kodach
Goto Top

Windows Domäne (ohne Azure AD) und 2 FA mit YubiKey

Hallo zusammen

Ich habe hier yubiKey 5 NFC und habe damit das ein oder andere Konto geschützt. An einem normalen PC kann ich mit der Software vom Hersteller den Login schützen, damit der Login nur noch geht wenn der YubiKey steckt.

Gibt es auch eine möglichkeit ähnliches in einer Domäne zu verwenden? Es soll jedoch keine Pflicht sein, und wenn dann nir wer in einer gewissen Sicherheitsgruppe ist. Aber aktuell würde es auf freiwilliger basis reichen.
Ich habe bisher nur eine Lösung gefunden den YubiKey als smartcard zu verwenden. Aber da braucht es ja kein Kennwort mehr (2FA)

Und für Bitlocker mit PreBoot key kann ich den YubiKey für den schlüssel verwenden aber nicht als smartcard da es glaub Windows nicht unterstützt. Ist das korrekt?

Gruss

Koda

Content-ID: 550768

Url: https://administrator.de/forum/windows-domaene-ohne-azure-ad-und-2-fa-mit-yubikey-550768.html

Ausgedruckt am: 22.12.2024 um 17:12 Uhr

lcer00
lcer00 22.02.2020 um 13:48:54 Uhr
Goto Top
Hallo,

wenn Du den Yubikey als Smartcard verwendest, wird eine PIN für den Key vergeben. Dann hast Du Deine 2FA. An dem betreffenden AD-Benutzerkonto stellst Du dann „Smartcard erforderlich“ ein. Beim Login wird dann die PIN verlangt. Eine Anmeldung ist dann mit Password nicht mehr möglich, die PIN ist aber immer erforderlich.

Grüße

lcer
KodaCH
KodaCH 22.02.2020 um 13:55:51 Uhr
Goto Top
Das klingt gut. Danke. Ich versuche es gleich mal und melde mich wieder
KodaCH
KodaCH 22.02.2020 um 16:26:53 Uhr
Goto Top
Bisher hatte ich noch kein Erfolg, muss aber nachher nochmals suchen. Ggf hat aber schonmal jemand einen Anhaltspunkt.

Gehe ich auf Windows Anmeldeoptionen kann in einen PIN Vergeben und WIndows fragt mich nach dem PIN beim Login. Wenn ich den YubiKey einfüge und auf Smartcard gehe wird dieser erkannt, und ich könnte den Pin der Smartcard ändern. Aber beim Login steht mir diese nicht zur Verfügung.
Im Gerätemanager wird mir die SmartCard auch angezeigt als "Identifizierungsgerät (NIST SP-..... PIV)"
143127
Lösung 143127 22.02.2020 aktualisiert um 16:57:55 Uhr
Goto Top
Das reicht ja auch nicht. Folge dieser Anleitung vom Hersteller dann funktioniert das auch auf Anhieb in einer Domain
YubiKey Smart Card Deployment Guide
UnlimitedRequests
UnlimitedRequests 22.02.2020 um 19:05:54 Uhr
Goto Top
Hallo KodaCH!

ich versuche seit einigen Tage das selbe mit meinem YubiKey 5 NFC in einer Domäne einzurichten und stehe nun vor den selben Herausforderungen.

Aktuell habe ich das Problem, dass mir im Login egal die Smart-Card nicht erkannt wird (Minidriver ist installiert) und Login versuche ich zum Testen auf einen TS via RDP.

Ich habe mit GPOs (gibt mehrere für SmartCards) und mit dem in den AD-Account-Einstellungen versucht das Problem bisher zu lösen, leider ohne Erfolg.

Ich vermute aktuell, dass es an der Vorlage liegt. Kannst du mir sagen, wie du deine Vorlage für die SmartCard konfiguriert hast?
lcer00
lcer00 22.02.2020 um 22:29:40 Uhr
Goto Top
Hallo,

1) Deployment guide lesen und umsetzten.
2) die PIN von Hello und die PIN der Smartcard sind 2 verschiedene Dinge
3) Die Sache mit der GPO und dem auf-den-Knopf-drücken aus dem Deployment Guide beachten.

Grüße

lcer
KodaCH
KodaCH 22.02.2020 um 23:11:12 Uhr
Goto Top
Guten Abend

Vielen Dank an alle.

Mit dem Deployment Guide hat es bei mir auf anhieb geklappt.

