7
Windows und 2FA
Moin Moin,
hier im Unternehmen stehen wir am Anfang was 2FA oder MFA unter Windows angeht und sehen den Wald vor lauter Bäumen nicht.
Unsere Umgebung:
- Windows on premise AD
~ 60 Fat Clients mit Windows 10/11 und diversen Programmen je nach Abteilung
~ 60 User
Soll:
- Windows Anmeldung soll für alle Anwender mit einem physischen 2. Faktor, wie z.B. Smartcard oder OTP's erfolgen.
Bisher habe ich in Richtung Smardcard wie Yubikeys gedacht, diese haben wir beim meinem alten Arbeitgeber für uns Admins schon viele Jahr im Einsatz gehabt, nun kommen aber zwei größere "Aber".
1. Ziemlich kurzfristige Endscheidung, aber unsere Fortigate wird auch 2FA fürs SSLVPN bekommen und dort sind wir an "FortiToken" also OTP's gebunden.
Fortigate lässt sich die Tokengeneratoren (App oder Hardware) das ziemlich gut bezahlen und so bin ich nun von Smardcards gedanklich richtung OTP auch für Windows unterwegs.
2. Ansich ist hier eine grüne Wiese und noch ist nichts entschieden.
Daher meine Fragen:
Wer hat welche Erfahrungen?
Was ist zu beachten, OTP und Smardcards sind ja doch schon recht unterschieldiche Ansätze.
Was ist State of the Art und wo gibt es Bauchschmerzen?
Konkrete Empfehlungen zur Umsetzung? Softwaretipps, Onboardmittel?
Drei kleine Rahmenhinweise noch:
Aktuell sind alle lokal am Arbeiten. Für 2024/2025 ist allerdings die Umstellung auf Remote Desktop Services angedacht.
Azure AD ist nicht vorgesehen/gewollt.
Die Fortigate ist nicht an die AD angebunden und auch das soll so bleiben
Viele Grüße und danke für eure Meinungen & Tipps
hier im Unternehmen stehen wir am Anfang was 2FA oder MFA unter Windows angeht und sehen den Wald vor lauter Bäumen nicht.
Unsere Umgebung:
- Windows on premise AD
~ 60 Fat Clients mit Windows 10/11 und diversen Programmen je nach Abteilung
~ 60 User
Soll:
- Windows Anmeldung soll für alle Anwender mit einem physischen 2. Faktor, wie z.B. Smartcard oder OTP's erfolgen.
Bisher habe ich in Richtung Smardcard wie Yubikeys gedacht, diese haben wir beim meinem alten Arbeitgeber für uns Admins schon viele Jahr im Einsatz gehabt, nun kommen aber zwei größere "Aber".
1. Ziemlich kurzfristige Endscheidung, aber unsere Fortigate wird auch 2FA fürs SSLVPN bekommen und dort sind wir an "FortiToken" also OTP's gebunden.
Fortigate lässt sich die Tokengeneratoren (App oder Hardware) das ziemlich gut bezahlen und so bin ich nun von Smardcards gedanklich richtung OTP auch für Windows unterwegs.
2. Ansich ist hier eine grüne Wiese und noch ist nichts entschieden.
Daher meine Fragen:
Wer hat welche Erfahrungen?
Was ist zu beachten, OTP und Smardcards sind ja doch schon recht unterschieldiche Ansätze.
Was ist State of the Art und wo gibt es Bauchschmerzen?
Konkrete Empfehlungen zur Umsetzung? Softwaretipps, Onboardmittel?
Drei kleine Rahmenhinweise noch:
Aktuell sind alle lokal am Arbeiten. Für 2024/2025 ist allerdings die Umstellung auf Remote Desktop Services angedacht.
Azure AD ist nicht vorgesehen/gewollt.
Die Fortigate ist nicht an die AD angebunden und auch das soll so bleiben
Viele Grüße und danke für eure Meinungen & Tipps
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 62548625431
Url: https://administrator.de/contentid/62548625431
Printed on: April 27, 2024 at 09:04 o'clock
7 Comments
Latest comment
Virtuelle Smartcards könntest du nutzen. Auch die kann man verfeinern, siehe mein Artikel Echte 2FA mit TPM-VSC (virtuelle Smartcards)
Statt usb Stick dann die HardwareID des Fortitokens nehmen.
