Multifaktor-Authentifizierung (2FA/MFA) Windows-Anmeldungen und RDP

Zuletzt aktualisiert am 29. September 2025

Hinweis: Wenn Sie eine Integration mit RDS (Remote Desktop Services) suchen, beachten Sie stattdessen Rublon MFA für Remote Desktop Gateway und Rublon MFA für Remote Desktop Web Access.

Überblick über die Multifaktor-Authentifizierung für Windows-Anmeldungen und RDP

Die Multifaktor-Authentifizierung (MFA) für Windows-Anmeldungen und RDP ist eine wichtige Sicherheitsmaßnahme, bei der Benutzer zwei unterschiedliche Authentifizierungsnachweise angeben müssen, um lokal oder über RDP auf einen Windows-Computer zuzugreifen. Im ersten Schritt gibt der Benutzer seinen Active-Directory- oder RADIUS-Benutzernamen und sein Passwort ein. Anschließend erfolgt eine zusätzliche Authentifizierung, bei der eine der verfügbaren Verifizierungsmethoden ausgewählt wird, zum Beispiel Mobile Push oder E-Mail-Link. Nachdem beide Authentifizierungsschritte erfolgreich abgeschlossen wurden, erhält der Benutzer Zugriff auf Windows. Das Aktivieren von Zwei-Faktor-Authentifizierung (2FA) bzw. Multifaktor-Authentifizierung (MFA) für Windows-Anmeldungen und RDP reduziert das Risiko erheblich, dass Angreifer Zugriff erhalten, selbst wenn sie die Anmeldedaten eines Benutzers erbeuten.

Rublon MFA für Windows-Anmeldungen und RDP ist ein Konnektor, der sich in Microsoft Windows Client- und Server-Betriebssysteme integriert, um die Zwei-Faktor-Authentifizierung (2FA) und Multifaktor-Authentifizierung (MFA) für Remote Desktop und lokale Anmeldungen hinzuzufügen.

• Um eines der folgenden Betriebssysteme abzusichern, installieren Sie nach dem Herunterladen die aktuelle Version des Rublon für Windows Konnektors:
  • Windows 10 Home & Pro – Version 1809 (Oktober 2018 Update) oder höher
  • Windows 11 Home & Pro
  • Windows Server 2019
  • Windows Server 2022
  • Windows Server 2025
• Um eines der unten aufgeführten älteren Betriebssysteme abzusichern, installieren Sie nach dem Herunterladen die Legacy-Version des Rublon für Windows Konnektors (5.X.X):
  • Windows 7 SP1
  • Windows 8.1 Home & Pro
  • Windows 10 Home & Pro – bis vor Version 1809 (Oktober 2018 Update)
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016

Demo Videos

MFA für Windows Hello mit FIDO2-Sicherheitsschlüssel

MFA for Microsoft Remote Desktop (RDP) With FIDO2 Security Key

Wie funktioniert Rublon MFA für Windows-Anmeldungen und RDP?

Rublon MFA für Windows-Anmeldungen und RDP ist ein Konnektor, der Ihrem gewohnten Anmeldefluss einen zusätzlichen Authentifizierungsschritt hinzufügt. Wie der Name nahelegt, funktioniert dieser Konnektor sowohl für Windows-Anmeldungen als auch für RDP. Dadurch können Sie den Konnektor verwenden für:

• Nur RDP-Anmeldungen
• Sowohl lokale Windows-Anmeldungen als auch RDP-Anmeldungen

Netzwerkdiagramme

Das folgende Diagramm zeigt den erfolgreichen Authentifizierungsablauf bei einer RDP-Anmeldung. Der gleiche Ablauf gilt für lokale Windows-Anmeldungen.

1. RDP-Verbindung initialisieren.

2. Primäre Authentifizierung gegen Ihre Authentifizierungsquelle durchführen.

3. Verbindung zur Rublon API herstellen.

4. Sekundäre Authentifizierung mit einer der verfügbaren Methoden durchführen. 

5. Erfolgsantwort erhalten.

6. Benutzer anmelden.

Das folgende Diagramm zeigt einen RDP-Anmeldefluss mit den in jedem Abschnitt verwendeten Protokollen.

