Pozn.: Článek se zaměřuje na hybridní prostředí (On-Premises AD s Azure AD) s Hybrid Azure AD Joined zařízeními.

Základní princip FIDO2

• FIDO2 security keys
• FIDO2 - FIDO Alliance

FIDO (Fast IDentity Online) aliance vytvořila FIDO2 projekt. Jde o silný autentizační standard pro web, který nahrazuje používání hesel pro ověření za využití asymetrického páru klíčů. Základem je WebAuthn (W3C Web Authentication) a CTAP2 (FIDO Client to Authenticator Protocol 2). Je založen na předchozím standardu U2F (Universal 2nd Factor = CTAP1).

FIDO2 je otevřený standard pro vícefaktorové ověřování (Multi-Factor Authentication - MFA) bez hesla (Passwordless Authentication). Považuje se za Phishing-resistant (odolné proti phishingu) autentizační metodu (mimo FIDO2 klíčů sem patří Windows Hello for Business a Azure AD certificate-based authentication). Oproti Phone sign-in v aplikaci Microsoft Authenticator, kde můžeme schválit přihlášení, které probíhá někde v internetu, se pomocí FIDO2 musíme přihlašovat lokálně na zařízení, kde máme připojený klíč. Uživatel využívá kryptografický autentizátor (bezpečnostní klíč), který pro Azure AD musí být hardwarový.

Pracuje obdobně jako Windows Hello for Business s asymetrickým párem soukromého a veřejného klíče. Když registrujeme FIDO2 bezpečnostní klíč k online službě (Azure AD), tak klíč vytvoří nový pár kryptografických klíčů. Soukromý klíč je uložen ve FIDO2 bezpečnostním klíči (podobně jako v TPM), který nikdy neopouští (nemůže být extrahován). Veřejný klíč se uloží (registruje) k účtu uživatele v Azure AD.

Při přihlášení musí uživatel lokálně odemknout přístup k soukromému kryptografickému klíči na FIDO2 bezpečnostním klíči pomocí gesta. Tímto klíčem se podepíšou data přijatá z Azure AD (nonce). Azure AD je ověří pomocí veřejného klíče, pak ověří vrácený nonce a uživatele přihlásí (získá PRT s MFA claim).

Doplněno 24.3.2024 - Dodatečně jsem zjistil, že Windows Hello je certifikovaný FIDO2 authenticator (platform / internal) od Windows 10 1903. Stejně jako je FIDO2 security key externí / roaming autentizátor. Více informací o FIDO autentizaci jsem nově napsal v článku FIDO passkeys část 1 - přístupové klíče pro autentizaci.

FIDO2 bezpečnostní klíč

FIDO2 security key je hardwarové zařízení. Pro Azure AD musí být Microsoft kompatibilní. Často jde o USB zařízení (s konektorem USB-A nebo USB-C), ale může využívat také bezdrátové spojení pomocí Bluetooth nebo NFC. Vždy má dotykové tlačítko, dražší modely jsou vybaveny čtečkou otisků prstů. Hardwarové zařízení zvyšuje bezpečnost přihlášení. Při ověření se používají klíče a neposílá se žádná forma uživatelského hesla.

FIDO2 klíče používají pro ochranu privátního klíče (primárně) PIN, některé modely podporují také biometrii (otisk prstu). Gesto pro odemčení klíče je uloženo lokálně v zařízení a neposílá se po síti. Kryptografické klíče jsou pro každou službu unikátní.

Microsoft kompatibilních FIDO2 bezpečnostních klíčů je celá řada, seznam FIDO2 security key providers. Můžeme je pořídit od pár stokorun do řádu tisícikorun. Dražší modely podporují čtení otisků prstů, což je pro uživatele pohodlné.

FIDO2 bezpečnostní klíče dostupné u nás

U nás se patrně prodává pouze pár značek a modelů bezpečnostních klíčů. Navíc popisy v e-shopech jsou často nepřesné (někde třeba uvádí, že YubiKey Bio FIDO Edition podporuje NFC, na mnoha místech je uvedeno, že VeriMark IT Fingerprint Key podporuje FIDO2, což oboje není pravda). Je tedy důležité se vždy podívat na stránky výrobce.

