13
MS Terminalserver und Passkeys
Schönen Freitag wünsche ich!
Auf einigen Websites drängen sich Passkeys auf. Warum auch nicht. Es soll getestet werden in einem Recobs-Umfeld: Sprich: gebrowst wird über einen gehärteten Terminalserver (Browser als RemoteApp). Dies ist ein Server 2019 und mit erstaunen stelle ich fest, dass die geeigneten Securityschlüssel (z.B. Yubikey 5 NFC) nicht in der Remotesitzung nutzbar sind für diesen Zweck. Alle Weiterleitungsoptionen sind jedoch ausgewählt.
Hat jemand auf Server 2019/2022 im terminalserverbetrieb schon Passkeys zum laufen gebracht, oder ist irgendwo dokumentiert, dass es nicht gehen kann?
Auf einigen Websites drängen sich Passkeys auf. Warum auch nicht. Es soll getestet werden in einem Recobs-Umfeld: Sprich: gebrowst wird über einen gehärteten Terminalserver (Browser als RemoteApp). Dies ist ein Server 2019 und mit erstaunen stelle ich fest, dass die geeigneten Securityschlüssel (z.B. Yubikey 5 NFC) nicht in der Remotesitzung nutzbar sind für diesen Zweck. Alle Weiterleitungsoptionen sind jedoch ausgewählt.
Hat jemand auf Server 2019/2022 im terminalserverbetrieb schon Passkeys zum laufen gebracht, oder ist irgendwo dokumentiert, dass es nicht gehen kann?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 5848365700
Url: https://administrator.de/contentid/5848365700
Printed on: April 27, 2024 at 06:04 o'clock
13 Comments
Latest comment
Servus,
hab auch vor einigen Wochen auf Weisung vom Chef einen Kunden auf MS365 MFA umstellen sollen und das über YubiKey's. Auch diese wurden von W10 auf WS2019 nicht korrekt übergeben. W11 und RDP auf WS2022 kann das aber!
Hab auch mitm Yubi Support geschrieben und der hat mir meine Beobachtung bestätigt. In Windows 10 fehlen Komponenten um die YubiKeys richtig in einer RDP Sitzung zu nutzen. Dem WS2019 fehlen wohl die gleichen Komponenten.
Aber wie gesagt: Die Übergabe von W11 über RDP auf WS2022 hat wunderbar funktioniert!
Einen ruhigen Freitag und erholsames Wochenende miteinander!
Ben
hab auch vor einigen Wochen auf Weisung vom Chef einen Kunden auf MS365 MFA umstellen sollen und das über YubiKey's. Auch diese wurden von W10 auf WS2019 nicht korrekt übergeben. W11 und RDP auf WS2022 kann das aber!
Hab auch mitm Yubi Support geschrieben und der hat mir meine Beobachtung bestätigt. In Windows 10 fehlen Komponenten um die YubiKeys richtig in einer RDP Sitzung zu nutzen. Dem WS2019 fehlen wohl die gleichen Komponenten.
Aber wie gesagt: Die Übergabe von W11 über RDP auf WS2022 hat wunderbar funktioniert!
Einen ruhigen Freitag und erholsames Wochenende miteinander!
Ben
Sehr schön!
Da Win10's mstsc.exe auch WebAuthn weiterleiten kann, wird es an Server 2019 hängen.
Ich teste nachmittags mal mit einem 2022er als Ziel.
Danke!
Da Win10's mstsc.exe auch WebAuthn weiterleiten kann, wird es an Server 2019 hängen.
Ich teste nachmittags mal mit einem 2022er als Ziel.
Danke!
Moin @DerWoWusste,
dir auch!
du solltest in so einem Fall, den Yubikey nicht als Passkey, sondern als Smart Card verwenden. 😉
https://support.yubico.com/hc/en-us/articles/360013707820-YubiKey-Smart- ...
Damit sollte das was du vor hast auf jeden Fall funktionieren, sofern der gehärtete Terminalserver auch in derselben Domäne wie die User steckt oder die Domäne der User mit der Domäne des TS irgendwie durch Trust oder Forest verknüpft ist.
Oder möchtest du den Yubikey als Passkey dafür nutzen um sich direkt auf den über den gehärteten Terminalserver angesteuerten Webseiten anzumelden?
Gruss Alex
Schönen Freitag wünsche ich!
dir auch!
