Аудит аутентификации FIDO2 для входа в Windows

Этот текст описывает, как проводить аудит аутентификации с помощью ключей безопасности FIDO2 на клиентских устройствах Windows. В основном он фокусируется на анализе журналов событий Windows, в частности, тех, которые связаны с протоколами WebAuthN и CTAP. События аутентификации можно отследить, сопоставляя такие шаги, как генерация запроса и обработка ответа, с определенными идентификаторами событий. Процесс включает в себя изучение таких событий, как WebAuthN Ctap GetAssertion (ID 1003-1005) и Cbor encode GetAssertion requests (ID 1103), где можно найти идентификатор ключа из Entra ID. Успешные и неудачные попытки проверки PIN-кода, жизненно важные для оценки безопасности, можно отслеживать через события Ctap Usb Send Receive. Наконец, текст также содержит руководство по разбору данных, закодированных в формате CBOR, в этих событиях для извлечения важных деталей, таких как идентификаторы учетных данных и информация о присутствии пользователя.