Patrně nejvíce prodávané, a často doporučované, jsou YubiKey od firmy Yubico. Bohužel jsou také dražší. Základní klíč, který podporuje FIDO2 a ověření PINem, je YubiKey Security Key NFC. Pořídíme jej okolo 700 Kč bez DPH a volíme verzi USB-A nebo USB-C, podporuje také NFC. Dražší model YubiKey 5 koupíme od 1 300 Kč bez DPH, volíme typ rozhraní a podporu NFC. Mimo FIDO2 podporuje také další funkce jako Smart card, OATH, YubiKey OTP, Secure Static Passwords. Nejdražší je YubiKey Bio Fido Edition za cenu kolem 2 300 Kč bez DPH. Ten podporuje biometrickou autentizaci (otisk prstu), ale jinak pouze FIDO2. Volíme verzi USB-A nebo USB-C (nepodporuje NFC).

Pozn.: U některých modelů se uvádí jako podporovaný OS Android a iOS. Tato podpora je patrně velmi omezena, připojit můžeme pomocí USB-C nebo NFC, ale nefunguje FIDO2. Můžeme využít aplikaci Yubico Authenticator a OATH ověřovací kód pro MFA (podobně jako třeba Google Authenticator).

Další značka, která se dá u nás zakoupit, je FEITIAN. Řada různých modelů s konektorem USB-A nebo USB-C, případně s podporou NFC. Například FEITIAN ePass A4B koupíme okolo 400 Kč bez DPH. Mimo FIDO2 podporuje také OATH. Model FEITIAN BioPass K49 stojí okolo 1 580 Kč bez DPH a podporuje biometrickou autentizaci (otisk prstu), opět bez NFC. S rozhraním USB-A se u nás neprodává FEITIAN BioPass K50, ale patrně starší FEITIAN BioPass K45.

Poslední výrobce je Kensington a produkty VeriMark, ale musíme dát pozor, pouze dva modely podporují FIDO2 (jiné můžeme využít jako čtečku otisků prstů pro Windows Hello). VeriMark Guard Fingerprint Security Key s rozhraním USB-A nebo USB-C stojí kolem 1 450 Kč bez DPH. Jde o malé zařízení s podporou biometrické autentizace (otisk prstu).

Okrajově jsem narazil na TrustKey FIDO2 Security Key. Model G320 s biometrickou autentizací (otisk prstu) za cca 1 050 Kč bez DPH. Ačkoliv je výrobce uveden na seznamu klíčů kompatibilních s Microsoftem, tak tento model nesplňuje podmínky atestace (dále v článku je problém popsán).

Azure AD a FIDO2

Azure AD podporuje, jako jednu z autentizačních metod, FIDO2 bezpečnostní klíče. V On-Premises Active Directory není podpora žádná. Ale pokud máme hybridní prostředí, tak přihlášení pomocí FIDO2 může fungovat díky Azure AD Kerberos.

FIDO2 bezpečnostní klíč registrujeme jako přihlašovací metodu ke svému Azure AD účtu. Podobně jako třeba Microsoft Authenticator nebo telefonní číslo. Uživatel se musí ověřit pomocí MFA. Přidá se tedy jako další možnost přihlášení k již existujícím.

Bezpečnostní klíč můžeme využít pro přihlášení Azure AD účtem k webovým aplikacím (moderní autentizací) v podporovaném prohlížeči. Nebo pro přihlášení k Windows 10/11 počítači, který je Azure AD nebo Hybrid Azure AD Joined.

Microsoft v dokumentaci uvádí, že nelze použít pro připojení ke vzdálené ploše pomocí RDP (nebo VDI, Citrix), spuštění aplikace s Run as a některé další situace. V současnosti již FIDO2 klíč můžeme využít i pro RDP (popis na konci článku).

Pozn.: Zde se bavíme o využití v Microsoft firemním prostředí, ale FIDO2 (security key) můžeme využít pro příhlášení k účtům Google, Facebook, Apple ID, apod.

Přihlášení do Windows

Když se přihlašujeme pomocí FIDO2 do počítače, který je Hybrid Azure AD Joined, tak se standardně přihlásíme do Azure AD. Může také proběhnout SSO přihlášení do lokálního AD (získáme částečný TGT). Musí být nasazen Azure AD Kerberos a je potřeba minimálně Windows 10 20H1 (verze 2004) (pro přihlášení Azure AD účtem do webové aplikace stačí starší verze).

Při prvním přihlášení pomocí FIDO2 bezpečnostního klíče do Windows musí být dostupný internet a doménový řadič. V dalších případech se může využít kešované přihlášení (cached sign-in).

