none
[WIN16] Configurer une Double authentification certificat + identifiant/MDP RRS feed

  • Discussion générale

  • Bonjour ,

    Nous avons besoin pour un référentiel d'appliquer une authentification multi-facteur (MFA) chainée. Actuellement, les utilisateurs du domaine accèdent à leur sesion via le service "Hello" +carte à puce qui contient un certificat, ils composent leur code pin pour accèder à leur session. 

    Nous souhaiterions ajouter à la suite une authentification supplémentaire via [identifiant user+MDP]. Cependant pour modifier la politique d'authentification, j'ai fait des recherches sur internet et la seule solution que j'ai trouvé est de rajouter un serveur avec le rôle AD Federation service (AD FS) qui permet de configurer une stratégie d'authentification à plusieurs facteurs : https://docs.microsoft.com/fr-fr/windows-server/identity/ad-fs/operations/configure-authentication-policies

    Cependant AD FD permet de simplifier l’accès à des applications, que l’on se trouve ou non sur le même réseau (SSO) . Ca m'embete un peu de mettre en place cette solution avec son proxy web alors que je n'ai pas que du multi-facteur..

    Selon vous c'est la seul solution pour faire du multi facteur sur un environnement windows smartcard ( certificat) + identifiant/mdp en restant sur des services microsoft et non tiers ? 

    N'y a t il pas moyen de le faire par GPO simplement?

    Je vous remercie par avance de vos retours d'experience 

    vendredi 13 novembre 2020 08:46

Toutes les réponses

  • Salut,

    Comment son gérés vos postes intune ? La carte à puce remplace les mdp, mdp ne sert à rien, car si vous l'activité ce n'est pas une double authentification que vous allez faire mais une faille de sécurité, vu que le mdp sera enregistré sur le poste, et on peut le changer, puisque le poste peut etre déconnecté du réseau et garde la session en cache, avez vous compris pourquoi Microsoft avait abandonnée cette piste maintenant,


    Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi

    vendredi 13 novembre 2020 08:49
  • Bonjour, merci de votre retour,

    Les postes sont chiffrés et l'accès à la session par certificat ( carte à puce) necessite obligatoirement une connexion au domaine pour vérification de la CRL PKI.

    Le mutli-facteurs avec deux solutions d'authentification chainée avec des mécanismes d’authentification indépendants les uns des autres ne diminue pas mais augemente la sécurité selon moi.

    Le premier facteur (carte à puce certificat vérifié par la CRL ) donne accès au second facteur (nom d’utilisateur/mot de passe vérifié par l'AD) qui donne accès à la sesison utilisateur.

    En gros :

    Authentification carte à puce KO + authentification ldap = No Acces

    Authentification carte à puce OK + authentification ldap KO = No acces

    Authentification carte à puce OK+ authentification ldap OK = Acces  

    Est ce que vous voyez ou je veux en venir?

    Cordialement



    vendredi 13 novembre 2020 09:31
  • Oui je vois ce que vous voulez dire, par contre vous m'avez pas compris.

    Ce n'est pas comme ca que ca se passe, car au moment ou ton poste utilise les mdp, ils seront enregistrés dans le cache.

    Et si on déconnecte le poste du réseau !!! Un utilisateur pourra ouvrir la session, déjà essayé.


    Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi

    vendredi 13 novembre 2020 11:40
  • Pour résumé,

    Si mdp est utilisé, maintenant imaginons que le poste est déconnecté du réseau !!!!! Il peut pas contacter l'ad pour vérifier ton mfa !!! Ok

    Donc comme le mot de passe est en local il ouvrira la session, car le MFA et compagnie seront configuré sur le serveur


    Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi

    vendredi 13 novembre 2020 11:43
  • Bonjour , ok je vois ou vous voulez en venir. 

    Mais dans un premier temps l'authentification par certificat n'est pas enregistré en local ( vu que le certificat est dans la carte à puce) du coup sans cette validation effectué par vérification de la CRL sur les passerelles des par-feu frontaux( par voie externe) ou par la pki ( par voie interne), la seconde authentifcation par MDP/utilsiateur ne vient qu'apres cette authentifcation valide. 

    Vous avez surement raison, je n'est pas énormément d'expérience sur le MFA. 

    En tout cas jai besoin d'implémenter une authentification multifacteur sur des postes pour l'ouverture de session utilisateur. 

    Si on en reviens au post, pour implémenter une authentifaction mulitfacteur avec Microsoft , il faut utiliser ADFS pour l'authentification mulitfacteur session utilsiateur ?  

    lundi 16 novembre 2020 07:57
  • L'utilisation MFA n'est pas implémenté au niveau du poste mais au niveau serveur, si ton poste n'a pas accès au réseau il peut couvrir la session sur seul demande au mot de passe.

    L'authentification mfa ne se fait pas par adfs.

    D'ailleurs quelle est votre solution ? Une clé une carte ? 


    Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi

    lundi 16 novembre 2020 12:26
  • Avec Microsoft tu ne peux le faire qu'avec windows hello, sinon y'a des solutions tierces selon votre budget et temps à accordé

    Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi

    lundi 16 novembre 2020 12:34
  • "Avec Microsoft tu ne peux le faire qu'avec windows hello, sinon y'a des solutions tierces selon votre budget et temps à accordé"

    Merci M dakhama! C'est là ou je souhaitez avoir des renseigenement  savoir si au final microsoft parle biais de FDS ou autre  permetté d'effectué une authentification à plusieurs facteurs chainés?

    En fait je cherche des solutions tout en restant dans un environnement microsoft hebergé sur site "on premises" et non hybride comme Azur AD...


    • Modifié Cu8itus lundi 16 novembre 2020 13:19
    lundi 16 novembre 2020 12:56
  • Non ADFS ne permet pas de faire du MFA, il te permet seulement de fiare du SSO.

    Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi

    lundi 16 novembre 2020 16:03