michi91
Goto Top

Windows und 2FA

Moin Moin,
hier im Unternehmen stehen wir am Anfang was 2FA oder MFA unter Windows angeht und sehen den Wald vor lauter Bäumen nicht.

Unsere Umgebung:
- Windows on premise AD
~ 60 Fat Clients mit Windows 10/11 und diversen Programmen je nach Abteilung
~ 60 User

Soll:
- Windows Anmeldung soll für alle Anwender mit einem physischen 2. Faktor, wie z.B. Smartcard oder OTP's erfolgen.

Bisher habe ich in Richtung Smardcard wie Yubikeys gedacht, diese haben wir beim meinem alten Arbeitgeber für uns Admins schon viele Jahr im Einsatz gehabt, nun kommen aber zwei größere "Aber".

1. Ziemlich kurzfristige Endscheidung, aber unsere Fortigate wird auch 2FA fürs SSLVPN bekommen und dort sind wir an "FortiToken" also OTP's gebunden.
Fortigate lässt sich die Tokengeneratoren (App oder Hardware) das ziemlich gut bezahlen und so bin ich nun von Smardcards gedanklich richtung OTP auch für Windows unterwegs.

2. Ansich ist hier eine grüne Wiese und noch ist nichts entschieden.

Daher meine Fragen:
Wer hat welche Erfahrungen?
Was ist zu beachten, OTP und Smardcards sind ja doch schon recht unterschieldiche Ansätze.
Was ist State of the Art und wo gibt es Bauchschmerzen?
Konkrete Empfehlungen zur Umsetzung? Softwaretipps, Onboardmittel?


Drei kleine Rahmenhinweise noch:
Aktuell sind alle lokal am Arbeiten. Für 2024/2025 ist allerdings die Umstellung auf Remote Desktop Services angedacht.
Azure AD ist nicht vorgesehen/gewollt.
Die Fortigate ist nicht an die AD angebunden und auch das soll so bleiben

Viele Grüße und danke für eure Meinungen & Tipps

Content-ID: 62548625431

Url: https://administrator.de/forum/windows-und-2fa-62548625431.html

Ausgedruckt am: 23.12.2024 um 04:12 Uhr

DerWoWusste
DerWoWusste 15.02.2024 aktualisiert um 17:52:06 Uhr
Goto Top
Virtuelle Smartcards könntest du nutzen. Auch die kann man verfeinern, siehe mein Artikel Echte 2FA mit TPM-VSC (virtuelle Smartcards)
Statt usb Stick dann die HardwareID des Fortitokens nehmen.
C.R.S.
C.R.S. 15.02.2024 um 17:52:18 Uhr
Goto Top
Hallo,

Smartcard ist meines Erachtens der prädestinierte Weg für 2FA in der klassischen AD-Umgebung. Mit Cloud etc. sieht das ggf. anders aus, erfordert also eine strategische Abwägung.

Die Smartcard ist sinnvollerweise als USB-Token ausgeführt (Wahlfreiheit bei Laptops). Funktionen, Produktverfügbarkeit, -Roadmap und begleitende Software führen in der Regel zum YubiKey. Soweit sehe ich das übereinstimmend.

Warum ihr an den FortiToken gebunden seid, ist nicht ganz verständlich. Die Smartcard kann auf einfachste Weise auch den ablösen: Die Firewall validiert das User-Zertifikat und matcht per LDAPS eine AD-Gruppe.

Grüße
Richard
superhoshi
superhoshi 16.02.2024 um 16:30:47 Uhr
Goto Top
Hi,

Systolock fällt mir da noch ein, hatten wir im Test, dann kam die Entscheidung Azure.

Gruss der Hoshi
Deepsys
Deepsys 17.02.2024 um 10:47:49 Uhr
Goto Top
Es gibt da eine schicke Lösung von ESET, die geht mit SMS, Token, und App!
Vor allem die App ist gut, der Benutzer bekommt nach korrektem Passwort eine Meldung, klickt drauf und ist drin.
Das ganze geht auch mit RDP und Windows Login

https://www.eset.com/de/business/secure-authentication/
jsysde
jsysde 17.02.2024 um 16:03:21 Uhr
Goto Top
Moin.

+1 für ESET Secure Authentication.

Cheers,
jsysde
DerWoWusste
DerWoWusste 20.02.2024 um 10:33:30 Uhr
Goto Top
Frage gestellt und dann Urlaub gemacht? face-smile
Michi91
Michi91 20.02.2024 um 13:51:37 Uhr
Goto Top
Zitat von @DerWoWusste:

Frage gestellt und dann Urlaub gemacht? face-smile

Jap, sorry :D

Also schonmal vielen lieben Dank fürs Feedback, inbesondere von dir @DerWoWusste, du scheinst dich ja schon sehr intensiv mit dem Thema auseinander gesetzt zu haben, wie ich auch schon anderen Postings entnehmen konnte. Ich werde mich dann nochmal intensiv mit den virtuellen Smardcards auseinanander setzen und schauen in wie weit das eine Option wäre face-smile

Zitat von @c.r.s.:
Warum ihr an den FortiToken gebunden seid, ist nicht ganz verständlich. Die Smartcard kann auf einfachste Weise auch den ablösen: Die Firewall validiert das User-Zertifikat und matcht per LDAPS eine AD-Gruppe.

Die Forti wird extern betreut (Rollentrennung/4 Augen, Unternehmensübergreifende Vernetzung usw.) und unsere AD ist nicht angebunden. Das wird denke auch nicht passieren (u.a. wegen der Erfahrungen von SüdWestfalenIT). Ich selber finde die scharfe Trennung eigentlich auch recht begrüßenswert, aber wenn den Schlüssel trotzdem mehrfach nutzen kann, stehe ich dem auch offen.

Schauen wir mal face-smile