Windows AD logon 2FA mogelijk met yubikey?

Pagina: 1
Acties:

Vraag


Acties:
  • 0 Henk 'm!

  • valkenier
  • Registratie: Maart 2000
  • Laatst online: 26-07 16:48
Mijn vraag
In een relatief kleine kantooromgeving, met een basaal ingerichte Windows Server Essentials 2016, willen we 2FA bij inloggen op het netwerk introduceren. Dat heeft te maken met een normeringseis waar we aan moeten voldoen. Het is mogelijk de 2FA te verplaatsen naar een extern systeem, maar ik wil de mogelijkheid onderzoeken om dit voor een aantal gebruikers te implementeren. Ik heb gedacht aan een Yubikey op één of andere wijze. Het is niet de bedoeling er een project van te maken met terugkerende dure licenties. De vraag is dus of iemand ervaring heeft met yubikey als 2e factor in te zetten voor een windows logon in de AD omgeving. Of een andere eenvoudige oplossing. Wat ook een denkrichting is, is het openen van de specifieke applicatie beschermen met een 2 factor, als dat mogelijk is.

Relevante software en hardware die ik gebruik
Zie hierboven.

Wat ik al gevonden of geprobeerd heb
Ik heb informatie gevonden van yubikey zelf: https://support.yubico.co...ubikey-piv-authentication

Het lijkt dus wel te kunnen, maar ik vind het nog wat complex, en kan er verder niet heel veel documentatie over vinden. Ben erg benieuwd naar jullie gedachten/ervaringen met betrekking tot implementatie van 2 FA in deze omgeving. Misschien zie dan het licht :)

Alle reacties


Acties:
  • 0 Henk 'm!

  • Wylana
  • Registratie: April 2009
  • Laatst online: 25-07 21:52
Jammer dat je niet een project ervan wilt maken, want ik weet zeker dat Windows Server 2016 (al weet ik niet of essentials dat ook heeft) goede MFA ondersteund via Intune/Azure AD MFA.

Helaas zitten hier wel maandelijkse kosten aanvast.

Zelf hebben wij (lees: collega's van mij) bij klanten het op die manier ingericht.

Verder zie ik dat jullie Yubikey ook met Azure werkt: https://support.yubico.co...-with-azure-mfa-oath-totp

En anders zal het de handleiding worden die je zelf al gepost hebt. Maar dat wordt een aardig project dan.

Ik ben steenrijk....ik heb een grindpad!


Acties:
  • 0 Henk 'm!

  • Meekoh
  • Registratie: April 2005
  • Laatst online: 25-07 12:03
Moet kunnen, wij hebben het intern ook yubi keys. Geen idee alleen hoe ze dat hebben ingericht.

Computer says no


Acties:
  • 0 Henk 'm!

Anoniem: 316512

Je zou het met DUO kunnen doen. Is niet zo duur.

https://duo.com/docs/rdp#duo-factor-support

Acties:
  • 0 Henk 'm!

  • valkenier
  • Registratie: Maart 2000
  • Laatst online: 26-07 16:48
Duo heb ik wel gezien inderdaad. Bevalt dat goed? Is wel afhankelijk van externe systemen als ik het goed heb begrepen.
Azure laat ik liever voor wat het is. Het systeem/domein draait gewoon lokaal, en dat houden we ook het liefst zo. Misschien vinden jullie dat ouderwets, maar op dit moment willen we niet het Azure systeem in.

Acties:
  • 0 Henk 'm!

  • Rolfie
  • Registratie: Oktober 2003
  • Laatst online: 10:20
Misschien een rare vraag. Waarom wil je precies MFA introduceren? Wat denk je hiermee op te lossen? Je hebt het over "normeringseis". Maar dat is een heel globaal iets, wat eigenlijk niet zoveel zegt.

Je hebt het later over een specifieke applicatie, maar wat voor een authenticatie gebruikt deze applicatie?

Ik mis al wat informatie/requirements, om eigenlijk iets te kunnen adviseren of bedenken.

Acties:
  • 0 Henk 'm!

  • nextware
  • Registratie: Mei 2002
  • Laatst online: 08:11
Ik zou toch, ondanks je bedenkingen, overwegen om via Azure MFA in te gaan stellen. Voordeel is dat je hier dan ook bepaalde policies aan kunt verbinden:

- Om de hoeveel dagen moet de MFA code worden ingevuld
- Op welke locaties moet MFA gebruikt worden (op kantoor, remote, etc). Dat is het stukje Conditional Access
- Via Azure kun je, als de apps het ondersteunen, ook Single Sign-on doen icm MFA

Authenticatie op de devices vindt dan gewoon plaatst via het lokale domein. Alleen het MFA verhaal (en eventueel Conditional Access) vindt dan plaats via Azure.

