goodfred
Goto Top

FIDO 2 - 4 lokale Benutzer auf 3 PCs

Guten Tag allerseits!

Frage: Wir haben 4 Benutzer, die alle auf 3 PCs einen eigenen lokalen Benutzer bekommen. (Workgroup)
Diese Benutzer würden dann die MS 365 Office Apps über den Status "Registered" beziehen.

Ist es möglich, auf allen 3 PCs Konten für diese 4 Benutzer anzulegen und das so, das jeder der 4 Benutzer an jedem der 3 PCs sich mit seinem FIDO2 Stick anmelden kann?

Bei Azure AD ist die Antwort ja klar. Die FIDO2 Sticks sind mit dem Azure AD Konto verbunden und können sich somit an allen 3 PCs anmelden.
Wie ist dies bei lokalen Usern? Gibt es da eine Möglichkeit?

Ich vermute sehr stark dass die Antwort nein ist, aber ich dachte, ich frage hier mal nach! face-smile

Außerdem wünsche ich eine schöne Woche!

mfG
Goodfred

Content-ID: 13068645736

Url: https://administrator.de/forum/fido-2-4-lokale-benutzer-auf-3-pcs-13068645736.html

Ausgedruckt am: 23.12.2024 um 04:12 Uhr

Goodfred
Goodfred 02.10.2023 aktualisiert um 13:20:07 Uhr
Goto Top
Ich habe bisher nur von GhatGPT eine verwertbare Antwort bekommen.

1. FIDO2 kann für mehrere lokale Benutzerkonten am gleichen PC genutzt werden

2. FIDO2 kann für ein lokales Benutzerkonto an mehreren PCs eingesetzt werden

Da ich ChatGPT in diesem Fall nicht 100% vertraue, würde ich mich über eine Antwort von euch sehr freuen! face-smile

Meine bedenken:

1. + 2. Soweit ich weiß: Wenn man mehrere Konten von MS 365 einsetzt, bleibt das zuletzt registrierte Konto aktiv und die anderen sind nicht mehr nutzbar
(hier wird MS 365 nur als Registered benutzt, aber vielleicht trifft das auch auf lokale Benutzer zu? Kann es im Moment nicht testen)

2. Reicht es wenn das lokale Benutzerkonto die gleiche Workgroup und den gleichen Anmeldenamen sowie PW hat, damit man mehrere lokale Benutzer an mehreren PCs mit einem FIDO2 Stick verwenden kann?
(ich hoffe es! :D)

Vielen Dank schonmal für Antworten! face-smile

Grüße!
Goodfred

P.S.: Ich war schon am Zweifeln ob FIDO2 ohne Domäne (Entra, lokal oder Hybrid) funktioniert - bis ich die Antwort von ChatGPT hatte
Goodfred
Goodfred 02.10.2023 um 14:23:03 Uhr
Goto Top
Jetzt habe ich Testgeräte.

Leider kann ich mich nicht mit einem lokalen User über FIDO2 an Windows 10 Pro (22H2) anmelden.

Diese Richtlinie " Computerkonfiguration -> Administrative Vorlagen -> System -> Anmelden(/Logon) -> "Anmeldung mit Sicherheitsschlüssel aktivieren" " führte auch nicht zum Erfolg.

Kann es sein, dass FIDO2 nur mit Domänen-Accounts klappt? Eventuell habe ich die Möglichkeit für einen Azure AD Join
commodity
commodity 02.10.2023 um 18:09:57 Uhr
Goto Top
Scheinen hier nicht so viele zu nutzen...
Google ist, wie so oft Dein Freund face-wink
Du gibst den Stick ja nicht an. Ich nutze den Yubikey und er ist mein Schweizer Taschenmesser, was Logins angeht. Aber nicht für Windows.
Wie ist dies bei lokalen Usern? Gibt es da eine Möglichkeit
m.W. nein, wenn es um den User-Login geht. Yubico hat oder hatte eine Software für Win10, da konnte man Fido2 als zusätzlichenFaktor einsetzen.
Kann es sein, dass FIDO2 nur mit Domänen-Accounts klappt?
IMO klappt es sogar nur in AAD-Domains. Mit einer klassischen Domäne sollte die Anmeldung mit dem Yubikey als Smartcard möglich sein, wohl nicht aber mit FIDO2.

Viele Grüße, commodity
MysticFoxDE
MysticFoxDE 03.10.2023 aktualisiert um 11:11:00 Uhr
Goto Top
Moin @Goodfred,

Kann es sein, dass FIDO2 nur mit Domänen-Accounts klappt?

nein, das geht auch mit lokalen Accounts, du benötigst dafür jedoch Zusatzsoftware.