Auf einigen Websites drängen sich Passkeys auf. Warum auch nicht. Es soll getestet werden in einem Recobs-Umfeld: Sprich: gebrowst wird über einen gehärteten Terminalserver (Browser als RemoteApp). Dies ist ein Server 2019 und mit erstaunen stelle ich fest, dass die geeigneten Securityschlüssel (z.B. Yubikey 5 NFC) nicht in der Remotesitzung nutzbar sind für diesen Zweck. Alle Weiterleitungsoptionen sind jedoch ausgewählt.
Hat jemand auf Server 2019/2022 im terminalserverbetrieb schon Passkeys zum laufen gebracht, oder ist irgendwo dokumentiert, dass es nicht gehen kann?
Hat jemand auf Server 2019/2022 im terminalserverbetrieb schon Passkeys zum laufen gebracht, oder ist irgendwo dokumentiert, dass es nicht gehen kann?
du solltest in so einem Fall, den Yubikey nicht als Passkey, sondern als Smart Card verwenden. 😉
https://support.yubico.com/hc/en-us/articles/360013707820-YubiKey-Smart- ...
Damit sollte das was du vor hast auf jeden Fall funktionieren, sofern der gehärtete Terminalserver auch in derselben Domäne wie die User steckt oder die Domäne der User mit der Domäne des TS irgendwie durch Trust oder Forest verknüpft ist.
Oder möchtest du den Yubikey als Passkey dafür nutzen um sich direkt auf den über den gehärteten Terminalserver angesteuerten Webseiten anzumelden?
Gruss Alex
Oder möchtest du den Yubikey als Passkey dafür nutzen um sich direkt auf den über den gehärteten Terminalserver angesteuerten Webseiten anzumelden?
Moin Alex. Ja, genau das mache ich.@RoadRage3
Klappt auf Server 2022 auch von Win10 (22H2) aus mit Defaulteinstellungen (WebAuthn wird weitergeleitet)!
Danke für das Teilen deiner Yubiconachricht!
Funfact: wir haben 2FA auf unserem Firmenebaykonto: Kennwort und SMS. Nun jammert ebay nach jedem Login rum, man möge doch bitte Passkeys bevorzugen. ok, Passkey eingerichtet, läuft! Nun kommt dennoch noch die Forderung der SMS, sprich: man schwenkt automatisch um zu 3FA: Passkey (Yubico Security Key + PIN) plus SMS. Und zu allem Überfluss kommt nach dieser erfolgreichen Anmeldung mit dem neuen Passkey und SMS weiterhin noch die Aufforderung, doch bitte Passkeys zu verwenden!
Der Spaß hört wohl erst auf, wenn ich die SMS-Forderung rausnehme.
Moin @DerWoWusste,
jetzt habe ich glaube ich richtig verstanden was du vor hast.
Also eher das.
Das funktioniert beim 2019er (Kernelversion 1809) nicht, da dieser weitergeleitete "WebAuthn" noch nicht unterstützt. 😔
Gruss Alex
P.S. Da haben sich unsere letzten Nachrichten wohl etwas überschnitten. 🙃
Da Win10's mstsc.exe auch WebAuthn weiterleiten kann, wird es an Server 2019 hängen.
Ich teste nachmittags mal mit einem 2022er als Ziel.
Ich teste nachmittags mal mit einem 2022er als Ziel.
jetzt habe ich glaube ich richtig verstanden was du vor hast.
Also eher das.
Oder möchtest du den Yubikey als Passkey dafür nutzen um sich direkt auf den über den gehärteten Terminalserver angesteuerten Webseiten anzumelden?
Das funktioniert beim 2019er (Kernelversion 1809) nicht, da dieser weitergeleitete "WebAuthn" noch nicht unterstützt. 😔
Gruss Alex
P.S. Da haben sich unsere letzten Nachrichten wohl etwas überschnitten. 🙃
Oha, ebay scheint Passkey-only noch gar nicht zu unterstützen: https://community.ebay.com/t5/Selling/Remove-password-and-use-only-passk ...
Das funktioniert beim 2019er (Kernelversion 1809) nicht, da dieser weitergeleitete "WebAuthn" noch nicht unterstützt
Ja, soweit waren wir nun schon 
Moin @DerWoWusste,
sorry, bin heute nicht ganz fit daher etwas langsamer unterwegs. 🤪
Gruss Alex
Ja, soweit waren wir nun schon
sorry, bin heute nicht ganz fit daher etwas langsamer unterwegs. 🤪
Gruss Alex
sorry, bin heute nicht ganz fit daher etwas langsamer unterwegs.
