fork

Der 1. Faktor ist Benutzername und Passwort. Der 2. Faktor ist der PC - Als alternatives Gerät zum Smartphone. D. h. bei einem Betrugsversuch benötigt der Angreifer erst einmal physischen Zugang zum Gerät. Insofern ergibt das für mich schon Sinn, weil es genau das gleiche Konzept wie beim Smartphone ist, nur dass der Klotz halt etwas größer ist. Die Frage ist, ob so ein Token auf der Festplatte des PC auch wirklich nicht übertragbar ist. (Stichwort: Festplatte kopieren). Wäre das der Fall, dann würde der 2. Faktor degradiert zu einer Art Passwort, was man kopieren kann. Es ergibt natürlich auch keinen Sinn, wenn das ein öffentlicher PC ist. Bei MSA wurde weiterhin eine mögliche, zusätzliche Schutzmassnahme implementiert: Beim Smartphone kann man das so einstellen, dass bei Nutzung von MSA jeweils das Handykennwort eingegeben werden muss. Das kann ja beim PC genauso das Passwort des aktuellen Benutzers sein. P. S.: Den Google-Authenticator gibt's auch für den Desktop Das große Fass möchte ich selbst nicht aufmachen. Das überlasse ich den Windows-Spezialisten, die sich mit dem NPS Server auskennen. (Also dem Kunden bzw. den von Ihm zu suchenden Dienstleistern).

Ja. Genau darum geht es. Das ist in jedem Fall eine mögliche Lösung. Ich gebe das mal so weiter. Die Idee mit dem MS Authenticator auf dem Desktop finde ich trotzdem sinnvoll, sollte die Möglichkeit denn überhaupt bestehen.

Ok. Ich versuche es mit meinem begrenzten Windows Know-How nochmal besser zu formulieren: Ziel war an einem bestimmten Standort, an einem bestimmten Windows-Arbeitsplatz den Internetzugriff zu unterbinden. Nachdem ich das jetzt auch mit den von Euch gegebenen Hinweisen nicht hinbekommen habe, da zu unterstützen, dass Outlook auch ohne Internetzugriff funktioniert, wurde der Internetzugriff erlaubt. Weiterhin wurde wohl eine Gruppenrichtline erstellt - das habe ich nicht selbst gemacht - die es den Benutzern an dem System nicht erlaubt, einen Browser aufzurufen / zu nutzen. Ich sehe das als keine gute Lösung an. Der Kunde sieht das für sich als ausreichend an. Das Thema ist damit für mich fachlich abgeschlossen.

Hallo NorbertFe, Mein Anliegen war es damit, auch mit einer noch so wenig technisch interessanten Lösung, wie es denn letztlich geworden ist zumindest aus Respekt und Wertschätzung für die Beiträge aller Beteilligten eine Rückmeldung zu geben, was denn aus dem Anliegen geworden ist. Falls das nicht erwünscht ist, kann ich da in Zukunft gerne von absehen. Viele Grüße, fork

Hallo zusammen, ich habe hier den Fall, dass ein Kunde über einen RADIUS-Server (Microsoft NPS) den Microsoft Authenticator (MSA) auf Smartphones der Nutzer als zweiten Faktor integriert habe. Jetzt ist die Frage, ob es einfache Wege gibt, den Microsoft Authenticator auch als Anwendung auf Desktop-Systemen benutzen zu können. Mein Part ist der des Firewall-Admins, der den RADIUS-Server angebunden hat. Ein Nicht-einfacher Weg wäre jetzt z. B. einen Smartphone-Emulator zu installieren. In der Google-Recherche habe ich da Hinweise auf die Unified Windows Platform gelesen. Das liest sich für mich so, als ob es Anwendungen gäbe - der MS Authenticator wird da in dem Zusammenhang auch erwähnt - die sowohl auf Smartphones als auch auf Desktops läuft. Allerdings bin ich damit auch nicht zu einer funktionierenden Windows Desktop App für den MSA gekommen. Gibt es eine einfache Möglichkeit, den MSA auf dem Windows Desktop laufen zu lassen? Viele Grüße, fork P. S.: Ich bin beruflich Linux-Admin. D. h. meine Windows-Zeiten sind lange vorbei. Ich bitte deswegen darum, nur Lösungen anzubieten, die kein tiefergehendes Windows-Know-How erfordern und um Verständnis für diese Haltung. Falls Ihr mir unter diesen Bedingungen nicht helfen möchtet - was ich natürlich absolut respektiere - bitte ich Euch von einer Antwort auf meine Anliegen abzusehen. Vielen Dank!

Grundsätzlich im Nachgang nochmal an Dankeschön für die Antworten. Das Thema war mir allerdings zu komplex dafür, dass es nicht mein Kern-Kompetenzbereich ist, und ich dementsprechend hier die Zeit zum Erarbeiten nicht investieren möchte. Lösung war jetzt den Internetzugang zu erlauben und mit Behelfsmöglichkeiten (Kunde hat per Policy die Benutzung des Browsers unterbunden) den Internetzugang zu verhindern.

Anbei ein Screenshot von Outlook 2019 mit einer Testmail im Postausgang, die nicht versendet wird. Untenstehend in der Statuszeile: Übermittlung wird vorbereitet... Das steht seit Minuten dort. Weiterhin untenstehend in der Statuszeile: Warnsymbol mit Text "Verbindungsversuch...." (abgeschnittener Text) Desweiteren hier noch der Paste des verfremdeten tcpdumps von der Firewall (tcpdump -i any port domain or port http or port https): https://pastebin.pl/view/9375d28b 10.1.1.133 ist die Client-PC-IP 10.10.0.10 ist einer der DCs Das sind die DNS-Anfragen (A-Records) die durchgeführt werden: assets.msn.com. client.wns.windows.com. config.edge.skype.com. login.microsoftonline.com. outlook.office365.com. winatp-gw-neu3.microsoft.com. wpad.kundendomain.de. Welche Logfiles bräuchte es da noch, um mehr sagen zu können?

Hi, ich habe hier ein Outlook 2019 und und einen lokal installierten Exchange Server welche grundsätzlich gut miteinander funktionieren. Der Exchange-Server steht in der Zentrale und der PC mit Outlook in einem Aussenstandort (VPN). Die Verbindung zwischen PC und Exchange ist bzgl. Firewall komplett freigeschaltet. Ich möchte jedoch nicht, dass der PC, auf dem das Outlook läuft, ins Internet darf (Sicherheitsgründe). Jedoch funktioniert der Zugriff zum Exchange nicht mehr, sobald ich die Zugriffsmöglichkeit auf das Internet beende. Mit einem Paketsniffer auf der Firewall sehe, dass Outlook zahlreiche Verbindungen auf irgendwelche Hostnamen bei Microsoft initiiert. Die DNS-Anfragen sind dabei erlaubt und werden beantwortet. Die Verbindungen per http(s) aber nicht. Meine Fragen dazu: Kann man Outlook irgendwie dazu bringen, dass es auch ohne Internetanbindung funktioniert? Falls nicht, gibt es irgendwo eine Dokumentation auf welche URLs Outlook zugreift, so dass ich dieses selektiv freischalten kann? (Ich habe nur das gefunden, was nicht ausreicht: https://learn.microsoft.com/de-de/exchange/plan-and-deploy/deployment-ref/network-ports?view=exchserver-2019 ) Zu mir: Ich bin der Firewall-Administrator und meine Fähigkeiten liegen ansonsten im Linux-Bereich und (schon lange) nicht (mehr) im Windows-Bereich. Herzlichen Dank für Eure Unterstützung!