Das folgenden Beispiel zeigt wie das z.B. mit Yubico's funktioniert.

https://support.yubico.com/hc/en-us/articles/360013708460-Yubico-Login-f ...

Gruss Alex
commodity
commodity 03.10.2023 um 14:48:41 Uhr
Goto Top
Meist liege ich falsch, wenn ich dem Kollegen @MysticFoxDE widerspreche face-big-smile

Ich hatte das in dem Link oben beschriebene Procedere vor längerer Zeit schon umgesetzt und es ist nach meinem Verständnis nicht das, was der TO begehrt.
Denn es ist kein Fido2-Login (ausschließlich) mit Yubikey. Vielmehr wird weiterhin das Passwort des Users abgefragt. Der Yubikey ist in diesem Fall ein zusätzliches Sicherheitsmedium.

When the local user account has been configured to require a YubiKey, the user is authenticated by the Yubico Credential Provider instead of the default Windows Credential Provider. The user is prompted to insert their YubiKey. Then the Yubico Login screen is presented. The user enters their username and password.

Wenn das dem TO aber genügt (der Sicherheit dient es definitiv), ist dies der Weg.

Viele Grüße, commodity
MysticFoxDE
MysticFoxDE 03.10.2023 aktualisiert um 15:42:38 Uhr
Goto Top
Moin @commodity,

Meist liege ich falsch, wenn ich dem Kollegen @MysticFoxDE widerspreche face-big-smile

wir haben beide nicht unrecht. 🤪

Ich hatte das in dem Link oben beschriebene Procedere vor längerer Zeit schon umgesetzt und es ist nach meinem Verständnis nicht das, was der TO begehrt.
Denn es ist kein Fido2-Login (ausschließlich) mit Yubikey. Vielmehr wird weiterhin das Passwort des Users abgefragt. Der Yubikey ist in diesem Fall ein zusätzliches Sicherheitsmedium.

Du kannst mit dem Yubikey, soweit ich weiss beides machen. 😁

Wir haben das bei uns z.B. über die AD als zusätzliche Authentifizierungsmethode schor vor längerem implementiert.
Sprich, wenn ich den Yubikey zur Hand habe, dann schiebe ich diesen in den Rechner rein, gebe die PIN ein und schon bin ich drin. 🤪
Bei uns ist jedoch auch noch alternativ die Anmeldung mit Benutzername und Passwort weiterhin möglich.
Wie das mit dem Yubikey als 2FA Login funktioniert, habe ich noch gar nicht ausprobiert.

Mir ist ehrlich gesagt schon die Funktion, dass sich die User nur noch mit dem Yubikey und PIN anmelden, vollkommen ausreichend.
Denn in dem Fall, muss der Benutzer überhaupt nicht sein Account Passwort wissen und kann dieses demzufolge auch gar nicht bei irgendwelchen externen Accounts mitverwenden, wo es dann geklaut werden kann. 😁
Und wenn der Yubikey doch verloren geht, so kann der Finder ohne die PIN damit auch nichts wirklich anfangen.
Denn nach meine ich drei Fehlversuchen, wird der Yubikey wie auch eine SIM gesperrt und man muss zum freischalten den PUK eingeben.
Und wird auch der PUK x Mal falsch eingegeben, dann "killt" sich der Yubikey von alleine. 🤪

Damit das mit dem Yubikey als einzige Loginvariante sauber läuft, müssen jedoch alle Programme/Dienste die auf der AD Authentifizierung beruhen, SSO unterstützen und genau das ist leider bei vielen nicht der Fall. 😭

Gruss Alex
commodity
commodity 04.10.2023 um 08:19:45 Uhr
Goto Top
Hallo Alex,
die Kombi PIN und Yubikey ist natürlich ein sehr guter Mittelweg. Absolut machbar und schützt das Passwort. Werde ich mich mal ran machen.

Wenn ich das recht verstehe, funktioniert dieser Weg aber nur für Geräte im AD und nicht mit der Yubikey-Software "Yubikey-Login for Windows", die Du oben verlinkt hattest. Die ist ja nur für Arbeitsgruppencomputer vorgesehen und erwartet die Eingabe Username und Passwort (was ich nachteilig finde).

Ich glaube, ich hatte die Software seinerzeit (damals noch ohne AD) als nicht zielführend verworfen, weil parallele Anmeldewege (PIN) danach noch gingen und ich die PIN-Anmeldung nicht abschalten wollte. Bin aber nicht ganz sicher, ob das der Grund war. In der Beschreibung steht:
Alternative sign-in methods supported by Windows will not be affected.

Am Rande noch ein Link, der im Kontext vielleicht für den einen oder anderen auch interessant sein könnte:
Yubikey for RDP Login

Viele Grüße, commodity


Viele Grüße, commodity