Implementierung der Zwei-Faktor-Authentifizierung (2FA) mit multiOTP unter Windows
Die Einrichtung der Zwei-Faktor-Authentifizierung (2FA) unter Windows, insbesondere in einer Domänenumgebung, kann etwas knifflig sein. Windows fordert zwar manchmal ein Passwort an, die wirkliche Sicherheitsverbesserung erzielt man jedoch mit einem Einmalpasswort (OTP).Diese Anleitung beschreibt die Bereitstellung von multiOTP, einem kostenlosen Open-Source-Toolkit, das die Integration von 2FA in Windows-Domänen (und sogar RDP-Sitzungen) deutlich vereinfacht. Ungewöhnlich: Es funktioniert auch offline, sodass nach der Konfiguration keine Internetverbindung mehr erforderlich ist. Das ist ein großer Vorteil in Umgebungen mit eingeschränkter Internetverbindung oder hohen Sicherheitsanforderungen. Es geht nicht nur um eine sicherere Anmeldung, sondern auch um zusätzliche Optionen – wie die Hinzufügung von OTP für den RDP-Zugriff oder lokale Anmeldungen. Sie erhalten QR-Codes, Apps wie Google Authenticator und eine Möglichkeit, die Identität der Benutzer vor dem Zugriff zu überprüfen. Der Haken? Sie müssen einige Konfigurationen in Active Directory vornehmen, Servereinstellungen anpassen und den CredentialProvider auf jeder Workstation installieren. Keine Raketenwissenschaft, aber auch keine Sache von einem Klick. Lasst uns den Prozess Schritt für Schritt durchgehen.
So beheben oder verbessern Sie die Zwei-Faktor-Authentifizierung mit Multi-OTP unter Windows
Installation von multiOTP und Einrichtung der Benutzersynchronisierung
Zunächst benötigen Sie multiOTP auf einem Windows Server – idealerweise Windows Server 2019 oder neuer. Sie können es auf einem dedizierten Server oder in einer virtuellen Maschine (VM) ausführen (was unter Umständen übersichtlicher ist).Docker wird ebenfalls unterstützt, falls Sie dies bevorzugen. Für eine einfachere Installation ist die native Ausführung jedoch ausreichend.Wozu ist es nützlich? Sie benötigen eine Authentifizierungsquelle. MultiOTP kann direkt mit Active Directory synchronisiert werden. Dadurch müssen sich Benutzer keine neuen Anmeldedaten aneignen, und es besteht keine zusätzliche Abhängigkeit von der Cloud. Außerdem können Sie QR-Codes für jeden Benutzer generieren und verwalten, wer mit OTP geschützt ist.Wann ist es sinnvoll? Bei der Ersteinrichtung oder wenn sich Ihre Benutzerbasis ändert (z. B.neue Benutzer im VPN).Es sind einige Befehlszeilen-Eingaben erforderlich, die jedoch unkompliziert sind, sobald Sie den Ablauf verstanden haben.Die praktischen Schritte: – Laden Sie das neueste multiOTP-Archiv von [der offiziellen Website](https://download.multiotp.net/) herunter.- Entpacken Sie den Ordner `windows` auf ein lokales Laufwerk, z. B.`C:\MultiOTP`.- Öffnen Sie eine Eingabeaufforderung als Administrator in diesem Verzeichnis (`CD C:\MultiOTP\windows`).- Konfigurieren Sie die LDAP-Einstellungen für die Synchronisierung mit Active Directory mithilfe von Befehlen wie: bash multiotp -config default-request-prefix-pin=0 multiotp -config ldap-server-type=1 # LDAP-Servertyp 1 für AD multiotp -config ldap-cn-identifier=“sAMAccountName“ multiotp -config ldap-group-cn-identifier=“sAMAccountName“ multiotp -config ldap-group-attribute=“memberOf“ multiotp -config ldap-ssl=0 # SSL deaktivieren, falls noch nicht konfiguriert multiotp -config ldap-port=389 – Geben Sie Ihren Domänencontroller an (ersetzen Sie <Domänencontroller-ID> durch Ihre tatsächliche IP-Adresse).oder DNS): bash multiotp -config ldap-domain-controllers=your_dc_server multiotp -config ldap-base-dn=“DC=woshub, DC=com“ – Für die Bindung (Authentifizierung bei LDAP) führen Sie Folgendes aus: bash multiotp -config ldap-bind-dn=“CN=multiotp_srv, OU=ServiceAccounts, OU=Munich, DC=woshub, DC=com“ multiotp -config ldap-server-password=“your_password“ – Teilen Sie multiOTP mit, für welche Benutzergruppe OTP erzwungen werden soll: bash multiotp -config ldap-in-group=“2FAVPNUsers“ – Legen Sie ein gemeinsames Geheimnis für die Serververschlüsselung fest: bash multiotp -config server-secret=YourSecretKeyHere – Benutzer synchronisieren: bash multiotp -debug -display-log -ldap-users-sync > Tipp: Wenn bei einer Konfiguration nicht alle Benutzer auf Anhieb gefunden werden, Führen Sie die Synchronisierung später erneut aus. Manchmal dauert die LDAP-Synchronisierung einen Moment.– Um die Synchronisierung zukünftig zu automatisieren, richten Sie eine geplante Aufgabe mit folgendem Befehl ein: `bash multiotp -debug -display-log -ldap-users-sync` – Starten Sie außerdem die Weboberfläche für eine einfachere Verwaltung: `bash webservice_install.cmd` und rufen Sie anschließend [http://127.0.0.1:8112/](http://127.0.0.1:8112/) mit den Standardanmeldeinformationen (admin / 1234) auf. Sie haben die Änderung doch angegeben, oder?
