SecSign ID Plugin: Windows Remote Desktop

10.12.2016 5 Minuten Lesedauer
Inhaltsverzeichnis

Sichere Zwei-Faktor Authentifizierung mit der SecSign ID

Es ist der Albtraum jeder Firma, dass Hacker per Fernzugriff an Unternehmensdaten gelangen. Dabei braucht es nur ein schwaches Passwort und schon haben Angreifer freies Spiel. Sichern Sie Ihren Zugang zum Remote Desktop Access noch heute ab und verhindern Sie den kostenspieligen Verlust von Daten. Implementierung unserer Plugins ist einfach und die Authentifizierung für den Nutzer ist intuitiv und sicher, mit Regeln die sich nach Ihren Anforderungen richten. Compliance kann einfach durchgesetzt werden und Angriffe auf Ihre Firmennetzwerk werden unmöglich gemacht. Mit der SecSign ID Zwei-Faktor Authentifizierung für Remote Desktop Services

Dieser Artikel bietet einen ersten Überblick über die Integration und Absicherung des Remote Desktop Logins mit der Zwei-Faktor Authentifizierung. Für das technische Tutorial folgen Sie bitte diesemLink.

Überblick

Überblick

Das folgende Video gibt Ihnen einen Einblick über den Ablauf der Authentifizierung. Die komplexen Schritte können in wenigen einfachen Schritten integriert werden.

Integration in Ihr Setup

Integration des Plugins in Ihr Setup

SecSign ID Integration

Please configure your desired integration of the SecSign ID Two Factor Authentication

Choose a system, where you want to add the secure login

Do you need your own ID Server inside your protected network or prefer if we manage and maintain it for you

The location to save the assigned SecSign IDs to a user account or the IDM alltogether

System to protect
?
The System you want to protect - Choose a system, where you want to add the secure login
SecSign ID Server location
?
Do you need your own ID Server inside your protected network or prefer if we manage and maintain it for you
User account location
?
The system to save the assigned SecSign IDs to a user account or the IDM alltogether
edit the settings to change the integration
Authentication
2FA
2FA blind
2FA no AP
2SA
2SA no AP
2SA blind
OTP
Enrollment
Custom ID
Pattern
IDP Custom Website
Enrollment initiated by SP
Enrollment with IDM
Show Network
Hide Network
Fullscreen
Request Solution
x
The authentication was successful


Authentifizierung

Ablauf der Authentifizierung

Mit der SecSign ID Zwei-Faktor Authentifizierung kann der Nutzer sich schnell und komfortable bei OWA anmelden – ganz ohne umständliche Codes.
Für den Login muss der Nutzer lediglich seine Benutzerdaten angeben – so wie er es gewohnt ist – und das entsprechende Symbol aus der App auf dem Desktop auswählen. Next-level Sicherheit mit minimalem Aufwand.

Bei Bedarf können auch mobile oder Email OTP (Einmalpasswörter) als alternative Authentifizierungsmethode genutzt werden.

Onboarding

Onboarding der Nutzer für die 2FA

Sie haben mehrere Optionen, Ihre Nutzer für die 2FA mit SecSign zu registrieren. In den meisten Fällen sollte die 2FA ID identisch zu dem bisher genutzten Windows Benutzernamen sein (zum Beispiel sAMAccountName oder userPrincipalName). Darüber hinaus sollten nur erfolgreich authentifizierte (mit Benutzernamen und Passwort) Nutzer einen 2FA Account erstellen können.
Das SecSign Onboarding ist einfach und komfortabel für die Nutzer und den Administrator.

Um Ihre Active Directory Nutzer für die 2FA zu registrieren haben Sie zwei Optionen:

Mit Schema Erweiterung um dem Nutzer im Active Directory ein 2FA Attribut hinzuzufügen, oder ohne Schemaerweiterung Schema Extension und beschränktem Lesezugriff vom SecSign ID Server auf Ihr Active Directory.

