10
Windows Login: 2FA mit OTP
Hallo zusammen,
wir sind auf der Suche nach einer 2FA Lösung für den Windows Login.
Gegegeben ist eine Windows Server 2022 Umgebung mit lokalen/AzureAD in einer Hybrid Umgebung.
Synchronisiert zu AAD werden aktuell nur die Benutzer.
Gewünscht ist als Lösung, dass man sich am Client nur anmelden kann, nachdem zunächst die AD Credentials und anschließend der OTP Code eingegeben wurden.
Wir haben bereits die Lösungen von Token2 versucht. Hierbei muss allerdings am lokalen ein Softwareclient installiert werden, welcher relativ leicht als Admin bzw. im abgesicherten Modus deinstalliert werden. Weiterhin wird hier der 2. Faktor faktisch nach den Credentials nur "nachgelagert" und nicht direkt mit dem AD Login verknüpft.
Welche Lösungen gibt es,, welche die Anforderungen erfüllen würden:
- 2FA Direkt gegen das AD bzw in Verbindung mit dem AD Login
- Lokaler Client (falls notwendig) nicht ohne "deinstallationskennwort" zu entfernen
=> Im besten Fall eine Lösung ohne der notwendigkeit eines lokalen Clients.
- 2FA als OTP (nicht als FIDO/FIDO2 USB-Key)
Perfekt wäre, wenn man noch definieren könnte, dass der 2. Faktor auch für RDP Login verwendet werden kann.
Habt ihr bereits Erfahrungen/Lösungen für diesen Fall?
wir sind auf der Suche nach einer 2FA Lösung für den Windows Login.
Gegegeben ist eine Windows Server 2022 Umgebung mit lokalen/AzureAD in einer Hybrid Umgebung.
Synchronisiert zu AAD werden aktuell nur die Benutzer.
Gewünscht ist als Lösung, dass man sich am Client nur anmelden kann, nachdem zunächst die AD Credentials und anschließend der OTP Code eingegeben wurden.
Wir haben bereits die Lösungen von Token2 versucht. Hierbei muss allerdings am lokalen ein Softwareclient installiert werden, welcher relativ leicht als Admin bzw. im abgesicherten Modus deinstalliert werden. Weiterhin wird hier der 2. Faktor faktisch nach den Credentials nur "nachgelagert" und nicht direkt mit dem AD Login verknüpft.
Welche Lösungen gibt es,, welche die Anforderungen erfüllen würden:
- 2FA Direkt gegen das AD bzw in Verbindung mit dem AD Login
- Lokaler Client (falls notwendig) nicht ohne "deinstallationskennwort" zu entfernen
=> Im besten Fall eine Lösung ohne der notwendigkeit eines lokalen Clients.
- 2FA als OTP (nicht als FIDO/FIDO2 USB-Key)
Perfekt wäre, wenn man noch definieren könnte, dass der 2. Faktor auch für RDP Login verwendet werden kann.
Habt ihr bereits Erfahrungen/Lösungen für diesen Fall?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 7290834560
Url: https://administrator.de/contentid/7290834560
Printed on: April 27, 2024 at 20:04 o'clock
10 Comments
Latest comment
Moin,
wenn die User an den Geräten Adminrechte haben brauchst du den Aufwand gar nicht betreiben.
Dann helfen dir alle tollen Lösungen der Welt nichts.
Ansonsten kannst Hello for Business oder RSA Token oder oder oder nutzen.
Gruß
Spirit
wenn die User an den Geräten Adminrechte haben brauchst du den Aufwand gar nicht betreiben.
Dann helfen dir alle tollen Lösungen der Welt nichts.
Ansonsten kannst Hello for Business oder RSA Token oder oder oder nutzen.
Gruß
Spirit
Hallo,
wie schon der Kollege @Spirit-of-Eli schreibt. Wenn die User Adminrechte haben dann lohnt es sich in den meisten fällen nicht.
Es kommt auch darauf an was Ihr beiret seit zu investieren. Da Ihr schon die User in der AAD könntet Ihr es über Microsoft Azure "AAD" steuern und lokal entweder über den Authenticator oder z.B. über REINER SCT Authenticator benutzen.
Oder Ihr investier z.B. in Zwei-Faktor-Authentifizierung und Identity Access Management-Lösung von Fortinet welches wir im Einsatz haben.
LG
wie schon der Kollege @Spirit-of-Eli schreibt. Wenn die User Adminrechte haben dann lohnt es sich in den meisten fällen nicht.
Es kommt auch darauf an was Ihr beiret seit zu investieren. Da Ihr schon die User in der AAD könntet Ihr es über Microsoft Azure "AAD" steuern und lokal entweder über den Authenticator oder z.B. über REINER SCT Authenticator benutzen.
Oder Ihr investier z.B. in Zwei-Faktor-Authentifizierung und Identity Access Management-Lösung von Fortinet welches wir im Einsatz haben.
LG
1
Hallo,
vielen Dank schon mal für die Antworten.
Werde mir mal die Lösungen anschauen.
Wie genau wird das dann gemacht? Ich hab bisher nichts finden können, wie wir mit den AAD MFA den Windows Login am Lokalen Gerät zusätzlich absichern?
vielen Dank schon mal für die Antworten.
