EC-Karte / Kreditkarte. Faktor 1 = Karte und der Pin = Faktor 2. Pin bringt dir ohne Karte nix und Karte ohne PIN ebenfalls nicht. Also Faktor 1 die Karte und der zweite ist der PIN.
Bzw. bei VSC eben Rechner einschalten und Sperrbildschirm + PIN für die VSC als 2FA
Mach dir aber nix draus...... den Fehler haben wir hier im Unternehmen über Wochen diskutiert weil einer das nicht kapiert hat. Der Verleich mit der EC Karte brachte dann die "erleuchtung"
Bzw. bei VSC eben Rechner einschalten und Sperrbildschirm + PIN für die VSC als 2FA
Mach dir aber nix draus...... den Fehler haben wir hier im Unternehmen über Wochen diskutiert weil einer das nicht kapiert hat. Der Verleich mit der EC Karte brachte dann die "erleuchtung"
Das Verständnis musst Du Dir erarbeiten.
Wenn die Karte eine 6-stellige PIN hat, sind das 1 Million Zahlenkombinationen. Du hast 3 Versuche dafür, dann sperrt die Karte und nur die PUK kann entsperren. Wie hoch ist die Wahrscheinlichkeit, dass Du es also errätst? 3/1000stel Promille (0.000003) oder 1 zu 333.333. Das ist sehr gut. UND du musst die Karte erst einmal haben.
Bei einem Kennwort mit 20 Zeichen hast Du weit mehr Möglichkeiten, das ist richtig. Aber es bleibt ein einzelner Faktor. Hat jemand das Kennwort mitgelesen (Kamera, Keylogger, Shouldersurfing), hast Du verloren.
Wenn die Karte eine 6-stellige PIN hat, sind das 1 Million Zahlenkombinationen. Du hast 3 Versuche dafür, dann sperrt die Karte und nur die PUK kann entsperren. Wie hoch ist die Wahrscheinlichkeit, dass Du es also errätst? 3/1000stel Promille (0.000003) oder 1 zu 333.333. Das ist sehr gut. UND du musst die Karte erst einmal haben.
Bei einem Kennwort mit 20 Zeichen hast Du weit mehr Möglichkeiten, das ist richtig. Aber es bleibt ein einzelner Faktor. Hat jemand das Kennwort mitgelesen (Kamera, Keylogger, Shouldersurfing), hast Du verloren.
Der vorteil ist eben das du ZWEI Sachen brauchst. Kennwort mitgelesen durch nachsehen / erraten / Keylogger etc.... und du hast verloren. Egal wie niedrig du die Kontosperre bzgl. falscher Passwörter setzt.
Smartcard benötigt die KARTE + PIN. Wenn jemand die PI hat braucht es auch immer die Karte zusätzlich bzw. wenn die Karte da ist eben die PIN. Ja auch die PIN kann man "abgreifen" aber nicht eben mal schnell mit Keylogger denn das klappt nicht.
Allerdings darf man wenn man den Arbeitsplatz verlässt die Karte nicht stecken lassen denn dann ist das ganze wieder nur 1 Faktor weil die Karte als 2FA immer "eingebaut ist "
Smartcard benötigt die KARTE + PIN. Wenn jemand die PI hat braucht es auch immer die Karte zusätzlich bzw. wenn die Karte da ist eben die PIN. Ja auch die PIN kann man "abgreifen" aber nicht eben mal schnell mit Keylogger denn das klappt nicht.
Allerdings darf man wenn man den Arbeitsplatz verlässt die Karte nicht stecken lassen denn dann ist das ganze wieder nur 1 Faktor weil die Karte als 2FA immer "eingebaut ist "
Hi a.esposito, wir arbeiten seit sechs Jahren mit Yubikeys (on Premise AD in Verbindung mit hauptsächlich macOS Clients) funktioniert tadellos und absolut unproblematisch. Allerdings gibt es hinsichtlich Windows eine heftige Einschränkung die sehr schnell sehr unangenehm werden kann: Yubico hat keine vernünftige Roadmap und unterstützt ARM-Prozessoren unter Windows nicht. Das heißt unsere Windows 11 ARM Maschinen sind bei unserer aktuellen Lösung von einem "Lockout" betroffen – was zunehmend auch die ganze Firma aufgrund der Zertifikate-Rollouts betrifft. Deshalb werden wir uns mittelfristig von dem Anbieter aufgrund seiner Trägheit und unzuverlässigen Aussagen/Roadmap verabschieden.