Tweefactorauthenticatie (2FA) implementeren met multiOTP op Windows
Het instellen van tweefactorauthenticatie (2FA) op Windows, vooral in een domeinomgeving, kan een behoorlijke uitdaging zijn. Soms vraagt Windows om een wachtwoord, maar de echte beveiligingsverbetering komt met iets als een eenmalig wachtwoord (OTP).Deze handleiding beschrijft hoe je multiOTP implementeert, een gratis, open-source toolkit die het toevoegen van 2FA aan Windows-domeinen (en zelfs RDP-sessies) veel eenvoudiger maakt. Het werkt ook offline, dus er is geen internetverbinding nodig zodra het is geconfigureerd. Dat is een pluspunt als je je in een offline of zeer beveiligde omgeving bevindt. Het gaat niet alleen om het beveiligen van je aanmelding, maar ook om het bieden van opties, zoals het toevoegen van OTP voor RDP-toegang of lokale aanmeldingen. Je krijgt QR-codes, apps zoals Google Authenticator en een manier om te controleren of gebruikers daadwerkelijk zijn wie ze zeggen te zijn voordat ze toegang krijgen. Het addertje onder het gras? Je moet wat configuratie uitvoeren in Active Directory, enkele serverinstellingen aanpassen en de CredentialProvider op elk werkstation installeren. Geen hogere wiskunde, maar zeker geen kwestie van één klik. Laten we het proces stap voor stap doornemen.
Hoe je 2FA met multiOTP in Windows kunt repareren of verbeteren
MultiOTP installeren en gebruikerssynchronisatie instellen
Allereerst heb je multiOTP nodig, geïnstalleerd op een Windows Server – idealiter Windows Server 2019 of nieuwer. Je kunt het op een dedicated server of in een virtuele machine (VM) draaien (wat wellicht overzichtelijker is).Het ondersteunt ook Docker, mocht je daar de voorkeur aan geven, maar voor de eenvoud is een native installatie prima.Waarom het handig is: Je hebt een authenticatiebron nodig. MultiOTP kan rechtstreeks synchroniseren met Active Directory, wat betekent dat gebruikers geen nieuwe inloggegevens hoeven te leren en er geen extra afhankelijkheid van de cloud is. Dit betekent ook dat je QR-codes voor elke gebruiker kunt genereren en kunt beheren wie met OTP is beveiligd.Wanneer het van toepassing is: Tijdens de eerste installatie of wanneer je gebruikersbestand verandert (bijvoorbeeld nieuwe mensen op de VPN).Verwacht wat werk via de commandoregel, maar het is eenvoudig zodra je de workflow begrijpt.De praktische stappen: – Download het nieuwste multiOTP-archief van [hun officiële site](https://download.multiotp.net/) – Pak de map `windows` uit naar een lokale schijf, bijvoorbeeld `C:\MultiOTP` – Open een opdrachtprompt met beheerdersrechten in die map (`CD C:\MultiOTP\windows`) – Configureer de LDAP-instellingen om te synchroniseren met Active Directory met behulp van opdrachten zoals: bash multiotp -config default-request-prefix-pin=0 multiotp -config ldap-server-type=1 # LDAP-servertype 1 voor AD multiotp -config ldap-cn-identifier=”sAMAccountName” multiotp -config ldap-group-cn-identifier=”sAMAccountName” multiotp -config ldap-group-attribute=”memberOf” multiotp -config ldap-ssl=0 # Schakel SSL uit als dit nog niet is geconfigureerd multiotp -config ldap-port=389 – Geef uw domeincontroller op (vervang door uw daadwerkelijke IP-adres of DNS-server): bash multiotp -config ldap-domain-controllers=uw_dc_server multiotp -config ldap-base-dn=”DC=woshub, DC=com” – Voor binding (authenticatie bij LDAP), voer uit: bash multiotp -config ldap-bind-dn=”CN=multiotp_srv, OU=ServiceAccounts, OU=Munich, DC=woshub, DC=com” multiotp -config ldap-server-password=”uw_wachtwoord” – Vertel multiOTP welke groep gebruikers OTP moet krijgen: bash multiotp -config ldap-in-group=”2FAVPNUsers” – Stel een gedeeld geheim in voor de serverversleuteling: bash multiotp -config server-secret=UwGeheimeSleutelHier – Synchroniseer gebruikers: bash multiotp -debug -display-log -ldap-users-sync > Tip: Als Bij één configuratie worden niet alle gebruikers in eerste instantie gevonden; voer de synchronisatie later opnieuw uit. Soms duurt de LDAP-synchronisatie slechts een moment.- Om de synchronisatie in de toekomst te automatiseren, kunt u een geplande taak instellen met dit commando: bash multiotp -debug -display-log -ldap-users-sync – Start ook de webinterface voor eenvoudiger beheer: bash webservice_install.cmd en ga vervolgens naar [http://127.0.0.1:8112/](http://127.0.0.1:8112/) met de standaard inloggegevens (admin / 1234).U hebt aangegeven dat dit gewijzigd moest worden, toch?