Werde mir mal die Lösungen anschauen.
Zitat von @O.Gensch:
Es kommt auch darauf an was Ihr beiret seit zu investieren. Da Ihr schon die User in der AAD könntet Ihr es über Microsoft Azure "AAD" steuern und lokal entweder über den Authenticator oder z.B. über REINER SCT Authenticator benutzen.
Es kommt auch darauf an was Ihr beiret seit zu investieren. Da Ihr schon die User in der AAD könntet Ihr es über Microsoft Azure "AAD" steuern und lokal entweder über den Authenticator oder z.B. über REINER SCT Authenticator benutzen.
Wie genau wird das dann gemacht? Ich hab bisher nichts finden können, wie wir mit den AAD MFA den Windows Login am Lokalen Gerät zusätzlich absichern?
Noch einmal, wenn die User lokale Armin Rechte haben ist das gesamt System kompromittierbar.
Sind deine Geräte den Azure joined? Dann ist das ganze ja quasi nur ein Klick und du kannst MFA für alle erzwingen.
Unter User gibt es im Portal oben einen quick switch zu der MFA Verwaltung.
Sind deine Geräte den Azure joined? Dann ist das ganze ja quasi nur ein Klick und du kannst MFA für alle erzwingen.
Unter User gibt es im Portal oben einen quick switch zu der MFA Verwaltung.
Nein, die Geräte sind nicht im azure registriert. Sie sind nur rein lokal im ad angemeldet.
Es geht hier auch nicht so sehr darum, dass User Admin rechte haben. Vielmehr darum, dass man sich ja relativ leicht Zugang zum lokalen Admin verschaffen kann wenn das Gerät physisch vorliegt.
Das heißt aber dann, wenn wir die Geräte nun per azure ad sync ins AAD synchronisieren lassen, können wir über das AAD die 2FA per OTP aktivieren?
Sind dafür irgendwelche Lizenzen notwendig? Wenn ja, welche ?
Und wie verhält sich das dann bei Anmeldung am Gerät ohne Internet? Funktioniert dies dann auch, vermutlich ja?
Es geht hier auch nicht so sehr darum, dass User Admin rechte haben. Vielmehr darum, dass man sich ja relativ leicht Zugang zum lokalen Admin verschaffen kann wenn das Gerät physisch vorliegt.
Das heißt aber dann, wenn wir die Geräte nun per azure ad sync ins AAD synchronisieren lassen, können wir über das AAD die 2FA per OTP aktivieren?
Sind dafür irgendwelche Lizenzen notwendig? Wenn ja, welche ?
Und wie verhält sich das dann bei Anmeldung am Gerät ohne Internet? Funktioniert dies dann auch, vermutlich ja?
MFA und OTP verhindern auch nicht die Möglichkeit des Zugriffes auf die Disk, wenn diese nicht verschlüsselt ist.
Es ist Empfehlenswert einen IT-Sicherheitskonzept nach BSI Standard 200-2 Grundschutz umzusetzen. Der MFA sollte dann ein teil des Sicherheitskonzeptes sein......
LG
LG
N'Abend.
Ich werf' mal ESET Secure Authentication in die Runde.
https://www.eset.com/de/business/secure-authentication/
Cheers,
jsysde
Ich werf' mal ESET Secure Authentication in die Runde.
https://www.eset.com/de/business/secure-authentication/
Cheers,
jsysde
Zitat von @Pharaun:
Wie genau wird das dann gemacht? Ich hab bisher nichts finden können, wie wir mit den AAD MFA den Windows Login am Lokalen Gerät zusätzlich absichern?
Wie genau wird das dann gemacht? Ich hab bisher nichts finden können, wie wir mit den AAD MFA den Windows Login am Lokalen Gerät zusätzlich absichern?
Das würde mich auch interessieren!
Geht dies im von Pharaun beschriebenen Szenario allein mit Microsoft-Mitteln? In unserem Fall haben wir dasselbe Setup wie Pharaun es beschreibt, alle User haben M365 Business Premium.
Oder braucht es eine Dritthersteller-Lösung wie das empfohlene ESET? Habt Ihr noch weitere Empfehlungen?
Bei dem Azure MFA schreibt ihr dem User vor, dass er MFA nutzen muss. Das ist eine Richtline die dem User mitgegeben wird. Mehr passiert da nicht.
Dafür müssen die Geräte und eben auch User halt Azure joint sein. Ansonsten werdet ihr wahrscheinlich auf Dritthersteller Tools zurück greifen müssen.
Ich hätte jetzt noch Win-Hello in den Ring geworfen. Allerdings ist der OnPrem Server glaube ich abgekündigt. Vielleicht weiß ja noch jemand mehr.
Ich würde einfach mal ein paar Dienstleister anfragen und mal hören wie die das lösen würden.
Dafür müssen die Geräte und eben auch User halt Azure joint sein. Ansonsten werdet ihr wahrscheinlich auf Dritthersteller Tools zurück greifen müssen.
Ich hätte jetzt noch Win-Hello in den Ring geworfen. Allerdings ist der OnPrem Server glaube ich abgekündigt. Vielleicht weiß ja noch jemand mehr.
Ich würde einfach mal ein paar Dienstleister anfragen und mal hören wie die das lösen würden.
