Wenn Ihr Netzwerk eine Domäne ausführt oder Sie einen Windows-Server ausführen, sind Sie wahrscheinlich als Domäne konfiguriert. Ich zeige Ihnen, wie Sie Ihren Windows-Server und Ihre Workstations konfigurieren, um sich sicher mit einem Yubikey anzumelden. Also, halten Sie Ihre Propellerhüte bereit, denn das wird ein bisschen technisch.
Was ist Yubikey?
Wenn Sie nicht wissen, was ein Yubikey ist, ist es ein kleine Hardware, die Sie an den Lightning-Adapter Ihres Telefons anschließen können. Oder in den USB-C-Anschluss Ihres Computers oder in einen einfachen alten USB-Anschluss eines anderen Computertyps. Sie verwenden es für die Zweitfaktor-Authentifizierung. Wenn Sie sich also auf einer Website anmelden, geben Sie Ihren Benutzernamen und das Passwort ein, mit dem Sie Ihr Yubikey verbinden, und tippen Sie dann normalerweise dort auf einen Connector. Es ist ein kleines Stück Kupfer, das sich an der Seite des Yubikey befindet. Es fordert Yubikey auf, ein einmaliges Passwort zu generieren und es in dieses Zwei-Faktor-Feld auf diesem System einzugeben.
Persönliche Identitätsprüfung, auch bekannt als PIV-Karte
Windows und Mac verwenden eine persönliche Identität Verifikation oder PIV-Kartenstandard für die Smartcard-Verifikation zur Anmeldung an den Windows-Betriebssystemen. PIV verwendet Sicherheitszertifikate, um Ihre Identität nachzuweisen. Es ist mathematisch sicher und rechnerisch nicht durchführbar, Schlüssel zu erraten. Daher sind sie die bevorzugte Methode zur Überprüfung der Identität. Darüber hinaus verwendet die US-Bundesregierung PIV für den Zugriff auf staatlich kontrollierte Einrichtungen und Informationssysteme.
Da wir uns bei einer Windows-Domäne anmelden, werden wir sehen, wie Zertifikate auf dem Server und der Workstation konfiguriert werden. Das Yubikey PIV ist ein sicherer Speicher für das Benutzerzertifikat.
Warnung: Dies ist nichts für schwache Nerven. Es erfordert die Konfiguration von Servern und Workstations. Darüber hinaus müssen Zertifikate nach der Ablaufzeit erneuert werden, was zu Ausfallzeiten für die gesamte Organisation führen kann, wenn dies nicht vorgesehen ist.
Was benötigen Sie?
Diese Konfiguration erfordert einen bestimmten Satz von Yubikeys wie eine Yubikey 5 FIPS-Serie. Sie müssen sicherstellen, dass sowohl Ihre Server als auch Ihre Workstations Yubikeys unterstützen. Als Faustregel gilt, dass Sie Windows Server 2012 R2 oder höher als Server und Windows 8 oder höher auf Ihrer Workstation ausführen müssen. Die Installation des Yubikey-Mini-Treibers ist auf allen Computern erforderlich, auf denen der Schlüssel verwendet wird. Bei Verwendung in einer Remote-Desktop-Umgebung muss der Mini-Treiber sowohl auf der Quelle oder dem Client als auch auf dem Ziel oder dem Server installiert werden.
Bei dieser Konfiguration gibt es viele Fallstricke. Wie im Warnteil erwähnt, laufen Zertifikate ab. Standardmäßig läuft das Stammzertifikat nach fünf Jahren ab. Auch hier laufen die Benutzerzertifikate standardmäßig in einem Jahr ab. Standardmäßig werden Benutzerzertifikate sechs Wochen vor Ablauf automatisch verlängert. Computer, die Yubikey verwendet, müssen sich im Netzwerk befinden, um das Zertifikat zu erneuern.
Mit anderen Worten, wenn Sie einen Laptop haben, der im Büro verwendet und mit nach Hause genommen wird, erscheint die Erneuerungsaufforderung zu Hause. Das Zertifikat kann auf Yubikey nur aktualisiert werden, wenn es mit einem VPN oder dem Netzwerk im Büro verbunden ist. Die Nichterneuerung von Zertifikaten bedeutet, dass der Benutzer gesperrt wird. Und der wahrscheinlich größte Fallstrick ist eine Nichterneuerung des Stammzertifikats, was bedeutet, dass die gesamte Organisation gesperrt wird, sobald es abläuft.
Lesen Sie auch: Wie installiere ich Windows Server 2016?
