wudler 10 Geschrieben 26. Januar 2015 Melden Teilen Geschrieben 26. Januar 2015 Hallo, ich plane die Umsetzung einer Zwei-Faktor-Authentifizierung für einige Domainuser und den Domainadmin. Für mich stellt sich die Frage nach einem Notfallszenario, falls die SmartCard-Anmeldung für den Domainadmin aus irgendwelchen Gründen (z.B. technischer Defekt der Karte oder Zertifizierungsserver nicht verfügbar) nicht funktioniert. Damit würde der Domainadmin nicht mehr ans System kommen. Die Lösung wäre ein zweiter Domainaccount ohne SmartCard-Anmeldung. Damit wäre aber die erhöhte Sicherheit aufgrund der SmartCard-Anmeldung aber hinfällig, da der zweite Domainadmin die Schwachstelle darstellen würde. Hat jemand eine Lösung für dieses Szenario ? Danke. Mit freundlichen Grüßen Andreas Ament Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 26. Januar 2015 Melden Teilen Geschrieben 26. Januar 2015 Moin, Hat jemand eine Lösung für dieses Szenario ? Know How, Organisation und ein geeignetes Budget. Bei den ersten beiden Punkten würde ich ansetzen. Wie Du schon erkannt hast, ist Erzwingung immer mit dem Risiko des Aussperrens verbunden. Know How aufbauen: Brian Komar - PKi and certificate security Policies entwerfen: https://technet.microsoft.com/en-us/library/cc780454%28v=ws.10%29.aspx Am Beispiel MS: http://blogs.technet.com/b/configmgrteam/archive/2009/08/13/recommended-white-paper-for-native-mode-customers-deploying-and-managing-pki-inside-microsoft-microsoft-it-showcase.aspx Zitieren Link zu diesem Kommentar
wudler 10 Geschrieben 26. Januar 2015 Autor Melden Teilen Geschrieben 26. Januar 2015 Danke für die schnelle Rückmeldung. Schnell ist das Stichwort. Ich brauche eine schnelle Lösung. Hintergund ist die Anforderung, dass ich einige Domainuser über eine Zwei-Faktor-Authentifizierung für einen bestimmten Netzwerkordner berechtigen muss. Da der Domainadmin die Gruppenmitgliedschaft und die SmartCard-Anmeldung ändern kann, ist das aus meiner Sicht nur schlüssig, wenn der Domainadmin sich auch über SmartCard authentifiziert. Oder gibt es eine anderen Lösungsansatz ? Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 26. Januar 2015 Melden Teilen Geschrieben 26. Januar 2015 Hallo, zur Smartcardanmeldung brauchst du den Zertifikatsserver nicht! Normalen Usern setzt du das Attribut "Logon requires smartcard" (oder so ähnlich), dem Domainadmin nicht. Dann kann sich der Domainadmin mit SC anmelden, muss aber es aber technisch nicht. Er soll sich im Normalbetrieb immer mit SC anmelden, kann sich aber im Notfall auch mit PW anmelden. Ein Notfallaccount mit einem 18+ stelligen PW ist sicher auch sinnvoll. Wenn du sicher gehen willst, kannst du im Eventlog überwachen, ob es PW-Anmeldungen gibt. Musst ein bisschen nach den passenden Events googlen blub Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 26. Januar 2015 Melden Teilen Geschrieben 26. Januar 2015 Wenn es schnell gehen soll, empfehle ich Dir einen Dienstleister. Im Allgemeinen passen 'mal eben schnell' und sicher nicht zusammen. Es muss nicht nur das Logon geschützt werden. Vielmehr muss verhindert werden, dass die PKI durch einen böswilligen Admin kompromittiert wird. Zitieren Link zu diesem Kommentar
wudler 10 Geschrieben 26. Januar 2015 Autor Melden Teilen Geschrieben 26. Januar 2015 Der Dienstleister hat die Umsetzung bereits gemacht und mir geraten den Domainadmin nicht mit SmartCard-Anmeldung abzusichern, um sich nicht selbst auszusperren. Ich bin der Domainadmin. Es geht letztendlich nur darum, den Falle der Fälle zu handeln, wenn der Domainadmin gehackt wird. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.