Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Windows Domäne (ohne Azure AD) und 2 FA mit YubiKey

Mitglied: KodaCH

KodaCH (Level 2) - Jetzt verbinden

22.02.2020, aktualisiert 25.02.2020, 1676 Aufrufe, 12 Kommentare

Hallo zusammen

Ich habe hier yubiKey 5 NFC und habe damit das ein oder andere Konto geschützt. An einem normalen PC kann ich mit der Software vom Hersteller den Login schützen, damit der Login nur noch geht wenn der YubiKey steckt.

Gibt es auch eine möglichkeit ähnliches in einer Domäne zu verwenden? Es soll jedoch keine Pflicht sein, und wenn dann nir wer in einer gewissen Sicherheitsgruppe ist. Aber aktuell würde es auf freiwilliger basis reichen.
Ich habe bisher nur eine Lösung gefunden den YubiKey als smartcard zu verwenden. Aber da braucht es ja kein Kennwort mehr (2FA)

Und für Bitlocker mit PreBoot key kann ich den YubiKey für den schlüssel verwenden aber nicht als smartcard da es glaub Windows nicht unterstützt. Ist das korrekt?

Gruss

Koda
Mitglied: lcer00
22.02.2020 um 13:48 Uhr
Hallo,

wenn Du den Yubikey als Smartcard verwendest, wird eine PIN für den Key vergeben. Dann hast Du Deine 2FA. An dem betreffenden AD-Benutzerkonto stellst Du dann „Smartcard erforderlich“ ein. Beim Login wird dann die PIN verlangt. Eine Anmeldung ist dann mit Password nicht mehr möglich, die PIN ist aber immer erforderlich.

Grüße

lcer
Bitte warten ..
Mitglied: KodaCH
22.02.2020 um 13:55 Uhr
Das klingt gut. Danke. Ich versuche es gleich mal und melde mich wieder
Bitte warten ..
Mitglied: KodaCH
22.02.2020 um 16:26 Uhr
Bisher hatte ich noch kein Erfolg, muss aber nachher nochmals suchen. Ggf hat aber schonmal jemand einen Anhaltspunkt.

Gehe ich auf Windows Anmeldeoptionen kann in einen PIN Vergeben und WIndows fragt mich nach dem PIN beim Login. Wenn ich den YubiKey einfüge und auf Smartcard gehe wird dieser erkannt, und ich könnte den Pin der Smartcard ändern. Aber beim Login steht mir diese nicht zur Verfügung.
Im Gerätemanager wird mir die SmartCard auch angezeigt als "Identifizierungsgerät (NIST SP-..... PIV)"
Bitte warten ..
Mitglied: 143127
LÖSUNG 22.02.2020, aktualisiert um 16:57 Uhr
Das reicht ja auch nicht. Folge dieser Anleitung vom Hersteller dann funktioniert das auch auf Anhieb in einer Domain
YubiKey Smart Card Deployment Guide
Bitte warten ..
Mitglied: UnlimitedRequests
22.02.2020 um 19:05 Uhr
Hallo KodaCH!

ich versuche seit einigen Tage das selbe mit meinem YubiKey 5 NFC in einer Domäne einzurichten und stehe nun vor den selben Herausforderungen.

Aktuell habe ich das Problem, dass mir im Login egal die Smart-Card nicht erkannt wird (Minidriver ist installiert) und Login versuche ich zum Testen auf einen TS via RDP.

Ich habe mit GPOs (gibt mehrere für SmartCards) und mit dem in den AD-Account-Einstellungen versucht das Problem bisher zu lösen, leider ohne Erfolg.

Ich vermute aktuell, dass es an der Vorlage liegt. Kannst du mir sagen, wie du deine Vorlage für die SmartCard konfiguriert hast?
Bitte warten ..
Mitglied: lcer00
22.02.2020 um 22:29 Uhr
Hallo,

1) Deployment guide lesen und umsetzten.
2) die PIN von Hello und die PIN der Smartcard sind 2 verschiedene Dinge
3) Die Sache mit der GPO und dem auf-den-Knopf-drücken aus dem Deployment Guide beachten.

Grüße

lcer
Bitte warten ..
Mitglied: KodaCH
22.02.2020 um 23:11 Uhr
Guten Abend

Vielen Dank an alle.

Mit dem Deployment Guide hat es bei mir auf anhieb geklappt.

