michi91
Goto Top

Windows und 2FA

Moin Moin,
hier im Unternehmen stehen wir am Anfang was 2FA oder MFA unter Windows angeht und sehen den Wald vor lauter Bäumen nicht.

Unsere Umgebung:
- Windows on premise AD
~ 60 Fat Clients mit Windows 10/11 und diversen Programmen je nach Abteilung
~ 60 User

Soll:
- Windows Anmeldung soll für alle Anwender mit einem physischen 2. Faktor, wie z.B. Smartcard oder OTP's erfolgen.

Bisher habe ich in Richtung Smardcard wie Yubikeys gedacht, diese haben wir beim meinem alten Arbeitgeber für uns Admins schon viele Jahr im Einsatz gehabt, nun kommen aber zwei größere "Aber".

1. Ziemlich kurzfristige Endscheidung, aber unsere Fortigate wird auch 2FA fürs SSLVPN bekommen und dort sind wir an "FortiToken" also OTP's gebunden.
Fortigate lässt sich die Tokengeneratoren (App oder Hardware) das ziemlich gut bezahlen und so bin ich nun von Smardcards gedanklich richtung OTP auch für Windows unterwegs.

2. Ansich ist hier eine grüne Wiese und noch ist nichts entschieden.

Daher meine Fragen:
Wer hat welche Erfahrungen?
Was ist zu beachten, OTP und Smardcards sind ja doch schon recht unterschieldiche Ansätze.
Was ist State of the Art und wo gibt es Bauchschmerzen?
Konkrete Empfehlungen zur Umsetzung? Softwaretipps, Onboardmittel?


Drei kleine Rahmenhinweise noch:
Aktuell sind alle lokal am Arbeiten. Für 2024/2025 ist allerdings die Umstellung auf Remote Desktop Services angedacht.
Azure AD ist nicht vorgesehen/gewollt.
Die Fortigate ist nicht an die AD angebunden und auch das soll so bleiben

Viele Grüße und danke für eure Meinungen & Tipps

Content-Key: 62548625431

Url: https://administrator.de/contentid/62548625431

Printed on: April 13, 2024 at 12:04 o'clock

Member: DerWoWusste
DerWoWusste Feb 15, 2024 updated at 16:52:06 (UTC)
Goto Top
Virtuelle Smartcards könntest du nutzen. Auch die kann man verfeinern, siehe mein Artikel Echte 2FA mit TPM-VSC (virtuelle Smartcards)
Statt usb Stick dann die HardwareID des Fortitokens nehmen.
Member: C.R.S.
C.R.S. Feb 15, 2024 at 16:52:18 (UTC)
Goto Top
Hallo,

Smartcard ist meines Erachtens der prädestinierte Weg für 2FA in der klassischen AD-Umgebung. Mit Cloud etc. sieht das ggf. anders aus, erfordert also eine strategische Abwägung.

Die Smartcard ist sinnvollerweise als USB-Token ausgeführt (Wahlfreiheit bei Laptops). Funktionen, Produktverfügbarkeit, -Roadmap und begleitende Software führen in der Regel zum YubiKey. Soweit sehe ich das übereinstimmend.

Warum ihr an den FortiToken gebunden seid, ist nicht ganz verständlich. Die Smartcard kann auf einfachste Weise auch den ablösen: Die Firewall validiert das User-Zertifikat und matcht per LDAPS eine AD-Gruppe.

Grüße
Richard
Member: superhoshi
superhoshi Feb 16, 2024 at 15:30:47 (UTC)
Goto Top
Hi,

Systolock fällt mir da noch ein, hatten wir im Test, dann kam die Entscheidung Azure.

Gruss der Hoshi
Member: Deepsys
Deepsys Feb 17, 2024 at 09:47:49 (UTC)
Goto Top
Es gibt da eine schicke Lösung von ESET, die geht mit SMS, Token, und App!
Vor allem die App ist gut, der Benutzer bekommt nach korrektem Passwort eine Meldung, klickt drauf und ist drin.
Das ganze geht auch mit RDP und Windows Login

https://www.eset.com/de/business/secure-authentication/
Member: jsysde
jsysde Feb 17, 2024 at 15:03:21 (UTC)
Goto Top
Moin.

+1 für ESET Secure Authentication.

Cheers,
jsysde
Member: DerWoWusste
DerWoWusste Feb 20, 2024 at 09:33:30 (UTC)
Goto Top
Frage gestellt und dann Urlaub gemacht? face-smile
Member: Michi91
Michi91 Feb 20, 2024 at 12:51:37 (UTC)
Goto Top
Zitat von @DerWoWusste:

Frage gestellt und dann Urlaub gemacht? face-smile

Jap, sorry :D

Also schonmal vielen lieben Dank fürs Feedback, inbesondere von dir @DerWoWusste, du scheinst dich ja schon sehr intensiv mit dem Thema auseinander gesetzt zu haben, wie ich auch schon anderen Postings entnehmen konnte. Ich werde mich dann nochmal intensiv mit den virtuellen Smardcards auseinanander setzen und schauen in wie weit das eine Option wäre face-smile

Zitat von @c.r.s.:
Warum ihr an den FortiToken gebunden seid, ist nicht ganz verständlich. Die Smartcard kann auf einfachste Weise auch den ablösen: Die Firewall validiert das User-Zertifikat und matcht per LDAPS eine AD-Gruppe.

Die Forti wird extern betreut (Rollentrennung/4 Augen, Unternehmensübergreifende Vernetzung usw.) und unsere AD ist nicht angebunden. Das wird denke auch nicht passieren (u.a. wegen der Erfahrungen von SüdWestfalenIT). Ich selber finde die scharfe Trennung eigentlich auch recht begrüßenswert, aber wenn den Schlüssel trotzdem mehrfach nutzen kann, stehe ich dem auch offen.

Schauen wir mal face-smile