如果您的網絡正在運行域,或者您正在運行 Windows 服務器,則您可能被配置為域。我將向您展示如何配置 Windows 服務器和工作站以使用 Yubikey 安全登錄。所以,準備好你的螺旋槳帽,因為這會有點技術性。
什麼是 Yubikey?
如果你不知道 Yubikey 是什麼,它是一個可以插入手機閃電適配器的小硬件。或者插入計算機上的 USB-C 端口,或其他類型計算機上的普通舊 USB 端口。您將其用於第二因素身份驗證。因此,當您登錄網站時,輸入您的用戶名和插入 Yubikey 的密碼,然後您通常會點擊那裡的連接器。它是 Yubikey 側面的一小塊銅。它會提示 Yubikey 生成一次性密碼並將其輸入該系統上的雙因素字段。
個人身份驗證又名 PIV 卡
Windows 和 mac 使用個人身份用於智能卡驗證的驗證或 PIV 卡標準以登錄 Windows 操作系統。 PIV 使用安全證書來證明您的身份。嘗試和猜測密鑰在數學上是安全的並且在計算上是不可行的。因此,它們是身份驗證的首選方法。此外,美國聯邦政府使用 PIV 訪問聯邦控制的設施和信息系統。
由於我們將登錄到 Windows 域,因此我們將看到如何在服務器和工作站上配置證書。 Yubikey PIV 是用戶證書的安全存儲。
警告:這不適合膽小的人。它需要配置服務器和工作站。此外,它需要在到期時間後更新證書,如果沒有計劃,可能會導致整個組織停機。
您需要什麼?
此配置需要一組特定的Yubikeys 類似於 Yubikey 5 FIPS 系列。您需要確保您的服務器和工作站都支持 Yubikeys。根據經驗,您必須在服務器上運行 Windows Server 2012 R2 或更高版本,並在工作站上運行 Windows 8 或更高版本。所有使用密鑰的計算機都需要安裝 Yubikey 迷你驅動程序。如果在遠程桌面環境中使用,則必須在源或客戶端以及目標或服務器上安裝迷你驅動程序。
此配置中有很多問題。如警告部分所述,證書會過期。默認情況下,根證書在五年後到期。同樣默認情況下,用戶證書在一年後到期。默認情況下,用戶證書會在到期前六周自動續訂。 Yubikey使用的電腦必須在網絡上才能更新證書。
換句話說,如果你有一台在辦公室使用並帶回家的筆記本電腦,在家裡就會出現更新提示。除非連接到 VPN 或在辦公室的網絡上,否則無法在 Yubikey 上更新證書。不更新證書將意味著用戶將被鎖定。最大的問題可能是根證書未續訂,這意味著一旦證書過期,整個組織將被鎖定。
另請閱讀:如何安裝 Windows Server 2016?
為 Yubikey 更新證書
記下這些到期日期非常重要,以確保設置提醒以確保在到期時順利過渡。大多數人不會記住即將過期的五年鑰匙。因此,管理這些很重要。此外,遠程桌面需要在服務器上對微型驅動程序進行特殊配置。不得為網絡級身份驗證啟用遠程桌面連接,否則連接將失敗。
這背後有一個涉及 Kerberos 票證的技術原因,但這超出了此處討論的範圍。只要知道對話框中的選項配置網絡級身份驗證需要取消勾選,如果你想使用遠程桌面連接到該工作站或服務器。使用 Yubikey 管理 hyper-v 服務器只能通過第 2 代服務器完成,必須在來賓服務器上啟用增強會話模式才能通過 USB。
當連接到服務器時,將本地資源設置為通過智能牌。我們將從頭開始配置服務器和工作站以支持 Yubikey 的登錄。很難。雖然此博客告訴您如何輕鬆配置服務器,但對此類系統的支持可能會超出一些沒有數字證書經驗的 IT 專業人員的頭腦。
另請閱讀:[已修復] WindowServer 在升級後崩潰To macOS Ventura
如何在域網絡上設置Yubikey?