Ich habe die YubiKey PIV Daten zurückgesetzt, ein Pin und PUK gesetzt und habe die Anleitung weiter befolgt. Also User und Computer GPO, Minidriver drauf sowie zertifikatsvorlage erstellt. Nach dem zweiten Neustart kam die Windows meldung für die Einrichtung für das Zertifikat

Gruss

Koda
Bitte warten ..
Mitglied: KodaCH
25.02.2020, aktualisiert um 18:46 Uhr
Guten Abend

Gerne würde ich das Thema nochmals hoch holen. Ich habe dies nun ein paar Tage im Testeinsatz und dies scheint auch alles ganz gut zu klappen. Mir sind jedoch noch Fragen aufgetaucht die mir ja ggf jemand beantworten kann. Ich suche da schon eine weile nach "guten" Lösungen oder Antworten. Sollte ich diese in der Zwischenzeit finden, werde ich den Beitrag entsprechend editieren und die Antwort einfügen.
Bitte entschuldigt die sehr vielen Fragen. Ich habe schon lange gesucht und konnte mir auch schon viele selber beantworten. Die sind aktuell aber noch offen und da habe ich bisher zumindest noch nichts konkretes gefunden.

  • (GELÖST) Da trotz SmartCard Login der normale Loginnach wie vor möglich ist, wäre es ja eigentlich nicht nötig eine "Backup Karte" auf Vorrat zu erstellen. Gäbe es aber theoretisch eine Möglichkeit ohne das Zertifikat von Hand über den yubicon Manager zu kopieren?
  • (GELÖST) Gibt es unter Umständen sinn oder auch Möglichkeiten das der normale Login nicht sichtbar oder sogar deaktiviert ist, und nur ein Admin Account kann ihn ggf wieder aktivieren?
  • Windows 10 zeigt zwei SmartCard Logins an. Kann man die eine irgendwie "verstecken"? Denke das verwirrt den User wenn nur eine verwendet werden kann. Denke die eine ist vom SmartCard Slot des Laptops
  • Kann man einen PIN Wechsel erzwingen? Wenn ich einen neuen YubiKey einstecke und der User sich anmeldet bekommt er die Meldung um das Zertifikat auf die SmartCard zu legen. Dort muss er den PIN eingeben. Jedoch den vordefinierten. Gerne würde ich da einen wechsel erzwingen wollen damit der User den PIN gleich ändern muss.
  • Wenn der User seine SmartCard verliert, wie sperre ich das Zertifikat? Ich dachte ich gehe auf den CA Server, und sperre unter Zertifizierungsstelle (Lokal), Mein Root CA, Ausgestellte Zertifikate einfach das SmarcCard Zertifikat von Benutzer X. Leider war danach der Login mittels seiner SmartCard nach wie vor möglich
  • Ich habe mal Testweise ein YubiKey PIN 3 mal falsch eingegeben und auch den PUK. Anschliessend musste ich diesen zurücksetzen. Damit der User wieder einen hat, habe ich bisher nur die Variante gefunden mmc zu öffnen, die Userzertifikate zu öffnen und das Zertifikat zu erneuern. Danach kam wieder der Assistent um das Zertifikat auf die SmartCard zu legen. Gibt es da einen einfacheren Weg für den User?

Allgemein ist mir noch nicht ganz klar weshalb es drei verschiedene Zertifikatsvorlagen für den YubiKey benötigt. Vorallem das letzte ist mir nicht ganz klar
1. Creating a Smart Card Login Template for User Self-Enrollment: Mit diesem wird der User selber aufgefordert das Zertifikat mit dem Assistenten zu erstellen
2. To create an enrollment agent enabled smart card certificate template: Dies wird benötigt wenn ich für den User das Zertifikat generieren möchte um dies auf den YubiKey zu legen (Habe hier aber noch nicht raus gefunden wie)
3. To create a private key exportable smart card certificate template: Eigentlich klingt für mich dies nach dem richtigen um als Admin die SmartCard für den User zu erstellen. Aber dann bin ich mir nicht so sicher was das obere bringt.

Zu diesen Vorlagen noch eine Frage: Wenn der User nun das Zertifikat mittels des templates (1.) generiert, seine SmartCard kaputt geht und ich für den User eine neue Ausstelle, sehe ich das richtig das ich dies nicht mehr machen kann und ein neues Zertifikat mittels der Vorlage (2./3.) erstellen muss?