Zertifikate für Yubikey erneuern
Es ist sehr wichtig, diese Ablaufdaten zu notieren, um sicherzustellen, dass Erinnerungen eingerichtet sind, um einen reibungslosen Übergang zum Zeitpunkt des Ablaufs zu gewährleisten. Die meisten Menschen werden sich fünf Jahre lang nicht an die Schlüssel erinnern, die bald ablaufen. Daher ist es wichtig, diese zu verwalten. Weiterhin erfordert ein Remote Desktop eine spezielle Konfiguration des Mini-Treibers auf dem Server. Remote-Desktop-Verbindungen dürfen nicht für die Authentifizierung auf Netzwerkebene aktiviert werden, sonst schlägt die Verbindung fehl.
Dafür gibt es einen technischen Grund mit Kerberos-Tickets, aber das kann hier nicht diskutiert werden. Beachten Sie nur, dass die Option im Dialogfeld zum Konfigurieren der Authentifizierung auf Netzwerkebene deaktiviert werden muss, wenn Sie die Remote-Desktop-Verbindung zu dieser Workstation oder diesem Server verwenden möchten. Die Verwendung von Yubikey zur Verwaltung von Hyper-V-Servern kann nur mit Servern der 2. Generation erfolgen. Der erweiterte Sitzungsmodus muss auf dem Gastserver aktiviert werden, um USB zu passieren.
Wenn Sie eine Verbindung zu einem Server herstellen, stellen Sie lokale Ressourcen so ein, dass sie Smart passieren Karten. Wir werden einen Server und eine Workstation von Grund auf neu konfigurieren, um die Anmeldung von Yubikey zu unterstützen. Es ist schwer. Während dieser Blog Ihnen erklärt, wie Sie Server einfach konfigurieren können, kann die Unterstützung eines solchen Systems einige IT-Experten überfordern, die keine Erfahrung mit digitalen Zertifikaten haben.
Lesen Sie auch: [behoben] WindowServer stürzt nach dem Upgrade ab Zu macOS Ventura
Wie richte ich Yubikey in einem Domänennetzwerk ein?
Mit anderen Worten, in einem Netzwerk mit einem Server. Das Wichtigste zuerst: Sie müssen die Zertifikatdienstrolle entweder auf Ihrem Domänencontroller oder einem Mitgliedsserver installieren. Sie können dies über das Server-Manager-Dashboard tun und die Active Directory-Zertifikatdiensterolle hinzufügen. Drücken Sie dann ein paar Mal auf Weiter und vergewissern Sie sich, dass die Zertifizierungsstelle angekreuzt ist, und klicken Sie auf Weiter. Klicken Sie außerdem auf Installieren. Warten Sie, bis es installiert ist, da Sie manchmal den Server neu starten müssen und manchmal nicht.
Seien Sie also vorbereitet, da Sie möglicherweise neu starten müssen. Die Installation kann einige Minuten dauern. Sobald dies erledigt ist, klicken Sie auf Active Directory-Zertifikatdienste auf dem Zielserver konfigurieren. Geben Sie die Anmeldeinformationen ein, bei denen es sich normalerweise nur um das Administratorkonto handelt, auf das Sie als Nächstes tippen müssen. Stellen Sie sicher, dass Sie das Kästchen Zertifizierungsstelle ankreuzen und klicken Sie auf Weiter. Stellen Sie sicher, dass es sich um eine Unternehmenszertifizierungsstelle handelt, und klicken Sie auf Weiter. Wählen Sie außerdem Root CA und klicken Sie auf Next. Im nächsten Dialogfeld ist der neue private Schlüssel in Ordnung, also klicken Sie auf „Weiter“.
Sie können die Standardeinstellungen auf der nächsten Folie akzeptieren, auf „Weiter“ klicken, den Standardnamen beibehalten und erneut auf „Weiter“ tippen. Behalten Sie die Gültigkeitsdauer von fünf Jahren bei, was in Ordnung ist, und klicken Sie auf Weiter. Der Standardspeicherort für Protokolle ist ebenfalls in Ordnung und klicken Sie auf Weiter. Klicken Sie abschließend auf Konfigurieren. Standardmäßig erkennt Windows das gerade erstellte Sicherheitsschlüsselformat nicht. Dazu müssen Sie die Gruppenrichtlinie aktualisieren, damit Sie Elliptic-Curve-Cryptography-Zertifikate verwenden können.
