24
2FA für on-Prem Active Directory
Hallo zusammen,
wir beschäftigen uns intern immer mehr mit dem Thema 2FA zur Absicherung kritischer Konto. Wir haben bereits USB Dongle der Fa. yubico besorgt. Wir konnten damit schon erfolgreich z. B. 2FA für Azure einrichten und sämtliche M365 Dienste.
Ich suche nun allerdings nach einer Möglichkeit mein on-Prem Active Directory abzusichern. Ziel ist es bei der Anmeldung am PC, die allesamt der gleichen Domäne angehören, 2FA mittels Authenticator abzusichern.
So wie ich das verstanden habe geht das mit Microsoft eigenen Bordmitteln nicht und es wird auf jeden Fall eine zusätzliche Software benötigt. Richtig so?
Kann mir da jemand was raten? Hat das irgendwer schon im Einsatz und kann mir einen Schubser in die richtige Richtung geben?
Oder geht das vielleicht sogar doch mit Microsoft eigenen Bordmitteln und ich finde einen geeigneten Artikel nicht dazu?
Habe für die meisten meiner kritischen Anwendungen bereits erfolgreich 2FA mittels yubico Dongle eingerichtet, nur die on-Prem Active Diretory wäre noch mein Sorgenkind.
wir beschäftigen uns intern immer mehr mit dem Thema 2FA zur Absicherung kritischer Konto. Wir haben bereits USB Dongle der Fa. yubico besorgt. Wir konnten damit schon erfolgreich z. B. 2FA für Azure einrichten und sämtliche M365 Dienste.
Ich suche nun allerdings nach einer Möglichkeit mein on-Prem Active Directory abzusichern. Ziel ist es bei der Anmeldung am PC, die allesamt der gleichen Domäne angehören, 2FA mittels Authenticator abzusichern.
So wie ich das verstanden habe geht das mit Microsoft eigenen Bordmitteln nicht und es wird auf jeden Fall eine zusätzliche Software benötigt. Richtig so?
Kann mir da jemand was raten? Hat das irgendwer schon im Einsatz und kann mir einen Schubser in die richtige Richtung geben?
Oder geht das vielleicht sogar doch mit Microsoft eigenen Bordmitteln und ich finde einen geeigneten Artikel nicht dazu?
Habe für die meisten meiner kritischen Anwendungen bereits erfolgreich 2FA mittels yubico Dongle eingerichtet, nur die on-Prem Active Diretory wäre noch mein Sorgenkind.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 71040356489
Url: https://administrator.de/contentid/71040356489
Ausgedruckt am: 21.11.2024 um 17:11 Uhr
24 Kommentare
Neuester Kommentar
Hi,
wir nutzen DUO für server. Kostet aber pro Nutzer.
Mehr Erfahrung habe ich nicht, da wir das damals empfohlen und quasi über Nacht eingeführt wurde.
Sg Dirm
wir nutzen DUO für server. Kostet aber pro Nutzer.
Mehr Erfahrung habe ich nicht, da wir das damals empfohlen und quasi über Nacht eingeführt wurde.
Sg Dirm
2
Moin,
+1 für Duo.
Gruß
+1 für Duo.
Gruß
2
Du limitierst die Möglichkeiten, wenn Du wirklich nach etwas suchst, das zwangsläufig den Microsoft Authenticator nutzt - ist das Vorgabe?
Wenn nicht: Setze dich mit SmartCards oder virtuellen SmartCards auseinander. Das letzte ist kostenlos und funktioniert auch mit on-premises AD. Ich habe diverse HowTos dazu auf Lager. Bevor ich dazu komme, äußere dich zu dem Authenticator.
Für Authenticator dürfte das passen: TOTP für Windows-AD-Konten - open source!
Wenn nicht: Setze dich mit SmartCards oder virtuellen SmartCards auseinander. Das letzte ist kostenlos und funktioniert auch mit on-premises AD. Ich habe diverse HowTos dazu auf Lager. Bevor ich dazu komme, äußere dich zu dem Authenticator.
Für Authenticator dürfte das passen: TOTP für Windows-AD-Konten - open source!