Gruss und Danke

Koda
Bitte warten ..
Mitglied: lcer00
25.02.2020 um 18:40 Uhr
Hallo,
Zitat von KodaCH:

Guten Abend

  • Da trotz SmartCard Login der normale Loginnach wie vor möglich ist, wäre es ja eigentlich nicht nötig eine "Backup Karte" auf Vorrat zu erstellen. Gäbe es aber theoretisch eine Möglichkeit ohne das Zertifikat von Hand über den yubicon Manager zu kopieren?
  • Gibt es unter Umständen sinn oder auch Möglichkeiten das der normale Login nicht sichtbar oder sogar deaktiviert ist, und nur ein Admin Account kann ihn ggf wieder aktivieren?

Auf dem Domain-Controller mmc/AD Benutzer und Computer öffnen.
Den Benutzer auswählen. unter Konto/Kontooptionen: "Benutzer muss sich mit einer Smartcard anmelden" anhaken. fertig.

* Kann man einen PIN Wechsel erzwingen? Wenn ich einen neuen YubiKey einstecke und der User sich anmeldet bekommt er die Meldung um das Zertifikat auf die SmartCard zu legen. Dort muss er den PIN eingeben. Jedoch den vordefinierten. Gerne würde ich da einen wechsel erzwingen wollen damit der User den PIN gleich ändern muss.
Siehe Anleitung von Yubiko (oben im Thread). Die PUK und PIN muss man als erstes mit dem Yubikey-Manager ändern. Erst dann darf man das Zertifikat draufschreiben.

* Wenn der User seine SmartCard verliert, wie sperre ich das Zertifikat? Ich dachte ich gehe auf den CA Server, und sperre unter Zertifizierungsstelle (Lokal), Mein Root CA, Ausgestellte Zertifikate einfach das SmarcCard Zertifikat von Benutzer X. Leider war danach der Login mittels seiner SmartCard nach wie vor möglich

Die Zertifikat-Infrastruktur muss stimmen. Gibt es eine Zertifikat-Rückrufliste?

* Ich habe mal Testweise ein YubiKey PIN 3 mal falsch eingegeben und auch den PUK. Anschliessend musste ich diesen zurücksetzen. Damit der User wieder einen hat, habe ich bisher nur die Variante gefunden mmc zu öffnen, die Userzertifikate zu öffnen und das Zertifikat zu erneuern. Danach kam wieder der Assistent um das Zertifikat auf die SmartCard zu legen. Gibt es da einen einfacheren Weg für den User?
Nee, wenn der User so blöd ist, PIN und PUK zu verbrennen, dass ist das so. Du kannst aber die PUK behalten und nicht an den User herausgeben

Grüße

lcer
Bitte warten ..
Mitglied: KodaCH
25.02.2020 um 18:49 Uhr
Vielen Dank für deine Antworten. Ich habe mal die Fragen markiert die nun gelöst sind.

Zu deinen Fragen/Antworten:
Siehe Anleitung von Yubiko (oben im Thread). Die PUK und PIN muss man als erstes mit dem Yubikey-Manager ändern. Erst dann darf man das Zertifikat draufschreiben.
Das habe ich gemacht. Ich meinte mehr ob man es erzwingen kann das der User sich anmeldet, die Meldung bekommt Zertifikat generieren und wenn alles gemacht ist er die PIN selber ändern MUSS.
Wobei sich mir die Frage stellt ob es nicht "einfacher" wäre wenn ich die Zertifikate ausstelle und auf den YubiKey kopiere, und der User bei mir seinen "Initial" PIN setzen muss. Dann ist er sicher schon mal individualisiert.

Die Zertifikat-Infrastruktur muss stimmen. Gibt es eine Zertifikat-Rückrufliste?
Das könnte es sein. Es ist nur die Infrastruktur erstellt, aber es wurde nicht explizit eine Rückrufliste erstellt (Nur Testumgebung ;))

Nee, wenn der User so blöd ist, PIN und PUK zu verbrennen, dass ist das so. Du kannst aber die PUK behalten und nicht an den User herausgeben
Die PUK soll er eh nicht bekommen. Ging mir mehr drum wie der User wieder eine SmartCard bekommt wenn er eine neue benötigt (Kann ja auch kaputt gehen)
Bitte warten ..
Mitglied: KodaCH
26.02.2020, aktualisiert um 20:24 Uhr
Guten Abend

Ich habe nun die Zertifizierungsstelle geprüft. Eine Sperrliste scheint vorhanden zu sein. Wenn ich das Zertifikat sperre, ex exportiere und abfrage kommt auch die Meldung das es gesperrt ist.

