derwowusste
Goto Top

MS Terminalserver und Passkeys

Schönen Freitag wünsche ich!

Auf einigen Websites drängen sich Passkeys auf. Warum auch nicht. Es soll getestet werden in einem Recobs-Umfeld: Sprich: gebrowst wird über einen gehärteten Terminalserver (Browser als RemoteApp). Dies ist ein Server 2019 und mit erstaunen stelle ich fest, dass die geeigneten Securityschlüssel (z.B. Yubikey 5 NFC) nicht in der Remotesitzung nutzbar sind für diesen Zweck. Alle Weiterleitungsoptionen sind jedoch ausgewählt.

Hat jemand auf Server 2019/2022 im terminalserverbetrieb schon Passkeys zum laufen gebracht, oder ist irgendwo dokumentiert, dass es nicht gehen kann?

Content-Key: 5848365700

Url: https://administrator.de/contentid/5848365700

Printed on: May 21, 2024 at 21:05 o'clock

Member: RoadRage3
Solution RoadRage3 Feb 09, 2024 at 10:50:24 (UTC)
Goto Top
Servus,

hab auch vor einigen Wochen auf Weisung vom Chef einen Kunden auf MS365 MFA umstellen sollen und das über YubiKey's. Auch diese wurden von W10 auf WS2019 nicht korrekt übergeben. W11 und RDP auf WS2022 kann das aber!

Hab auch mitm Yubi Support geschrieben und der hat mir meine Beobachtung bestätigt. In Windows 10 fehlen Komponenten um die YubiKeys richtig in einer RDP Sitzung zu nutzen. Dem WS2019 fehlen wohl die gleichen Komponenten.

yubic

Aber wie gesagt: Die Übergabe von W11 über RDP auf WS2022 hat wunderbar funktioniert!

Einen ruhigen Freitag und erholsames Wochenende miteinander!

Ben
Member: DerWoWusste
DerWoWusste Feb 09, 2024 at 10:57:02 (UTC)
Goto Top
Sehr schön!

Da Win10's mstsc.exe auch WebAuthn weiterleiten kann, wird es an Server 2019 hängen.
Ich teste nachmittags mal mit einem 2022er als Ziel.

Danke!
Member: MysticFoxDE
MysticFoxDE Feb 09, 2024 updated at 12:04:25 (UTC)
Goto Top
Moin @DerWoWusste,

Schönen Freitag wünsche ich!

dir auch!

Auf einigen Websites drängen sich Passkeys auf. Warum auch nicht. Es soll getestet werden in einem Recobs-Umfeld: Sprich: gebrowst wird über einen gehärteten Terminalserver (Browser als RemoteApp). Dies ist ein Server 2019 und mit erstaunen stelle ich fest, dass die geeigneten Securityschlüssel (z.B. Yubikey 5 NFC) nicht in der Remotesitzung nutzbar sind für diesen Zweck. Alle Weiterleitungsoptionen sind jedoch ausgewählt.

Hat jemand auf Server 2019/2022 im terminalserverbetrieb schon Passkeys zum laufen gebracht, oder ist irgendwo dokumentiert, dass es nicht gehen kann?

du solltest in so einem Fall, den Yubikey nicht als Passkey, sondern als Smart Card verwenden. 😉

https://support.yubico.com/hc/en-us/articles/360013707820-YubiKey-Smart- ...

Damit sollte das was du vor hast auf jeden Fall funktionieren, sofern der gehärtete Terminalserver auch in derselben Domäne wie die User steckt oder die Domäne der User mit der Domäne des TS irgendwie durch Trust oder Forest verknüpft ist.

Oder möchtest du den Yubikey als Passkey dafür nutzen um sich direkt auf den über den gehärteten Terminalserver angesteuerten Webseiten anzumelden?

Gruss Alex
Member: DerWoWusste
Solution DerWoWusste Feb 09, 2024 updated at 12:18:28 (UTC)
Goto Top
Oder möchtest du den Yubikey als Passkey dafür nutzen um sich direkt auf den über den gehärteten Terminalserver angesteuerten Webseiten anzumelden?
Moin Alex. Ja, genau das mache ich.

@RoadRage3
Klappt auf Server 2022 auch von Win10 (22H2) aus mit Defaulteinstellungen (WebAuthn wird weitergeleitet)!
Danke für das Teilen deiner Yubiconachricht!

Funfact: wir haben 2FA auf unserem Firmenebaykonto: Kennwort und SMS. Nun jammert ebay nach jedem Login rum, man möge doch bitte Passkeys bevorzugen. ok, Passkey eingerichtet, läuft! Nun kommt dennoch noch die Forderung der SMS, sprich: man schwenkt automatisch um zu 3FA: Passkey (Yubico Security Key + PIN) plus SMS. Und zu allem Überfluss kommt nach dieser erfolgreichen Anmeldung mit dem neuen Passkey und SMS weiterhin noch die Aufforderung, doch bitte Passkeys zu verwenden! face-wink

Der Spaß hört wohl erst auf, wenn ich die SMS-Forderung rausnehme.
Member: MysticFoxDE
MysticFoxDE Feb 09, 2024 updated at 12:27:19 (UTC)
Goto Top
Moin @DerWoWusste,

Da Win10's mstsc.exe auch WebAuthn weiterleiten kann, wird es an Server 2019 hängen.
Ich teste nachmittags mal mit einem 2022er als Ziel.

jetzt habe ich glaube ich richtig verstanden was du vor hast.

