YubiKey 12 – Benutzer-Anmeldung an Windows nur mit einem YubiKey erlauben

Der YubiKey kann auch für die Absicherung des Logins bei Windows-Clients verwendet werden, dabei muss der Benutzer neben seinem Benutzernamen und Passwort auch den YubiKey am PC anschließen und dessen Kontakte drücken. Werden beide Login Credentials vom System erkannt, wird der Login erlaubt und der Benutzer erhält Zugang zu seinem Benutzerkonto.

Diese Methode eignet sich dafür auch im privaten Umfeld die lokalen Benutzerkonten weiter abzusichern.

Teilen sich mehrere lokale Benutzer einen PC, kann der Administrator festlegen, welche Benutzer einen YubiKey für den Login benötigen und welche sich nur mit einem Passwort anmelden dürfen.

Nach der Aktivierung der Anmeldemethode ist für die ausgewählten Benutzer der Zugang nur noch mit einem YubiKey möglich. Für den Fall, dass der YubiKey verloren wird oder kaputt geht, wird eine lange Keyphrase bereitgestellt. Dieses sehr lange Passwort kann vom Benutzer dann eingegeben werden, um Zugriff zum Konto zu erhalten. Auch die Hinterlegung eines zweiten YubiKeys für die Anmeldung als Backup ist möglich.
Benutzer eines Windows-Clients kennen das schon von Bit Locker, auch dafür erhält man ein langes Passwort als Backup.


Gib mir gerne einen Kaffee ☕ aus!

Wenn dir meine Beiträge gefallen und geholfen haben, dann kannst du mir gerne einen Kaffee ☕ ausgeben.

PayPal Logo


liberapay.com/strobelstefan.org


Kaffee via Bitcoin

bc1qfuz93hw2fhdvfuxf6mlxlk8zdadvnktppkzqzj


Damit man das auf einem Windows-Client ohne Gefahr testen kann, ist zu empfehlen ein neues Testkonto mit Administratorrechten einzurichten. Funktioniert das Setup für ein Benutzerkonto nicht, kann mit diesem neuen Adminkonto der Login wieder ohne einen YubiKey konfiguriert werden.

Ein kurzes Video auf YouTube zeigt, wie die Anmeldung mit YubiKey für einen Benutzer abläuft.
Yubico Login for Windows

Auf der Seite von Yubico gibt es eine übersichtliche Anleitung für die Konfiguration dieser Anmeldemethode.
Achtung, die Software „Yubico Login for Windows“ muss mit Administratorrechten ausgeführt werden. Deshalb muss sich bei dem zweiten Konto, wie oben erwähnt, um ein Administratoren-Konto handeln.

Hier gehts zur Anleitung
Yubico Login for Windows Configuration Guide


YubiKey Artikel Serie

Die Liste enthält alle Artikel der YubiKey-Serie, die dir genau aufzeigen wie du deinen Hardwaretoken für die unterschiedlichsten Anwendungsgebiete konfigurieren kannst.

  1. YubiKey 01 – YubiKey 5C NFC – Erste Schritte – Installation und Setup
  2. YubiKey 02 – Einmalpasswörter (OTPs) speichern
  3. Passwortmanager mit YubiKey absichern
  4. YubiKey 04 – Passwortlose Anmeldung an Microsoft 365
  5. YubiKey 05 – VirtualBox für die Erstellung des OpenPGP-Schlüsselpaars und zum Anschluss des YubiKeys vorbereiten
  6. YubiKey 06 – OpenPGP Schlüsselpaare erstellen – Master Key und Sub Keys
  7. YubiKey 07 – Revoke-Datei erstellen und Schlüssel exportieren
  8. YubiKey 08 – Hilfreiche GPG-Befehle zur Verwaltung von Schlüsselpaaren
  9. YubiKey 09 – OpenPGP-Schlüssel auf den YubiKey exportieren
  10. YubiKey 10 – Öffentlichen GPG-Schlüssel auf Linux-Server übertragen und für passwortlose Anmeldung nutzen
  11. YubiKey 11 – Windows anpassen zur SSH-Anmeldung an einem Linux-System
  12. YubiKey 12 – Benutzer-Anmeldung an Windows nur mit einem YubiKey erlauben
  13. YubiKey 13 – Benutzer-Anmeldung an Linux/Ubuntu nur mit einem YubiKey erlauben
  14. YubiKey 14 – SSH-Anmeldung mit einem Linux-Client mit YubiKey an einem Server

Hier geht es zur ➡ YubiKey Themenseite, dort findest du noch mehr Beiträge rund um den YubiKey.

2 Antworten auf „YubiKey 12 – Benutzer-Anmeldung an Windows nur mit einem YubiKey erlauben“

  1. Hallo,

    wie verschlüssele ich beide Windows Konten , wenn ich einen Admin, als Hauptkonto und ein zweites, ohne Adminrechte habe.
    zb
    stefan f (Admnin) und
    1234 (normales Benutzerkonto)

    Besten Dank im voraus für Deine Antwort!

    Gruß

    Stefan F.

    1. Hallo Stefan,

      du kannst die Anmeldung für jeden Benutzer separat festlegen.
      Du kannst also für den Admin des PCs eine Anmeldung mit YubiKey konfigurieren und für die anderen Benutzer nicht.
      Starte dazu das Yubikey-Programm in deinem Admin-Konto. Dort kannst du festlegen welche Benutzer den Yubikey für die Anmeldung benötigen und auch welchen.

      Du erhältst immer einen Wiederherstellungsschlüssel falls der YubiKey mal nicht zur Verfügung steht. Den solltest du unbedingt für das Admin-Konto ganz besonders sicher aufbewahren. Mit einem Admin kannst du die YubiKey-Anmeldung auch jederzeit für andere Konten entfernen und hinzufügen.

      Grüße

      Stefan

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.