Duo Security

---

Voraussetzungen: Die Verwaltungsrollen Eigentümer, Administrator oder Anwendungsmanager in Duo Security erforderlich.

1. Melden Sie sich bei Specops Authentication Web an: https://login.specopssoft.com/authentication/admin
2. Wählen Sie in der linken Seitenleiste Identitätsdienste und dann Duo Security aus.
3. Wählen Sie Aktivieren und dann im Popup-Fenster erneut Aktivieren aus. Dadurch wird der Dienst für die Verwendung in Specops-Diensten verfügbar.
4. Melden Sie sich beim Duo Security-Admin-Panel an.
5. Wählen Sie in der linken Seitenleiste Anwendungen aus und dort Eine Anwendung schützen.
6. Auf der nächsten Seite finden Sie eine Liste der verschiedenen Arten von Diensten, die in Duo Security integriert werden können. Suchen Sie in der Liste nach Web-SDK und wählen Sie Diese Anwendung schützen.
7. Legen Sie eine Richtlinie für die Anwendung fest, indem Sie eine vorhandene Richtlinie anpassen oder eine neue erstellen.
   HINWEIS

   Der Punkt Neubenutzerrichtlinie sollte auf Registrierung erforderlich gesetzt werden. Mit Zugriff ohne 2FA zulassen können Benutzer Duo Security ohne Authentifizierung umgehen. Zugriff verweigern blockiert die Authentifizierung von Benutzern mit Duo Security.
   HINWEIS

   Der Punkt Gruppenzugangsrichtlinie sollte auf Keine Aktion gesetzt werden. Wie bei Neubenutzerrichtlinie ist eine Einstellung auf Zugriff ohne 2FA zulassen oder Zugriff verweigern nicht möglich.
8. Konfigurieren Sie die Einstellungen und geben Sie ihr einen Namen.
9. Wählen Sie Speichern.
10. Kopieren Sie im Abschnitt Details den Integrationsschlüssel, den geheimen Schlüssel und den API-Hostnamen in die entsprechenden Felder unter Specops Authentication Client.
    HINWEIS

    Das Feld Attributname kann leer gelassen werden, um das Standardattribut von Active Directory (sAMAccountName) zu nutzen, es sei denn, Sie müssen ein anderes AD-Attribut verwenden.
11. Wählen Sie Verbindung testen. Wenn die Verbindung erfolgreich war, erscheint eine Meldung mit dem Wortlaut Verbindungstest erfolgreich
12. Wählen Sie Speichern.

So fügen Sie Duo Security zu Ihrer Richtlinie hinzu:

1. Wählen Sie in der linken Seitenleiste Secure Service Desk und dann Konfigurieren im Abschnitt Richtlinien.
2. Ziehen Sie Duo Security aus dem Abschnitt Nicht ausgewählte Identitätsservices in den Abschnitt Ausgewählte Identitätsservices und konfigurieren Sie die Einstellungen Gewichtung, Erforderlich und Geschützt.
3. Wählen Sie Speichern.

---

Voraussetzungen: Die Verwaltungsrollen Eigentümer, Administrator oder Anwendungsmanager in Duo Security erforderlich.

1. Melden Sie sich bei Specops Authentication Web an: https://login.specopssoft.com/authentication/admin
2. Wählen Sie in der linken Seitenleiste Identitätsdienste und dann Duo Security aus.
3. Wählen Sie Aktivieren und dann im Popup-Fenster erneut Aktivieren aus. Dadurch wird der Dienst für die Verwendung in Specops-Diensten verfügbar.
4. Melden Sie sich auf der Duo Security-Verwaltungsseite an
5. Wählen Sie in der linken Seitenleiste Anwendungen aus und dort Eine Anwendung schützen.
6. Auf der nächsten Seite finden Sie eine Liste der verschiedenen Arten von Diensten, die in Duo Security integriert werden können. Suchen Sie in der Liste nach Partner Auth-API und wählen Sie Diese Anwendung schützen.
7. Stellen Sie eine Richtlinie für die Anwendung ein, indem Sie auf Eine Richtlinie auf alle Benutzer anwenden klicken und eine neue Richtlinie aus der Dropdown-Liste auswählen oder indem Sie auf den Link Oder eine neue Richtlinie erstellen im selben Fenster und dann auf Neue Benutzerrichtlinie klicken.
   HINWEIS

   Der Punkt Neubenutzerrichtlinie sollte auf Registrierung erforderlich gesetzt werden. Mit Zugriff ohne 2FA zulassen können Benutzer Duo Security ohne Authentifizierung umgehen. Zugriff verweigern blockiert die Authentifizierung von Benutzern mit Duo Security.
8. Konfigurieren Sie die Einstellungen und geben Sie ihr einen Namen.
9. Klicken Sie auf Speichern.
10. Kopieren Sie im Abschnitt Details den Integrationsschlüssel (Client ID), den geheimen Schlüssel und den API-Hostnamen in die entsprechenden Felder unter Specops Authentication Client.
    HINWEIS