Lesen Sie auch: 9 Fixes für Outlook, das keine Verbindung zum Server Windows 11 herstellt
Um dies zu tun:
Schritt 1: Öffnen Sie den Gruppenrichtlinien-Editor. Schritt 2: Sie müssen ein neues GPO nur für Yubikey erstellen. Klicken Sie mit der rechten Maustaste auf die Domäne und wählen Sie „Gruppenrichtlinienobjekt in dieser Domäne erstellen und hier verknüpfen…“ aus. Schritt 3: Sie können ihm einen beliebigen Namen wie Yubikey geben und auf Okay klicken. Schritt 4: Bearbeiten Sie das neue Gruppenrichtlinienobjekt. Klicken Sie mit der rechten Maustaste darauf und wählen Sie Bearbeiten. Jetzt müssen Sie die Gruppenrichtlinie aktualisieren, um ein Zertifikat für elliptische Kurven unter der Computerkonfiguration zuzulassen. Schritt 5: Gehen Sie zu Richtlinien, administrative Vorlagen, Windows-Komponenten und Smartcard und aktivieren Sie die Gruppenrichtlinie, indem Sie auf ecc-Zertifikate für die Anmeldung und Authentifizierung zulassen klicken. Schritt 6: Klicken Sie auf OK. Sie können entweder auf die Aktualisierung der Gruppenrichtlinie warten oder eine Gruppenrichtlinienaktualisierung erzwingen. Nachdem Sie auf Gruppenrichtlinienaktualisierung erzwingen geklickt haben, tippen Sie auf Ja, damit die App Änderungen vornehmen kann. Schritt 7: Gehen Sie in die Power Shell und verwenden Sie den Befehl gpupdate/force und Sie können auf den Server gehen. Schritt 8: Sie können überprüfen, ob diese Gruppenrichtlinie aktualisiert wurde, indem Sie den Befehl rsop.msc verwenden. Dadurch erhalten Sie den resultierenden Richtliniensatz-Bildschirm. Sie können jetzt von diesem Bildschirm aus bestätigen, dass die Richtlinie aktiviert ist. Es werden alle Richtlinien angezeigt, die für diesen Benutzer oder Computer aktiviert sind. Schritt 9: Alles, was Sie tun müssen, ist, die Richtlinie zu finden, an der Sie interessiert sind, und diese wird sich unter den administrativen Vorlagen für die Computerkonfiguration, den Windows-Komponenten und der Smartcard befinden. Schritt 10: Als nächstes können Sie sehen, dass die Einstellungen aktiviert sind und sich unter dem GPO befinden, das unter Yubikey benannt ist, wo Sie es genau platzieren müssen.
Schließen Sie die Bildschirme
Gehen Sie jetzt zurück zur Gruppenrichtlinie, wo es einen weiteren Abschnitt unter Windows-Einstellungen, Sicherheitseinstellungen, lokalen Richtlinien und Sicherheitsoptionen gibt. Sie können eine Gruppenrichtlinie festlegen, um zu bestimmen, wie Ihr Computer reagiert, wenn der Yubikey getrennt wird. Scrollen Sie nach unten und suchen Sie nach dem Verhalten zum Entfernen der Smartcard für die interaktive Anmeldung in der Gruppenrichtlinie. Doppelklicken Sie darauf und Sie können diese Richtlinie dann definieren. Standardmäßig gibt es keine Aktion, aber wenn Sie den Schlüssel entfernen, können Sie ihn so einstellen, dass er entweder die Arbeitsstation sperrt, eine Abmeldung erzwingt oder die Verbindung trennt, wenn es sich um eine Remote-Desktop-Sitzung handelt.
Es liegt an der Geschäftsführung, um festzustellen, welche sie bevorzugen würden. Apple keine Aktion und klicken Sie dann auf OK, wenn Sie nichts als solches haben.
Wie erstelle ich eine Zertifikatsvorlage?
Diese Zertifikatsvorlage wird von jedem Benutzer verwendet, um Ihr Yubikey mit einem Authentifizierungszertifikat zu füllen. Gehen Sie dazu folgendermaßen vor:
Gehen Sie zum Befehl „Ausführen“, geben Sie certtmpl.msc ein und klicken Sie auf „OK“. Dadurch wird die Konsole der Zertifikatvorlage aufgerufen. Scrollen Sie nach unten und klicken Sie mit der rechten Maustaste auf Smartcard-Anmeldung. Wählen Sie doppelte Vorlage aus. Es gibt eine ganze Reihe von Änderungen, die wir an dieser Vorlage vornehmen müssen, damit sie funktioniert. Das Wichtigste zuerst, Sie müssen sich die Kompatibilität, die Zertifizierungsstelle und den Zertifikatsempfänger ansehen. Sie müssen sicherstellen, dass sie auf den gleichen Ebenen sind wie Ihr Server und Ihre Workstations. Wenn Sie also einen 2016-oder 2019-Server haben, wählen Sie Server 2016 im Abschnitt Zertifizierungsstelle.
