Soms heb je voor je werk ook wel eens een windows machine nodig ip plaats van mijn geliefde Linux systemen, Om deze Windows machine extra goed te beveiligen, kun je gebruik maken van commerciële partijen zoals bijv. DUO. Aangezien ik liever met Open Source Software speel en niet afhankelijk wil zijn van enige cloud dienst (of omdat je je server bijv. niet aan het internet wil hangen) kun je ook gebruik maken van MultiOTP (https://www.multiotp.net/).
Je kunt met dit systeem een hele omgeving bouwen rond je MFA Vraagstuk, maar ik wil alleen 1 server gaan voorzien van MFA. Wij gebruiken dus MutliOTPCredentialProvider welke te vinden is op: https://download.multiotp.net/credential-provider/
Wat we verder nodig hebben is de Microsoft Authenticator App, de Google Authenticator App of bijv. FreeOTP https://freeotp.github.io/
Download de zip file of MultiOTPCredentialProvider en extract deze in een directory. Daar start je de vcruntime installer en installeeer je deze runtime.
Ga terug naar de folder waarin je alles hebt extract Start de Windows Installer Package van MultiOTPCredentialProvider. Als er een popup verschijnt klik dan op RUN.
Vervolgens volg je de volgende schermen:
Kies hier voor No remote server
De default is hier prima
Kies hier voor alle regels Local and Remote. Dit betekent dat je zowel lokaal als via RDP moet inloggen met MFA. Je kunt er ook voor kiezen om dit alleen Remote (dus via RDP) te doen.
Vervolgens klikken we op Install en zou MultiOTP geinstalleerd worden.
Na de installatie open je op Windows een opdracht prompt. Vervolgens ga je naar de MultiOTP directory:
cd "\Program Files\MultiOTP"
Vervolgens maken we een MultiOTP user aan met dezelfde naam als waar men mee inlogt:
multiotp -fastcreate <username>
En daarna moeten we nog een QR code aanmaken om te scannen met de Authenticator App
multiotp -qrcode <username> qr-user.png
Open deze qr code met bijv. Paint en scan deze met de Authenticator App.
Let erop dat met het installeren van MultiOTP MFA meteen aangezet wordt voor ALLE gebruikers. Dus ook je Administrator.
Om multiotp te gebruiiken voor 1 user zonder MFA (bijv. Administrator) voer je het volgende command uit:
multiotp -create administrator without2FA
Start de server opnieuw op en als het goed is zul je zien dat je bij het inloggen van de gebruiker die je net hebt aangemaakt na het invoeren van het wachtwoord ook nog een One Time Password gevraagd wordt.
Je MFA is nu geregeld.