Hemos implementado tarjetas inteligentes y Yubikeys para la mayoría de nuestros usuarios. Necesitamos recopilar métricas sobre el uso de estos dispositivos MFA. En este momento tenemos un código personalizado que se ejecuta en el cliente y que hace un buen trabajo al recopilar estos datos, pero quiero mover el lado del servidor de recopilación de datos. Esta información tiene que estar en los controladores de dominio y encontré algunos eventos que me brindan parte de la información, pero no toda.
Esta página aquí ha sido útil:https://docs.citrix.com/en-us/federated-authentication-service/config-manage/troubleshoot-logon.html#vda-security-log
¿Cómo podría recopilar la siguiente información?
- El usuario que inició sesión
- ¿En qué máquina iniciaron sesión?
- El dispositivo que utilizaron/el certificado utilizado
Respuesta1
Parece que estás utilizando Active Directory. La cadena de confianza es que Yubikey tiene una clave privada única (que no se puede extraer) y un certificado con la clave pública coincidente, emitido por una CA en la que confían los administradores de AD. Luego ingresarían el certificado en AD con el mapeo de qué certificados puede usar un usuario. Windows utiliza el protocolo PKINIT Kerberos entre el cliente y los DC. El DC puede registrar el certificado, el usuario y la máquina cliente. Sabrías qué Yubikey se usó. La suposición adicional es que Yubikey y el PIN no han sido compartidos ni robados.
La misma lógica se aplica a la autenticación con tarjeta inteligente del servidor web.