Wiele firm, co można już śmiało nazwać trendem przechodzi z logowania hasłem na logowanie passwordless. W domenie Windows passwordless polega na użyciu certyfikatu jako metodę logowania – czyli metoda logowania kartą inteligentną. Certyfikaty te są umieszczane na fizycznym nośniku. Takim nośnikiem może być karta inteligentna, ale to rozwiązanie coraz częściej wypierane jest przez klucze sprzętowe, np. YubiKey 5.
Klucz sprzętowy to w uproszczeniu USB z chipem, który przechowuje klucz prywatny. Oferuje większą odporność na uszkodzenia fizyczne i jest łatwiejszy w obsłudze dla użytkownika końcowego.
Co trzeba zrobić, aby uruchomić logowanie certyfikatem w domenie Windows:
- Instalacja AD CS
- Utworzenie szablonu logowania
- Instalacja Yubico MiniDriver
- Utworzenie certyfikatu
- Konfiguracja polityk GPO
- Test logowania
- Podsumowanie
1. Instalacja AD CS
Active Directory Certificate Services (AD CS) to rola w Windows Server, która umożliwia wdrożenie infrastruktury klucza publicznego (PKI). AD CS odpowiada za:
- Wydawanie certyfikatów
- Zarządzanie ich ważnością i odwołaniami
- Definiowanie szablonów certyfikatów
Instalację można przeprowadzić z poziomu PowerShella:
|
1 2 |
Install-WindowsFeature ADCS-Cert-Authority -IncludeManagementTools Install-AdcsCertificationAuthority |
Lub za pomocą GUI:
|
1 |
Server Manager → Add Roles and Features → wybieramy Active Directory Certificate Services, a następnie tylko Certification Authority |
2. Utworzenie szablonu logowania
Aby utworzyć własny szablon certyfikatu najprościej będzie skopiować Domyślny szablon smart cart logon i na jego podstawie utworzyć naszą kopię w tym celu musimy przejść do szablonu i tam klikając prawym przyciskiem na smart cart logo zduplikować istniejący szablon. Następnie musimy edytować poszczególne opcje. Zaczynając od kompatybilności ustawmy najniższy wersją używany w naszej infrastrukturze system. W zakładce General wpiszmy nazwę szablonu oraz czas ważności certyfikatu i okres odnowienia.
Domyślny szablon „Smartcard Logon” nie zawsze pasuje do naszych potrzeb. Dlatego najlepiej sklonować go i dostosować. W tym celu:
- Otwórz
certtmpl.mscna serwerze z AD CS - Kliknij prawym przyciskiem myszy na „Smartcard Logon” → Duplicate Template
- W zakładce Compatibility ustaw wersję zgodną z najstarszym systemem w sieci (np. Windows 10 i Windows Server 2016)
- W zakładce General:
- W zakładce Request Handling:
- W zakładce Cryptography:
- W zakładce Subject Name:
- W zakładce Security:
Na koniec opublikuj szablon:
- Otwórz
certsrv.msc - Przejdź do zakładki Certificate Templates
- Kliknij prawym → New → Certificate Template to Issue
- Wybierz swój szablon (
YubiKey Logon)
3. Instalacja Yubico MiniDriver
Windows sam z siebie nie potrafi pracować z kluczem YubiKey jako kartą inteligentną. Potrzebny jest Yubico Smart Card Minidriver:
- Pobierz ze strony: https://www.yubico.com/support/download/smart-card-drivers-tools/
- Zainstaluj na stacjach roboczych oraz ewentualnie na serwerach RDS
Po instalacji klucz powinien być widoczny w Menedżerze urządzeń jako „Smart card reader” i odpowiadać na polecenia systemowe. Jeśli planujesz logowanie kluczem YubiKey na serwerach RDP warto zainstalować go w trybie Legacy Mode. Instalacja ta, zabezpiecza nas przed błędem: „The requested key container does not exist on the smart card.”.
