Diese Anleitung führt durch die Konfiguration des Notakey Windows Credential Provider (WCP) für die Remotedesktop-Authentifizierung mit dem Telefon als zweitem Faktor.
Appliance einrichten
Anwendung anlegen. Legen Sie in der Notakey Appliance eine neue Anwendung namens Windows Remote Desktop an. Die passenden Grafiken werden automatisch geladen. Aktivieren Sie die Unterstützung für die biometrische Prüfung; aktivieren Sie zusätzlich force biometric check, wenn jede Anmeldung zwingend einen Fingerabdruck oder eine Gesichtserkennung erfordern soll.
Benutzer definieren. Legen Sie Benutzer direkt an oder binden Sie eine externe Benutzerquelle an. Üblich ist Active Directory, die Anbindung ist in der Dokumentation der Appliance beschrieben. Aus AD synchronisierten Benutzern lassen sich später Eskalations- oder Mehrbenutzer-Freigaberichtlinien zuweisen.
Registrierungsanforderungen konfigurieren, damit die Anwendung im Notakey Authenticator erscheint. Sind in AD Telefonnummern hinterlegt, steht die Registrierung per SMS oder WhatsApp zur Verfügung. Wenn Sie einfache Anmeldedaten verwenden, die anhand des AD geprüft werden, bearbeiten Sie die Anforderung und setzen Sie den Haken bei Authenticate against remote AUTH user sources.
API-Anmeldedaten generieren. Legen Sie einen neuen API-Client mit leerem Scopes-Feld an: das System generiert eine Client ID und ein Secret für den Credential Provider.
Windows-Rechner einrichten
Erstellen Sie eine Registry-Datei mit den Verbindungs- und Anmeldedaten
Ihrer Appliance,
speichern Sie sie als wcp_notakey.reg und importieren Sie sie per
Doppelklick:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Notakey]
[HKEY_LOCAL_MACHINE\SOFTWARE\Notakey\WindowsCP]
"ServiceURL"="https://your-appliance.example.com/api/"
"ServiceID"="29afa6c0-907d-40f4-898f-8a96fcdf7230"
"ClientID"="c6df76db-10a7-4349-8e05-8b3656a4d404"
"ClientSecret"="pZ5lSo1Rz_ftCDg4h302794ZlmjMO64sVtiAvHop6dI"
"MessageTtlSeconds"=dword:0000001e
"MessageActionTitle"="Winlogin"
"MessageDescription"="Proceed as {0} on server {1}?"
"AuthCreateTimeoutSecs"=dword:00000014
"AuthWaitTimeoutSecs"=dword:0000003c
Ersetzen Sie die ersten vier Werte durch Ihre eigenen: ServiceURL ist der
API-Endpunkt Ihrer Appliance, ServiceID die ID der Anwendung, und
ClientID/ClientSecret sind die oben generierten API-Anmeldedaten. Die
übrigen Einträge sind sinnvolle Standardwerte in Hexadezimalschreibweise:
MessageTtlSeconds (0x1e = 30 s) legt fest, wie lange sich die
Push-Benachrichtigung bestätigen lässt, AuthCreateTimeoutSecs (0x14 = 20 s),
wie lange WCP auf das Anlegen der Anfrage wartet, und AuthWaitTimeoutSecs
(0x3c = 60 s), wie lange auf die Antwort des Benutzers gewartet wird. In
MessageDescription steht {0} für den Benutzernamen und {1} für den
Rechnernamen.
Installieren Sie den neuesten Windows Credential Provider von der
Download-Seite, starten Sie Windows neu und melden Sie sich
einmal auf dem gewohnten Weg an. Prüfen Sie anschließend den Wert
LastLoggedOnProvider unter
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI.
Sperren Sie den Rechner und wählen Sie den Notakey Credential Provider aus. Geben Sie Benutzernamen und Passwort ein – Notakey bittet um die Erlaubnis, das Passwort zu verschlüsseln, und von da an besteht die Anmeldung aus Benutzername + Bestätigung auf dem Telefon.
Vollständig auf passwortlose Anmeldung umstellen
Soll Notakey der einzige Weg ins System sein, deaktivieren Sie den
Standard-Credential-Provider: Suchen Sie dessen CLSID unter
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers
und legen Sie dort einen DWORD-Wert namens Disabled mit dem Wert 1 an.
Für ganze Geräteflotten lässt sich dasselbe zentral per Gruppenrichtlinie
steuern.
Danach bleibt nur der Notakey Credential Provider aktiv: für die Anmeldung genügen Benutzername und zweiter Faktor.