Unterstützte Authentifizierungsmethoden

Authentication Method	Unterstützt	Hinweise
Mobile Push	✔	N/A
WebAuthn/U2F Sicherheitsschlüssel	✔	*
Passcode	✔	N/A
SMS Passcode	✔	N/A
SMS Link	✔	N/A
Telefonanruf	✔	N/A
QR-Code	✔	N/A
E-Mail-Link	✔	N/A
YubiKey OTP-Sicherheitsschlüssel	✔	N/A

* WebAuthn/U2F Sicherheitsschlüssel — OS-Unterstützung

Lokale Windows-Anmeldungen

• Windows Server 2019 (für Microsoft Entra ID-beitretene Geräte ab Version 17763, für hybrid-beitretene Geräte ab Version 2004)
• Windows Server 2022
• Windows Server 2025
• Windows 10 für Microsoft Entra ID-beitretene Geräte ab Version 17763, für hybrid-beitretene Geräte ab Version 2004)
• Windows 11

RDP connections

• Windows Server 2019 (für Microsoft Entra ID-beitretene Geräte ab Version 1903, für hybrid-beitretene Geräte ab Version 2004)
• Windows Server 2022
• Windows Server 2025
• Windows 10 (für Microsoft Entra ID-beitretene Geräte ab Version 1903, für hybrid-beitretene Geräte ab Version 2004)
• Windows 11

Unterstützte Kontotypen

Rublon MFA für Windows-Anmeldungen und RDP ist kein Identity Provider (IdP). Der Konnektor prüft die vom Benutzer bereitgestellten Zugangsdaten gegen eine bestehende Authentifizierungsquelle, zum Beispiel Active Directory.

Rublon MFA für Windows-Anmeldungen und RDP unterstützt die folgenden Authentifizierungsquellen:

• Workgroup Accounts (Lokale Benutzer)
• Microsoft Active Directory Accounts (Domänenkonten, einschließlich Entra ID (Azure AD) and Active Directory Protected Users)
• Microsoft (Live) Accounts (Rublon MFA bei der Anmeldung an Windows mit einem Microsoft-Konto, einschließlich Unterstützung für Windows Hello. Beispiel: Nach Eingabe der Windows Hello PIN muss der Benutzer mit Rublon MFA authentifizieren. Ab Version 5.2.0 und 6.1.0 unterstützt der Konnektor in diesem Szenario nur lokale Anmeldungen.)
• Google Workspace Accounts (Rublon MFA bei der Anmeldung an Windows mit einem Google-Konto. Ab Version 5.2.0 und 6.1.0 unterstützt der Konnektor in diesem Szenario nur lokale Anmeldungen.)

Rublon MFA für Windows-Anmeldungen und RDP unterstützt Microsoft Active Directory, ist jedoch nicht erforderlich. Sie können stattdessen Workgroup Accounts verwenden.

Außerdem können Ihre Windows-Endpunkte physische oder virtuelle Maschinen (VM) sein. Der MFA für Windows-Konnektor unterstützt auch Verbindungen über RDP, die mit RMM-Lösungen wie Datto RMM, N-central RMM und anderen hergestellt werden.

Grundlegende Benutzeridentifikation

Ab Windows-Anmeldungen und RDP 3.0.0 identifiziert Rublon Benutzer anhand ihrer Benutzernamen.

Sie können die username normalization aktivieren, damit Rublon Benutzernamen in unterschiedlichen Schreibweisen, zum Beispiel mit angehängter Domäne, als denselben Benutzer behandelt.

Bevor Sie beginnen

Sie müssen die folgenden Schritte vor der Installation des Rublon MFA für Windows Logon und RDP Konnektors ausführen, wenn Ihr System unten aufgeführt ist. Wenn Ihr System nicht aufgeführt ist, fahren Sie direkt mit dem Abschnitt Vorbereitende Schritte fort.