1
Wenn es sich um eine Umgebung handelt in der zu 90% Windows Läuft würde ich mich mit Smartcards ( Virtuell oder eben als echte Karte oder Stick ) und Pin auseinander setzen. Läuft hier ohne Probleme. Wobei wir das nur für die High Sec Konten + und ab Abt.Leiter aufwärts haben.
Läuft alles mit Boardmitteln von MS.
Wenn der Authenticator von MS Pflicht ist dann wirds da allerdings schwer denn der Primäre, vom MS vorgesehene Weg, ist der mit Smartcard ( ist ja eigentlich nur ein Zertifikat was geschützt abgelegt ist ) und Pin bzw. Windows Hello.
Läuft alles mit Boardmitteln von MS.
Wenn der Authenticator von MS Pflicht ist dann wirds da allerdings schwer denn der Primäre, vom MS vorgesehene Weg, ist der mit Smartcard ( ist ja eigentlich nur ein Zertifikat was geschützt abgelegt ist ) und Pin bzw. Windows Hello.
1
Moin,
wir hatten vor einer Weile ähnliche Anforderungen. Primär ging es um die Absicherung von RDP Verbindungen auf die Server für die Admins, hier wollten wir gerne MFA haben. Das Ganze ohne extra Client.
Das Produkt, dass es für uns gelöst hat, ist: Silverfort
Sehr elegant, da es sich einfach an die ADs ran klemmt und von dort aus 2FA macht.
Man kann sowohl Yubikey und auch MS Auth nutzen.
Windows Logins kann man auch absichern, dann benötigt man allerdings einen Client. Das nutzen wir nur auf den PAWs.
Für unterschiedlichste Services kann man ansonsten verschiedene Regeln festlegen.
Teils komme ich mir immer vor, wie ein Verkäufer von Silverfort - bin ich aber nicht! Mich hat die Software nur wirklich überzeugt.
Leider nicht ganz umsonst.
Grüße
Fabian
wir hatten vor einer Weile ähnliche Anforderungen. Primär ging es um die Absicherung von RDP Verbindungen auf die Server für die Admins, hier wollten wir gerne MFA haben. Das Ganze ohne extra Client.
Das Produkt, dass es für uns gelöst hat, ist: Silverfort
Sehr elegant, da es sich einfach an die ADs ran klemmt und von dort aus 2FA macht.
Man kann sowohl Yubikey und auch MS Auth nutzen.
Windows Logins kann man auch absichern, dann benötigt man allerdings einen Client. Das nutzen wir nur auf den PAWs.
Für unterschiedlichste Services kann man ansonsten verschiedene Regeln festlegen.
Teils komme ich mir immer vor, wie ein Verkäufer von Silverfort - bin ich aber nicht! Mich hat die Software nur wirklich überzeugt.
Leider nicht ganz umsonst.
Grüße
Fabian
1
Zitat von @Dirmhirn:
Hi,
wir nutzen DUO für server. Kostet aber pro Nutzer.
Mehr Erfahrung habe ich nicht, da wir das damals empfohlen und quasi über Nacht eingeführt wurde.
Sg Dirm
Hi,
wir nutzen DUO für server. Kostet aber pro Nutzer.
Mehr Erfahrung habe ich nicht, da wir das damals empfohlen und quasi über Nacht eingeführt wurde.
Sg Dirm
Danke für den Tipp!
Danke für den Tipp!
Zitat von @DerWoWusste:
Du limitierst die Möglichkeiten, wenn Du wirklich nach etwas suchst, das zwangsläufig den Microsoft Authenticator nutzt - ist das Vorgabe?
Wenn nicht: Setze dich mit SmartCards oder virtuellen SmartCards auseinander. Das letzte ist kostenlos und funktioniert auch mit on-premises AD. Ich habe diverse HowTos dazu auf Lager. Bevor ich dazu komme, äußere dich zu dem Authenticator.
Für Authenticator dürfte das passen: TOTP für Windows-AD-Konten - open source!
Du limitierst die Möglichkeiten, wenn Du wirklich nach etwas suchst, das zwangsläufig den Microsoft Authenticator nutzt - ist das Vorgabe?
Wenn nicht: Setze dich mit SmartCards oder virtuellen SmartCards auseinander. Das letzte ist kostenlos und funktioniert auch mit on-premises AD. Ich habe diverse HowTos dazu auf Lager. Bevor ich dazu komme, äußere dich zu dem Authenticator.
