¿Hay inicio de sesión en la máquina con Windows 2FA para SMB / SOHO?

Navega tus respuestas
2

La verificación o autenticación en dos pasos (2FA) para servicios en línea es bastante común. ¿Qué hay de 2FA para los inicios de sesión de la máquina de Windows? Las máquinas de Windows como computadoras de escritorio, computadoras portátiles, servidores, puntos de venta, etc. pueden verse comprometidas a través de un hackeo o violación de la contraseña.

Solo he visto muy pocas soluciones en el mercado, principalmente dirigidas a empresas. ¿Existe una solución 2FA para consumidores conscientes de la seguridad y la privacidad, así como para pequeñas y medianas empresas que operan máquinas con Windows (locales o basadas en la nube)? La solución debería funcionar tanto para el inicio de sesión físico como para el acceso remoto.

Si no hay una solución viable, estoy dispuesto a dedicar algo de tiempo para comenzar un proyecto paralelo / de código abierto para esto. Imagino un plugin o middleware que una vez instalado, activará 2FA durante el inicio de sesión de Windows.

¿Crees que esto es algo que tú o las personas que conoces usarán? ¿Hay alguna necesidad de esto en primer lugar? Tus respuestas son bienvenidas.

    
pregunta fox_hound_33 09.01.2017 - 11:19
fuente

4 respuestas

1

He pasado un tiempo pensando en esto y queriendo una buena solución. En este momento, Windows 10 puede unirse a Azure AD, y el propio dispositivo se convierte en una forma de autenticación, donde puede usar su Azure AD PW, o configurar un PIN. También puede configurar un Yubikey con Azure y Windows Hello en estos días. Pero esto no lo ayudará con el AD local o Windows 7 y las instalaciones anteriores.

Para instalaciones que no sean de Azure AD o que no sean Win10, eche un vistazo a AuthLite ( enlace ). Es la solución que siguió apareciendo en mi investigación. Tenía muchas ganas de implementar Yubikeys y AuthLite hace unos años, pero el proyecto se canceló, por lo que no tengo ninguna experiencia personal al implementar esta configuración.

    
respondido por el tim_shane 09.01.2017 - 17:29
fuente
1

El producto de mi compañía puede hacer AD 2FA nativo: enlace . Gratis para 5 usuarios. También hará restablecimientos de contraseña usando 2FA.

Lo estamos promocionando para administradores en lugar de usuarios. Nuestro pensamiento es: limitar la infiltración con 2FA para el acceso remoto; limitar la escalada con 2FA para los administradores. (También puede limitar la ex filtración con 2FA si su firewall puede manejarlo). Es probable que un ataque dentro del firewall en un usuario sea malware y no sea detenido por 2FA para los inicios de sesión. Depende de tu modelo de amenaza, por supuesto.

    
respondido por el nowen 09.01.2017 - 18:32
fuente
1

Windows lo hará de forma nativa con el inicio de sesión con tarjeta inteligente. Pero para hacer el inicio de sesión de tarjeta inteligente de forma nativa necesita:

  1. Un certificado de inicio de sesión de tarjeta inteligente en la tarjeta inteligente, emitido por una CA de confianza
  2. Un certificado de controlador de dominio (emitido por una CA de confianza)
  3. Una lista de revocación válida.

Para abreviar: necesitas una PKI que probablemente sea material empresarial.

Si no desea hacer esto, necesita su propio Proveedor de credenciales como

  • yubikey - como se mencionó anteriormente
  • inicio de sesión seguro por digitronic ( enlace )
  • otros proveedores que no recuerdo en este momento ...
respondido por el cornelinux 09.01.2017 - 19:32
fuente
0

Parece que el servidor de autenticación multifactor de Azure puede hacer 2FA cuando el usuario inicia sesión; No lo he intentado y no puedo estar 100% seguro de estos documentos .

Creo que podría haber problemas mayores con los que lidiar primero si el atacante tiene acceso a la máquina física, pero probablemente tenga sentido en algunos entornos.

Las máquinas del usuario generalmente no tienen acceso a RDP desde Internet y suena como una mala idea para exponer servidores a través de RDP a través de Internet.

En mi opinión, ciertamente tiene sentido cuando se usa RDP a través de una VPN; Transakt proporciona este servicio.

    
respondido por el Bvrce 09.01.2017 - 17:04
fuente

Lea otras preguntas en las etiquetas

¿Cómo puede ocultar / falsificar su dirección IP sin proxy / vpn? ¿Cómo pueden identificarse los mensajes SMS recibidos sin los detalles del remitente? [cerrado]