Voraussetzungen für Windows Server 2008 R2

• Öffnen Sie den Server Manager (SrvMgr.exeund wählen Sie Features→ Features hinzufügen. Aktivieren Sie Desktop Experience (Desktopdarstellung), klicken Sie auf Installieren und starten Sie den PC nach Abschluss der Installation neu.
• Aktivieren Sie die 3D-Beschleunigung in VirtualBox.
• Aktivieren Sie TLS 1.2:
  1. Öffnen Sie den Registrierungs-Editor, indem Sie regedit im Ausführen Dialogfeld (Win + R) eingeben.
  2. Navigieren Sie zu: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2.
  3. Erstellen Sie unter TLS 1.2 die Schlüssel Client and Server, falls nicht vorhanden. Diese Schlüssel steuern die Verwendung von TLS 1.2 auf dem Client bzw. Server.
  4. Legen Sie in Client und Server den DWORD Wert DisabledByDefault auf 0. Dies ist ein Flag, um TLS 1.2 standardmäßig zu deaktivieren. Wenn Sie dieses Flag auf 0 setzen, wird TLS 1.2 standardmäßig aktiviert.
  5. Legen Sie in Client und Server den DWORD Wert Enabled auf 1 fest. Dies ist ein Flag, das steuert, ob TLS 1.2 verwendet werden darf. Wenn Sie dieses Flag auf 1 setzen, wird die Verwendung von TLS 1.2 zugelassen.
• Installieren Sie Microsoft .NET Framework 4.5 oder höher aus dem Microsoft Download Center (Hinweis: WMF 4.0 erfordert Microsoft .NET Framework 4.5 oder höher)
• Installieren Sie PowerShell 4.0, indem Sie WMF 4.0 (Windows6.1-KB2819745-x64-MultiPkg.msu) herunterladen und installieren. (Hinweis: WMF 4.0 enthält PowerShell 4.0)

Voraussetzungen für Windows Server 2012 ohne R2

• Installieren Sie Microsoft .NET Framework 4.5 oder höher aus dem Microsoft Download Center (Hinweis: WMF 4.0 erfordert Microsoft .NET Framework 4.5 oder höher)
• Installieren Sie PowerShell 4.0, indem Sie WMF 4.0 (Windows6.1-KB2819745-x64-MultiPkg.msu) herunterladen und installieren. (Hinweis: WMF 4.0 enthält PowerShell 4.0)

Voraussetzungen für Windows 7 ohne Service Pack 1

• Installieren Sie Windows 7 Service Pack 1 und führen Sie anschließend alle Updates über den Windows UpdateDienst durch. Hinweis: Die Installation funktioniert nicht ohne Service Pack 1.
• Wenn Windows Update einen Fehler anzeigt oder keine Updates findet:
  • 1. Führen Sie die Problembehandlung für Windows Updater aus
  • 2. Beenden Sie den Dienst Windows Update
  • 3. Benennen Sie C:\Windows\SoftwareDistribution in C:\Windows\SoftwareDistribution.old um.
  • 4. Starten Sie den Dienst Windows Update
  • 5. Suchen Sie erneut nach Updates. Der Updater sollte nun funktionieren.
• Installieren Sie Microsoft .NET Framework 4.5 oder höher aus dem Microsoft Download Center (Hinweis: WMF 4.0 erfordert Microsoft .NET Framework 4.5 oder höher)
• Installieren Sie PowerShell 4.0, indem Sie WMF 4.0 (Windows6.1-KB2819745-x64-MultiPkg.msu) herunterladen und installieren. (Hinweis: WMF 4.0 enthält PowerShell 4.0)

Vorbereitende Schritte

1. Melden Sie sich bei der Rublon Admin Console an.

2. Klicken Sie im linken Bereich auf Applications.

3. Klicken Sie auf Add Application.

4. Geben Sie einen Namen für die neue Anwendung ein, zum Beispiel Rublon for Windows.

5. Wählen Sie im Dropdown Type den Eintrag Windows Logon & RDP.

6. Entscheiden Sie, ob Sie Username Normalization (Benutzernamen-Normalisierung) und die Ansicht Manage Authenticators (Authentifikatoren verwalten) aktivieren möchten. Weitere Informationen finden Sie unter How to add an application.

7. Klicken Sie auf Save, um die neue Anwendung hinzuzufügen.

8. Notieren Sie die Werte für System Token und Secret Key. Sie benötigen diese Werte später während der Installation.

9.  Laden Sie den Installer für Rublon MFA für Windows Logon und RDP herunter:

• Download: Rublon MFA für Windows

Installation von MFA für Windows-Anmeldungen und RDP (Installation über die grafische Oberfläche)

Wir empfehlen, mindestens eine aktive Sitzung eines angemeldeten Benutzers geöffnet zu lassen, vorzugsweise eine lokale Sitzung. So vermeiden Sie den Verlust des Zugriffs auf die Maschine, falls eine falsche Konfiguration, fehlende Systembibliotheken oder störende Zusatzsoftware den Rublon for Windows Konnektor beeinträchtigen.

