Drittanbieter-Credential-Anbieter
Credential Providers sind Erweiterungspunkte in Windows, die es Authentifizierungskomponenten ermöglichen, sich in den Windows-Anmeldeprozess zu integrieren. Specops Client implementiert Credential Providers, um Szenarien für uReset, Specops Password Reset, MFA für Windows und Dynamic Feedback at Password Change zu unterstützen.
Im Microsoft-Framework für Credential Providers können mehrere Credential Providers durch die Verwendung eines Wrapping-Mechanismus koexistieren. Beim Wrapping erweitert ein Credential Provider einen anderen Provider, anstatt ihn zu ersetzen. Der Wrapping-Provider leitet Aufrufe an den zugrunde liegenden Provider weiter und fügt darüber seine eigene Funktionalität hinzu. Microsoft bietet keine allgemeine Architektur, bei der Wrapping automatisch immer funktionieren kann. Deshalb ist es wichtig, solche Szenarien vor der Bereitstellung zu verifizieren.
Specops Client unterstützt das Koexistieren mit den integrierten Microsoft-Credential Providers Microsoft Password Credential Provider und Microsoft Windows Hello for Business PIN sowie mit einigen Drittanbieter-Credential Providers, die automatisch umhüllt werden, wenn sie zusammen mit Specops Client installiert werden. Siehe Automatisch umhüllte Credential Providers.
Darüber hinaus gibt es Drittanbieter-Credential Providers, die zusätzliche Konfigurationen erfordern können, bevor sie umhüllt werden können. Siehe Manuelles Wrapping von Credential Providers konfigurieren.
Hinweis
Die Verwendung von Wrapping auf Systemen, auf denen Credential Providers installiert sind, die nicht zu den integrierten Microsoft-Providern und den Specops-Credential Providers gehören, bringt zusätzliche Risiken mit sich. Es ist wichtig, diese Szenarien in einer Staging-Umgebung zu validieren, bevor Specops Client oder der Drittanbieter-Credential Provider installiert, aktualisiert oder geändert wird.
Ermitteln, ob andere Credential Providers installiert sind
Bevor Sie Specops Client installieren, sollten Sie prüfen, ob auf den Client-Computern der Organisation andere Credential Providers installiert sind. In der Regel können Drittanbieter-Credential Providers installiert sein, wenn MFA für Windows-Systeme oder Festplattenverschlüsselungssysteme verwendet werden, die nicht von Microsoft stammen.
So ermitteln Sie, welche Credential Providers installiert sind:
- Fragen Sie Administratoren der Organisation, die die auf den Client-Computern bereitgestellte Software kennen, welche Credential Providers installiert sind.
- Prüfen Sie unter Installed Programs in der Windows-Systemsteuerung, ob Credential Providers und/oder MFA-Lösungen installiert sind.
- Prüfen Sie den Windows-Anmeldebildschirm in Windows darauf, ob das Verhalten angepasst ist oder darauf hindeutet, dass andere Credential Providers installiert sind.
- Prüfen Sie den Windows-Anmeldebildschirm auf angepasstes Verhalten oder Hinweise darauf, dass andere Credential Providers installiert sind.
- Prüfen Sie in der Windows-Registrierung unter
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers], ob einige der Unterschlüssel zu Nicht-Microsoft-Credential Providers gehören.
Wenden Sie sich bei Bedarf an den Specops-Support.
Automatisch umhüllte Credential Providers
Wenn die in der folgenden Tabelle aufgeführten Drittanbieter-Credential Providers zusammen mit Specops Client installiert sind, werden sie automatisch umhüllt.
Hinweis
Konfigurieren Sie für diese Credential Providers KEIN Wrapping, dies wird automatisch von den Specops Credential Providers gehandhabt.
Konfigurieren Sie außerdem NICHT die Windows-Registrierung oder die ADMX-Richtlinieneinstellung Assign a default credential provider.
| Credential Provider | GUID |
|---|---|
| Microsoft | {60B78E88-EAD8-445C-9CFD-0B87F74EA6CD} |
| Microsoft WHfB PIN | {D6886603-9D2F-4EB2-B667-1971041FA96B} |
| McAfee | {31348146-F794-4BEB-9D39-E411BFF979EE} |
| Imprivata | {11660363-781C-617B-0100-128274950001} |
| Ivanti Pulse OneX | {4B9CAC01-6732-40D0-8B8F-B5B340F9D44F} |
| Ivanti Pulse | {4EFD0F35-BFBA-44EB-8F25-2B3530203C1D} |
| RSA | {BBFC6CF6-6FB2-4912-B8E0-C47844D1003D} |
| Fortinet FAC Agent | {F98AC68D-AE8E-47D8-AB82-F19BCB6328AB} |
Manuelles Wrapping von Credential Providers konfigurieren
Wenn eine Organisation Specops Client zusammen mit Drittanbieter-Credential Providers verwenden möchte, die nicht automatisch umhüllt werden, ist eine zusätzliche Konfiguration erforderlich, damit Specops Client sie umhüllen kann, sofern der Credential Provider das Umhüllen unterstützt.