Das macht doch nichts.Um noch was hinzuzufügen: wenn ich mich nicht täusche, hat ebay noch eine weitere Neuerung: Authenticator-Apps werden neben SMS nun als 2. Faktor zusätzlich zum Kennwort unterstützt. Da AuthApps synchronisiert werden können, was bei SMS schwieriger ist, kann man als Firma nun mehreren Mitarbeitern autark Zugang zu ebay gewähren, ohne auf Passkeys zurückgreifen zu müssen.
Moin @DerWoWusste,
Synchronisation oder auch cross-platform Fähigkeit, bietet aber bei weitem nicht jeder Authenticator an.
Ich habe vor Jahren mal eine grössere Marktanalyse diesbezüglich gemacht um für uns und auch unsere Kunden den richtigen Authenticator zu finden und habe damals nur ganz wenige gefunden, die alle gewünschten Kriterien erfüllt haben und am Ende sind wir bei Authy hängen geblieben. 😁
https://authy.com/
Mit einem Screenshot des initial 2D Barcodes, kann man übrigens auch ohne Sync einen "2FA Account" auf mehrere Geräte verteilen.
Gruss Alex
Da AuthApps synchronisiert werden können,
Synchronisation oder auch cross-platform Fähigkeit, bietet aber bei weitem nicht jeder Authenticator an.
Ich habe vor Jahren mal eine grössere Marktanalyse diesbezüglich gemacht um für uns und auch unsere Kunden den richtigen Authenticator zu finden und habe damals nur ganz wenige gefunden, die alle gewünschten Kriterien erfüllt haben und am Ende sind wir bei Authy hängen geblieben. 😁
https://authy.com/
kann man als Firma nun mehreren Mitarbeitern autark Zugang zu ebay gewähren, ohne auf Passkeys zurückgreifen zu müssen.
Mit einem Screenshot des initial 2D Barcodes, kann man übrigens auch ohne Sync einen "2FA Account" auf mehrere Geräte verteilen.
Gruss Alex
Jou, authy nutzen wir auch. Die Desktopapp davon wird leider ab August 24 nicht länger supportet.
Moin @DerWoWusste,
😲 bitte was 😱
Verflixt, ich sehe es gerade selber.
https://support.authy.com/hc/en-us/articles/17592416719003-Authy-for-Des ...
😭
Ja, OK, auf den Desktops nutzen wir eh auch RDM von Devolutions, sprich bei uns ist das noch zu verschmerzen.
Dem einen oder anderen Kunden von uns, wird diese Entwicklung jedoch definitiv noch viel weniger gefallen. 😬
Irgendwie habe ich mittlerweile das ungute Gefühl, das die ganze IT kurz vor einer grösseren Implosion steht, vor der aber noch eine gewaltige Explosion kommen könnte. 😔
Gruss Alex
Die Desktopapp davon wird leider ab August 24 nicht länger supportet.
😲 bitte was 😱
Verflixt, ich sehe es gerade selber.
https://support.authy.com/hc/en-us/articles/17592416719003-Authy-for-Des ...
😭
Ja, OK, auf den Desktops nutzen wir eh auch RDM von Devolutions, sprich bei uns ist das noch zu verschmerzen.
Dem einen oder anderen Kunden von uns, wird diese Entwicklung jedoch definitiv noch viel weniger gefallen. 😬
Irgendwie habe ich mittlerweile das ungute Gefühl, das die ganze IT kurz vor einer grösseren Implosion steht, vor der aber noch eine gewaltige Explosion kommen könnte. 😔
Gruss Alex
Zitat von @DerWoWusste:
@RoadRage3
Klappt auf Server 2022 auch von Win10 (22H2) aus mit Defaulteinstellungen (WebAuthn wird weitergeleitet)!
Danke für das Teilen deiner Yubiconachricht!
@RoadRage3
Klappt auf Server 2022 auch von Win10 (22H2) aus mit Defaulteinstellungen (WebAuthn wird weitergeleitet)!
Danke für das Teilen deiner Yubiconachricht!
Ja nice. Auch gut zu wissen, dann müsste ich nicht mal Win 11 installieren. Wenns nicht schon nächstes Jahr "verpflichtend" wird mit dem Win 10 Support Ende.