Windows und 2FA
Moin Moin,
hier im Unternehmen stehen wir am Anfang was 2FA oder MFA unter Windows angeht und sehen den Wald vor lauter Bäumen nicht.
Unsere Umgebung:
- Windows on premise AD
~ 60 Fat Clients mit Windows 10/11 und diversen Programmen je nach Abteilung
~ 60 User
Soll:
- Windows Anmeldung soll für alle Anwender mit einem physischen 2. Faktor, wie z.B. Smartcard oder OTP's erfolgen.
Bisher habe ich in Richtung Smardcard wie Yubikeys gedacht, diese haben wir beim meinem alten Arbeitgeber für uns Admins schon viele Jahr im Einsatz gehabt, nun kommen aber zwei größere "Aber".
1. Ziemlich kurzfristige Endscheidung, aber unsere Fortigate wird auch 2FA fürs SSLVPN bekommen und dort sind wir an "FortiToken" also OTP's gebunden.
Fortigate lässt sich die Tokengeneratoren (App oder Hardware) das ziemlich gut bezahlen und so bin ich nun von Smardcards gedanklich richtung OTP auch für Windows unterwegs.
2. Ansich ist hier eine grüne Wiese und noch ist nichts entschieden.
Daher meine Fragen:
Wer hat welche Erfahrungen?
Was ist zu beachten, OTP und Smardcards sind ja doch schon recht unterschieldiche Ansätze.
Was ist State of the Art und wo gibt es Bauchschmerzen?
Konkrete Empfehlungen zur Umsetzung? Softwaretipps, Onboardmittel?
Drei kleine Rahmenhinweise noch:
Aktuell sind alle lokal am Arbeiten. Für 2024/2025 ist allerdings die Umstellung auf Remote Desktop Services angedacht.
Azure AD ist nicht vorgesehen/gewollt.
Die Fortigate ist nicht an die AD angebunden und auch das soll so bleiben
Viele Grüße und danke für eure Meinungen & Tipps
hier im Unternehmen stehen wir am Anfang was 2FA oder MFA unter Windows angeht und sehen den Wald vor lauter Bäumen nicht.
Unsere Umgebung:
- Windows on premise AD
~ 60 Fat Clients mit Windows 10/11 und diversen Programmen je nach Abteilung
~ 60 User
Soll:
- Windows Anmeldung soll für alle Anwender mit einem physischen 2. Faktor, wie z.B. Smartcard oder OTP's erfolgen.
Bisher habe ich in Richtung Smardcard wie Yubikeys gedacht, diese haben wir beim meinem alten Arbeitgeber für uns Admins schon viele Jahr im Einsatz gehabt, nun kommen aber zwei größere "Aber".
1. Ziemlich kurzfristige Endscheidung, aber unsere Fortigate wird auch 2FA fürs SSLVPN bekommen und dort sind wir an "FortiToken" also OTP's gebunden.
Fortigate lässt sich die Tokengeneratoren (App oder Hardware) das ziemlich gut bezahlen und so bin ich nun von Smardcards gedanklich richtung OTP auch für Windows unterwegs.
2. Ansich ist hier eine grüne Wiese und noch ist nichts entschieden.
Daher meine Fragen:
Wer hat welche Erfahrungen?
Was ist zu beachten, OTP und Smardcards sind ja doch schon recht unterschieldiche Ansätze.
Was ist State of the Art und wo gibt es Bauchschmerzen?
Konkrete Empfehlungen zur Umsetzung? Softwaretipps, Onboardmittel?
Drei kleine Rahmenhinweise noch:
Aktuell sind alle lokal am Arbeiten. Für 2024/2025 ist allerdings die Umstellung auf Remote Desktop Services angedacht.
Azure AD ist nicht vorgesehen/gewollt.
Die Fortigate ist nicht an die AD angebunden und auch das soll so bleiben
Viele Grüße und danke für eure Meinungen & Tipps
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 62548625431
Url: https://administrator.de/forum/windows-und-2fa-62548625431.html
Ausgedruckt am: 23.12.2024 um 04:12 Uhr
7 Kommentare
Neuester Kommentar
Virtuelle Smartcards könntest du nutzen. Auch die kann man verfeinern, siehe mein Artikel Echte 2FA mit TPM-VSC (virtuelle Smartcards)
Statt usb Stick dann die HardwareID des Fortitokens nehmen.
Statt usb Stick dann die HardwareID des Fortitokens nehmen.
Hallo,
Smartcard ist meines Erachtens der prädestinierte Weg für 2FA in der klassischen AD-Umgebung. Mit Cloud etc. sieht das ggf. anders aus, erfordert also eine strategische Abwägung.
Die Smartcard ist sinnvollerweise als USB-Token ausgeführt (Wahlfreiheit bei Laptops). Funktionen, Produktverfügbarkeit, -Roadmap und begleitende Software führen in der Regel zum YubiKey. Soweit sehe ich das übereinstimmend.
Warum ihr an den FortiToken gebunden seid, ist nicht ganz verständlich. Die Smartcard kann auf einfachste Weise auch den ablösen: Die Firewall validiert das User-Zertifikat und matcht per LDAPS eine AD-Gruppe.
Grüße
Richard
Smartcard ist meines Erachtens der prädestinierte Weg für 2FA in der klassischen AD-Umgebung. Mit Cloud etc. sieht das ggf. anders aus, erfordert also eine strategische Abwägung.
Die Smartcard ist sinnvollerweise als USB-Token ausgeführt (Wahlfreiheit bei Laptops). Funktionen, Produktverfügbarkeit, -Roadmap und begleitende Software führen in der Regel zum YubiKey. Soweit sehe ich das übereinstimmend.
Warum ihr an den FortiToken gebunden seid, ist nicht ganz verständlich. Die Smartcard kann auf einfachste Weise auch den ablösen: Die Firewall validiert das User-Zertifikat und matcht per LDAPS eine AD-Gruppe.
Grüße
Richard
Es gibt da eine schicke Lösung von ESET, die geht mit SMS, Token, und App!
Vor allem die App ist gut, der Benutzer bekommt nach korrektem Passwort eine Meldung, klickt drauf und ist drin.
Das ganze geht auch mit RDP und Windows Login
https://www.eset.com/de/business/secure-authentication/
Vor allem die App ist gut, der Benutzer bekommt nach korrektem Passwort eine Meldung, klickt drauf und ist drin.
Das ganze geht auch mit RDP und Windows Login
https://www.eset.com/de/business/secure-authentication/