Windows Login mit Hardwaretoken + Passwort

[violentviper]

Hallo,

ich würde gerne innerhalb einer kleinen Windows 10 Domäne die AD-Logins an einen Hardwaretoken wie beispielsweise Nitrokey koppeln. Am besten wäre es, wenn beispielsweise der Adminlogin nur mit Hardwaretoken + Passwort möglich ist. Ich finde im Internet allerdings nichts dazu und weiß auch nicht, ob das überhaupt geht. Online beziehen sich die Quellen auf Cloudlösungen, welche mir hier aber nichts bringen.

Kurzum, kann man das unter Windows einrichten? Wenn ja, wie?

 

[Simanova]

Lokale Windows PCs und Domänen bieten ab Werk keine (sinnvolle) Möglichkeit dazu. Ich kann dir sagen, dass es Software Lösungen gibt, die aber oft ihr eigenes Ökosystem mitbringen. Viele Sicherheitsprodukte wie Firewalls oder Virenschutz Lösungen bringen im Business-Bereich so etwas mit.

Falls ihr einen IT Admin habt, soll dieser sich mal reinlesen und einen Vorschlag machen. Da das Thema wirklich komplex ist, und man hier leicht 4-5 stellige Summen in den Sand setzen kann, würde ich zusätzlich eine professionelle IT Beratung vorschlagen.

Ich weis nicht ob es was bringen würde, dir konkrete Produkte zu empfehlen. Aber MFA Lösungen sollte man ganzheitlich betrachten. Eher im Rahmen eines vollständigen Sicherheitskonzepts.

 

[LasseSamenström]

Kurzum, kann man das unter Windows einrichten? Wenn ja, wie?

Nur mit Azure, sonst Windows Hello

 

[Zer0DEV]

Als Hardwaretoken werden für die Windows-Anmeldung in einer Domäne ausschließlich Smartcards unterstützt.

Lesestoff: https://learn.microsoft.com/de-de/w...-card-how-smart-card-sign-in-works-in-windows

 

[wambo12]

ich verwende genau für den Zweck die Software Authlite im Zusammenhang mit Yubikeys.

Gibts als Testversion zum Ausprobieren.
Danach kosten die ersten 5 User 500$ plus die Hardware Tokens, jeder weitere User kostet danach einmalig 48$.

 

[violentviper]

Danke für eure Rückmeldungen. Das wundert mich, dass MS das gar nicht so direkt vorsieht. Dabei wäre das doch eine gute Möglichkeit, um priviligierte Rechte besser abzusichern.

Ich schaue mir mal Authlite in der Testversion an.

 

[Ranayna]

Wir nutzen Yubikeys als Smart Cards:
https://support.yubico.com/hc/en-us/articles/360013707820-YubiKey-smart-card-deployment-guide

Steckt halt schon ein recht grosser Rattenschwanz dahinter. Vorallem musst du in deiner Domaene eine laufende PKI haben.

 

[wambo12]

PKI ist, wenn man nicht ganz genau weiß was man tut, ein großes Sicherheitsrisiko und man baut sich damit mehr Sicherheitslücken ein als man durch die Verwendung von Zertifikaten zur Anmeldung schließt.