Nur Administrator-Login (UAC und RDP) mit 2-FA via USB-Gerät - Einfachste Lösung gesucht
Hallo zusammen.
Ich betreue hier ein kleines Firmennetzwerk mit AD und suche gerade eine einfache Lösung um dem Wunsch der GL nachzukommen:
Will ein Anwender eine Anwendung installieren ist bei ihm ja nach dem Starten des Installers bei der Benutzerkontensteuerung (UAC) Schluss, dann komme ich an den Arbeitsplatz, gebe die Login-Daten unseres Installations-Admin-Kontos ein und die Installation läuft durch. Nun soll es so sein dass zukünftig im Rahmen einer 2-Faktor-Authorifizierung dabei eine Hardware mit angesteckt werden soll.
Die allgemeine Benutzeranmeldung ist nicht davon betroffen.
Da ich die 25 Arbeitsplätze nicht mit Smart-Card-Lesern ausstatten und auch nicht immer einen Leser bei mir rumtragen will dachte ich entweder an einen USB-Dongle oder an eine Key-File die auf meinem hardwareverschlüsselten USB-Stick liegt.
Wenn ich schon sowas einführen soll, dann wäre es schön, das gleich noch bei Remote-Sitzungen so zu machen.
Hat von euch schon mal jemand sowas realisiert? Ich google mich seit 2 Tagen durch lauter viel zu aufwendige und/oder unpassende Ergebnisse...
Ich betreue hier ein kleines Firmennetzwerk mit AD und suche gerade eine einfache Lösung um dem Wunsch der GL nachzukommen:
Will ein Anwender eine Anwendung installieren ist bei ihm ja nach dem Starten des Installers bei der Benutzerkontensteuerung (UAC) Schluss, dann komme ich an den Arbeitsplatz, gebe die Login-Daten unseres Installations-Admin-Kontos ein und die Installation läuft durch. Nun soll es so sein dass zukünftig im Rahmen einer 2-Faktor-Authorifizierung dabei eine Hardware mit angesteckt werden soll.
Die allgemeine Benutzeranmeldung ist nicht davon betroffen.
Da ich die 25 Arbeitsplätze nicht mit Smart-Card-Lesern ausstatten und auch nicht immer einen Leser bei mir rumtragen will dachte ich entweder an einen USB-Dongle oder an eine Key-File die auf meinem hardwareverschlüsselten USB-Stick liegt.
Wenn ich schon sowas einführen soll, dann wäre es schön, das gleich noch bei Remote-Sitzungen so zu machen.
Hat von euch schon mal jemand sowas realisiert? Ich google mich seit 2 Tagen durch lauter viel zu aufwendige und/oder unpassende Ergebnisse...
Please also mark the comments that contributed to the solution of the article
Content-Key: 502212
Url: https://administrator.de/contentid/502212
Printed on: April 20, 2024 at 15:04 o'clock
4 Comments
Latest comment
Moin,
mit ESET 2FA in Kombination mit einem YubiKey möglich: https://help.eset.com/esa/28/en-US/windows_login_protection.html
Wenn du Hilfe brauchst, wir sind ESET Partner. Einfach ansprechen.
VG
T
mit ESET 2FA in Kombination mit einem YubiKey möglich: https://help.eset.com/esa/28/en-US/windows_login_protection.html
Wenn du Hilfe brauchst, wir sind ESET Partner. Einfach ansprechen.
VG
T
Hi.
Wenn's Dir Recht ist, möchte ich nach dem Sinn fragen. Wogegen wollt Ihr denn schützen? Wenn Du dich von remote anmeldest, wie soll denn der Angriff aussehen? Ich halte das für unnötig.
Gleichzeitig möchte ich dir ein Konzept dazu zeigen: Sicherer Umgang mit Supportkonten
Wenn's Dir Recht ist, möchte ich nach dem Sinn fragen. Wogegen wollt Ihr denn schützen? Wenn Du dich von remote anmeldest, wie soll denn der Angriff aussehen? Ich halte das für unnötig.