Ich habe die YubiKey PIV Daten zurückgesetzt, ein Pin und PUK gesetzt und habe die Anleitung weiter befolgt. Also User und Computer GPO, Minidriver drauf sowie zertifikatsvorlage erstellt. Nach dem zweiten Neustart kam die Windows meldung für die Einrichtung für das Zertifikat

Gruss

Koda
KodaCH
KodaCH 25.02.2020 aktualisiert um 18:46:12 Uhr
Goto Top
Guten Abend

Gerne würde ich das Thema nochmals hoch holen. Ich habe dies nun ein paar Tage im Testeinsatz und dies scheint auch alles ganz gut zu klappen. Mir sind jedoch noch Fragen aufgetaucht die mir ja ggf jemand beantworten kann. Ich suche da schon eine weile nach "guten" Lösungen oder Antworten. Sollte ich diese in der Zwischenzeit finden, werde ich den Beitrag entsprechend editieren und die Antwort einfügen.
Bitte entschuldigt die sehr vielen Fragen. Ich habe schon lange gesucht und konnte mir auch schon viele selber beantworten. Die sind aktuell aber noch offen und da habe ich bisher zumindest noch nichts konkretes gefunden.

  • (GELÖST) Da trotz SmartCard Login der normale Loginnach wie vor möglich ist, wäre es ja eigentlich nicht nötig eine "Backup Karte" auf Vorrat zu erstellen. Gäbe es aber theoretisch eine Möglichkeit ohne das Zertifikat von Hand über den yubicon Manager zu kopieren?
  • (GELÖST) Gibt es unter Umständen sinn oder auch Möglichkeiten das der normale Login nicht sichtbar oder sogar deaktiviert ist, und nur ein Admin Account kann ihn ggf wieder aktivieren?
  • Windows 10 zeigt zwei SmartCard Logins an. Kann man die eine irgendwie "verstecken"? Denke das verwirrt den User wenn nur eine verwendet werden kann. Denke die eine ist vom SmartCard Slot des Laptops
  • Kann man einen PIN Wechsel erzwingen? Wenn ich einen neuen YubiKey einstecke und der User sich anmeldet bekommt er die Meldung um das Zertifikat auf die SmartCard zu legen. Dort muss er den PIN eingeben. Jedoch den vordefinierten. Gerne würde ich da einen wechsel erzwingen wollen damit der User den PIN gleich ändern muss.
  • Wenn der User seine SmartCard verliert, wie sperre ich das Zertifikat? Ich dachte ich gehe auf den CA Server, und sperre unter Zertifizierungsstelle (Lokal), Mein Root CA, Ausgestellte Zertifikate einfach das SmarcCard Zertifikat von Benutzer X. Leider war danach der Login mittels seiner SmartCard nach wie vor möglich
  • Ich habe mal Testweise ein YubiKey PIN 3 mal falsch eingegeben und auch den PUK. Anschliessend musste ich diesen zurücksetzen. Damit der User wieder einen hat, habe ich bisher nur die Variante gefunden mmc zu öffnen, die Userzertifikate zu öffnen und das Zertifikat zu erneuern. Danach kam wieder der Assistent um das Zertifikat auf die SmartCard zu legen. Gibt es da einen einfacheren Weg für den User?

Allgemein ist mir noch nicht ganz klar weshalb es drei verschiedene Zertifikatsvorlagen für den YubiKey benötigt. Vorallem das letzte ist mir nicht ganz klar
1. Creating a Smart Card Login Template for User Self-Enrollment: Mit diesem wird der User selber aufgefordert das Zertifikat mit dem Assistenten zu erstellen
2. To create an enrollment agent enabled smart card certificate template: Dies wird benötigt wenn ich für den User das Zertifikat generieren möchte um dies auf den YubiKey zu legen (Habe hier aber noch nicht raus gefunden wie)
3. To create a private key exportable smart card certificate template: Eigentlich klingt für mich dies nach dem richtigen um als Admin die SmartCard für den User zu erstellen. Aber dann bin ich mir nicht so sicher was das obere bringt.

Zu diesen Vorlagen noch eine Frage: Wenn der User nun das Zertifikat mittels des templates (1.) generiert, seine SmartCard kaputt geht und ich für den User eine neue Ausstelle, sehe ich das richtig das ich dies nicht mehr machen kann und ein neues Zertifikat mittels der Vorlage (2./3.) erstellen muss?

Gruss und Danke

Koda
lcer00
lcer00 25.02.2020 um 18:40:36 Uhr
Goto Top
Hallo,
Zitat von @KodaCH:

Guten Abend

  • Da trotz SmartCard Login der normale Loginnach wie vor möglich ist, wäre es ja eigentlich nicht nötig eine "Backup Karte" auf Vorrat zu erstellen. Gäbe es aber theoretisch eine Möglichkeit ohne das Zertifikat von Hand über den yubicon Manager zu kopieren?
  • Gibt es unter Umständen sinn oder auch Möglichkeiten das der normale Login nicht sichtbar oder sogar deaktiviert ist, und nur ein Admin Account kann ihn ggf wieder aktivieren?