    Das Feld Attributname kann leer gelassen werden, um das Standardattribut von Active Directory (sAMAccountName) zu nutzen, es sei denn, Sie müssen ein anderes AD-Attribut verwenden.
11. Wählen Sie die gewünschte Einstellung für Automatische Benutzerregistrierung in Specops Authentication. Wenn Sie diese Option auf "Ja" setzen, werden alle Benutzer automatisch registriert.
    HINWEIS

    Um Duo Security mit Quick Verification zu verwenden, muss diese Einstellung auf Jagesetzt werden
12. Wählen Sie Verbindung testen. Wenn die Verbindung erfolgreich war, erscheint eine Meldung mit dem Wortlaut Verbindungstest erfolgreich
13. Klicken Sie auf Speichern.

Duo Security mit OpenID Connect (OIDC) konfigurieren

Sie können Duo Security für die Verwendung des OpenID Connect-Protokolls konfigurieren, der den Benutzern eine Zwei-Faktoren-Authentifizierung bietet. Dies bedeutet, dass Benutzer nicht die Anmeldeseite von Specops nutzen, sondern stattdessen an eine Duo Security URL weitergeleitet werden, wo sie sich über die Universelle Eingabeaufforderung von Duo Security authentifizieren. Die Universelle Eingabeaufforderung zeigt dem Benutzer einen Zahlencode an, die er dann in in Push-Benachrichtigung auf dem Gerät eingeben muss, auf dem die Duo Security App installiert ist. Diese Authentifizierungsmethode kann genutzt werden, um sogenannten Ermüdungsangriffen vorzubeugen, bei denen Benutzer mehrere einfache Push-Benachrichtigungen angezeigt werden. In diesem Fall erfolgt ein zusätzlicher Schritt, bei dem der Benutzer den Code auf dem Bildschirm bestätigen muss.

OIDC konfigurieren:

1. Melden Sie sich bei Specops Authentication Web an: https://login.specopssoft.com/authentication/admin
2. Wählen Sie in der linken Seitenleiste Identitätsdienste und dann Duo Security aus.
3. Dieser Dienst sollte bereits aktiviert sein, wenn die Auth-API konfiguriert ist.
4. Aktivieren Sie das Kontrollkästchen Duo Prompt für Endbenutzer verwenden.
5. Melden Sie sich beim Duo Security-Admin-Panel an.
6. Wählen Sie in der linken Seitenleiste Anwendungen aus und dort Eine Anwendung schützen.
7. Auf der nächsten Seite finden Sie eine Liste der verschiedenen Arten von Diensten, die in Duo Security integriert werden können. Suchen Sie in der Liste nach Web-SDK und wählen Sie Diese Anwendung schützen.
8. Stellen Sie für die Anwendung dieselbe Richtlinie wie die für die Auth-API ein, indem Sie auf Eine Richtlinie auf alle Benutzer anwenden klicken und die Richtlinie aus der Dropdown-Liste auswählen.
   HINWEIS

   Sie müssen dieselbe Richtlinie wie die für die Auth-API einstellen, um Konfigurationen zu vermeiden, die Benutzer daran hindern würden, Duo Security für die Authentifizierung zu verwenden.
9. Konfigurieren Sie die Einstellungen und geben Sie ihr einen Namen.
10. Wählen Sie Speichern.
11. Kopieren Sie im Abschnitt Details die Client-ID und das Client-Geheimnis in die entsprechenden Felder unter Specops Authentication Client.
12. Wählen Sie Verbindung testen. Wenn die Verbindung erfolgreich war, erscheint eine Meldung mit dem Wortlaut Verbindungstest erfolgreich
    HINWEIS

    Bei diesem Test wird sowohl die Auth-API- als auch OIDC-Verbindung geprüft, daher müssen beide richtig konfiguriert sein. Fehlermeldungen zeigen an, welcher Teil der Konfiguration inkorrekt ist.
13. Klicken Sie auf Speichern.

So fügen Sie Duo Security zu Ihrer Richtlinie hinzu:

1. Wählen Sie in der linken Seitenleiste Secure Service Desk und dann Konfigurieren im Abschnitt Richtlinien.
2. Ziehen Sie Duo Security aus dem Abschnitt Nicht ausgewählte Identitätsservices in den Abschnitt Ausgewählte Identitätsservices und konfigurieren Sie die Einstellungen Gewichtung, Erforderlich und Geschützt.
3. Wählen Sie Speichern.

