Esiste un accesso alla macchina Windows 2FA per SMB / SOHO?

2

La verifica in due passaggi o l'autenticazione (2FA) per i servizi online è abbastanza comune. Che ne dici di 2FA per gli accessi alle macchine Windows? Le macchine Windows come desktop, laptop, server, POS, ecc. Potrebbero essere compromesse da una password o da una violazione.

Ho visto solo pochissime soluzioni sul mercato, principalmente rivolte alle imprese. Esiste una soluzione 2FA per i consumatori attenti alla sicurezza e alla privacy nonché alle piccole e medie imprese che gestiscono macchine Windows (in locale o basate sul cloud)? La soluzione dovrebbe funzionare sia per l'accesso fisico che remoto.

Se non esiste una soluzione praticabile, sono disposto a dedicare del tempo per avviare un progetto side / open-source per questo. Immagino un plugin o un middleware una volta installato attiverà 2FA durante il login di Windows.

Pensi che questo sia qualcosa che tu o le persone che conosci useranno? C'è anche bisogno di questa cosa in primo luogo? Le tue risposte sono le benvenute.

    
posta fox_hound_33 09.01.2017 - 11:19
fonte

4 risposte

1

Ho passato un po 'di tempo a pensare a questo e a volere una buona soluzione. Al momento, Windows 10 può accedere ad Azure AD e il dispositivo stesso diventa una forma di autenticazione, in cui è possibile utilizzare Azure AD PW o impostare un PIN. Puoi anche configurare un Yubikey con Azure e Windows Hello in questi giorni. Ma questo non ti aiuterà con AD on-prem o Windows 7 e installazioni precedenti.

Per installazioni non Azure AD o non Win10, dai un'occhiata a AuthLite ( link ). È la soluzione che ha continuato a spuntare nella mia ricerca. Ho davvero voluto distribuire Yubikeys e AuthLite qualche anno fa, ma il progetto è stato cancellato, quindi non ho alcuna esperienza personale che implementa questa configurazione.

    
risposta data 09.01.2017 - 17:29
fonte
1

Il prodotto della mia azienda può fare nativo AD 2FA: link . Gratuito per 5 utenti. Inoltre eseguirà il reset della password utilizzando 2FA.

Lo stiamo promuovendo per gli amministratori anziché per gli utenti. Il nostro pensiero è: limitare l'infiltrazione con 2FA per l'accesso remoto; limit escalation con 2FA per gli amministratori. (È possibile limitare anche l'ex filtraggio con 2FA se il firewall è in grado di gestirlo.) Un attacco all'interno del firewall su un utente è probabile che sia malware e non interrotto da 2FA per gli accessi. Dipende dal tuo modello di minaccia, ovviamente.

    
risposta data 09.01.2017 - 18:32
fonte
1

Windows lo farà in modo nativo con l'accesso con smart card. Ma per fare l'accesso con smartcard in modo nativo è necessario:

  1. Un certificato di accesso con smart card sulla smartcard, emesso da una CA attendibile
  2. Un certificato del controller di dominio (emesso da una CA attendibile)
  3. Un elenco di revoche valido.

Per farla breve: hai bisogno di un PKI che è probabilmente roba aziendale.

Se non vuoi farlo, hai bisogno del tuo Provider di credenziali come

  • yubikey - come detto sopra
  • accesso sicuro tramite digitronic ( link )
  • altri venditori che non ricordo al momento ...
risposta data 09.01.2017 - 19:32
fonte
0

Sembra che Azure Multi-Factor Authentication Server possa fare 2FA quando l'utente effettua il login; Non ho provato e non posso essere sicuro al 100% da questi documenti .

Penso che potrebbero esserci maggiori problemi da affrontare per primi se l'attaccante ha accesso alla macchina fisica, ma probabilmente ha senso in alcuni ambienti.

Le macchine dell'utente di solito non sono accessibili tramite RDP da internet e suona come una cattiva idea per esporre i server tramite RDP su Internet.

Nelle mie opinioni ha sicuramente senso quando si usa RDP attraverso una VPN; Transakt fornisce questo servizio.

    
risposta data 09.01.2017 - 17:04
fonte

Leggi altre domande sui tag