Als Nächstes müssen Sie das Mindestbetriebssystem kennen, das Sie in Ihrem Netzwerk haben. Wenn Sie einen Windows 7-Computer haben, aber alles andere Windows 10 ist, müssen Sie trotzdem Windows 7 auswählen. Wenn alles Windows 10 ist, müssen Sie außerdem Windows 10 auswählen, was Sie als Nächstes tun müssen.
Lesen Sie auch: So installieren Sie Microsoft SQL Server in Windows 11?
Folgen Sie diesen Schritten
Schritt 1: Klicken Sie auf dem sich öffnenden Bildschirm auf OK. Schritt 2: Klicken Sie auf die Registerkarte Allgemein. Schritt 3: Dort müssen Sie den Namen der Vorlage eingeben. In diesem Fall nennen Sie es beispielsweise Yubikey. Sie sehen die Gültigkeitsdauer von einem Jahr und die Verlängerungsfrist von sechs Wochen. Beide dürfen so bleiben, wie sie sind. Schritt 4: Als nächstes müssen Sie das Kästchen neben ankreuzen, um das Zertifikat im Active Directory zu veröffentlichen. Registrieren Sie sich auch nicht automatisch erneut, wenn ein doppeltes Zertifikat im Active Directory vorhanden ist. Schritt 5: Tippen Sie auf die Schaltfläche „Anwenden“. Schritt 6: Klicken Sie auf die Registerkarte Anfragebearbeitung und behalten Sie den Verwendungszweck und die Signatur sowie die Verschlüsselung bei. Kreuzen Sie das Kästchen an, das vom Subjekt erlaubte symmetrische Algorithmen enthält. Schritt 7: Aktivieren Sie das Kontrollkästchen für die automatische Erneuerung von Smartcard-Zertifikaten. Schritt 8: Verwenden Sie außerdem den vorhandenen Schlüssel, wenn kein neuer Schlüssel erstellt werden kann. Ändern Sie das Optionsfeld so, dass der Benutzer während der Registrierung aufgefordert wird, und tippen Sie auf Anwenden. Schritt 9: Wechseln Sie zur Registerkarte „Kryptographie“ und aktualisieren Sie die Anbieterkategorie auf den Schlüsselspeicheranbieter. Ändern Sie den Algorithmusnamen in ecdhp384 und klicken Sie auf die Optionsschaltfläche Anfragen. Schritt 10: Aktivieren Sie den Microsoft-Smartcard-Schlüsselspeicheranbieter mit einem Anforderungs-Hash von sha256 und klicken Sie auf die Schaltfläche „Anwenden“.
Jetzt müssen Sie auf der Registerkarte Sicherheit den Benutzer oder die Gruppe hinzufügen, für die dieses Zertifikat gelten soll. In diesem Fall sind es alle Benutzer im Netzwerk oder Domänenbenutzer. Sie können Domänenbenutzer hinzufügen, auf Namen überprüfen klicken, um sicherzustellen, dass sie richtig geschrieben sind, und dann auf OK tippen.
Klicken Sie außerdem auf Domänenbenutzer, und jetzt müssen Sie die Berechtigungen für diese Benutzer festlegen. Sie müssen auch sicherstellen, dass Sie das Häkchen in der Spalte „Zulassen“ und so für die Anmeldung und automatische Neuanmeldung gelesen haben.
Folgen Sie diesen Schritten
Sobald dies erledigt ist, können Sie auf „Anwenden“ klicken und dann ok. Jetzt haben Sie erfolgreich die Vorlage eingerichtet, die Sie mit Yubikey verwenden werden. Darüber hinaus gibt es ein paar zusätzliche Einstellungen, die Sie ändern müssen. Klicken Sie mit der rechten Maustaste auf die Startschaltfläche und gehen Sie zum Befehl „Ausführen“. Geben Sie certsrv.msc ein und drücken Sie die Eingabetaste. Sie müssen die Zertifikatvorlage zur Zertifizierungsstelle hinzufügen. Gehen Sie dazu auf die Zertifikatsvorlage unter dem Servernamen. Klicken Sie mit der rechten Maustaste auf den Leerraum und wählen Sie die neue Zertifikatsvorlage aus, die ausgestellt werden soll. Scrollen Sie nach unten zu Yubikey, wählen Sie es aus und klicken Sie auf OK.