Gleichzeitig möchte ich dir ein Konzept dazu zeigen: Sicherer Umgang mit Supportkonten
Hi,
ich hatte vor einiger Zeit den gleichen Wunsch und habe dann mit Smartcards und Smartcard-Leser in USB-Stick-Format experimentiert.
Dazu brauchst du eine Zertifizierungsstelle in deiner Domain, die du aber relativ einfach auf einem Windows Server aufsetzen kannst.
Ich hatte mich auf der Seite und dem Shop http://www.cryptoshop.com/ informiert und mich dann für Gemalto IDBridge K30 und CRYPTAS TicTok v2 Smartcards entschieden:
http://www.cryptoshop.com/gemalto-idbridge-k30-usb-shell-token-v2-schwa ...
http://www.cryptoshop.com/featured-products-startseite/cryptas-tictok-2 ...
Das Anmelden klappt damit sehr gut, jedoch hatte ich noch keine Zeit weitere Einsatzszenarien zu testen (Remotedesktop, UAC, ...), da der Treiber auf alle Clients (und ggf. Server) verteilt werden muss.
Aber vielleicht hilft dir das dennoch weiter.
Zu Sinnhaftigkeit dieser Lösung:
Ein Grund, warum ich mir diese Möglichkeit angesehen hatte, waren Berichte über Trojaner-Infektionen, bei denen "nur" ein Client infiziert wurde und dann der Admin kam um sich dem Problem anzunehmen, weil wohl "ungewöhnliche Dinge" vor sich gingen. Bei diesem Fall wurde dann vermutet, dass der Admin das Administrator-Kennwort am Client eingab und dies irgendwie abgefangen wurde und der Angreifer den Administrator-Account dann genutzt hat um das komplette Netz lahm zu legen. In wieweit dies technisch tatsächlich über einen Keylogger möglich ist, kann ich nicht endgültig beurteilen, aber eine 2FA erschein mir doch sinnvoll für diesen kritischen Account.
Außerdem ist damit natürlich die Gefahr, dass jemand das Kennwort bei der Eingabe mitbekommt, wesentlich geringer, da er den Stick zusätzlich zur PIN bräuchte.
VG
PMP161316
ich hatte vor einiger Zeit den gleichen Wunsch und habe dann mit Smartcards und Smartcard-Leser in USB-Stick-Format experimentiert.
Dazu brauchst du eine Zertifizierungsstelle in deiner Domain, die du aber relativ einfach auf einem Windows Server aufsetzen kannst.
Ich hatte mich auf der Seite und dem Shop http://www.cryptoshop.com/ informiert und mich dann für Gemalto IDBridge K30 und CRYPTAS TicTok v2 Smartcards entschieden:
http://www.cryptoshop.com/gemalto-idbridge-k30-usb-shell-token-v2-schwa ...
http://www.cryptoshop.com/featured-products-startseite/cryptas-tictok-2 ...
Das Anmelden klappt damit sehr gut, jedoch hatte ich noch keine Zeit weitere Einsatzszenarien zu testen (Remotedesktop, UAC, ...), da der Treiber auf alle Clients (und ggf. Server) verteilt werden muss.
Aber vielleicht hilft dir das dennoch weiter.
Zu Sinnhaftigkeit dieser Lösung:
Ein Grund, warum ich mir diese Möglichkeit angesehen hatte, waren Berichte über Trojaner-Infektionen, bei denen "nur" ein Client infiziert wurde und dann der Admin kam um sich dem Problem anzunehmen, weil wohl "ungewöhnliche Dinge" vor sich gingen. Bei diesem Fall wurde dann vermutet, dass der Admin das Administrator-Kennwort am Client eingab und dies irgendwie abgefangen wurde und der Angreifer den Administrator-Account dann genutzt hat um das komplette Netz lahm zu legen. In wieweit dies technisch tatsächlich über einen Keylogger möglich ist, kann ich nicht endgültig beurteilen, aber eine 2FA erschein mir doch sinnvoll für diesen kritischen Account.
Außerdem ist damit natürlich die Gefahr, dass jemand das Kennwort bei der Eingabe mitbekommt, wesentlich geringer, da er den Stick zusätzlich zur PIN bräuchte.
VG
PMP161316