So richten Sie QR-Codes und Benutzer-Apps ein
Sobald multiOTP eingerichtet und betriebsbereit ist, rufen Sie das Web-Dashboard auf. Wählen Sie in der Benutzerliste einen Benutzer aus und klicken Sie auf „Drucken“ oder generieren Sie einen QR-Code. Scannen Sie diesen mit Google Authenticator oder Microsoft Authenticator auf dem Smartphone des Benutzers – fertig, schon hat er ein verknüpftes OTP-Gerät.Warum es hilfreich ist: Keine gestohlenen oder erratenen Passwörter mehr; ein neuer Code alle 30 Sekunden macht Brute-Force-Angriffe nahezu unmöglich.Wann es angewendet wird: Beim Onboarding neuer Benutzer oder beim Aktualisieren bestehender Benutzer – Passwörter müssen nicht zurückgesetzt werden, einfach OTP hinzufügen.Erwartetes Ergebnis: Benutzer können OTPs generieren und erhalten so eine zusätzliche Sicherheitsebene für ihre Anmeldeprozesse.
Installation von multiOTP CredentialProvider unter Windows für RDP- oder lokale Anmeldungen
Als Nächstes: Aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA) auf Windows-Rechnern. Laden Sie den CredentialProvider von [GitHub](https://github.com/multiOTP/multiOTPCredentialProvider/releases) herunter. Die aktuellste Version ist 5.9.2.1.Warum es hilft: Ohne 2FA geben Benutzer lediglich Benutzername und Passwort ein – die Hinzufügung eines Einmalpassworts (OTP) erschwert Brute-Force-Angriffe erheblich.Wann ist es sinnvoll: Für RDP-Anmeldungen oder den Zugriff auf die lokale Konsole, insbesondere bei sensiblen Servern.Praktische Schritte: – Führen Sie das Installationsprogramm als Administrator aus.- Geben Sie während der Installation die IP-Adresse Ihres MultiOTP-Servers an (den Sie bereits eingerichtet haben).- Geben Sie unter Mit MultiOTP-Server geteiltes Geheimnis Ihr Servergeheimnis ein.- Wählen Sie aus, ob OTP nur für RDP oder auch für lokale Anmeldungen erforderlich ist.- Öffnen Sie den Firewall-Port „TCP 8112“ in der Windows-Firewall auf Server- und Clientseite: PowerShell-Befehl: New-NetFirewallRule -DisplayName „AllowMultiOTP“ -Direction Inbound -Protocol TCP -LocalPort 8112 -Action Allow – Starten Sie nach der Installation Ihren Server neu. Beim Versuch, eine RDP-Verbindung herzustellen, werden Sie zur Eingabe Ihres OTP aufgefordert – es funktioniert! > Hinweis: Wenn Sie die Netzwerkauthentifizierung (NLA) auf einem Server deaktivieren, ändern sich die Anmeldeaufforderungen, der OTP-Schritt ist jedoch weiterhin erforderlich.
Zusammenfassung
- MultiOTP herunterladen und auf dem Windows Server einrichten
- Konfigurieren Sie die LDAP-Synchronisierung mit AD, erstellen Sie Benutzergruppen und generieren Sie QR-Codes.
- Installieren Sie den CredentialProvider auf Windows-Desktops und -Servern.
- Öffnen Sie die erforderlichen Firewall-Ports.
- Testen Sie die OTP-Anmeldung, passen Sie die Einstellungen an und führen Sie die Funktion dann auf anderen Rechnern aus.
Zusammenfassung
Die Einrichtung von 2FA mit Multi-OTP unter Windows ist durchaus machbar, erfordert jedoch etwas Vorkonfiguration und Tests. Nach der Konfiguration erhöht sie die Sicherheit deutlich, insbesondere bei RDP- und sensiblen Anmeldungen. Wichtig ist die Synchronisierung der Zeit innerhalb Ihrer Domäne, da OTPs auf präzisen Uhren basieren. Die Einrichtung mag etwas umständlich erscheinen – Installation mehrerer Komponenten, LDAP-Konfiguration, QR-Code-Erfassung –, aber der Aufwand lohnt sich. Bei einer Einrichtung gab es zunächst Probleme, doch nach einem Neustart und der Anpassung einiger Firewall-Regeln funktionierte alles reibungslos. Windows macht es einem manchmal unnötig schwer, aber mit etwas Geduld klappt es. Hoffentlich spart Ihnen diese Information einige Stunden bei der Einrichtung von 2FA ohne Cloud-Lösungen von Drittanbietern. Ich drücke Ihnen die Daumen!