Sie sollten sehen können, dass es oben im Abschnitt mit der Zertifikatsvorlage hinzugefügt wurde. Und je nachdem, wie komplex Ihr Netzwerk ist, kann es bis zu acht Stunden dauern, bis es in Ihrem Netzwerk aufgefüllt ist. Die meisten Netzwerke werden jedoch sofort aktualisiert. Danach müssen Sie vier weitere Gruppenrichtlinien aktualisieren.
Gehen Sie zur Eingabeaufforderung
Gehen Sie erneut zum Befehl „Ausführen“ und geben Sie gpmmc.msc ein, um die Gruppenrichtlinienverwaltung zu öffnen. Unter der Domäne sollten Sie Ihre Yubikey-Gruppenrichtlinie sehen. Klicken Sie mit der rechten Maustaste darauf und wählen Sie Bearbeiten. Gehen Sie in der Computerkonfiguration zu Richtlinien, Windows-Einstellungen, Sicherheitseinstellungen und Richtlinien für öffentliche Schlüssel und klicken Sie darauf. Klicken Sie außerdem mit der rechten Maustaste auf die automatische Registrierung des Zertifikatdienstclients und klicken Sie auf Eigenschaften. Ändern Sie das Konfigurationsmodell in aktiviert. Aktivieren Sie die Kästchen neben abgelaufenen Zertifikaten erneuern und Zertifikate aktualisieren, die Zertifikatvorlagen verwenden.
Tippen Sie auf OK und klicken Sie mit der rechten Maustaste auf Client für Zertifikatsdienste, Zertifikatregistrierungsrichtlinie und klicken Sie auf Eigenschaften. Ändern Sie das Konfigurationsmodell erneut auf aktiviert und klicken Sie dann auf OK. Jetzt müssen Sie dieselben Richtlinien unter Benutzerkonfiguration aktualisieren. Gehen Sie zu Richtlinien, Windows-Einstellungen und Sicherheitseinstellungen und klicken Sie auf Richtlinien für öffentliche Schlüssel. Klicken Sie außerdem mit der rechten Maustaste auf Zertifikatdienstclient, Zertifikatregistrierungsrichtlinie und klicken Sie auf Eigenschaften. Ändern Sie das Konfigurationsmodell auf „Aktiviert“ und klicken Sie auf „OK“.
Klicken Sie mit der rechten Maustaste auf „Automatische Registrierung des Zertifikatdienstclients“ und klicken Sie dann auf „Eigenschaften“. Ändern Sie das Konfigurationsmodell auf aktiviert und setzen Sie wie beim letzten Mal Häkchen in die Kästchen. Erneuern Sie als Nächstes abgelaufene Zertifikate und aktualisieren Sie Zertifikate, die Zertifikatvorlagen verwenden. Und klicken Sie auf OK, um es zu speichern. Endlich wurden die Gruppenrichtlinien aktualisiert.
Wie führe ich ein Gruppenrichtlinien-Update durch?
Klicken Sie dazu mit der rechten Maustaste auf den Start-Button. Gehen Sie zu PowerShell Admin und geben Sie den Befehl gpupdate/force ein und drücken Sie die Eingabetaste. Sobald die Gruppenrichtlinie aktualisiert ist, können Sie zur Arbeitsstation gehen, um das Yubikey zu aktualisieren. Auf der Windows 11-Workstation erhalten Sie möglicherweise bis zum Zeitpunkt ein Symbol, das wie ein Zertifikat aussieht. Wenn Sie darauf klicken, sollte der Registrierungsassistent gestartet werden. Wenn das Zertifikat jedoch nicht vorhanden ist, müssen Sie den Befehl manuell ausführen. Öffnen Sie das Windows-Terminal oder die Eingabeaufforderung und geben Sie den Befehl certreq-enroll Yubikey ein. Dadurch wird nun ein Assistent gestartet, mit dem Sie mithilfe der zuvor erstellten Yubikey-Vorlage ein Zertifikat auf Ihrem Yubikey ablegen können. Klicken Sie außerdem auf dem Assistentenbildschirm auf Weiter und dann auf Registrieren. Sie haben den Yubikey nun eingesteckt und werden aufgefordert, die PIN des Yubikey einzugeben. Geben Sie die PIN ein und Ihr Zertifikat wird auf dem Yubikey registriert. Klicken Sie auf Fertig stellen. Der aktuelle Benutzer kann sich jetzt mit diesem Yubikey bei der Windows-Domäne anmelden. Melden Sie sich ab und klicken Sie dann auf dem Anmeldebildschirm auf die Anmeldeoption und wählen Sie eine Smartcard aus. Sie werden sehen, dass es Ihre Zugangsdaten von der Smartcard gelesen hat. Geben Sie Ihre PIN ein und klicken Sie auf Anmelden. Keine Notwendigkeit, ein Passwort einzugeben oder Yubikeys sich für alle Benutzer anzumelden, mit Ausnahme der registrierten. Wenn Sie zurückgehen, um sich mit einem anderen Benutzer wie dem Administrator des Netzwerks anzumelden, können Sie das Passwort eingeben und es wird Ihnen erlauben, sich anzumelden.