Für Authenticator dürfte das passen: TOTP für Windows-AD-Konten - open source!
nein nein, der MS Authenticator ist keine Vorgabe, aktuell schauen wir nach verschiedenen Möglichkeiten und entscheiden erst dann für eine geeignete Lösung. Danke!
Zitat von @Mr-Gustav:
Wenn es sich um eine Umgebung handelt in der zu 90% Windows Läuft würde ich mich mit Smartcards ( Virtuell oder eben als echte Karte oder Stick ) und Pin auseinander setzen. Läuft hier ohne Probleme. Wobei wir das nur für die High Sec Konten + und ab Abt.Leiter aufwärts haben.
Läuft alles mit Boardmitteln von MS.
Wenn der Authenticator von MS Pflicht ist dann wirds da allerdings schwer denn der Primäre, vom MS vorgesehene Weg, ist der mit Smartcard ( ist ja eigentlich nur ein Zertifikat was geschützt abgelegt ist ) und Pin bzw. Windows Hello.
Wenn es sich um eine Umgebung handelt in der zu 90% Windows Läuft würde ich mich mit Smartcards ( Virtuell oder eben als echte Karte oder Stick ) und Pin auseinander setzen. Läuft hier ohne Probleme. Wobei wir das nur für die High Sec Konten + und ab Abt.Leiter aufwärts haben.
Läuft alles mit Boardmitteln von MS.
Wenn der Authenticator von MS Pflicht ist dann wirds da allerdings schwer denn der Primäre, vom MS vorgesehene Weg, ist der mit Smartcard ( ist ja eigentlich nur ein Zertifikat was geschützt abgelegt ist ) und Pin bzw. Windows Hello.
ja, es handelt sich um eine 98%ige Windows Umgebung. Es ist bei uns ebenfalls geplant "nur" die High Sec Konten wie Dom-Admins oder Geschäftsführer damit auszustatten.
verstehe ich das richtig dass ich dann immer noch mein Kennwort UND Smartcard benötige? Oder ersetzt die Smartcard lediglich meine Kennworteingabe?
Zitat von @Fabian82:
Moin,
wir hatten vor einer Weile ähnliche Anforderungen. Primär ging es um die Absicherung von RDP Verbindungen auf die Server für die Admins, hier wollten wir gerne MFA haben. Das Ganze ohne extra Client.
Das Produkt, dass es für uns gelöst hat, ist: Silverfort
Sehr elegant, da es sich einfach an die ADs ran klemmt und von dort aus 2FA macht.
Man kann sowohl Yubikey und auch MS Auth nutzen.
Windows Logins kann man auch absichern, dann benötigt man allerdings einen Client. Das nutzen wir nur auf den PAWs.
Für unterschiedlichste Services kann man ansonsten verschiedene Regeln festlegen.
Teils komme ich mir immer vor, wie ein Verkäufer von Silverfort - bin ich aber nicht! Mich hat die Software nur wirklich überzeugt.
Leider nicht ganz umsonst.
Grüße
Fabian
Moin,
wir hatten vor einer Weile ähnliche Anforderungen. Primär ging es um die Absicherung von RDP Verbindungen auf die Server für die Admins, hier wollten wir gerne MFA haben. Das Ganze ohne extra Client.
Das Produkt, dass es für uns gelöst hat, ist: Silverfort
Sehr elegant, da es sich einfach an die ADs ran klemmt und von dort aus 2FA macht.
Man kann sowohl Yubikey und auch MS Auth nutzen.
Windows Logins kann man auch absichern, dann benötigt man allerdings einen Client. Das nutzen wir nur auf den PAWs.
Für unterschiedlichste Services kann man ansonsten verschiedene Regeln festlegen.
Teils komme ich mir immer vor, wie ein Verkäufer von Silverfort - bin ich aber nicht! Mich hat die Software nur wirklich überzeugt.
Leider nicht ganz umsonst.
Grüße
Fabian
Danke für den hilfreichen Tipp, Silverfront werde ich mir auch ansehen.