換句話說,在有服務器的網絡上。首先,您需要在域控制器或成員服務器上安裝證書服務角色。您可以通過服務器管理器儀表板執行此操作,並添加活動目錄證書服務角色。然後點擊下一步幾次,確保證書頒發機構被勾選,然後點擊下一步。此外,單擊安裝。等待它安裝,因為有時您需要重新啟動服務器,有時則不需要。
因此請做好準備,因為您可能需要重新啟動。安裝可能需要幾分鐘時間。完成後,點擊目標服務器上的配置活動目錄證書服務。輸入登錄憑據,通常只是您必須點擊下一步的管理員帳戶。確保勾選證書頒發機構複選框,然後單擊下一步。確保它是企業 CA,然後單擊下一步。此外,選擇 Root CA 並單擊下一步。在下一個對話框中,新的私鑰就可以了,所以你會點擊下一步。
你可以在下一張幻燈片中接受默認值,點擊下一步,保留默認名稱,然後再次點擊下一步。有效期保持五年即可,點擊下一步。日誌的默認位置也很好,然後單擊下一步。最後,點擊配置。默認情況下,Windows 無法識別您剛剛創建的安全密鑰格式。為此,您需要更新組策略以允許您使用橢圓曲線加密證書。
另請閱讀:Outlook 未連接到服務器 Windows 11 的 9 個修復
為此:
第 1 步:打開組策略編輯器。第 2 步:您必須為 Yubikey 創建一個新的 GPO。右鍵單擊該域並選擇“在此域中創建一個 GPO,並將其鏈接到此處……”。第 3 步:您可以給它起任何名字,例如 Yubikey,然後單擊“確定”。第 4 步:編輯新的組策略對象。右鍵單擊它並選擇編輯。現在您需要更新組策略以允許在計算機配置下使用橢圓曲線證書。第 5 步:轉到策略、管理模板、Windows 組件和智能卡,並通過單擊允許將 ecc 證書用於登錄和身份驗證來啟用組策略。第六步:點擊確定。您可以等待組策略更新,也可以強制更新組策略。點擊強制組策略更新後,點擊是允許應用程序進行更改。第 7 步:進入 power shell 並使用命令 gpupdate/force 就可以進入服務器了。第 8 步:您可以使用 rsop.msc 命令檢查以確保此組策略已更新。這會為您提供生成的一組策略屏幕。您現在可以從此屏幕確認該策略已啟用。它將顯示為此用戶或計算機啟用的所有策略。第 9 步:您所要做的就是找到您感興趣的策略,這個策略將位於計算機配置管理模板、Windows 組件和智能卡下。第 10 步:接下來您將能夠看到設置已啟用,並且它位於 Yubikey 下命名的 GPO 下,這正是您必須放置它的地方。
關閉屏幕
現在回到組策略,Windows 設置、安全設置、本地策略和安全選項下還有一個部分。您可以設置一個組策略來確定您的計算機如何響應 Yubikey 被拔掉。向下滾動並找到組策略交互式登錄智能卡刪除行為。雙擊它,然後您可以定義此策略。默認情況下,沒有任何操作,但如果您刪除密鑰,您可以將其設置為鎖定工作站、強制註銷或斷開連接(如果是遠程桌面會話)。
這取決於業務管理來確定他們更喜歡哪一個。 Apple 不執行任何操作,如果您沒有這樣的東西,請單擊“確定”。
如何創建證書模板?
每個用戶將使用此證書模板將身份驗證證書填充到您的 Yubikey。為此,請按照下列步驟操作:
轉到運行命令並輸入 certtmpl.msc 並點擊確定。這將打開證書模板的控制台。向下滾動並右鍵單擊智能卡登錄。選擇複製模板。我們需要對該模板進行大量更改才能使其正常工作。首先,您需要查看兼容性、證書頒發機構和證書接收者。您需要確保它們與您的服務器和工作站處於同一級別,因此如果您選擇的是 2016 年或 2019 年服務器,請在證書頒發機構部分選擇服務器 2016。
接下來,您需要了解網絡上的最低操作系統。如果你有一台 Windows 7 機器,但其他一切都是 Windows 10,你仍然需要選擇 Windows 7。此外,如果一切都是 Windows 10,你必須選擇 Windows 10,這是你接下來要做的。
另請閱讀:如何在 Windows 11 中安裝 Microsoft SQL Server?
按照這些步驟操作
第 1 步:在彈出的屏幕上單擊確定。第 2 步:單擊常規選項卡。第 3 步:在那裡您必須輸入模板的名稱。例如,在本例中,您要將其命名為 Yubikey。您將能夠看到一年的有效期和六週的續訂期。他們都可以保持原樣。第 4 步:接下來,您需要勾選旁邊的框以在活動目錄中發布證書。此外,如果活動目錄中存在重複的證書,請不要自動重新註冊。第 5 步:點擊應用按鈕。第六步:點擊請求處理選項卡,保留目的和簽名以及加密。勾選方框包括主題允許的對稱算法。第 7 步:勾選自動更新智能卡證書的方框。步驟 8:此外,如果無法創建新密鑰,則使用現有密鑰。更改單選按鈕以在註冊期間提示用戶並點擊應用。第 9 步:轉到加密選項卡並將提供程序類別更新為密鑰存儲提供程序。將算法名稱更改為 ecdhp384 並點擊單選按鈕請求。第 10 步:使用 sha256 的請求哈希啟用 Microsoft 智能卡密鑰存儲提供程序,然後單擊應用按鈕。