---

Quick Verification kann nur mit Auth API verwendet werden. Beachten Sie bitte: Wenn Automatische Registrierung von Benutzern in Specops Authentication auf Nein eingestellt ist, können Sie die Schnellüberprüfung (oder die erweiterte Überprüfung) nicht für Benutzer verwenden, die nicht bei Duo Security registriert sind.

---

Der Specops Authentication Client bietet Verbesserungen für die Windows-Anmeldung, weil er den eingebauten Windows Credential Provider (GINA) eingebunden hat. Dazu gehört, dass die Benutzer ihr Kennwort vom Anmeldebildschirm aus zurücksetzen können und dass sie ein besseres Feedback erhalten, wenn sie ihr Kennwort mit STRG+ALT+ENTF ändern. Der Specops Authentication Client unterstützt auch die Einbindung von Drittanbietern von Anmeldeinformationen, sofern der Anbieter die Einbindung unterstützt. Einige Anbieter von Anmeldeinformationen, wie z. B. Duo Security Authentication for Windows Logon, erfordern eine zusätzliche Konfiguration, damit der Specops Authentication Client sie einbinden kann.

1. Sie müssen einen Registry-Schlüssel in der Duo Security-Client-Aufforderung festlegen, um die Einbindung durch den Specops Authentication Client zu ermöglichen. Erstellen oder aktualisieren Sie auf einem Rechner mit dem installiertem Duo Security-Client folgenden Registry-Schlüssel:
   • Pfad: HKEY_LOCAL_MACHINE\SOFTWARE\Duo Security\DuoCredProv
   • Wert-Name: ProvidersWhitelist
   • Wert-Typ: REG_MULTI_SZ
   • Wert-Daten: Geben Sie folgende zwei GUIDs in separaten Zeilen ein (oder fügen Sie sie hinzu) - sie dienen zur Identifizierung von Specops Authentication Client:
     {00002ba3-bcc4-4c7d-aec7-363f164fd178}
     {4834dbc7-4a06-424d-a67f-20ddebcf08e1}

     

2. Als Nächstes verwenden Sie die Specops Authentication ADMX-Vorlage, um festzulegen, dass wir den Duo Security-Benutzerdatenanbieter einbinden sollen. Legen Sie unter Specops Authentication Client Wrap Duo Security Specops Authentication Client/Windows-Anmeldung und -Kennwortänderung verbessern fest, dass die GUID des Benutzerdatenanbieter in die GUID des Duo Security-Clients eingebunden werden soll. Vergessen Sie dabei nicht die geschweiften Klammern: {44E2ED41-48C7-4712-A3C3-250C5E6D5D84}. Beachten Sie, dass Sie den Specops Authentication Client, die ADMX-Vorlagen und eine Anleitung zur Installation der beiden hier herunterladen können.

   

Sobald die Gruppenrichtlinie auf die betroffenen Computer angewendet wurde, sollten sowohl die Duo Security-Anmelde- als auch die Specops-Authentifizierungs-Funktion zur Kennwortänderung und -rücksetzung nahtlos zusammenarbeiten. Für uReset-Kunden bedeutet dies, dass Sie den Link Kennwort zurücksetzen auf dem Anmeldebildschirm weiterhin so verwenden können, wie Sie es auf Arbeitsplätzen ohne den Duo Security-Client tun würden. Bei der dynamischen Rückmeldung bei Kennwortänderung (verfügbar für uReset- und Password Policy-Kunden mit Specops Authentication Client Version 7.15 oder höher) wird die dynamische Rückmeldung angezeigt. Duo Security stellt nach der Kennwortänderung wie üblich eine MFA-Anfrage.

Duo Security und RdpOnly

Standardmäßig wird Duo Security-MFA sowohl für Konsolenanmeldungen als auch für Remote-Sitzungen (RDP) aufgerufen.

Es kann jedoch konfiguriert werden, dass die zweite Duo Security-Eingabeaufforderung nur für RDP-Sitzungen angezeigt wird, indem Sie "RdpOnly" auf 1 setzen (siehe Duo Security-Dokumentation). Wenn Sie RdpOnly auf 1 setzen, müssen Sie die Specops ADMX-Einstellung Einbettung in Konsolen-Anmeldesitzungen konfigurieren und auf Deaktiviert setzen.

Authentifizierung auf Netzwerkebene erzwingen

Die Authentifizierung auf Netzwerkebene (Network Level Authentication, NLA) wird in den meisten Organisationen bereits eingesetzt. RDP ohne NLA zuzulassen gilt als unsicher und sollte nicht verwendet werden.

Die Verwendung des Specops Authentication Zugangsdatenanbieters ohne NLA-Zwang wird nicht unterstützt.