Du brauchst dann für die Anmeldung die Smardcard ( Plastikkarte oder USB Stick ) und dann entsprechend den PIN für die Karte. Sozusagen wie beim Geld anholen am Automaten. Die EC Karte ist sozusagen die Smardcard und der Pin dann der zweite Faktor.
Haben wir bei uns wie gesagt für die Admins und High Security Konten eingerichtet und funktioniert ganz gut.
Haken im AD setzen das der Benutzer verpflichtet ist die Smartcard zu benutzen und somit Kennwort nicht verwendet werden darf. Oder du machst das Kenwort entsprechend lang und Komplex damit es keiner eingeben will
Haben wir bei uns wie gesagt für die Admins und High Security Konten eingerichtet und funktioniert ganz gut.
Haken im AD setzen das der Benutzer verpflichtet ist die Smartcard zu benutzen und somit Kennwort nicht verwendet werden darf. Oder du machst das Kenwort entsprechend lang und Komplex damit es keiner eingeben will
Zitat von @Mr-Gustav:
Du brauchst dann für die Anmeldung die Smardcard ( Plastikkarte oder USB Stick ) und dann entsprechend den PIN für die Karte. Sozusagen wie beim Geld anholen am Automaten. Die EC Karte ist sozusagen die Smardcard und der Pin dann der zweite Faktor.
Haben wir bei uns wie gesagt für die Admins und High Security Konten eingerichtet und funktioniert ganz gut.
Haken im AD setzen das der Benutzer verpflichtet ist die Smartcard zu benutzen und somit Kennwort nicht verwendet werden darf. Oder du machst das Kenwort entsprechend lang und Komplex damit es keiner eingeben will
Du brauchst dann für die Anmeldung die Smardcard ( Plastikkarte oder USB Stick ) und dann entsprechend den PIN für die Karte. Sozusagen wie beim Geld anholen am Automaten. Die EC Karte ist sozusagen die Smardcard und der Pin dann der zweite Faktor.
Haben wir bei uns wie gesagt für die Admins und High Security Konten eingerichtet und funktioniert ganz gut.
Haken im AD setzen das der Benutzer verpflichtet ist die Smartcard zu benutzen und somit Kennwort nicht verwendet werden darf. Oder du machst das Kenwort entsprechend lang und Komplex damit es keiner eingeben will
Verstehe. Danke!
gibt es denn eine Möglichkeit AD-Passwort UND Smartcard zu erzwingen? Oder ist Anmeldung mittels Smartcard tatsächlich so viel sicherer als nur das reine AD-Passwort?
gibt es denn eine Möglichkeit AD-Passwort UND Smartcard zu erzwingen? Oder ist Anmeldung mittels Smartcard tatsächlich so viel sicherer als nur das reine AD-Passwort?
Wozu? Das ist doch schon 2FA, wozu das Kennwort als dritter Faktor? Ich könnte so etwas bauen, falls Du es wirklich willst, halte es aber für die allermeisten für übertriebene Sicherheit.
Ich kann AuthLite sehr empfehlen. Dann musst Du dich auch nicht umgewöhnen mit den Yubikeys...
1Zitat von @DerWoWusste:
gibt es denn eine Möglichkeit AD-Passwort UND Smartcard zu erzwingen? Oder ist Anmeldung mittels Smartcard tatsächlich so viel sicherer als nur das reine AD-Passwort?
Wozu? Das ist doch schon 2FA, wozu das Kennwort als dritter Faktor? Ich könnte so etwas bauen, falls Du es wirklich willst, halte es aber für die allermeisten für übertriebene Sicherheit.verstehe. nein du hast recht. ich habe die smartcard immer nur als "einen" Faktor gesehen. Aber ja, im Grunde ist es schon 2FA und sollte so ausreichen.
Danke für den Input!
Falls Du dir auch die virtuellen SmartCards anschauen willst: genau genommen ist das nur dann 2FA, wenn man davon ausgeht, dass ein potentieller Angreifer nie in der Lage sein wird, einen hochgefahrenen Rechner gesperrt vorzufinden. Microsofts Idee von 2FA ist hier: die Möglichkeit, den Rechner hochzufahren, ist selbst schon der erste Faktor.