Statt usb Stick dann die HardwareID des Fortitokens nehmen.
Hallo,
Smartcard ist meines Erachtens der prädestinierte Weg für 2FA in der klassischen AD-Umgebung. Mit Cloud etc. sieht das ggf. anders aus, erfordert also eine strategische Abwägung.
Die Smartcard ist sinnvollerweise als USB-Token ausgeführt (Wahlfreiheit bei Laptops). Funktionen, Produktverfügbarkeit, -Roadmap und begleitende Software führen in der Regel zum YubiKey. Soweit sehe ich das übereinstimmend.
Warum ihr an den FortiToken gebunden seid, ist nicht ganz verständlich. Die Smartcard kann auf einfachste Weise auch den ablösen: Die Firewall validiert das User-Zertifikat und matcht per LDAPS eine AD-Gruppe.
Grüße
Richard
Smartcard ist meines Erachtens der prädestinierte Weg für 2FA in der klassischen AD-Umgebung. Mit Cloud etc. sieht das ggf. anders aus, erfordert also eine strategische Abwägung.
Die Smartcard ist sinnvollerweise als USB-Token ausgeführt (Wahlfreiheit bei Laptops). Funktionen, Produktverfügbarkeit, -Roadmap und begleitende Software führen in der Regel zum YubiKey. Soweit sehe ich das übereinstimmend.
Warum ihr an den FortiToken gebunden seid, ist nicht ganz verständlich. Die Smartcard kann auf einfachste Weise auch den ablösen: Die Firewall validiert das User-Zertifikat und matcht per LDAPS eine AD-Gruppe.
Grüße
Richard
Hi,
Systolock fällt mir da noch ein, hatten wir im Test, dann kam die Entscheidung Azure.
Gruss der Hoshi
Systolock fällt mir da noch ein, hatten wir im Test, dann kam die Entscheidung Azure.
Gruss der Hoshi
Es gibt da eine schicke Lösung von ESET, die geht mit SMS, Token, und App!
Vor allem die App ist gut, der Benutzer bekommt nach korrektem Passwort eine Meldung, klickt drauf und ist drin.
Das ganze geht auch mit RDP und Windows Login
https://www.eset.com/de/business/secure-authentication/
Vor allem die App ist gut, der Benutzer bekommt nach korrektem Passwort eine Meldung, klickt drauf und ist drin.
Das ganze geht auch mit RDP und Windows Login
https://www.eset.com/de/business/secure-authentication/
1
Moin.
+1 für ESET Secure Authentication.
Cheers,
jsysde
+1 für ESET Secure Authentication.
Cheers,
jsysde
Frage gestellt und dann Urlaub gemacht? 
Jap, sorry :D
Also schonmal vielen lieben Dank fürs Feedback, inbesondere von dir @DerWoWusste, du scheinst dich ja schon sehr intensiv mit dem Thema auseinander gesetzt zu haben, wie ich auch schon anderen Postings entnehmen konnte. Ich werde mich dann nochmal intensiv mit den virtuellen Smardcards auseinanander setzen und schauen in wie weit das eine Option wäre
Zitat von @c.r.s.:
Warum ihr an den FortiToken gebunden seid, ist nicht ganz verständlich. Die Smartcard kann auf einfachste Weise auch den ablösen: Die Firewall validiert das User-Zertifikat und matcht per LDAPS eine AD-Gruppe.
Warum ihr an den FortiToken gebunden seid, ist nicht ganz verständlich. Die Smartcard kann auf einfachste Weise auch den ablösen: Die Firewall validiert das User-Zertifikat und matcht per LDAPS eine AD-Gruppe.
Die Forti wird extern betreut (Rollentrennung/4 Augen, Unternehmensübergreifende Vernetzung usw.) und unsere AD ist nicht angebunden. Das wird denke auch nicht passieren (u.a. wegen der Erfahrungen von SüdWestfalenIT). Ich selber finde die scharfe Trennung eigentlich auch recht begrüßenswert, aber wenn den Schlüssel trotzdem mehrfach nutzen kann, stehe ich dem auch offen.
Schauen wir mal