Echte 2FA mit TPM-VSC (virtuelle Smartcards)

Mitglied: DerWoWusste

DerWoWusste (Level 5) - Jetzt verbinden

08.01.2021, aktualisiert 09.01.2021, 921 Aufrufe, 2 Kommentare, 3 Danke

Ich habe eine neue Methode erdacht, wie man die Authentifizierungsmöglichkeit TPM Virtual Smartcard („TPM-VSC“) verschärfen kann.
So wie Microsoft (siehe Doku) sich das denkt, hat man eine SmartCard an einen PC gebunden und erreicht somit schon etwas, was 2FA nahe kommt, denn die SmartCard kann nur der nutzen, der den PC hochfahren kann. Wer diesen Schutz verbessern möchte, lese weiter.

Ein Unterschied zwischen der virtuellen Smartcard und der physischen ist der, dass die virtuelle immer "gesteckt" ist und sich jemand, der die PIN kennt und den Computer angeschaltet vorfindet, anmelden kann. Meine Methode benutzt einen USB-Stick als weiteren Faktor.
Nur wer den Stick hat und die PIN weiß, kann die TPM-VSC benutzen, um sich anzumelden.

Um eine virtuelle SmartCard zu erzeugen und ein Zertifikat zu laden, geht man vor, wie unter Abschnitt 3 von https://download.microsoft.com/download/5/A/B/5ABDDED2-F56E-427D-88C1-41 ... verständlich beschrieben ist.
Ich setze also eine fertige VSC voraus.

Was ich herausgefunden habe und mir zu Nutze mache: Bei der Erzeugung der VSC wird unter
C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\SmartCard\Tpm
ein Ordner angelegt (evtl. sind mehrere dort – nur der nicht-leere gehört zur VSC).
Benennt man diesen Ordner um, funktioniert die VSC nicht mehr!

Ich erstelle also einen geplanten Task, mit 3 Triggern, welcher als Systemkonto läuft und diesen Ordner umbenennt und so die VSC temporär deaktiviert
1 sobald ich den Computer sperre
2 wenn ich mich abmelde
3 wenn ich den Rechner neu starte, so dass die VSC selbst bei einem Rechnerabsturz/Reset sofort deaktiviert wird.
Screenshots dazu:

task1 - Klicke auf das Bild, um es zu vergrößern
task2 - Klicke auf das Bild, um es zu vergrößern
task3 - Klicke auf das Bild, um es zu vergrößern

Die Batch, welche ausgeführt wird:

Dann erstelle ich einen zweiten Task, der getriggert wird, wenn ich einen bestimmten USB-Stick (die Device-ID wird ausgelesen) anstecke.
Dieser Task macht die VSC wieder funktionsfähig, indem er den Ordner auf seinen alten Namen zurücksetzt. Zwei Sekunden nach dem Anstecken kann ich mich bereits wieder damit anmelden.

Screenshots zum Task:

task01 - Klicke auf das Bild, um es zu vergrößern
task02 - Klicke auf das Bild, um es zu vergrößern
Hier noch im Detail:
taskdetail - Klicke auf das Bild, um es zu vergrößern
task03 - Klicke auf das Bild, um es zu vergrößern

Das Powershellskript, welches ausgeführt wird (die Hardware-ID des Sticks kann man aus dem Gerätemanager auslesen):

Achtung: das Skript benötigt die devcon.exe, welche nicht zu Windows gehört, aber frei von Microsoft bezogen werden kann, siehe https://networchestration.wordpress.com/2016/07/11/how-to-obtain-device- ...
Mitglied: emeriks
08.01.2021, aktualisiert um 15:19 Uhr
Hi DWW,
Danke für den Input.

Ich denke auch schon ne Weile darüber nach, ob und wie man VSC wirklich sinnvoll einsetzen könnte. Dein Hinweis mit diesem Ordner macht mich jetzt nachdenklich. Ich hatte bisher angenommen, dass alle relevanten Informationen für eine VSC in der TPM-Hardware gespeichert werden. So aber scheint es doch so zu sein, dass nach einer Neuinstallation des OS die bereits erstellten VSC nicht mehr nutzbar sind, es sei denn man weiß das mit diesen Ordnern und sichert diese vorher und stellt sie in der Neuinstallation wieder her.
Oder?

E.
Bitte warten ..
Mitglied: DerWoWusste
08.01.2021, aktualisiert um 15:34 Uhr
Moin.

Sei versichert: das TPM alleine reicht nicht. Ob man die gesicherten Ordner in einem neu aufgesetzten PC einfach zurückspielen kann, habe ich noch nicht getestet.
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
HomeOffice Pflicht - Büroaustattung vom Arbeitgeber?
h45okeg493sVor 1 TagFrageOff Topic37 Kommentare

Hallo zusammen, aufgrund der HomeOffice Situation wollte ich mal rumfragen, muss der Arbeitgeber neben der Hardware wie Notebook, etc. auch Büroausstattung wie Bürostühle zur ...

Server-Hardware
Gebrauchte Server von eBay-Kleinanzeigen
gelöst dh2411Vor 1 TagFrageServer-Hardware16 Kommentare

Hallo zusammen, neulich war ich auf eBay-Kleinanzeigen unterwegs und dort wurden mir einige Server vorgeschlagen. Ich habe dort auch meinen aktuellen Home-Server recht günstig ...

Grafikkarten & Monitore
Zweiter Bildschirm geht sporadisch immer aus?!
GeronimooVor 1 TagFrageGrafikkarten & Monitore8 Kommentare

Moin zusammen, ich habe ein Problem mit meinem 2. Monitor und zwar geht dieser sporadisch immer für 1-2 Sekunden aus oder flackert ein bisschen ...

Windows Tools
Jemand hat bereits Teams für Ihre Organisation eingerichtet (Microsoft Teams)
nachgefragtVor 1 TagFrageWindows Tools6 Kommentare

Hallo Administratoren, bevor ich weiß, dass Internet ist voll davon, daher darf ich es kurz machen: Problem Wir nutzten ausschließlich die kostenlose Variante von ...

Switche und Hubs
Kurioses Problem IP Adresse ändern am Cisco SG350 10p
gelöst Xaero1982Vor 1 TagFrageSwitche und Hubs16 Kommentare

Moin Zusammen, ich habe hier einen neuen Cisco SG350 10p. Wie schon so oft wollte ich ihm eine neue IP geben, also gehe ich ...

TK-Netze & Geräte
Panasonic NS700 - Endgeräte klingeln nicht, bzw. Gespräche kommen nicht an
gelöst jensgebkenVor 1 TagFrageTK-Netze & Geräte24 Kommentare

Hallo Gemeinschaft, nun habe ich mir für meine gebrauchte Anlage doch noch eine gebrauchte BRI gekauft - Installation klappte soweit auch - raustelefonieren kann ...

Internet
TV-Anschluss zu DSL Anschluss
FabioST88Vor 1 TagAllgemeinInternet12 Kommentare

Hallo zusammen, ich bin vor kurzer Zeit in eine kleine Wohnung gezogen und habe nur einen TV-Anschluss sprich das runde Kabel. Leider kenne ich ...

Windows Server
NET 4.8 Installation scheitert auf Server 2016
gelöst powerkeksVor 1 TagFrageWindows Server13 Kommentare

Hallo, ich habe einen Server 2016 Essentials auf Blech zu laufen. Der update Stand ist aktuell. Das Gerät läuft bis dato unauffällig. Nun sollte ...