holzapfel 10 Geschrieben 28. Februar Melden Teilen Geschrieben 28. Februar Hallo zusammen, Ich möchte in einem Windows Netzwerk (2019er Server - DC - RDS - Exchange) den Domänenadministrator mit einem zweiten Faktor schützen. (Also vor allem Anmeldungen an der Konsole / RDP) Dabei bin ich bis jetzt auf DUO gestoßen. Hier wären scheinbar bis zu 10 User frei - das werden wir mal testen. Wie handhabt ihr das ganze? Und welche Lösung setzt ihr ein? besten Dank viele Grüße Zitieren Link zu diesem Kommentar
testperson 1.534 Geschrieben 28. Februar Melden Teilen Geschrieben 28. Februar Hi, DUO ist generell echt gut. Ich kann dir aber nur raten, nimm einen Paid Plan, der sich mit $3 pro User - in meinen Augen - mehr als im Rahmen hält. Im Free Plan ist kein Active Directory Sync enthalten. Zusätzlich wäre im Konzept ein "Break the Glass Admin" hilfreich. :) Ansonsten: Eset Secure Authentication Server RCDevs OpenOTP Server ManageEngine AD Self Service Plus Gruß Jan Zitieren Link zu diesem Kommentar
holzapfel 10 Geschrieben 28. Februar Autor Melden Teilen Geschrieben 28. Februar Danke - danke für die Infos. Die helfen mir schon sehr weiter. Sollte das bei Duo denn auch klappen, wenn ich nur wenige User/Benutzer schützen möchte? Oder gibt es dann z.B. auf einem RDS Server auf welchem sich viele User anmelden die kein Duo hätten eher Probleme? Und ein guter Tipp - umgesetzt ist bei sowas ja meistens schneller als wieder ins eigene System eingebrochen Zitieren Link zu diesem Kommentar
testperson 1.534 Geschrieben 28. Februar Melden Teilen Geschrieben 28. Februar vor 6 Minuten schrieb holzapfel: Oder gibt es dann z.B. auf einem RDS Server auf welchem sich viele User anmelden die kein Duo hätten eher Probleme? Ich würde hier nach dem Sinn fragen. Für mich würde hier nur folgendes Sinn machen: Alle externen User (Home Office, Roadwarrior, ...) müssen sich per MFA authentifizieren Alle User (extern und intern) müssen sich per MFA authentifizieren (Aber, ja es ist ebenfalls möglich, User aus der MFA auszuklammern bzw. nicht "enrollte" User zugreifen zu lassen. Sinn macht das für mich aber nicht.) Wenn es nur um MFA für RDS geht, wäre eine weitere Frage, wie melden sich die User am PC an und worauf könnten die User vom PC theoretisch (und praktisch) zugreifen? Zitieren Link zu diesem Kommentar
holzapfel 10 Geschrieben 29. Februar Autor Melden Teilen Geschrieben 29. Februar Also alle externen (egal war / auch Dienstleister) müssen sich per MFA bereits authentifizieren. (Bei der VPN Einwahl) Dabei handelt es sich allerdings generell um eine limitierte Anzahl. Der Wusch ist jetzt eher in die Richtung dann aufgetaucht, dass man sich die höher privilegierten Benutzer noch vornimmt, und diese zusätzlich absichert. Falls z.B. einfach mal einer der Admin Accounts gekapert würde. Die "normalen User" sitzen in ihren Büros (alle Büros und Etagen sind einzeln verschlossen) und melden sich an ihren PCs mit ihrem AD User an. Lokal haben sie allerdings bis auf wenige Ausnahmen keine Anwendungen, sondern verbinden sich zu den zentralen RDS Servern. Zitieren Link zu diesem Kommentar
Marco-M 0 Geschrieben 9. April Melden Teilen Geschrieben 9. April Cloud Lösung: MFA for Remote Desktop - Rublon On-Premise: ManageEngine ADSelfService Plus - An identity security solution with adaptive MFA, enterprise SSO, and self-service password reset. Wir kennen beide Lösungen schon länger, Rublon etwas einfacher zu managen, nutzten selber aber ADSelfService Plus. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.