审核 Windows 登录的 FIDO2 身份验证

本文概述了如何在 Windows 客户端设备上审计 FIDO2 安全密钥的身份验证。内容主要聚焦于分析 Windows 事件日志，特别是与 WebAuthN 和 CTAP 协议相关的事件。可通过将挑战生成和响应处理等步骤映射到特定事件 ID 来追踪身份验证事件。该过程包括检查诸如 WebAuthN Ctap GetAssertion（事件 ID 1003–1005）和 CBOR 编码的 GetAssertion 请求（事件 ID 1103）等事件，其中可找到来自 Entra ID 的密钥标识符。成功与失败的 PIN 验证尝试对于安全评估至关重要，可通过 Ctap Usb Send Receive 事件进行追踪。此外，本文还指导如何解析这些事件中的 CBOR 编码数据，以提取关键信息，如凭证 ID 和用户存在性信息。