Ich habe deshalb 2FA "nachgerüstet" über einen Kunstgriff: Echte 2FA mit TPM-VSC (virtuelle Smartcards)
Ich habe deshalb 2FA "nachgerüstet" über einen Kunstgriff: Echte 2FA mit TPM-VSC (virtuelle Smartcards)
1Zitat von @DerWoWusste:
Falls Du dir auch die virtuellen SmartCards anschauen willst: genau genommen ist das nur dann 2FA, wenn man davon ausgeht, dass ein potentieller Angreifer nie in der Lage sein wird, einen hochgefahrenen Rechner gesperrt vorzufinden. Microsofts Idee von 2FA ist hier: die Möglichkeit, den Rechner hochzufahren, ist selbst schon der erste Faktor.
Ich habe deshalb 2FA "nachgerüstet" über einen Kunstgriff: Echte 2FA mit TPM-VSC (virtuelle Smartcards)
Falls Du dir auch die virtuellen SmartCards anschauen willst: genau genommen ist das nur dann 2FA, wenn man davon ausgeht, dass ein potentieller Angreifer nie in der Lage sein wird, einen hochgefahrenen Rechner gesperrt vorzufinden. Microsofts Idee von 2FA ist hier: die Möglichkeit, den Rechner hochzufahren, ist selbst schon der erste Faktor.
Ich habe deshalb 2FA "nachgerüstet" über einen Kunstgriff: Echte 2FA mit TPM-VSC (virtuelle Smartcards)
Du hast mir tatsächlich klar gemacht dass ich die ganze Zeit einen logischen Gedankenfehler hatte, für mich war die Smartcard immer nur "ein" Faktor und wollte deshalb meine Anmeldung mit AD-Kennwort als zweiten Faktor forcieren. War komplett auf dem falschen Pfad. Aber ja, so rum macht das ganze mehr Sinn.
Danke vielmals! das mit der virtuellen Smartcard werde ich mir auf jeden Fall auch mal ansehen.
Ist ja wie bei der EC-Karte / Kreditkarte. Faktor 1 = Karte und der Pin = Faktor 2. Pin bringt dir ohne Karte nix und Karte ohne PIN ebenfalls nicht. Also Faktor 1 die Karte und der zweite ist der PIN.
Bzw. bei VSC eben Rechner einschalten und Sperrbildschirm + PIN für die VSC als 2FA
Mach dir aber nix draus...... den Fehler haben wir hier im Unternehmen über Wochen diskutiert weil einer das nicht kapiert hat. Der Verleich mit der EC Karte brachte dann die "erleuchtung"
Bzw. bei VSC eben Rechner einschalten und Sperrbildschirm + PIN für die VSC als 2FA
Mach dir aber nix draus...... den Fehler haben wir hier im Unternehmen über Wochen diskutiert weil einer das nicht kapiert hat. Der Verleich mit der EC Karte brachte dann die "erleuchtung"
1
Funktioniert MultiOTP auch mit Univention Corporate Server DCs oder nur MS ADDC? Hat das schon jemand getestet?
Zitat von @Mr-Gustav:
Ist ja wie bei der EC-Karte / Kreditkarte. Faktor 1 = Karte und der Pin = Faktor 2. Pin bringt dir ohne Karte nix und Karte ohne PIN ebenfalls nicht. Also Faktor 1 die Karte und der zweite ist der PIN.
Bzw. bei VSC eben Rechner einschalten und Sperrbildschirm + PIN für die VSC als 2FA
Mach dir aber nix draus...... den Fehler haben wir hier im Unternehmen über Wochen diskutiert weil einer das nicht kapiert hat. Der Verleich mit der EC Karte brachte dann die "erleuchtung"
Ist ja wie bei der EC-Karte / Kreditkarte. Faktor 1 = Karte und der Pin = Faktor 2. Pin bringt dir ohne Karte nix und Karte ohne PIN ebenfalls nicht. Also Faktor 1 die Karte und der zweite ist der PIN.