Wie erzwinge ich die Anmeldung von Yubikey für diesen Benutzer?
Los zurück zum Server. Im Server-Manager gehen Sie zu Active Directory-Benutzern und-Computern. Sie müssen den Benutzer per Doppelklick auswählen. Gehen Sie zum Konto-Tab. Und in den Kontooptionen ist das Setzen eines Häkchens neben der Smartcard für die interaktive Anmeldung erforderlich. Klicken Sie auf Okay. Zurück auf der Workstation, wenn Sie versuchen, das Passwort des Cyber-Informanten einzugeben, wird es abgelehnt. Es wird eine Meldung angezeigt, die Sie darüber informiert, dass Sie Windows Hello oder eine Smartcard verwenden müssen, um sich anzumelden. Stecken Sie die Smartcard ein und klicken Sie dann auf die Smartcard-Schaltfläche. Jetzt können Sie die PIN eingeben und Sie werden angemeldet.
Yubikey-Manager
Das ist alles, was mit der Einrichtung von Yubikey zu tun hat, aber schauen wir uns an, was tatsächlich auf dem Yubikey ist. Gehen Sie zur Startschaltfläche und geben Sie Yubikey Manager ein. Klicken Sie auf Yubikey-Manager und es öffnet sich der Yubikey-Manager-Bildschirm. Wenn Sie den Schlüssel einstecken, können Sie den Yubikey sehen, den Sie eingesteckt haben. Gehen Sie zu Anwendungen und wählen Sie PIV aus.
Auf dem Bildschirm können Sie Pins unter der Pin-Verwaltung konfigurieren. Sie können die PIN ändern, den Verwaltungsschlüssel ändern und die geladenen Zertifikate sehen, wenn Sie dort hineingehen. Außerdem können Sie den Sicherheitsserver CA Cyber informer sehen. Das ist das Zertifikat auf dem Schlüssel und das ermöglicht Ihnen den Zugang zum Anmeldefenster. Außerdem sehen Sie weitere Slots für verschiedene Zertifikatstypen.
Sie können auch den PIV zurücksetzen. Setzen Sie alles auf die Werkseinstellungen zurück, wenn Sie möchten, und schließlich können Sie unter Schnittstellen sehen, dass es USB und NFC hat. Sie können die verschiedenen Arten der Authentifizierung basierend auf dem Verbindungstyp USB oder NFC ein-und ausschalten. In Ihrem Fall können Sie sie alle eingeschaltet lassen, ohne etwas zu leugnen. Und damit endet eine exemplarische Vorgehensweise für Yubikey in Domänennetzwerken.
Schlussfolgerung
Zusammenfassend gibt es einige wichtige Punkte, die Sie berücksichtigen können. Erstens kann dies schwierig sein. Wenn Sie es jedoch einmal konfigurieren können, bietet es kugelsichere Sicherheit für Domänennetzwerke. Yubikey bringt Sicherheit auf Unternehmensniveau in Ihr kleines oder mittleres Unternehmen. Das Zertifikatsmanagement muss während der Implementierung berücksichtigt und geplant werden. Für Administratoren ist es komplex, aber für die Endbenutzer könnte eine sichere Anmeldung nicht einfacher sein. Die mehrstufige Authentifizierung in Domänennetzwerken kann komplex und teuer sein. Im Vergleich zu diesen teuren Systemen macht Yubiey die Infrastruktur billig und einfach, indem es Zertifikatsdienste verwendet, die bereits in Windows verfügbar sind.