Qiita Teams that are logged in
You are not logged in to any team

Log in to Qiita Team
Community
OrganizationAdvent CalendarQiitadon (β)
Service
Qiita JobsQiita ZineQiita Blog
11
Help us understand the problem. What is going on with this article?
@tsukamoto

WindowsマシンをWinAuthでMFAデバイスにする

WindowsマシンにWinAuthをインストールすることで、多要素認証の仮想MFAデバイス(時間ベースのワンタイムパスワード生成器)として利用できるようにする話。社員に配布しているのはWindowsマシンだけなのだけど、BYODの雰囲気がある私有スマホは業務での多要素認証に使わせたくない、という組織を想定しています。

なぜWinAuthを使うのか

AWS等ではセキュリティ強化のためにMFA(多要素認証)が利用可能で、認証の第二要素として仮想MFAデバイスが利用できます。これは特定の端末上に構成された、TOTP(時間ベースのワンタイムパスワード)ソフトウェアです。一般には各自のスマートフォン上の多要素認証アプリケーション(例えばGoogle AuthenticatorMicrosoft Authenticator)が使われるでしょう。

それを避け、Windows端末を多要素認証用のデバイスとして利用したいという企業(組織)ニーズとして、ここでは以下を想定しました。

  1. 会社貸与のWindowsマシンだけで多要素認証を行わせたい。例えば企業として従業員にスマートフォンは貸与していないが、BYODの仕組みはないので、私有スマートフォンでの認証を避けたい。
  2. 電子機器持込み禁止のエリアで、据置きのWindowsマシンで多要素認証を行わせたい。例えば本番環境への運用作業場所は専用のオペレーションルームなどに限定しており、ここへの電子機器持込みは認めていない。

またWindowsで広く使われるパスワードマネージャー、例えばLast Passwordや1passwordなどもワンタイムパスワード(TOTP)の機能を持ち仮想MFAデバイスとして使えます。これについては、組織として、端末間でデータが同期されるかコピーできるものは多要素認証と認めないことを想定しています。

いろいろと縛りがめんどくさい想定ですが、私の知っている実在環境でも該当するものがあります。こうしたケースを想定した時、以下が要件になります。

  • Windows上で動作する
  • データが端末内で完結し端末外に出ない(端末に紐づく)

WinAuthはこれを満たすものとして選択しました。他にも候補があるかもしれませんが、要件を満たすものがあったことで十分とし、調査比較はしていません。

WinAuthのインストール

WiAuthにAWS MFA仮想デバイス登録

  • 展開されたフォルダ内の WinAuth.exe を実行
  • [Add] > [Authenticator]を選択
    2020-07-16-14-39-31.png
  • 「Add Authenticator」画面の1.の入力欄に、AWSの仮想MFAデバイス登録画面で表示されるコードを貼り付け
    2020-07-16-14-57-18.png
  • Verify Authenticator をクリック
  • AWSの仮想MFAデバイス登録画面に、「Add Authenticator」画面の4.に表示されるコード2回分を貼り付けて登録
  • 「Add Authenticator」画面の OK をクリックして登録
  • 「Protection」画面で以下を実施
    • 「Protect with my own password」にチェックを入れ、「Password」「Verify」に任意のパスワードを入力
    • 「Encrypt to only be useable on this computer」と「And only by the current user on this computer」にチェック
    • OK をクリックして保存
      2020-07-16-14-55-44.png

WinAuthでAWS MFA認証

  • 展開されたフォルダ内の WinAuth.exe を実行
  • 表示された6桁のコードを、AWSの認証画面のMFAコード入力欄に入力
    2020-07-16-15-14-29.png

参考

11
Help us understand the problem. What is going on with this article?
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
tsukamoto
Perlを趣味、社内AWS導入・支援を仕事(?)にしています。続きはFacebookかLinkedInで。

Comments

No comments
Sign up for free and join this conversation.
Sign Up
If you already have a Qiita account Login
11
Help us understand the problem. What is going on with this article?