我們已經向大多數用戶推出了智慧卡和 Yubikey。我們需要收集有關這些 MFA 設備使用情況的指標。現在,我們有在客戶端上運行的自訂程式碼,可以很好地收集這些數據,但我想移動數據收集伺服器端。此資訊必須位於網域控制器上,並且我發現了一些事件可以為我提供一些信息,但不是全部。
我該如何收集以下資訊:
- 登入的用戶
- 他們登入了什麼機器
- 他們使用的設備/使用的證書
答案1
您似乎正在使用 Active Directory。信任鍊是 Yubikey 擁有唯一的私鑰(無法提取)和具有匹配公鑰的證書,由 AD 管理員信任的 CA 頒發。然後,他們會將憑證輸入到 AD 中,並對應允許使用者使用的憑證。 Windows 在用戶端和 DC 之間使用 PKINIT Kerberos 協定。 DC 可以記錄憑證、使用者和用戶端電腦。你就會知道使用的是哪個Yubikey。額外的假設是 Yubikey 和 PIN 未被分享或被盜。
相同的邏輯適用於 Web 伺服器智慧卡驗證。