MS MFA für lokale interaktive Anmeldung

[StefanWe 14]

Hallo,

bei uns kam die Frage auf, ob wir mittels MFA die interaktive Anmeldung von kritischen Personen absichern können. Bspw. der HR Abteilung. Dafür müsste es ja einen Credential Provider von MS geben. Ich habe da aber bis jetzt nichts gefunden. Ist euch so etwas bekannt?

[NorbertFe 2.034]

Gibts doch von diversen Anbietern. Was genau ist denn das Ziel? Absicherung von rdp/lokalen Sessions per MFA oder noch mehr?

[cj_berlin 1.315]

Moin,

 

eine Alternative für on-prem wäre SmartCard oder Windows Hello mit einem Security Key. Das sind auch die einzigen Provider, die out of the box dabei sind.

Eine andere Alternative für on-prem wäre zwar für die lokale Anmeldung am Endgerät nicht geeignet, aber wenn auf Terminalserver oder VDI zugegriffen wird, um sensible Daten zu verarbeiten, kann man dort (z.B. am RDG, NetScaler oder UAG, je nach verwendeter Technologie) MFA mit beliebigen Mitteln fordern - RADIUS mit RSA oder LinOTP, Azure MFA, you name it...

Ansonsten gibt es 3rd party-Lösungen. Fortinet bringt den FortiAuthenticator mit, mit dem man einen zusätzlichen Provider installiert und eine beliebige Windows-Anmeldung mit MFA versehen kann. Es gibt auch viele andere.

[StefanWe 14]

Gerade eben schrieb NorbertFe:

Gibts doch von diversen Anbietern. Was genau ist denn das Ziel? Absicherung von rdp/lokalen Sessions per MFA oder noch mehr?

 

Genau. Es reicht die lokale, interaktive Anmeldung. Von diversen Anbietern, richtig. Aber durch unseren vorhandenen M365 Vertrag und der bereits im Einsatz befindetn MS MFA Lösung, würden wir diese natürlich auch gerne für die lokale Anmeldung mit nutzen, um nicht noch ein weiteres MFA Produkt kaufen zu müssen.

[NorbertFe 2.034]

vor 1 Minute schrieb StefanWe:

Aber durch unseren vorhandenen M365 Vertrag und der bereits im Einsatz befindetn MS MFA Lösung,

Tjo, hab ich in der Form nicht im Hirn, ob MS da was anbietet, aber ich vermute nein. Vielleicht weiß ja Evgenij mehr. :)

[cj_berlin 1.315]

Wie gesagt, Hello for Business. Nur ist "Azure MFA" kein unterstützter Unlock Signal dort: https://docs.microsoft.com/en-us/windows/security/identity-protection/hello-for-business/feature-multifactor-unlock Aber vielleicht reicht ja einer der anderen Faktoren  

[NilsK 2.934]

Moin,

 

vor 9 Minuten schrieb cj_berlin:

Unlock Signal

puh, ich habe mir die Doku gerade zum ersten Mal angesehen. Gruselig - man würde ja hoffen, dass Microsoft das nicht ernst meint. Logik und Syntax lassen mich vermuten, dass der ganze Aufbau enorm fehlerträchtig ist und wenig "zusätzliche Sicherheit" erzeugt. Schon allein der originelle Umgang mit XML in Example 2 und 3 sorgt für krause Zehennägel.

 

Gruß, Nils

 

[cj_berlin 1.315]

vor 4 Minuten schrieb NilsK:

Gruselig - man würde ja hoffen, dass Microsoft das nicht ernst meint.

Microsoft meint, man soll das mit Intune managen, nicht mit Windows-Bordmitteln.

[NilsK 2.934]

Moin,

 

vielleicht meinen sie das, aber implementiert haben sie es trotzdem so ... 

 

Gruß, Nils

 

[StefanWe 14]

Ist ja mit Always On VPN auch genau so mies. Keine schöne Lösung.

[testperson 1.677]

Hi,

 

ggfs. dieser Ansatz von James Rankin: Adding Microsoft Authenticator MFA to Windows logon – JAMES-RANKIN.COM

 

HTH

Jan