Also eher das.

Oder möchtest du den Yubikey als Passkey dafür nutzen um sich direkt auf den über den gehärteten Terminalserver angesteuerten Webseiten anzumelden?

Das funktioniert beim 2019er (Kernelversion 1809) nicht, da dieser weitergeleitete "WebAuthn" noch nicht unterstützt. 😔

Gruss Alex

P.S. Da haben sich unsere letzten Nachrichten wohl etwas überschnitten. 🙃
Member: DerWoWusste
DerWoWusste Feb 09, 2024 at 12:25:15 (UTC)
Goto Top
Oha, ebay scheint Passkey-only noch gar nicht zu unterstützen: https://community.ebay.com/t5/Selling/Remove-password-and-use-only-passk ...
Member: DerWoWusste
DerWoWusste Feb 09, 2024 at 12:26:00 (UTC)
Goto Top
Das funktioniert beim 2019er (Kernelversion 1809) nicht, da dieser weitergeleitete "WebAuthn" noch nicht unterstützt
Ja, soweit waren wir nun schon face-smile
Member: MysticFoxDE
MysticFoxDE Feb 09, 2024 at 12:28:46 (UTC)
Goto Top
Moin @DerWoWusste,

Ja, soweit waren wir nun schon face-smile

sorry, bin heute nicht ganz fit daher etwas langsamer unterwegs. 🤪

Gruss Alex
Member: DerWoWusste
DerWoWusste Feb 09, 2024 at 12:44:27 (UTC)
Goto Top
sorry, bin heute nicht ganz fit daher etwas langsamer unterwegs.
Das macht doch nichts.
Um noch was hinzuzufügen: wenn ich mich nicht täusche, hat ebay noch eine weitere Neuerung: Authenticator-Apps werden neben SMS nun als 2. Faktor zusätzlich zum Kennwort unterstützt. Da AuthApps synchronisiert werden können, was bei SMS schwieriger ist, kann man als Firma nun mehreren Mitarbeitern autark Zugang zu ebay gewähren, ohne auf Passkeys zurückgreifen zu müssen.
Member: MysticFoxDE
MysticFoxDE Feb 10, 2024 at 08:30:17 (UTC)
Goto Top
Moin @DerWoWusste,

Da AuthApps synchronisiert werden können,

Synchronisation oder auch cross-platform Fähigkeit, bietet aber bei weitem nicht jeder Authenticator an.
Ich habe vor Jahren mal eine grössere Marktanalyse diesbezüglich gemacht um für uns und auch unsere Kunden den richtigen Authenticator zu finden und habe damals nur ganz wenige gefunden, die alle gewünschten Kriterien erfüllt haben und am Ende sind wir bei Authy hängen geblieben. 😁

https://authy.com/

kann man als Firma nun mehreren Mitarbeitern autark Zugang zu ebay gewähren, ohne auf Passkeys zurückgreifen zu müssen.

Mit einem Screenshot des initial 2D Barcodes, kann man übrigens auch ohne Sync einen "2FA Account" auf mehrere Geräte verteilen.

Gruss Alex
Member: DerWoWusste
DerWoWusste Feb 10, 2024 at 09:34:19 (UTC)
Goto Top
Jou, authy nutzen wir auch. Die Desktopapp davon wird leider ab August 24 nicht länger supportet.
Member: MysticFoxDE
MysticFoxDE Feb 10, 2024 updated at 09:46:21 (UTC)
Goto Top
Moin @DerWoWusste,

Die Desktopapp davon wird leider ab August 24 nicht länger supportet.

😲 bitte was 😱

Verflixt, ich sehe es gerade selber.
https://support.authy.com/hc/en-us/articles/17592416719003-Authy-for-Des ...
😭

Ja, OK, auf den Desktops nutzen wir eh auch RDM von Devolutions, sprich bei uns ist das noch zu verschmerzen.
Dem einen oder anderen Kunden von uns, wird diese Entwicklung jedoch definitiv noch viel weniger gefallen. 😬

Irgendwie habe ich mittlerweile das ungute Gefühl, das die ganze IT kurz vor einer grösseren Implosion steht, vor der aber noch eine gewaltige Explosion kommen könnte. 😔

Gruss Alex
Member: RoadRage3
RoadRage3 Feb 10, 2024 at 20:53:55 (UTC)
Goto Top
Zitat von @DerWoWusste:
@RoadRage3
Klappt auf Server 2022 auch von Win10 (22H2) aus mit Defaulteinstellungen (WebAuthn wird weitergeleitet)!
Danke für das Teilen deiner Yubiconachricht!

Ja nice. Auch gut zu wissen, dann müsste ich nicht mal Win 11 installieren. Wenns nicht schon nächstes Jahr "verpflichtend" wird mit dem Win 10 Support Ende.