Ich habe nun herausgefunden, dass man auf den Domänencontrollern sowie der Zertifizierungsstelle den CMD Befehl
certutil -setreg chain\ChainCacheResyncFiletime @ now (ohne Abstand nach dem @)
certutil -urlcache crl delete
ausführen soll und danach den certsvc Service (Auf der CA) neu starten soll.

Dies klappt zwar ohne Fehler, das Zertifikat bleibt aber weiterhin für den Client gültig.

Gruss

Koda
Bitte warten ..
Mitglied: parkerpanzer
03.04.2020 um 15:22 Uhr
Hallo,
das Zertifikat bleibt aber weiterhin für den Client gültig.

Du musst die CRL neu erstellen lassen und diese auf den DCs neu pushen. (https://www.reddit.com/r/sysadmin/comments/b6war3/when_using_smartcard_a ...)

Gruß
parkerpanzer
Bitte warten ..
Ähnliche Inhalte
Windows 10

Windows 2-FA mit Smartcard oder Yubikey nur für RDP

Frage von eglipeterWindows 105 Kommentare

Hallo zusammen, ich habe mir einen Yubikey zugelegt und würde diesen gerne nutzen, um damit RDP-Sitzungen abzusichern. Hierbei soll ...

Sicherheits-Tools

Yubikey vs. OTP-App

Frage von istike2Sicherheits-Tools5 Kommentare

Hallo, verwendet jemand Two-Factor Authentication im Alltag? Was sind eure Praxiserfahrungen? Aktuell benutze ich Lastpass mit Google Auth Ich ...

Sicherheit

Absichern von Clients z.B. mit Yubikey

Frage von DaPeddaSicherheit1 Kommentar

Hallo Community, ich möchte eine handvoll von Client's besonders absichern, indem man einen Hardwaretoken benutzt, Beispielsweise Yubikey. Ich habe ...

Windows 10

Azur Anwendung und Start oder Setup Probleme

Frage von floppyBEWindows 10

Hallo Liebe Admins, Hallo Liebe Super-User, Leider komme ich in diesem Fall einfach nicht weiter. Entweder weis ich nicht ...

Neue Wissensbeiträge
Microsoft

Support of DANE and DNSSEC in Office 365 Exchange Online

Information von Dani vor 4 StundenMicrosoft

Guten Abend zusammen, Microsoft is committed to providing world-class email security solutions and the support for the latest Internet ...

Off Topic

5G und Corona - schwachsinnige Verschwörungstheroretiker

Information von brammer vor 16 StundenOff Topic6 Kommentare

Hallo, das man Verschwörungstheoretikern nicht mit Logik und stichhaltigen Argumenten beikomme kann ist ja leider ein weit verbreitetes Phänomen. ...

Informationsdienste

Leistungsschutzrecht: Ein neuer Diskussionsentwurf liegt vor

Information von Frank vor 2 TagenInformationsdienste12 Kommentare

Anfang April (leider kein Scherz) hat das Bundesjustizministerium den nächsten ausformulierten Referentenentwurf für ein "erstes Gesetz zur Anpassung des ...

Instant Messaging

Videokonferenz oder Chatsystem für das Homeoffice

Information von Frank vor 3 TagenInstant Messaging6 Kommentare

Ich hatte es bereits in einem Kommentar gepostet, da ich aber viele Nachfragen dazu bekam, hier noch mal meine ...

Heiß diskutierte Inhalte
Schulung & Training
IT-Bedarf ermitteln
Frage von malikaSchulung & Training17 Kommentare

Hallo zusammen, ich würde gerne Eure Kritik oder Ratschläge zum Ermitteln des IT-Bedarfs für ein Steuerbüro (2 Steuerberater, 1 ...

Netzwerke
Frage zu VoIP-VLAN und
Frage von darkness08Netzwerke11 Kommentare

Hallo, in einem anderen Beitrag hatte ich gefragt, wie ich UDP bzw. RTP in ein anderes VLAN Route. Dazu ...

Windows Server
RDS CAL Device CAL vs User CAL
gelöst Frage von ImmenburgWindows Server10 Kommentare

Hallo zusammen, wir wollen einen neuen Windows Terminalserver aufsetzen (lassen) und stellen uns nun die Frage, welche RDS Cals ...

Windows Server
SBS2003 Migrieren auf MS W2K16 DC - ohne SBS nicht lauffähig!
Frage von kaineanungWindows Server9 Kommentare

Hallo Leute, ich habe da mal wieder ein Problem: Ich habe die Aufgabe bekommen von unserem kleinen Tochterunternehmen die ...