Met alle malware ellende in je achterhoofd is je backup server hopelijk géén lid van je active directory en heb je deze mogelijk al in een apart vlan gezet samen met de beheer interfaces van je esx/vsphere hosts en vcenter. Stel dat je deze machine ook wil beveiligen, dan kan dat binnen eenzelfde DUO tenant als waarin je de active directory gebruikers hebt staan voor bijvoorbeeld sstp en remote desktop gateway.
Maak in je DUO dashboard de lokele gebruiker handmatig aan en zet daarbij diens status even op bypass. Je wil jezelf niet uitsluiten van toegang als er iets misgaat.
Download nu https://dl.duosecurity.com/duo-win-login-latest.exe en maak vervolgens bij Applications in het DUO portal een Microsoft RDP application aan, dit is dus een andere applicatie dan Remote Desktop Gateway welke integreert met IIS.
Vervolgens start je de installer…
De pagina met de keys sla ik even over.
Verwijder het vinkje Bypass DUO authentication when offline. Uit security oogpunt wil je NIET dat DUO omzeild kan worden. Zet een vinkje bij Use auto push EN Only prompt for DUO authentication when logging in via RDP.
Dan slaan we er een paar over:
Test een aanmelding en als je je aanmeldpoging in het log report van DUO terugziet, haal je de bypass van je account af.
Vervolgens krijg je wanneer je inlogt…
Wanneer de aanmelding met gebruikersnaam en wachtwoord succesvol is, krijg je de DUO prompt waarbij je kunt kiezen voor o.a. DUO Push.
De DUO Push keur je vervolgens goed op je telefoon…