1. Führen Sie den Installer mit Administratorrechten aus.

2. Lesen Sie auf der ersten Seite des Installationsprogramms Informationen zu dem Produkt, das Sie installieren möchten.

• Wenn Sie den Konnektor zum ersten Mal installieren, klicken Sie auf Next.

• Wenn auf diesem Endpunkt bereits eine Installation vorhanden ist, können Sie entweder Update current installation ausführen oder eine Clean installation durchführen.
  • Update current installation: Bereits gesetzte Optionen können nicht geändert werden. Neue Optionen, die in dieser Version hinzugekommen sind, können Sie vor der Installation anpassen. Empfohlen, wenn Sie nur aktualisieren und Ihre aktuellen Einstellungen beibehalten möchten.
  • Clean installation: Wenn Sie sich für eine Neuinstallation entscheiden, fahren Sie mit den Schritten in diesem Abschnitt fort.

3. Geben Sie die API Server URL ein und danach die API-Zugangsdaten (System Token und Secret Key) aus Ihrer Anwendung vom Typ Windows Logon & RDP in der Rublon Admin Console. Klicken Sie auf Next.

Option	Beschreibung
API Server	Standardwert beibehalten, außer Sie möchten die Rublon API Server URL explizit ändern.
System Token	System Token Ihrer Anwendung in der Rublon Admin Console. Fügen Sie den zuvor notierten Wert ein.
Secret Key	Secret Key Ihrer Anwendung in der Rublon Admin Console. Fügen Sie den zuvor notierten Wert ein.

4. Wählen Sie die gewünschten Konfigurationsoptionen und klicken Sie auf Next.
Beziehen Sie sich auf die folgende Abbildung und Tabelle.

Option	Beschreibung
Prompt for MFA only for RDP logins	Wenn aktiviert, fordert nur RDP zur MFA auf, lokale Windows-Anmeldungen werden übersprungen. Deaktivieren Sie die Option , um MFA sowohl für lokale Windows-Anmeldungen als auch für RDP-Sitzungen anzuwenden.
Enable User Account Control (UAC) elevation protection	Wenn aktiviert, fordert Rublon bei jeder UAC-Erhöhung zur MFA auf.
Enable offline authentication	Wenn aktiviert, wird der Offline Mode aktiviert. Wenn aktiviert, erscheint nach Klick auf Next die nächste Seite mit Details zum Offline Mode. Wenn deaktiviert, erscheint die Seite mit Details zum Offline Mode nicht.

5. Wenn Sie Enable offline authentication aktiviert haben, erscheint eine zusätzliche Seite für die Einstellungen der Methode Passcode im Offline Mode. Passen Sie die Werte an und klicken Sie auf Next. Beziehen Sie sich auf die folgende Abbildung und Tabelle.

Option	Beschreibung
Consecutive incorrect attempts limit	Anzahl aufeinanderfolgender Fehlversuche, bevor eine Wartezeit erzwungen wird. Standard: 5 Maximum: 99
Limit exceeded waiting time in seconds	Wartezeit nach Überschreiten der Anzahl aufeinanderfolgender Fehlversuche: Standard: 10 Maximum: 60

6. Die nächste Seite fordert Sie auf, das Benutzernamenformat auszuwählen. Das ausgewählte Format bestimmt, wie Benutzernamen in der Rublon Admin Console hinzugefügt werden. Wenn einem Benutzerkonto kein entsprechendes Benutzernamenformat zugewiesen ist, kann der Benutzer während der MFA je nach Bypass-Konfiguration übersprungen (bypassed) oder blockiert (denied) werden. Die Bypass-Optionen können Sie auf einer der nächsten Seiten dieses Installers konfigurieren.
Beziehen Sie sich auf die folgende Abbildung und Tabelle.

