7
Yubikeys mit RDP als 2FA
Hallo zusammen,
ich plane in der Produktivumgebung 3 YubiKeys für Admins einzusetzen.
Der Plan erstmal ist, dass man sich für jede RDP Verbindung (zumindest auf RDP
Sitzungen für DC usw.) mit dem YubiKey Authentifizieren muss.
Später möchte ich dann eh einen JumpHost nutzen.
Hat jemand eine Idee, wie man das am besten umsetzt? Abgesehen von
den Yubikeys, was wird benötigt? Treiber, Software?
Hat da jemand Erfahrung oder hilfreiche Anleitungen?
Vielen Dank im Vorraus!
ich plane in der Produktivumgebung 3 YubiKeys für Admins einzusetzen.
Der Plan erstmal ist, dass man sich für jede RDP Verbindung (zumindest auf RDP
Sitzungen für DC usw.) mit dem YubiKey Authentifizieren muss.
Später möchte ich dann eh einen JumpHost nutzen.
Hat jemand eine Idee, wie man das am besten umsetzt? Abgesehen von
den Yubikeys, was wird benötigt? Treiber, Software?
Hat da jemand Erfahrung oder hilfreiche Anleitungen?
Vielen Dank im Vorraus!
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 42210153117
Url: https://administrator.de/forum/yubikeys-mit-rdp-als-2fa-42210153117.html
Ausgedruckt am: 07.04.2025 um 18:04 Uhr
7 Kommentare
Neuester Kommentar
Es gibt ja z.B. den YubiKey Smart Card Minidriver
oder Yubikey Manager usw.
kann ich den für meinen Einsatz gebrauchen?
oder Yubikey Manager usw.
kann ich den für meinen Einsatz gebrauchen?
und wie genau sieht deine fallbacklösung aus wenn das ding mal schief läuft?
wenn du paraneua hast dann würden sich andere methoden anbieten wie:
- nur Feste IPs RDP erlauben (Admin Clients feste IPs geben)
- 802.1x Radius authentifizierung im netzwerk und admin clients in bestimtes VLAN stopfen und Zugriff durch hardware Firewall regeln
- oder VPN einwahl im internen netz in ein admin netz per zertifikat
nur um paar ideen zu nennen.
oder anderer ansatz, du willst ja mitbekommen ob ein angriff erfolgt.
daher auswerten RDP Eventlog wer sich wann auf den DC einloggt per RDP, clients fixe IP geben also dürfen sich nur die clients einloggen, macht das wer anderer hast ja ein sicherheitsproblem.
Und dann halt auch die AD edit/delete/create aktionen auswerten und daily report.
Dann siehst auch ob komische dinge im AD passieren...
wenn du paraneua hast dann würden sich andere methoden anbieten wie:
- nur Feste IPs RDP erlauben (Admin Clients feste IPs geben)
- 802.1x Radius authentifizierung im netzwerk und admin clients in bestimtes VLAN stopfen und Zugriff durch hardware Firewall regeln
- oder VPN einwahl im internen netz in ein admin netz per zertifikat
nur um paar ideen zu nennen.
oder anderer ansatz, du willst ja mitbekommen ob ein angriff erfolgt.
daher auswerten RDP Eventlog wer sich wann auf den DC einloggt per RDP, clients fixe IP geben also dürfen sich nur die clients einloggen, macht das wer anderer hast ja ein sicherheitsproblem.
Und dann halt auch die AD edit/delete/create aktionen auswerten und daily report.
Dann siehst auch ob komische dinge im AD passieren...
Zitat von @ThePinky777:
und wie genau sieht deine fallbacklösung aus wenn das ding mal schief läuft?
wenn du paraneua hast dann würden sich andere methoden anbieten wie:
- nur Feste IPs RDP erlauben (Admin Clients feste IPs geben)
- 802.1x Radius authentifizierung im netzwerk und admin clients in bestimtes VLAN stopfen und Zugriff durch hardware Firewall regeln
- oder VPN einwahl im internen netz in ein admin netz per zertifikat
nur um paar ideen zu nennen.
und wie genau sieht deine fallbacklösung aus wenn das ding mal schief läuft?
wenn du paraneua hast dann würden sich andere methoden anbieten wie:
- nur Feste IPs RDP erlauben (Admin Clients feste IPs geben)
- 802.1x Radius authentifizierung im netzwerk und admin clients in bestimtes VLAN stopfen und Zugriff durch hardware Firewall regeln
- oder VPN einwahl im internen netz in ein admin netz per zertifikat
nur um paar ideen zu nennen.
Ja danke, es ist nur die Vorgabe generell jetzt 2FA mit Yubikeys einzusetzen.
Was meinst du, wenn etwas schief läuft, bzw was genau kann schief laufen?
Es gibt doch sicherlich genug möglichkeiten, z.B. PIN / PUK zurücksetzen etc.
Tausende Unternehmen setzen den Yubikey ein, deswegen frage ich ja hier
Yubikey als Smartcard nutzen dann hast du schon alles für 2FA ...
https://support.yubico.com/hc/en-us/articles/360013707820-YubiKey-Smart- ...
https://support.yubico.com/hc/en-us/articles/360013707820-YubiKey-Smart- ...
1Zitat von @Kloakenstuhl:
Was meinst du, wenn etwas schief läuft, bzw was genau kann schief laufen?
Es gibt doch sicherlich genug möglichkeiten, z.B. PIN / PUK zurücksetzen etc.
Tausende Unternehmen setzen den Yubikey ein, deswegen frage ich ja hier
Es gibt doch sicherlich genug möglichkeiten, z.B. PIN / PUK zurücksetzen etc.
Tausende Unternehmen setzen den Yubikey ein, deswegen frage ich ja hier
Ich kenne das jetzt nicht im Detail... aber Worst Case Szenraio eben.
Ist die Diskussion, man hat 3 Admins in der Firma, dürfen alle 3 gleichzeitig über die Strasse zur Kantine laufen?
Wenn ein LKW genau dann kommt und alle 3 Platt sind, was ist der Plan?
1
So wie ich es verstanden habe brauchen wir nur die YubiKeys, den MiniDrive und ggf. den YubiKeyManager
eine CA haben wir ja schon
eine CA haben wir ja schon
Gestatte die Frage, welchen Vorteil du dir gegenüber virtuellen SmartCards erhoffst - diese sind kostenlos und arbeiten auch remote. Man kann diese sogar an die eigene Sitzung koppeln, sprich: sie funktionieren nur, wenn du dich bereits als schwacher Alltagsnutzer angemeldet hast und sind somit mehr als nur 2FA.
Konzept siehe Tipp zur Nutzung von Zweitaccounts unter Windows
Konzept siehe Tipp zur Nutzung von Zweitaccounts unter Windows
Serie: Yubikey Einrichtung
Yubikeys mit RDP als 2FA7