Bevor Sie Specops Client zusammen mit einem manuell umhüllten Credential Provider bereitstellen, sollten Sie die Konfiguration von Fall zu Fall testen und verifizieren.
Im nächsten Abschnitt wird beschrieben, wie der Duo Security Credential Provider konfiguriert wird.
Umhüllen des Duo Security-Anmeldeinformationsanbieters
Der Specops Client bietet Verbesserungen für die Windows-Anmeldeerfahrung, indem er den integrierten Windows-Anmeldeinformationsanbieter umschließt. Dazu gehört, dass Benutzer ihre Passwörter vom Anmeldebildschirm aus zurücksetzen können, sowie die Verbesserung des Feedbacks, das Benutzer beim Ändern ihres Passworts über STRG+ALT+ENTF erhalten.
Duo Securitys Authentication for Windows Logon erfordert zusätzliche Konfigurationen, damit Wrapping möglich ist. Gehen Sie wie folgt vor:
-
Setzen Sie einen Registrierungsschlüssel im Duo Security-Client, um das Umhüllen zu ermöglichen. Erstellen oder aktualisieren Sie auf einem Computer mit installiertem Duo Security-Client den folgenden Registrierungsschlüssel:
- Schlüsselpfad: HKEY_LOCAL_MACHINE\SOFTWARE\Duo Security\DuoCredProv
- Wertname: ProvidersWhitelist
- Werttyp: REG_MULTI_SZ
-
Wertdaten: Geben Sie die folgenden zwei GUIDs in separaten Zeilen ein (oder fügen Sie sie hinzu). Diese GUIDs identifizieren den Specops Client:
- {00002ba3-bcc4-4c7d-aec7-363f164fd178}
- {4834dbc7-4a06-424d-a67f-20ddebcf08e1}
-
Verwenden Sie anschließend die Specops Authentication-ADMX-Vorlage, um anzugeben, dass der Duo Security-Credential Provider umhüllt werden soll. Setzen Sie unter Specops Client Wrap Duo Security Specops Client/Enhance Windows logon and password change die Einstellung GUID of credential provider to wrap auf die GUID des Duo Security-Clients einschließlich der geschweiften Klammern: {44E2ED41-48C7-4712-A3C3-250C5E6D5D84}. Specops Client, ADMX-Vorlagen und Anweisungen für die Installation beider finden Sie hier.
Sobald die Gruppenrichtlinie auf die betroffenen Computer angewendet wurde, sollten die Duo Security-Anmeldefunktion und die Specops-Funktionen für Passwortänderung und Passwortzurücksetzung nahtlos zusammenarbeiten. Für Specops Authentication-Kunden bedeutet dies, dass der Link Passwort zurücksetzen auf dem Anmeldebildschirm weiterhin verfügbar bleibt, wie auf Arbeitsstationen, auf denen der Duo Security-Client nicht installiert ist.
Für Dynamic Feedback at Password Change, verfügbar für uReset- und Password Policy-Kunden mit Specops Client, wird das dynamische Feedback wie erwartet angezeigt. Duo Security fordert nach dem Absenden der Passwortänderung wie gewohnt zur MFA auf.
Duo Security und RdpOnly
Standardmäßig wird Duo Security MFA sowohl für Konsolenanmeldungen als auch für Remotedesktopsitzungen (RDP) ausgelöst.
Es ist möglich, die Duo Security-Zweitfaktoraufforderung so zu konfigurieren, dass sie nur für RDP-Sitzungen angezeigt wird, indem "RdpOnly" gemäß der Dokumentation von Duo Security auf 1 gesetzt wird. Wenn RdpOnly auf 1 gesetzt ist, muss die Specops-ADMX-Einstellung Wrapping in console login sessions konfiguriert und auf Deaktiviert gesetzt werden.
Erzwingen der Netzwerkauthentifizierung
Network Level Authentication (NLA) ist in den meisten Organisationen bereits erzwungen. RDP ohne NLA zuzulassen, gilt als unsicher und sollte nicht verwendet werden.
Die Verwendung des Specops Authentication-Credential Providers ohne erzwungenes NLA wird nicht unterstützt.
Hinweis
In Fällen, in denen Benutzer sich anmelden oder entsperren und der Parameter User must change password at next logon gesetzt ist, füllt der Duo Security-Credential Provider das beim Anmelden bzw. Entsperren eingegebene Passwort beim Ändern des Passworts nicht automatisch in den nächsten Bildschirm ein. Das bedeutet, dass das current password erneut eingegeben werden muss, wenn die Specops RulesUI angezeigt wird.