Erzwingen von Smart Card Authentifizierung für Administratoren

Nachdem ich mich ein paar Stunden mit YubiKeys beschäftigt habe, finde ich die Möglichkeit charmant, Administratoren weiter abzusichern und die Anmeldung nur noch mit Smart Card zu erlauben.

Leider ist es mir bisher nicht gelungen, dies per GPO umzusetzen. Zwar gibt es ein Security Setting Interactive logon: Require Windows Hello for Business or smart card, dies ist aber eine Computer-Einstellung und gilt nicht nur für Administratoren.

Stattdessen wird die Konfiguration direkt in den Einstellungen des AD User Account des Admins vorgenommen. Im Tab Account muss dazu in den Account Options folgender Checkbox aktiviert werden:

  • Smart card is required for interactive logon
Option: Smart card is required for interactive logon

Neben dieser Option ist das Thema Passwortänderung noch relevant. Läuft bei Accounts, die sich nur noch über Smart Card anmelden dürfen, das Passwort ab, würde nun die Anmeldung fehlschlagen, da der User keine Möglichkeit mehr hat, sein Passwort zu ändern – dies gibt es nicht bei Smart Cards und Passwort Anmeldung haben wir ja deaktiviert.

Um dieses Problem zu beheben, gibt es 2 Optionen.

Password never expires

Im gleichen Tab wie die Smart Card Option kann für den User die Checkbox Password never expires aktiviert werden. Dadurch läuft das Passwort nicht mehr ab und muss folglich nicht im Anmeldeprozess geändert werden. In diesem Fall empfiehlt es sich jedoch aus Gründen der Sicherheit, ein extrem langes Initialpasswort zu vergeben. Da es nie eingegeben werden muss, können hier auch durchaus 50 Zeichen oder mehr genutzt werden.

Option: Password never expires

msDS-ExpirePasswordsOnSmartCardOnlyAccounts

Mit Domain Level Windows Server 2016 wurde ein neues, sehr nützliches AD Attribut eingeführt:
msDS-ExpirePasswordsOnSmartCardOnlyAccounts
Was bewirkt das Attribut? Steht der Wert auf TRUE, so ändert das AD ablaufende Passwörter von Smart-Card-Only Usern bei/vor Ablauf automatisch auf ein zufälliges Passwort gemäß der geltenden Password Policy des Users. Wichtig dabei ist: das Attribut ist in der ADUC Konsole im Attribute Editor der Properties auf der Ebene der Domain (Root) zu ändern. Folglich gilt die Einstellung Domain-weit.
Wird eine bestehender Forest/Domain migriert und der Forest Functional Level auf Windows Server 2016 angehoben, steht der Wert standardmäßig auf FALSE. In diesem Fall muss der Wert auf TRUE geändert werden. Wird der Forest und die Domain initial mit Windows Server 2016 oder höher installiert, steht der Wert bereits auf TRUE.

AD Attribut: msDS-ExpirePasswordsOnSmartCardOnlyAccounts

Dieses Vorgehen ist nur erforderlich, wenn die Smart Card Anmeldung über die o.g. Methode erzwungen wird. Wird die Methode aus dem 2. Absatz des Beitrags für alle User verwendet, wird die Password Policy automatisch auf Never expires gesetzt.

Exkurs: RunAs mit Smart Card

Auch ein wie oben beschriebener Smart-Card-Only Admin muss ggf. mal auf einem System, auf dem ein non-privileged User angemeldet ist, einen Befehl oder ein Program als Admin ausführen. Über die CLI oder in einem Skript kann die Nutzung der Smart Card Credentials gleich mit ins RunAs Kommando übergeben werden:

runas /smartcard <Befehl/Programm>

Verfügt die Smart Card über Credentials mehrerer Accounts (z.B. User-Credentials und Admin-Credentials auf dem gleichen Gerät), lässt sich nicht auswählen/angeben, welche Credentials verwendet werden sollen. Es werden über den o.g. Befehl immer die Credentials verwendet, die zuletzt der Smart Card hinzugefügt wurden.

Quellen:
https://docs.microsoft.com/

2 Antworten

  1. Stefan sagt:

    Klasse Artikel. Wir stehen gerade an einer ähnlichen Stelle und wollen unsere Admin Accounts mit Smartcards absichern. Allerdings haben wir noch viele Legacy Systeme (Windows 2003) wo wir den Yubikey Minidriver nicht installieren.
    Hast du auch solche Systeme? Wie gehst du damit um? Gerade, weil die Kennwörter den Admin Usern ja nicht mehr bekannt sind.

    • Servus.
      Leider hab ich keine Erfahrung mit Windows 2003. So alte Systeme sind bei uns nicht mehr zulässig.
      Hast du mal ausprobiert, den Treiber per CAB zu installieren statt mit dem MSI? Ich hab in den Release Notes, etc. nichts gefunden, dass der Treiber unter Windows 2003 nicht mehr funktioniert.
      Alternativ kannst du 2 Dinge ausprobieren (beide aber nicht schön):
      1) Ein extra Admin Account, der sich noch per Passwort auf den Legacy Systemen anmelden darf (und nur auf diesen).
      2) Eine VM auf den Workstations der Admins, auf denen kein Minidriver installiert ist. YubiKey in die VM durchreichen und mit dem Windows-nativem Smart Card Treiber versuchen, sich auf den Legacy Systemen zu verbinden.
      Beides, wie geschrieben, nicht schön und ohne Gewähr, dass das überhaupt funktioniert.
      Gruß
      Andreas

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.