Komenda dzięki, której zainstalujesz Mini Driver w trybie Legacy to:
|
1 |
msiexec /i YubiKey-Minidriver-4.6.3.252-x64.msi INSTALL_LEGACY_NODE=1 /quiet |
Dodatkowo możesz zainstalować YubiKey Manager, żeby łatwo zarządzać certyfikatami na kluczu.
4. Utworzenie certyfikatu
Certyfikat wystawia się z konta użytkownika, który ma do niego przypisany UPN lub w imieniu innego użytkownika z konta administratora (on behalf of).
Opcja A – Ręczne wystawienie certyfikatu:
- Włóż YubiKey
- Otwórz
certmgr.msc - Zakładka Personal → „All Tasks” → „Request New Certificate”
- Wybierz przygotowany wcześniej szablon (
YubiKey Logon) - Upewnij się, że klucz docelowy to smart card/YubiKey
- Wprowadź wymagane dane (jeśli szablon tego wymaga)
Certyfikat zostanie zapisany bezpośrednio na kluczu. Ważne, aby certyfikat zawierał UPN (User Principal Name) zgodny z kontem AD – inaczej logowanie nie zadziała. Sprawdź też, czy certyfikat ma rozszerzenie EKU (Enhanced Key Usage) ustawione na „Smart Card Logon” oraz „Client Authentication”.
Opcja B – Automatyczna rejestracja (Autoenroll)
Jeśli GPO i szablony są ustawione poprawnie, po podłączeniu klucza i zalogowaniu użytkownika certyfikat może zostać wydany automatycznie – bez ręcznej interwencji.
5. Konfiguracja polityk GPO
Żeby środowisko faktycznie korzystało z logowania smart card, warto wymusić to przez GPO.
Przykładowe ustawienia GPO:
- Interactive logon: Require smart card – [Enabled]
- Smart card removal behavior – [Lock Workstation]
- Allow certificates with no EKU – [Disabled]
- Turn on smart card plug and play service – [Enabled]
GPO można ustawić na poziomie całej domeny, ale najlepiej zacząć od OU z testowymi użytkownikami i komputerami.
Ścieżka:Computer Configuration → Policies → Windows Settings → Security Settings → Local Policies → Security Options
6. Test logowania
Podłącz YubiKey do portu USB. Przy ekranie logowania pojawi się opcja użycia smart card. Kliknij → wybierz certyfikat → podaj PIN → i to wszystko 🙂
7. Podsumowanie
Czy logowanie certyfikatem jest bezpieczniejsze?
Zdecydowanie tak. Certyfikat przechowywany na fizycznym nośniku – w tym przypadku na YubiKey, nie może być skopiowany ani odczytany zdalnie. Co więcej, klucz prywatny nigdy nie opuszcza urządzenia, a samo logowanie wymaga fizycznego dostępu i znajomości PIN-u. Jest to jedna z nielicznych metod, która rzeczywiście eliminuje phishing jako zagrożenie.
Czy jest wygodniejsze?
Również tak. Użytkownik nie musi zapamiętywać i okresowo zmieniać hasła, co zwiększa komfort i redukuje błędy. W praktyce wystarczy podłączyć klucz i wpisać PIN. To znacznie prostsze niż zarządzanie silnymi hasłami czy używanie MFA opartego na aplikacjach mobilnych.
Logowanie z użyciem certyfikatu i klucza sprzętowego jest nie tylko bezpieczniejsze i wygodniejsze, ale też zgodne z nowoczesnymi standardami bezpieczeństwa (jak np. Zero Trust i phishing-resistant MFA zalecane przez NIST i Microsoft). To rozwiązanie skalowalne, które dobrze sprawdza się zarówno w małych firmach, jak i w dużych korporacjach z wymaganiami compliance (np. ISO 27001 czy NIS2).
Wdrożenie logowania z użyciem certyfikatu to krok w kierunku bezpieczniejszego i prostszego środowiska. To nie tylko trend – to standard nowoczesnego bezpieczeństwa.