Standardně nemůžeme FIDO2 použít pro přihlášení privilegovaným účtem k On-Premises zdrojům. To jsou účty, které jsou ve skupině Domain Admins, Account Operators, Server Operators, Print Operators apod.

Porovnání ověřovacích metod bez hesla

Využití FIDO2 bezpečnostního klíče je dost podobné Windows Hello for Business. Není divu, protože obě metody využívají FIDO2 standard. Není mezi nimi žádná závislost. Ve Windows Hello for Business máme klíče uložené (optimálně) v TPM čipu (jde o interní autentizátor), a tedy svázané s určitým počítačem. Ve FIDO2 jsou klíče uložené v HW bezpečnostním klíči (jde o externí autentizátor) a můžeme je nosit s sebou (a použít na různých zařízeních). Také je podobné třetí možnosti přihlašování bez hesla, kterou Microsoft nabízí, Passwordless sign-in/Phone sign-in pomocí aplikace Microsoft Authenticator na mobilním telefonu.

Každá metoda podporuje jiné scénáře, kdy je možno ji využít pro přihlášení. Například Microsoft Authenticator zatím nelze použít pro přihlášení do Windows, ale je univerzální pro přihlášení do webových aplikací z libovolného zařízení. Nejbezpečnější (vzhledem k univerzálnosti) je využití FIDO2 security key. Mobilní telefon používáme pro řadu činností, takže se teoreticky může útočník dostat i k aplikaci Microsoft Authenticator.

Povolení autentizace pomocí bezpečnostních klíčů FIDO2

• Pokud chceme uživatelům povolit přihlášení pomocí FIDO2 bezpečnostních klíčů k Azure AD účtu, tak musíme povolit tuto ověřovací metodu.
• Když chceme povolit přihlášení do Windows, tak musíme nastavit na jednotlivých počítačích.
• Aby fungovalo přihlášení také do Active Directory Domain Services (AD DS), tak musíme nasadit Azure AD Kerberos.
• Registraci bezpečnostních klíčů si provádí uživatelé u svého Azure AD účtu.

Povolení FIDO2 security key v Azure AD

• Enable passwordless security key sign-in

Pozn.: Vycházíme z nového nastavení autentizačních metod, tedy máme také zapnutou kombinovanou registraci. Pro nastavení se používá nový portál Microsoft Entra Admin Center, který nahradil Azure Active Directory Admin Center, ale uvedeme obě cesty.

• Microsoft Entra Admin Center - Protect & Secure - Authentication methods - Policies
• Azure Active Directory admin center - Security - Authentication methods - Policies
• vybereme metodu FIDO2 security key
• povolíme pro všechny nebo vybrané uživatele (skupinu)
• můžeme upravit nastavení, standardní je zapnuté Allow self-service set up, Enforce attestation, vypnuté Enforce key restrictions

Pozn.: Zapnuté Enforce attestation znamená, že klíč musí mít publikovaná a ověřená metadata pomocí služby FIDO Alliance Metadata a také projít další sadou ověřovacích testů společnosti Microsoft.

Povolení FIDO2 přihlášení do Windows pomocí Group Policy

• Enable passwordless security key sign-in to Windows 10 devices with Azure Active Directory

Abychom mohli využít přihlášení do Windows pomocí FIDO2, tak musíme povolit FIDO Credential Provider (jeho GUID je {F8A1793B-7873-4046-B2A7-1F318747F427}).

Pomocí Group Policy jde o nastavení Turn on security key sign-in v cestě

Computer Configuration/Policies/Administrative Templates/System/Logon 

které musíme zapnout a aplikovat na počítače.

Pozn.: Potřebujeme dostatečně nové ADMX šablony, viz. popis v Windows Hello for Business - nasazení Cloud Kerberos Trust.

Povolení FIDO2 přihlášení do Windows pomocí Intune

Pro nová zařízení můžeme zapnout v rámci

• Microsoft Endpoint Manager admin center - Devices - Enroll devices - Windows enrollment - Windows Hello for Business

Položka Use security keys for sign-in. Toto nastavení se uplatní pouze během registrace do Intune (neprojeví se na již registrovaných zařízeních).

Standardní povolení provedeme pomocí konfiguračního profilu:

• Microsoft Endpoint Manager admin center - Devices - Configuration profiles
• vytvoříme profil z Windows šablony Custom
• manuálně nastavíme OMA-URI ./Device/Vendor/MSFT/PassportForWork/SecurityKey/UseSecurityKeyForSignin, typ Integer, hodnota 1

Azure AD Kerberos

• Enable passwordless security key sign-in to on-premises resources by using Azure AD

Pozn.: Doménové řadiče musí být minimálně Windows Server 2016 s instalovaným KB3534307, Windows Server 2019 s KB4534321.

