Wir haben den meisten unserer Benutzer Smartcards und Yubikeys zur Verfügung gestellt. Wir müssen Messdaten zur Nutzung dieser MFA-Geräte sammeln. Im Moment haben wir benutzerdefinierten Code, der auf dem Client ausgeführt wird und diese Daten ganz gut sammelt, aber ich möchte die Datenerfassung auf die Serverseite verschieben. Diese Informationen müssen auf den Domänencontrollern gespeichert sein, und ich habe einige Ereignisse gefunden, die mir einige, aber nicht alle Informationen liefern.
Diese Seite hier war hilfreich:https://docs.citrix.com/en-us/federated-authentication-service/config-manage/troubleshoot-logon.html#vda-security-log
Wie kann ich die folgenden Informationen sammeln:
- Der Benutzer, der sich angemeldet hat
- Bei welchem Computer sie sich angemeldet haben
- Das verwendete Gerät/das verwendete Zertifikat
Antwort1
Es sieht so aus, als ob Sie Active Directory verwenden. Die Vertrauenskette besteht darin, dass der Yubikey einen einzigartigen privaten Schlüssel (der nicht extrahiert werden kann) und ein Zertifikat mit passendem öffentlichen Schlüssel hat, das von einer von den AD-Administratoren als vertrauenswürdig eingestuften Zertifizierungsstelle ausgestellt wurde. Sie würden das Zertifikat dann in AD eingeben und dabei angeben, welche Zertifikate ein Benutzer verwenden darf. Windows verwendet das PKINIT-Kerberos-Protokoll zwischen dem Client und den DCs. Der DC kann das Zertifikat, den Benutzer und den Client-Rechner protokollieren. Sie würden wissen, welcher Yubikey verwendet wurde. Die zusätzliche Annahme ist, dass der Yubikey und die PIN nicht weitergegeben oder gestohlen wurden.
Dieselbe Logik gilt für die Smartcard-Authentifizierung auf Webservern.