2FA en directorio activo Windows.

Responder
Muy buenas, resulta que a raíz de la normativa NIS2, va a ser obligatorio implantar el factor doble autenticación en escritorios remotos e inicios de sesión en Windows.

La putada es que para tres usuarios hay soluciones más o menos aceptables que permiten tener un sistema OTP enlazado con la app de google authenticator, pero claro, para 3 usuarios todo ok, pero no así para trescientos.

Por política de empresa, queda descartado el uso de tarjetas inteligentes en Windows a través del dominio, aduciendo que la gente luego se olvidaría estas, etc.

De modo que estoy investigando y las soluciones que ofrece microsoft, son todas en la nube, es decir Azure entra y ve...

Esto está también descartado, de modo que necesito saber si alguien conoce un sistema 2FA robusto que sirva para 300 usuarios o bien libre o de pago asequible.

Estoy probando multiOTP open source, pero necesito más alternativas.

Saludos y muchas gracias de antemano.
Buenas, por mi parte creo que no logré afinar, lo que vi no se ajusta del todo a lo que buscas o sí pero es soft de pago,


https://keepass.info/

https://duo.com/product/multi-factor-au ... cation-2fa

https://apps.microsoft.com/detail/9nf2r ... s-es&gl=ES

https://authy.com/

https://www.zoho.com/accounts/oneauth/


Buscando más a fondo puede que encontremos una aplicación adecuada.
Hace poco me pase las llaves de seguridad y tarjetas inteligentes porque se pueden tener varias a la vez y para no tener que usar contraseñas y tienen TOTP, HOTP, huella dactilar... etc. Estas funcionan sin instalar nada en windows con hello, te dejo link con guías de azure para crear un servidor mfa local o si os da por adquirir llaves pues aquí tienen guías

https://www.token2.com/site/page/integration-guides
Ya que mencionas la huella, la biometria me parece buen método y nunca te la olvidas en casa.
Muchas gracias por las propuestas.

Un apunte, el tema biométrico no os lo recomiendo porque afecta a protección de datos y no queda claro si el almacenamiento de huella o el iris es legal aunque el equipo lo posea un trabajador, ya que el dispositivo en sí pertenece a la empresa. Es como esos fichadores de huella, no es legal almacenar una huella u otro dato biométrico por parte de la organización.

Sobre el 2FA, me gusta mucho Userlock, funciona muy bien siempre y cuando la empresa quiera gastarse perras, pero si se quiere un entorno mínimamente profesional, hay que pasar por caja. La parte cojonuda es que tiene políticas y se puede activar la alta disponibilidad.

OpenOTP no me ha convencido, la documentación no es muy clara y la sincronización en entornos AD no llega a ser fiable.

Otra pata es el Fortiauthenticator pro, que es una máquina virtual que se integra con Fortinet y también tiene política de uso, pero no así alta disponibilidad.

Os voy contando.

Saludos.
4 respuestas
Responder
Volver a Software libre