Když se přihlašujeme FIDO2 bezpečnostním klíčem do Windows, tak dojde k přihlášení do Azure AD. Abychom se přihlásili také do On-Premises AD, tak se využívá Azure AD Kerberos. Při přihlášení pak Azure AD vystavuje uživatelům částečný TGT, který doménový řadič vymění za standardní TGT.

V lokálním AD se vytvoří počítačový objekt Read Only Domain Controller AzureADKerberos, uživatelský objekt krbtgt_AzureAD (TGT šifrovací klíč) a Service Connection Point (SCP) CN=900274c4-b7d2-43c8-90ee-00a9f650e335,CN=AzureAD,CN=System,<domain-DN>. V Azure AD se vytvoří KerberosDomain objekt.

Funguje to stejně jako pro Windows Hello for Business s nasazením Cloud Kerberos Trust. Zprovoznění Azure AD Kerberos jsme si popsali v Windows Hello for Business - nasazení Cloud Kerberos Trust. Pokud jsme jej již provedli, tak není potřeba nic dalšího.

Kontrola registrace v Azure AD

Když si uživatel korektně registruje FIDO2 security key, tak se mu přidá nová ověřovací metoda k účtu v Azure AD. V detailu uživatele pod Authentication methods uvidíme ověřovací metodu FIDO2 security key.

• Microsoft Entra Admin Center - Users - All users - vybereme uživatele - Authentication methods

Pozn.: FIDO2 klíč zde můžeme smazat a tím jej zakázat.

Souhrnně se můžeme podívat na registrované ověřovací metody uživatelů, kde můžeme filtrovat FIDO2 security key.

• Microsoft Entra Admin Center - Protect & Secure - Authentication methods - User registration details

Když proběhne přihlášení, tak můžeme nalézt detaily v přihlašovacím logu (Sign-in logs) uživatele. Zde nalezneme aplikace jako Windows Sign In nebo Microsoft Remote Desktop a jako Authentication method je FIDO2 security key (v detailech vidíme i jeho jméno a ID).

Uživatelské nastavení a používání

Registrace FIDO2 bezpečnostního klíče

• User registration and management of FIDO2 security keys

Registraci FIDO2 klíčů provádí uživatelé ve webovém rozhraní správy autentizačních metod pod svým účtem My Account v části Security info.

• přidáme novou metodu Add method a zvolíme Security key (pokud nejsme, tak se musíme přihlásit pomocí MFA)

• volíme, zda jde o USB nebo NFC zařízení

• zobrazí se Windows okno, kde odsouhlasíme konfiguraci a nastavíme PIN

• nakonec klíč pojmenujeme a dostaneme informaci o úspěšném přidání metody

Chyba při registraci

Při testování klíče TrustKey G320 jsme narazili na problém. Na konci registrace klíče k uživatelskému účtu, až po jeho pojmenování, se zobrazovala chyba:

We detected that this particular key type has been blocked by your organization. Contact your administrator for more details
 and try registering a different type of key.

Vypadalo by to, že je zapnuté Enforce key restrictions a toto AAGUID není povolené. Ale v našem případě nebyla politika nastavena.

Ukázalo se, že registraci brání zapnuté Enforce attestation. Tedy klíč patrně neprošel atestací, a proto byl blokován. Po vypnutí nastavení se registrace povedla, ale je potřeba zvážit, zda takové klíče chceme využívat.

Přihlášení do webové aplikace pomocí FIDO2

• Sign in with passwordless credential

Pozn.: Potřebujeme minimálně Windows 10 1903, kde je podpora WebAuthN. A webový prohlížeč, který podporuje WebAuthN protokol. Browser support of FIDO2 passwordless authentication

Když se přihlašujeme svým Azure AD účtem v podporovaném webovém prohlížeči, tak můžeme zvolit registrovanou metodu Use a security key. Následně zadáme PIN a dotkneme se klíče nebo použijeme biometrii.

Pokud jsme na přihlašovacím dialogu, kde se zadává jméno, tak můžeme rovnou zvolit Sign-in options a Sign in with Windows Hello or a security key a přihlásit se bez zadání jména.

