Windows Login mit Mehr-Faktor-Authentifizierung absichern

Im dritten Part zur Mehr-Faktor-Authentifizierung (Part I / Part II) geht es um den RCDevs OpenOTP Credentials Provider zur Absicherung des Windows Logins mit einem weiteren Faktor / One Time Password.

Damit der Windows Login mit einem entsprechendem zweiten Faktor geschützt werden kann, muss als erstes der passende Credential Provider heruntergeladen werden:

Weiter geht es mit der Installation des OpenOTP Credential Provider. Dazu das entsprechende ZIP entpacken und das MSI Paket per Doppelklick öffnen:

  • Der „Welcome Screen“ wird mit „Next“ bestätigt
  • Die EULA wird natürlich gelesen und akzeptiert -> „Next“
  • Für den ersten Test empfiehlt es sich den „Default provider“ nicht zu installieren -> „Next“
  • Im nächsten Step den Primary Server mit „https://<IP / FQDN der Appliance>:8443/openotp“ konfigurieren und evtl. den „Request Timeout“ anpassen -> „Next“
  • Authentication Form
    • Simple: Erst werden Benutzername und Passwort eingegeben; Im nächsten Schritt der zweite Faktor
    • Normal: Auf dem Anmeldebildschirm gibt es drei Felder (Benutzername, Passwort und Einmalpasswort)
  • Die ersten „Advanced Settings“ können mit den Standardeinstellungen übernommen werden -> „Next“
  • Die zweiten „Advanced Settings“ sollten ggfs. angepasst werden, damit ebenfalls der RDP Zugriff geschützt wird bzw. ein Offline Login* (z.B. am Notebook) ermöglicht werden kann -> „Next“
  • „Install“ -> „Finish“

*Offline Login: Damit der Offline Login am Notebook funktioniert müssen zwei Bedingungen erfüllt sein!

  1. Es müssen „Push Tokens“ genutzt werden!
  2. Eine Anmeldung muss „online“ mit erreichbarem OpenOTP Server erfolgen!

Damit der erste Test durchgeführt werden kann, muss sich vom System abgemeldet werden. Nach erfolgter Abmeldung begrüßt uns der „OpenOTP Login“. Wie an dieser Stelle zu sehen ist, macht es später in einer produktiven Umgebung wenig Sinn den „Default provider“ zu deaktivieren. Ein Klick auf „Anderer Benutzer“ würde reichen, um sich ohne den zweiten Faktor anzumelden.

Damit sich an diesem Server / dieser Workstation nur noch per Multi-Faktor-Authentifizierung angemeldet werden kann, muss die Installation angepasst werden und der „Default provider“ installiert werden. Dazu die installierten Programme- und Features anzeigen, den „OpenOTP-CP“ Einträg wählen sowie auf „Ändern“ klicken. Jetzt wird lediglich der „Defaul provider“ aktiviert. Der Rest der Konfiugration bleibt identisch. Was passiert hier? Der folgende Registry Schlüssek wird angelegt und der „Standard Key“ auf den OpenOTPCredentialProviderFilter gesetzt:

Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Provider Filters{5AE8C610-7541-4FF8-9845-C363410D574C}]
@=“OpenOTPCredentialProviderFilter“

Registry

Ab diesem Zeitpunkt sind nur noch Anmeldungen mit registrierten OpenOTP Usern möglich! Um den „Default provider“ wieder zu deaktivieren, reicht es aus den o.g. Registry Schlüssel zu löschen. Z.B. per Gruppenrichtlinien Registry Einstellung. Computer Startu-Up Script oder im abgesicherten Modus. Um die Änderung des „Default providers“ auch im abgesicherten Modus zu deaktivieren, muss ein weiterer Registry Key gesetzt werden:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers]
„ProhibitFallbacks“=dword:1

Registy

Aufgehoben wird das Erzwingen des „Default providers“ mit folgendem Schlüssel erneut z.B. per GPO Registry Einstellung oder Computer Start-Up Script:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers]
„ProhibitFallbacks“=-

Registry


Die gesuchte Lösung noch nicht gefunden oder benötigen Sie Hilfe bei anderen Themen aus meinem Blog? Nehmen Sie gerne Kontakt mit mir bzw. meinem Unternehmen Jan Mischo IT auf. Ich freue mich auf Ihre Anfrage: https://janmischo.it/kontakt/


+49 2801 7004300

info@janmischo.it

Kommentare

3 Antworten zu „Windows Login mit Mehr-Faktor-Authentifizierung absichern“

  1. […] Part III geht es dann vermutlich über die Jecken Tage (Karneval) damit weiter, wie ein Windows Client / […]

  2. Volker Klaffehn

    Hallo, schönes Tutorial! Ich versuche auch gerade, einen Terminalserver mittels OpenOTP abzusichern, habe aber folgendes Problem :

    Bei der Installation des Credential Providers wird meine URL nicht akzeptiert, weder mit hostname no mit IP, danach funktioniert der CP Provider natürlich auch nicht. Die Fehlermeldung ist auch nichtssagend : ‚The specified URL cannot be reached,One or more Errors Occured‘. Die URL läßt sich im Browser aber aufrufen. Hast Du evtl. einen Tipp, woran das liegen kann?

    1. Hi,

      kommt beim Aufruf im IE eine Zertifikatsmeldung? Ggfs. die Zertifikate von https:///cacert laden und in den vertrauenswürdigen Stammzertifizierungsstellen des Computerkontos installieren. Ansonsten muss das Setup zwingend mit „Als Administrator ausführen“ gestartet werden. An der Stelle einmal testweise eine PowerShell / CMD als Admin starten und das Setup dort aufrufen.
      Findet sich im Eventlog von Windows etwas?

      Gruß
      Jan

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.