Hoe QR-codes en gebruikersapps in te stellen
Zodra multiOTP is ingesteld en actief is, ga je naar het webdashboard. Selecteer iemand in de Lijst met gebruikers en klik op ‘Afdrukken’ of genereer een QR-code. Scan deze met Google Authenticator of Microsoft Authenticator op de telefoon van de gebruiker – en voilà, die gebruiker heeft nu een gekoppeld OTP-apparaat.Waarom dit handig is: Geen gestolen of geraden wachtwoorden meer; een nieuwe code om de 30 seconden maakt brute force-aanvallen vrijwel onmogelijk.Wanneer dit van toepassing is: Bij het toevoegen van een nieuwe gebruiker of het bijwerken van bestaande gebruikers – wachtwoorden hoeven niet opnieuw ingesteld te worden, voeg gewoon OTP toe.Verwacht resultaat: Gebruikers kunnen OTP’s genereren en hebben zo een extra beveiligingslaag voor hun inlogproces.
MultiOTP CredentialProvider installeren op Windows voor RDP- of lokale aanmeldingen
Volgende stap: schakel 2FA in op Windows-machines. Download de CredentialProvider van [GitHub](https://github.com/multiOTP/multiOTPCredentialProvider/releases).De meest recente versie is momenteel 5.9.2.1.Waarom dit helpt: Zonder 2FA hoeven gebruikers alleen een gebruikersnaam en wachtwoord in te voeren. Het toevoegen van een OTP maakt brute-force-aanvallen veel moeilijker.Wanneer dit van toepassing is: Voor RDP-aanmeldingen of toegang tot de lokale console, met name bij gevoelige servers.Praktische stappen: – Voer het installatieprogramma uit als beheerder.- Geef tijdens de installatie het IP-adres van uw multiOTP-server op (die u al hebt ingesteld).- Voer bij Geheim gedeeld met multiOTP-server het geheim van uw server in.- Kies of OTP alleen vereist is voor RDP of ook voor lokale aanmeldingen.- Open poort 8112 (TCP) in de Windows Firewall op zowel de server- als de clientzijde: powershell New-NetFirewallRule -DisplayName “AllowMultiOTP” -Direction Inbound -Protocol TCP -LocalPort 8112 -Action Allow – Start na de installatie uw server opnieuw op. Wanneer u probeert verbinding te maken via RDP, ziet u een scherm waarin om uw OTP wordt gevraagd. Het werkt! > Opmerking: Als u netwerkauthenticatie (NLA) op een server uitschakelt, ziet het aanmeldingsscherm er anders uit, maar de OTP-stap blijft van toepassing.
Samenvatting
- Download en installeer multiOTP op Windows Server.
- Configureer LDAP-synchronisatie met Active Directory, maak gebruikersgroepen aan en genereer QR-codes.
- Installeer de CredentialProvider op Windows-desktops en -servers.
- Open de benodigde firewallpoorten.
- Test de OTP-aanmelding, pas de instellingen aan en rol deze vervolgens uit naar andere computers.
Samenvatting
Het is zeker mogelijk om 2FA met multiOTP werkend te krijgen in een Windows-omgeving, hoewel het wat initiële configuratie en testen vereist. Eenmaal geconfigureerd, verhoogt het de beveiliging aanzienlijk, met name voor RDP en gevoelige aanmeldingen. Houd er rekening mee dat het synchroniseren van de tijd binnen uw domein cruciaal is, omdat OTP’s sterk afhankelijk zijn van nauwkeurige klokken. Dit proces lijkt misschien wat omslachtig – het installeren van meerdere onderdelen, het configureren van LDAP, het verzamelen van QR-codes – maar het is de moeite waard voor de gemoedsrust die het oplevert. Bij één installatie mislukte het de eerste keer, maar na een herstart en het aanpassen van enkele firewallregels werkte alles perfect. Soms maakt Windows het ingewikkelder dan nodig, maar met geduld lukt het. Hopelijk bespaart dit u een paar uur wanneer u 2FA werkend probeert te krijgen zonder afhankelijk te zijn van cloudoplossingen van derden. Ik hoop dat dit helpt.