Erzwingen von Smart Card Authentifizierung für Administratoren

Nachdem ich mich ein paar Stunden mit YubiKeys beschäftigt habe, finde ich die Möglichkeit charmant, Administratoren weiter abzusichern und die Anmeldung nur noch mit Smart Card zu erlauben.

Leider ist es mir bisher nicht gelungen, dies per GPO umzusetzen. Zwar gibt es ein Security Setting Interactive logon: Require Windows Hello for Business or smart card, dies ist aber eine Computer-Einstellung und gilt nicht nur für Administratoren.

Stattdessen wird die Konfiguration direkt in den Einstellungen des AD User Account des Admins vorgenommen. Im Tab Account muss dazu in den Account Options folgender Checkbox aktiviert werden:

  • Smart card is required for interactive logon
Option: Smart card is required for interactive logon

Neben dieser Option ist das Thema Passwortänderung noch relevant. Läuft bei Accounts, die sich nur noch über Smart Card anmelden dürfen, das Passwort ab, würde nun die Anmeldung fehlschlagen, da der User keine Möglichkeit mehr hat, sein Passwort zu ändern – dies gibt es nicht bei Smart Cards und Passwort Anmeldung haben wir ja deaktiviert.

Um dieses Problem zu beheben, gibt es 2 Optionen.

Password never expires

Im gleichen Tab wie die Smart Card Option kann für den User die Checkbox Password never expires aktiviert werden. Dadurch läuft das Passwort nicht mehr ab und muss folglich nicht im Anmeldeprozess geändert werden. In diesem Fall empfiehlt es sich jedoch aus Gründen der Sicherheit, ein extrem langes Initialpasswort zu vergeben. Da es nie eingegeben werden muss, können hier auch durchaus 50 Zeichen oder mehr genutzt werden.

Option: Password never expires

msDS-ExpirePasswordsOnSmartCardOnlyAccounts

Mit Domain Level Windows Server 2016 wurde ein neues, sehr nützliches AD Attribut eingeführt:
msDS-ExpirePasswordsOnSmartCardOnlyAccounts
Was bewirkt das Attribut? Steht der Wert auf TRUE, so ändert das AD ablaufende Passwörter von Smart-Card-Only Usern bei/vor Ablauf automatisch auf ein zufälliges Passwort gemäß der geltenden Password Policy des Users. Wichtig dabei ist: das Attribut ist in der ADUC Konsole im Attribute Editor der Properties auf der Ebene der Domain (Root) zu ändern. Folglich gilt die Einstellung Domain-weit.
Wird eine bestehender Forest/Domain migriert und der Forest Functional Level auf Windows Server 2016 angehoben, steht der Wert standardmäßig auf FALSE. In diesem Fall muss der Wert auf TRUE geändert werden. Wird der Forest und die Domain initial mit Windows Server 2016 oder höher installiert, steht der Wert bereits auf TRUE.

AD Attribut: msDS-ExpirePasswordsOnSmartCardOnlyAccounts

Dieses Vorgehen ist nur erforderlich, wenn die Smart Card Anmeldung über die o.g. Methode erzwungen wird. Wird die Methode aus dem 2. Absatz des Beitrags für alle User verwendet, wird die Password Policy automatisch auf Never expires gesetzt.

Exkurs: RunAs mit Smart Card

Auch ein wie oben beschriebener Smart-Card-Only Admin muss ggf. mal auf einem System, auf dem ein non-privileged User angemeldet ist, einen Befehl oder ein Program als Admin ausführen. Über die CLI oder in einem Skript kann die Nutzung der Smart Card Credentials gleich mit ins RunAs Kommando übergeben werden:

runas /smartcard <Befehl/Programm>

Verfügt die Smart Card über Credentials mehrerer Accounts (z.B. User-Credentials und Admin-Credentials auf dem gleichen Gerät), lässt sich nicht auswählen/angeben, welche Credentials verwendet werden sollen. Es werden über den o.g. Befehl immer die Credentials verwendet, die zuletzt der Smart Card hinzugefügt wurden.

Quellen:
https://docs.microsoft.com/

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.