Bzw. bei VSC eben Rechner einschalten und Sperrbildschirm + PIN für die VSC als 2FA
Mach dir aber nix draus...... den Fehler haben wir hier im Unternehmen über Wochen diskutiert weil einer das nicht kapiert hat. Der Verleich mit der EC Karte brachte dann die "erleuchtung"
genau das. Wir haben jetzt eben die Diskussion ob dann eben "nur" die Smartcard mit "nur" eine 6stelligen PIN reicht. Wie und warum sollte eine 6stellige PIN sicherer oder besser sein als mein 20stelliges AD Kennwort, welches auch noch komplex ist?
der Vergleich mit der EC-Karte ist sehr valide und richtig. nur geht es jetzt eben in die Köpfe nicht rein dass "nur" die smartcard besser sein soll als das AD-Kennwort... Danke für den Input, mir war das jetzt auch nicht so ganz klar...
Das Verständnis musst Du Dir erarbeiten.
Wenn die Karte eine 6-stellige PIN hat, sind das 1 Million Zahlenkombinationen. Du hast 3 Versuche dafür, dann sperrt die Karte und nur die PUK kann entsperren. Wie hoch ist die Wahrscheinlichkeit, dass Du es also errätst? 3/1000stel Promille (0.000003) oder 1 zu 333.333. Das ist sehr gut. UND du musst die Karte erst einmal haben.
Bei einem Kennwort mit 20 Zeichen hast Du weit mehr Möglichkeiten, das ist richtig. Aber es bleibt ein einzelner Faktor. Hat jemand das Kennwort mitgelesen (Kamera, Keylogger, Shouldersurfing), hast Du verloren.
Wenn die Karte eine 6-stellige PIN hat, sind das 1 Million Zahlenkombinationen. Du hast 3 Versuche dafür, dann sperrt die Karte und nur die PUK kann entsperren. Wie hoch ist die Wahrscheinlichkeit, dass Du es also errätst? 3/1000stel Promille (0.000003) oder 1 zu 333.333. Das ist sehr gut. UND du musst die Karte erst einmal haben.
Bei einem Kennwort mit 20 Zeichen hast Du weit mehr Möglichkeiten, das ist richtig. Aber es bleibt ein einzelner Faktor. Hat jemand das Kennwort mitgelesen (Kamera, Keylogger, Shouldersurfing), hast Du verloren.
2
Der vorteil ist eben das du ZWEI Sachen brauchst. Kennwort mitgelesen durch nachsehen / erraten / Keylogger etc.... und du hast verloren. Egal wie niedrig du die Kontosperre bzgl. falscher Passwörter setzt.
Smartcard benötigt die KARTE + PIN. Wenn jemand die PI hat braucht es auch immer die Karte zusätzlich bzw. wenn die Karte da ist eben die PIN. Ja auch die PIN kann man "abgreifen" aber nicht eben mal schnell mit Keylogger denn das klappt nicht.
Allerdings darf man wenn man den Arbeitsplatz verlässt die Karte nicht stecken lassen denn dann ist das ganze wieder nur 1 Faktor weil die Karte als 2FA immer "eingebaut ist "
Smartcard benötigt die KARTE + PIN. Wenn jemand die PI hat braucht es auch immer die Karte zusätzlich bzw. wenn die Karte da ist eben die PIN. Ja auch die PIN kann man "abgreifen" aber nicht eben mal schnell mit Keylogger denn das klappt nicht.
Allerdings darf man wenn man den Arbeitsplatz verlässt die Karte nicht stecken lassen denn dann ist das ganze wieder nur 1 Faktor
weil die Karte als 2FA immer "eingebaut ist "1
Hi a.esposito, wir arbeiten seit sechs Jahren mit Yubikeys (on Premise AD in Verbindung mit hauptsächlich macOS Clients) funktioniert tadellos und absolut unproblematisch. Allerdings gibt es hinsichtlich Windows eine heftige Einschränkung die sehr schnell sehr unangenehm werden kann: Yubico hat keine vernünftige Roadmap und unterstützt ARM-Prozessoren unter Windows nicht. Das heißt unsere Windows 11 ARM Maschinen sind bei unserer aktuellen Lösung von einem "Lockout" betroffen – was zunehmend auch die ganze Firma aufgrund der Zertifikate-Rollouts betrifft. Deshalb werden wir uns mittelfristig von dem Anbieter aufgrund seiner Trägheit und unzuverlässigen Aussagen/Roadmap verabschieden.
1
wir nutzen SilverFort und funktoniert super
1