Option	Beschreibung
sAMAccountName	Benutzernamenformat in Windows-Umgebungen. In der Regel ein einfacher, einzelner Name. Beispiel: bob
NT LAN Manager (NTLM)	Benutzernamenformat mit Domänennamen und Benutzernamen, getrennt durch einen Backslash. Beispiel: rublon.com\bob
User Principal Name (UPN)	E-Mail-ähnliches Format mit Benutzername und Domäne, getrennt durch das Symbol „@“. Beispiel: bob@rublon.com Empfehlung für UPN auswählen in folgenden Szenarien: 1. Konten werden über Entra ID (Azure AD) verwaltet. 2. Microsoft Accounts (Live) werden verwendet. 3. Google Workspace Accounts werden verwendet, die über GCPW erstellt wurden. 4. Konten werden über Active Directory verwaltet und jedes Konto hat einen UPN gesetzt. (Konten ohne UPN werden je nach Fail Mode Option verweigert oder umgangen). Andernfalls NT LAN Manager (NTLM) wählen.

7. Auf der folgenden Seite:

• Wenn Sie keinen Proxy benötigen, klicken Sie auf Next.
• Wenn Sie einen Proxy einrichten möchten, aktivieren Sie Use proxy, geben Sie die Details ein und klicken Sie auf Next.
  Beziehen Sie sich auf die folgende Abbildung und Tabelle.

Option	Beschreibung
Proxy Host	Die Adresse des Proxy-Servers.
Proxy Port	Der Port, auf dem der Proxy-Server läuft.
Proxy Username	Der Benutzername des Benutzers des HTTP-Proxy-Servers. Optional. Ausfüllen, wenn eine Überprüfung anhand des Benutzernamens erforderlich ist.
Proxy Password	Das Passwort des Benutzers des HTTP-Proxy-Servers. Optional. Bei Bedarf zur Verifizierung ausfüllen.

8. Entscheiden Sie, ob Sie das Umgehen der MFA zulassen möchten, und klicken Sie auf Next.
Beziehen Sie sich auf die folgende Abbildung und Tabelle.

Option

Beschreibung

Bypass MFA when it cannot be performed

Aktivieren Sie diese Option, um die MFA zu umgehen, wenn der API-Server nicht erreichbar ist (keine Internetverbindung) oder zwar erreichbar ist, aber keine MFA durchführen kann (z. B. aufgrund zu vieler Anfragen).Wenn die Offline-Authentifizierung aktiviert ist, können Benutzer durch Aktivieren dieser Option die MFA auch umgehen, wenn die Offline-Authentifizierung fehlschlägt (z. B. aufgrund einer unvollständigen Offline-Registrierung). Wir empfehlen, diese Option aktiviert zu lassen, wenn Sie Rublon zum ersten Mal installieren, damit Sie bei Problemen (z. B. falscher System Token/Secret Key oder Firewall-Blockierung von Rublon) auf Ihren Computer zugreifen können.

9. Rublon MFA für Windows-Anmeldung und RDP ist bereit zur Installation.

Rublon MFA für Windows-Anmeldung und RDP führt während der Installation die folgenden Schritte aus:

• Fügt Konfigurationseinstellungen zur Windows-Registrierung hinzu.
• Installiert die Anwendung an einem festgelegten Speicherort auf dem System. Dieser Pfad kann nicht geändert werden.
• Nimmt Registrierungsänderungen vor, die für den korrekten Betrieb des Windows Credential Providers erforderlich sind.
• Ändert den Standard-Anmeldeinformationsanbieter zu einer benutzerdefinierten Lösung, die Rublon MFA für Windows unterstützt.
• Startet das Installationsprogramm für die erforderlichen zusätzlichen Pakete: Microsoft Visual C++ 2015-2019 Redistributable (x64).

10. Klicken Sie auf Install, um Rublon MFA für Windows-Anmeldung und RDP zu installieren.

11. Nach erfolgreicher Installation informiert Sie das Installationsprogramm darüber, dass die Installation abgeschlossen ist. Aktivieren Sie Test MFA (und optional View logs) und klicken Sie auf Finish.

12. Wenn Sie Test MFA aktiviert haben, erscheint eine Rublon Eingabeaufforderung (Prompt), über die Sie die Rublon MFA testen können.