Auf dem Domain-Controller mmc/AD Benutzer und Computer öffnen.
Den Benutzer auswählen. unter Konto/Kontooptionen: "Benutzer muss sich mit einer Smartcard anmelden" anhaken. fertig.

* Kann man einen PIN Wechsel erzwingen? Wenn ich einen neuen YubiKey einstecke und der User sich anmeldet bekommt er die Meldung um das Zertifikat auf die SmartCard zu legen. Dort muss er den PIN eingeben. Jedoch den vordefinierten. Gerne würde ich da einen wechsel erzwingen wollen damit der User den PIN gleich ändern muss.
Siehe Anleitung von Yubiko (oben im Thread). Die PUK und PIN muss man als erstes mit dem Yubikey-Manager ändern. Erst dann darf man das Zertifikat draufschreiben.

* Wenn der User seine SmartCard verliert, wie sperre ich das Zertifikat? Ich dachte ich gehe auf den CA Server, und sperre unter Zertifizierungsstelle (Lokal), Mein Root CA, Ausgestellte Zertifikate einfach das SmarcCard Zertifikat von Benutzer X. Leider war danach der Login mittels seiner SmartCard nach wie vor möglich

Die Zertifikat-Infrastruktur muss stimmen. Gibt es eine Zertifikat-Rückrufliste?

* Ich habe mal Testweise ein YubiKey PIN 3 mal falsch eingegeben und auch den PUK. Anschliessend musste ich diesen zurücksetzen. Damit der User wieder einen hat, habe ich bisher nur die Variante gefunden mmc zu öffnen, die Userzertifikate zu öffnen und das Zertifikat zu erneuern. Danach kam wieder der Assistent um das Zertifikat auf die SmartCard zu legen. Gibt es da einen einfacheren Weg für den User?
Nee, wenn der User so blöd ist, PIN und PUK zu verbrennen, dass ist das so. Du kannst aber die PUK behalten und nicht an den User herausgeben face-smile

Grüße

lcer
KodaCH
KodaCH 25.02.2020 um 18:49:51 Uhr
Goto Top
Vielen Dank für deine Antworten. Ich habe mal die Fragen markiert die nun gelöst sind.

Zu deinen Fragen/Antworten:
Siehe Anleitung von Yubiko (oben im Thread). Die PUK und PIN muss man als erstes mit dem Yubikey-Manager ändern. Erst dann darf man das Zertifikat draufschreiben.
Das habe ich gemacht. Ich meinte mehr ob man es erzwingen kann das der User sich anmeldet, die Meldung bekommt Zertifikat generieren und wenn alles gemacht ist er die PIN selber ändern MUSS.
Wobei sich mir die Frage stellt ob es nicht "einfacher" wäre wenn ich die Zertifikate ausstelle und auf den YubiKey kopiere, und der User bei mir seinen "Initial" PIN setzen muss. Dann ist er sicher schon mal individualisiert.

Die Zertifikat-Infrastruktur muss stimmen. Gibt es eine Zertifikat-Rückrufliste?
Das könnte es sein. Es ist nur die Infrastruktur erstellt, aber es wurde nicht explizit eine Rückrufliste erstellt (Nur Testumgebung ;))

Nee, wenn der User so blöd ist, PIN und PUK zu verbrennen, dass ist das so. Du kannst aber die PUK behalten und nicht an den User herausgeben face-smile
Die PUK soll er eh nicht bekommen. Ging mir mehr drum wie der User wieder eine SmartCard bekommt wenn er eine neue benötigt (Kann ja auch kaputt gehen)
KodaCH
KodaCH 26.02.2020 aktualisiert um 20:24:28 Uhr
Goto Top
Guten Abend

Ich habe nun die Zertifizierungsstelle geprüft. Eine Sperrliste scheint vorhanden zu sein. Wenn ich das Zertifikat sperre, ex exportiere und abfrage kommt auch die Meldung das es gesperrt ist.

Ich habe nun herausgefunden, dass man auf den Domänencontrollern sowie der Zertifizierungsstelle den CMD Befehl
certutil -setreg chain\ChainCacheResyncFiletime @ now (ohne Abstand nach dem @)
certutil -urlcache crl delete
ausführen soll und danach den certsvc Service (Auf der CA) neu starten soll.

Dies klappt zwar ohne Fehler, das Zertifikat bleibt aber weiterhin für den Client gültig.

Gruss

Koda
parkerpanzer
parkerpanzer 03.04.2020 um 15:22:20 Uhr
Goto Top
Hallo,
das Zertifikat bleibt aber weiterhin für den Client gültig.

Du musst die CRL neu erstellen lassen und diese auf den DCs neu pushen. (https://www.reddit.com/r/sysadmin/comments/b6war3/when_using_smartcard_a ..)

Gruß
parkerpanzer