Bei beiden Optionen kann das Onboarding entweder über die Custom ID App oder eine individuelle Landing Page für den Nutzer realisiert werden.

Nutzer über die Custom App registrieren
Nutzer über eine Custom Landing Page registrieren

Das technische Tutorial zum Onboarding der Active Directory Nutzer ist hier verfügbar.

Installationstutorial

Installationstutorial

Windows Login: Vorraussetzungen

Das SecSign ID Remote Desktop Plugin bezieht den SecSign ID Nutzernamen des Windows Nutzers aus dem Active Directory der Windows Domain. Daher gelten folgende Vorraussetzungen:

  • Der PC, auf dem der Remote Desktop installiert ist, muss ein Mitglied der Windows Domain sein, und
  • Der SecSign ID Login nach dem Passwort Login ist aktiv für alle Nutzer, die eine SecSign ID zu Ihrem Nutzerattribut hinzugefügt haben, sowie die Nutzer, die einer voreingestellten 2FA Nutzergruppe im Windows Active Directory hinzugefügt wurden.
    Alle anderen Nutzer brauchen für den Login nur ihr Windows Passwort, und keine 2FA.

2FA für MS Remote Desktop Web Access

Mit dem Microsoft Remote Desktop Web Access können öffentliche Windows Anwendungen aus einem Browser ausgeführt werden. Wenn der SecSign ID Login zu der Remote Desktop Web Access Seite hinzugefügt wurde, öffnet sich nach dem normalen Windows Login mit Benutzername und Passwort eine zweite Seite, auf der der Login mit der SecSign ID verifiziert wird.

MS Remote Desktop Web Access: Installation

Melden Sie sich mit dem domain administrator accound und dem Windows Server mit dem Remote Desktop Remote Access an. Dann führen Sie SecSign-RD-WebAccess-Setup.exe aus:

  • Führen Sie regedit.exe aus
  • Öffnen Sie HKEY_LOCAL_MACHINE\SOFTWARE\SecSign\RDWebAccess
  • Richten Sie den SecSignIDServerHostName und den SecSignIDServerPort entsprechend dem Benutzernamen und Port Ihres SecSign ID Servers ein. Sie finden die Port Nummer in der Datei Eigenschaften des SecSign OD Servers in der Zeile secsignidserver.port=…
  • Falls Sie einen zweite SecSign ID Server haben, geben Sie den Benutzernamen und Adresse in FallbackSecSignIDServerHostName und FallbackSecSignIDServerPort ein. Ansonsten geben Sie dort die Daten Ihres ersten SecSign ID Servers ein.
  • Die Werte unter ServiceAddressForSecSignApp und ServiceNameForSecSignApp werden dem User während des Logins mit der SecSign App dargestellt.
  • ´

  • SharedSecretWithRDGateway beinhaltet zufällige Bytes. Sie können beliebige Zeichen eingeben, beachten Sie jedoch, dass die Länge immer 64 Bytes ist.
  • Nachdem das SecSign ID Plugin für den Windows Remote Desktop Gateway installiert wurde, muss das shared secret dorthin kopiert werden. Das SecSign ID RD Web Access Plugin verwendet das secret um einen Token zuzuordnen, der in jede RDP Datei der einzelnen Anwendungen eingefügt wird.

    Öffnen Sie im letzten Schritt Ihre RD Web Access URL im Browser, melden Sie sich mit Ihrem Windows Nutzernamen und Passwort an und testen Sie die SecSign ID Login. Falls der Login fehlschlägt finden Sie weitere Informationen unter Windows Logs -> Application mit der Quelle SecSign RD Web Access.

    2FA für Microsoft Remote Desktop Gateway

    Mit der SecSign ID Login Integration in the RD Web Access ist lediglich der RD Web Access Login im Browser geschützt. Wenn ein Nutzer die entsprechenden Informationen hat, kann er eine RDP Datei erstellen und sich direkt beim RD Gateway mit dem Remote Desktop Client anmelden. Darüber hinaus können Benutzer die vom RD Web Access generierten RDP Dateien downloaden und sie später wieder verwenden, ohne sich über die RD Web Access Seite einzuloggen.