Voordeel van deze optie is dat MFA via software plaatsvindt (en wellicht een app op de mobiele telefoon). Bij het gebruik van MFA via Yubikey (hardware) loop je tegen het risico aan dat mensen deze kwijt kunnen raken.

In het verleden heb ik wel ervaring gehad met Yubikey. Hiervoor hebben wij toen een plugin moeten installeren in onze Active Directory waarmee we de Yubikey omgeving konden beheren op gebruikersniveau.

Acties:
  • 0 Henk 'm!

Anoniem: 316512

valkenier schreef op maandag 24 augustus 2020 @ 19:16:
Duo heb ik wel gezien inderdaad. Bevalt dat goed? Is wel afhankelijk van externe systemen als ik het goed heb begrepen.
Azure laat ik liever voor wat het is. Het systeem/domein draait gewoon lokaal, en dat houden we ook het liefst zo. Misschien vinden jullie dat ouderwets, maar op dit moment willen we niet het Azure systeem in.
Ik gebruik nu geen DUO, maar in het verleden wel en dat werkte prima.
nextware schreef op woensdag 26 augustus 2020 @ 12:44:
Voordeel van deze optie is dat MFA via software plaatsvindt (en wellicht een app op de mobiele telefoon). Bij het gebruik van MFA via Yubikey (hardware) loop je tegen het risico aan dat mensen deze kwijt kunnen raken.
Een smartphone kan je echter ook kwijtraken, toch?

Acties:
  • 0 Henk 'm!

  • nextware
  • Registratie: Mei 2002
  • Laatst online: 08:11
Anoniem: 316512 schreef op woensdag 26 augustus 2020 @ 12:49:

Een smartphone kan je echter ook kwijtraken, toch?
Daar heb je gelijk in, maar een telefoon kwijtraken zal, naar mijn ervaring, niet zo snel gebeuren als het kwijtraken van een device ter grootte van een USB stick.

Acties:
  • +1 Henk 'm!

  • valkenier
  • Registratie: Maart 2000
  • Laatst online: 26-07 16:48
Rolfie schreef op woensdag 26 augustus 2020 @ 12:25:
Misschien een rare vraag. Waarom wil je precies MFA introduceren? Wat denk je hiermee op te lossen? Je hebt het over "normeringseis". Maar dat is een heel globaal iets, wat eigenlijk niet zoveel zegt.

Je hebt het later over een specifieke applicatie, maar wat voor een authenticatie gebruikt deze applicatie?

Ik mis al wat informatie/requirements, om eigenlijk iets te kunnen adviseren of bedenken.
Ja dat snap ik. Even toelichten:

Eigenlijk wil ik helemaal geen MFA introduceren, Dit komt van buiten op ons af. Het gaat om een kleine zorginstelling waarin men een aansluiting heeft op een beveiligde mail omgeving . Er is een normering “veilig mailen in de zorg”
https://www.nen.nl/Alles-over-NEN-7510/NTA-7516.htm

Het idee is dat e-mail met privacy gevoelige inhoud op het zorg-netwerk alleen toegankelijk mag zijn middels MFA. Dat kan evt via webmail. Wil je de mail in Outlook, dan kan dat wel mits de toegang tot Outlook ook is afgedekt middels MFA. (De toegang tot de mailserver gebeurt met een eenmalig uitgeven sleutel als password in Outlook.....dat is dus weer geen 2FA :? , maar wel een sterke sleutel........)

De webmail optie is qua implantatie het makkelijkst, maar de mail gewoon bij je andere accounts in Outlook heeft ook een voordeel, maar dan moeten we 2FA implementeren op 1 of andere manier. Zat me dus af te vragen wat jullie ervaringen zijn daarmee. Ik ga voorlopig nog maar even voor de webmail route.....

Acties:
  • 0 Henk 'm!

  • Rolfie
  • Registratie: Oktober 2003
  • Laatst online: 10:20
Je zou eens kunnen kijken of je dit via een SAML authenticatie (DUO/AzureAD) kan oplossen. Maar of dit mogelijk is, is durf ik niet te zeggen.

Je zit al maar Certificaten te kijken (Yubi Key), daar moet je al een CA voor inrichten, maar waarom kijk je niet naar gewone smartcards? Kan misschien goedkoper zijn.

Alternatief wat ik zou kunnen bedenken, is "Windows Hello for Business".
Validate and Deploy Multi-factor Authentication (MFA)
Pagina: 1