現在在安全選項卡中,您必須添加此證書將要應用的用戶或組。在這種情況下,它將是網絡中的所有用戶或域用戶。您可以添加域用戶,單擊檢查名稱以確保其拼寫正確,然後點擊確定。
此外,點擊域用戶,現在需要為這些用戶設置權限。您還需要確保您已閱讀允許列中標記的勾號,以便註冊和自動重新註冊。
按照這些步驟操作
完成此操作後,您可以單擊應用然後好吧。現在您已經成功設置了將與 Yubikey 一起使用的模板。此外,您還需要更改一些其他設置。右鍵單擊開始按鈕並轉到運行命令。鍵入 certsrv.msc 並按回車鍵。您需要將證書模板添加到證書頒發機構。為此,請轉到服務器名稱下的證書模板。右鍵單擊空白處並選擇要頒發的新證書模板。向下滾動到 Yubikey,選擇它,然後單擊確定。
您應該能夠看到它已添加到證書模板部分的頂部。根據網絡的複雜程度,填充整個網絡最多可能需要八個小時。但是,大多數網絡會立即更新。在此之後,您還需要更新四個組策略。
轉到命令提示符
再次轉到運行命令並鍵入 gpmmc.msc 以打開組策略管理.在域下,您應該會看到您的 Yubikey 組策略。右鍵單擊它並選擇編輯。在計算機配置中,轉到策略、Windows 設置、安全設置和公鑰策略,然後單擊它。此外,右鍵單擊證書服務客戶端自動註冊並單擊屬性。將配置模型更改為已啟用。勾選更新過期證書和更新使用證書模板的證書旁邊的框。
點擊確定並右鍵單擊證書服務客戶端、證書註冊策略,然後單擊屬性。再次將配置模型更改為已啟用,然後單擊確定。現在您必須在用戶配置下更新相同的策略。轉到策略、Windows 設置和安全設置,然後單擊公鑰策略。此外,右鍵單擊證書服務客戶端、證書註冊策略,然後單擊屬性。將配置模型更改為已啟用並單擊確定。
右鍵單擊證書服務客戶端自動註冊,然後單擊屬性。將配置模型更改為已啟用,並像上次一樣在框中打勾。接下來,更新過期的證書並更新使用證書模板的證書。然後點擊確定保存。最後,組策略已更新。
如何更新組策略?
為此,請右鍵單擊開始按鈕。轉到 PowerShell 管理員並輸入命令 gpupdate/force 並按回車鍵。更新組策略後,您可以到工作站更新 Yubikey。在 Windows 11 工作站上,您可能會看到一個看起來像證書的圖標。如果單擊它,它應該會啟動註冊嚮導。但是,如果證書不存在,您需要手動運行該命令。打開 Windows 終端或命令提示符並輸入命令 certreq-enroll Yubikey。這將啟動一個嚮導,允許您使用之前創建的 Yubikey 模板將證書放在 Yubikey 上。此外,在嚮導屏幕上單擊下一步,然後單擊註冊。您現在已插入 Yubikey,它會要求您輸入 Yubikey 的密碼。輸入 pin,它將在 Yubikey 上註冊您的證書。單擊完成。當前用戶現在可以使用該 Yubikey 登錄 Windows 域。註銷,然後在登錄屏幕上單擊登錄選項並選擇智能卡。您會看到它已從智能卡中讀取了您的登錄詳細信息。輸入您的個人識別碼並點擊登錄。除已註冊的用戶外,無需輸入密碼或 Yubikeys 即可登錄所有用戶。如果你回去用另一個用戶登錄,比如網絡管理員,你可以輸入密碼,它會讓你登錄。
如何強制該用戶登錄 Yubikey?
去回到服務器。在服務器管理器中,您轉到活動目錄用戶和計算機。您必須通過雙擊來選擇用戶。轉到帳戶選項卡。在帳戶選項部分,交互式登錄需要在智能卡旁邊打勾。單擊確定。回到工作站,如果您嘗試輸入網絡告密者的密碼,將被拒絕。它將顯示一條消息,告訴您必須使用 Windows hello 或智能卡才能登錄。插入智能卡,然後單擊智能卡按鈕。現在你可以輸入密碼,它會讓你登錄。
Yubikey manager
這就是 Yubikey 的設置,但讓我們看看 Yubikey 上的實際情況。轉到開始按鈕並輸入 Yubikey 管理器。單擊 Yubikey manager,它將打開 Yubikey manager 屏幕。當您插入鑰匙時,您將能夠看到您插入的 Yubikey。轉到應用程序並選擇 PIV。
該屏幕允許您在管腳管理下配置管腳。可以改pin,改管理key,進去就可以看到加載的證書。此外,您還可以看到安全服務器 CA Cyber informer。那是密鑰上的證書,這就是允許您進入登錄窗口的證書。此外,您還可以看到不同類型證書的其他插槽。
您還可以重置 PIV。如果需要,將所有內容重置為出廠默認設置,最後,在接口下,您可以看到它具有 USB 和 NFC。您可以根據 USB 或 NFC 連接類型打開和關閉不同類型的身份驗證。在您的情況下,您可以將它們全部打開而不否認任何東西。 Yubikey 在域網絡上的演練到此結束。
結論
總而言之,有一些關鍵點,您可以考慮。首先,這可能很難。但是,如果您能夠配置一次,它就會為域網絡提供無懈可擊的安全性。 Yubikey 為您的中小型企業帶來企業級安全。在實施過程中需要考慮和規劃證書管理。對於管理員來說,這很複雜,但對於最終用戶來說,安全登錄再簡單不過了。域網絡上的多因素身份驗證可能既複雜又昂貴。與這些昂貴的系統相比,Yubiey 通過使用 Windows 中已有的證書服務使基礎架構變得既便宜又簡單。