    Diese unerwünschten direkten Logins können mit der SecSign ID PAA (pluggable authentication and authorization) Plugin für das Microsoft Remote Desktop Gateway verhindert werden. Dafür verifiziert das SecSignID Plugin die Signatur des gateway access token, welches von dem SecSign ID RD Web Access Plugin bei einer erfolgreichen Anmeldung auf der RD Web Access Seite im Browser in die RDP Datei eingefügt wurde.

    • Melden Sie sich mit einem Domain Administrator Benutzerkonto bei dem RD Gateway Windows Server an.
    • Führen Sie SecSign-Rd-Gateway-Setup aus.
    • Führen Sie regedi.exe aus
    • Öffnen Sie HKEY_LOCAL_Machine\Software\SecSign\RDGatewayAuthentication
    • SharedSecretWithRDWebAccess muss die exakt gleichen 64 Bytes beinhalten wie der entsprechende Wert SharedSecretWithRDGateway im benachbarten Registry Schlüssel RDWebAccess
    • AccessTokenMaxAgeSeconds definiert, wie lange nach dem RD WebAccess Login die entsprechenden RDP Dateien die veröffentlichten Anwendungen aktiv sein lassen dürfen. Die Verbindung des remote desktop Benutzers zum RD session host bleibt für eine bestimmte Zeit aktiv. In dieser Zeit können veröffentlichte Anwendungen geöffnet werden, auch nachdem AccessTokenMaxAgeSeconds abgelaufen ist. Der Benutzer kann jederzeit neue RDP Dateien generieren, indem er die RD Web Access Seite im Browser aktualisiert. RDP Dateien, die heruntergeladen und kopiert wurden, können nach dem RD Web Access Logout oder auf einem anderen Computer nicht wiederbenutzt werden, wenn AccessTokenMaxAgeSeconds abgelaufen ist.

    Weitere Informationen über die SecSignLogins sind im Windows Event Log unter Windows Logs -> Application mit der Quelle SecSign ID RD Gateway zu finden.

    Windows Absichern

    Sichern Sie alle Windows Zugangspunkte mit der SecSign 2FA ab

    Wählen Sie das entsprechende Plugin aus, um mehr Informationen über die Absicherung mit 2FA zu erhalten



    AD/LDAPView Tutorial


    Windows User Login View Tutorial


    Office 365 View Tutorial


    Remote Desktop View Tutorial


    RD Gateway View Tutorial


    VPN/Radius Proxy View Tutorial

    Ihr eigener ID Server

    Die Inhouse Installation der SecSign ID bietet Ihnen die Flexibilität, dich mit Ihrem bevorzugten Server, Services und Geräten zu verbinden. Passen Sie die SecSignID Ihrer Unternehmensmarke an!

    Mehr Erfahren
    On Premise 2FA ID

    Letzte Blog Einträge, Neuigkeiten & Funktionen

    Crowd SSO

    Inhalt Vorbedingungen für die Einrichtung Installieren und Einrichten der einzelnen Komponenten als Server-Anwendung Einrichten von Crowd für die zentrale Benutzerverwaltung Einrichten der Applikation (z.B. JI ...

    Mehr Lesen

    Was ermöglicht Crowd?

    Das SecSign ID Crowd Plugin kann schnell und einfach integriert werden. Ausführliche Informationen über das Plugin und die Integration können den folgenden Seiten entnommen werden. Sie haben noch Fragen? Zögern Sie n ...

    Mehr Lesen

    Zwei-Factor Authentifizierung mit der Smartwatch

    Die einfachste mobile Zwei-Faktor Authentifizierung mit der Apple Watch Die SecSign Technologies AG bietet eine neue Generation von Authentifizierungslösungen und Schutzvorrichtungen für die digitale Identität an. Diese Lös ...

    Mehr Lesen