Přihlášení do Windows pomocí FIDO2

• Sign in with FIDO2 security key

Pozn.: Potřebujeme minimálně Windows 10 20H1 (pro Azure AD joined stačí Windows 10 1909).

Pro přihlášení do Windows stačí připojit FIDO2 security key a zadat PIN a dotknout se klíče nebo použít biometrii. Případně přepneme credential provider (ikona USB klíče) kliknutím na Sign-in options.

Logy o přihlášení do Windows nalezneme v Event Viewer v

Applications and Services Logs - Microsoft - Windows - WebAuthN - Operational 

Správa bezpečnostních klíčů ve Windows

• Manage security key biometric, PIN, or reset security key

Konfiguraci FIDO2 klíče, jako reset klíče, změnu PINu, nastavení otisků prstů, můžeme provést v nastavení Windows

• Settings - Accounts - Sign-in options - Security Key - Manage

Identifikace zařízení ve Windows

Když se ve Windows podíváme do Device Manager (Správce zařízení), tak můžeme ověřit, že systém vidí správné HW zařízení. Pro Windows Hello for Business zde najdeme zařízení jako Fingerprint Sensor nebo Face Device v kategorii Biometric devices.

Když připojíme USB bezpečnostní klíč, který podporuje FIDO2, tak bychom měli v kategorii Human Interface Devices najít HID-compliant fido (typ zařízení FIDO HID device). Pokud se podíváme do zařízení (Devices and Printers nebo Bluetooth & other devices), tak uvidíme jedno nebo více zařízení (pokud klíč obsahuje třeba také Smart Card nebo HID keyboard). Zařízení bývá označeno názvem výrobce/modelu a popisem, například YubiKey FIDO či Biopass FIDO2. Ve vlastnostech vidíme funkce zařízení.

Remote Desktop - připojení ke vzdálené ploše

Pozn.: Potřebujeme minimálně Windows 10 20h2 s instalovaným Cumulative Update 2022-10.

Microsoft v oficiální dokumentaci uvádí, že přihlášení pomocí FIDO2 bezpečnostního klíče nelze použít pro protokol RDP - Unsupported scenarios, Unsupported scenarios. Naštěstí to není pravda, ale pravděpodobně došlo ke změně v říjnu 2022, kdy byla přidána možnost Azure AD Authentication. Popis je v článku Connect with Azure AD Authentication.

Zdrojový (lokální) počítač musí mít podporovanou verzi Windows. Nejsou na něj žádné požadavky, aby byl zařazen do domény, Azure AD či hybridní. Cílový (vzdálený) počítač musí mít také podporovanou verzi a musí být buď Hybrid Azure AD Joined nebo Azure AD Joined.

Pro připojení použijeme aplikaci Remote Desktop Connection (mstsc.exe).

• zadáme adresu vzdáleného počítače, musíme použít jméno (odpovídající hostname - FQDN/NetBIOS) a ne IP adresu, jméno uživatele nemusíme vyplňovat
• přepneme se na záložku Advanced a zatrhneme volbu Use a web account to sign in to the remote computer

• otevře se okno s Microsoft autentizací, zvolíme nebo zadáme uživatelské jméno ve tvaru uživatel@doména.cz a provedeme přihlášení FIDO2 klíčem

• při připojení na nový počítač musíme povolit připojení ke vzdálené ploše (až 15 připojení se může zapamatovat na 30 dní, takže se znovu neptá)

Když se ke vzdálenému počítači připojujeme znovu, tak po určitou dobu probíhá Single Sign-On (SSO). Správce může upravit chování pomocí Conditional Access Policy. Nastavuje se aplikace Microsoft Remote Desktop (a4a365df-50f1-4397-bc59-1a1564b8bb9c).

Pozn.: Uzamykací obrazovka (Windows lock screen) vzdálené relace (session) nepodporuje Azure AD authentication tokens nebo metody ověřování bez hesla jako FIDO klíče. Proto když dojde k uzamčení, tak je relace odpojena (disconnected).

Remote Desktop - využití na vzdálené ploše

FIDO2 bezpečnostní klíč můžeme také využít na vzdáleném počítači kam se připojíme pomocí Remote Desktop Connection. Na zdrojovém počítači, kde máme připojen klíč, musíme mít nějakou novější verzi RDP a v nastavení lokálních zdrojů pak vidíme možnost přesměrovávat WebAuthn (Windows Hello or security keys). Funguje mi, když je cílový počítač Windows 11 22H2. První krátké testy jsem prováděl na Windows 10 22H2, kde se mi nedařilo.