• Der Benutzername und das Passwort des derzeit bei Windows angemeldeten Benutzers werden automatisch als erster Faktor für diesen MFA-Test verwendet.
• Falls keine der Authentifizierungsmethoden im Rublon-Prompt verfügbar ist, müssen Sie Authentifikator über die Ansicht Authentifikatoren verwalten hinzufügen.
• Nachdem Sie Ihre Identität mit der ausgewählten Authentifizierungsmethode bestätigt haben, werden Sie entweder darüber informiert, dass die Authentifizierung erfolgreich war oder dass sie fehlgeschlagen ist.
  • Wenn die Authentifizierung erfolgreich war, bedeutet dies, dass die Installation abgeschlossen ist.
  • Wenn die Authentifizierung fehlgeschlagen ist, kann dies an den Einstellungen in der Rublon Admin Console liegen. Oder es kann an einer falschen Konfiguration des Konnektors liegen. Weitere Informationen finden Sie in der Protokolldatei unter: C:\ProgramData\Rublon\Logon\Logs\rublon-credential-provider.log

13. Glückwunsch! Die Installation ist abgeschlossen.

Beim nächsten Mal, wenn Sie sich abmelden und wieder anmelden, müssen Sie sich mit Rublon 2FA authentifizieren.

Vor dem Abmelden sollten Sie möglicherweise noch einige Dinge erledigen:

• Informationen zum Ändern der während der Installation festgelegten Einstellungen finden Sie im Abschnitt Konfiguration dieser Dokumentation.
• Siehe Anmeldung bei Windows mit Rublon MFA und Anmeldung bei RDP mit Rublon MFA, um zu erfahren, wie die Anmeldung bei einem lokalen Windows- und RDP-System nach der Aktivierung von Rublon funktioniert.

Installation von MFA für Windows-Anmeldungen und RDP (Installation im Silent Mode)

Wir empfehlen, mindestens eine aktive Sitzung eines angemeldeten Benutzers geöffnet zu lassen, vorzugsweise eine lokale Sitzung. So vermeiden Sie den Verlust des Zugriffs auf die Maschine, falls eine falsche Konfiguration, fehlende Systembibliotheken oder störende Zusatzsoftware den Rublon for Windows Konnektor beeinträchtigen.

1. Führen Sie den Installer aus einer Eingabeaufforderung aus, zum Beispiel cmd oder PowerShell.

2. Bereiten Sie einen Installationsbefehl im folgenden Format vor:

.\RublonForWindows-6.1.3.exe /verysilent /token=TOKEN /key=KEY /offline=1 /rdpOnly=1

Jede Option wird wie folgt gesetzt: /<OptionName>=<OptionValue>

Beispiel:

.\RublonForWindows-6.1.3.exe /verysilent /token=9BBD412E91594D39BD6FCB841D396C4X /key=97df2dced39aa615a0235819116893 /offline=1 /rdpOnly=1

Beziehen Sie sich auf die folgende Abbildung und Tabelle.

Parameter	Description	Required
token	System Token Ihrer Anwendung in der Rublon Admin Console. Fügen Sie den zuvor notierten Wert ein.	Ja
key	Secret Key Ihrer Anwendung in der Rublon Admin Console. Fügen Sie den zuvor notierten Wert ein.	Ja
verysilent	Führt den Installer ohne grafische Benutzeroberfläche (GUI) aus. Nützlich für gleichzeitige Installationen auf vielen Endpunkten mit Skripten oder Tools wie PDQ Deploy, Microsoft System Center Configuration Manager (SCCM) oder Intune.	Ja, um den Installer im Silent-Modus auszuführen. Wenn der Installer diesen Parameter nicht enthält, wird der Installer im GUI-Modus ausgeführt.
silent	Führt den Installer ohne die meisten GUI-Elemente aus, zeigt jedoch einen Fortschrittsbalken. Bei Fehlern erscheint eine grafische Meldung, die Benutzereingriff erfordert.	Nein
offline	Umgeht die MFA bei Anmeldungen, wenn Rublon-Server nicht erreichbar sind. Dies entspricht dem Fail-Modus bei der Installation im Silent-Modus. Zugriff verweigern: 0 MFA umgehen : 1 Empfehlung: 1	Nein
rdpOnly	1 aktiviert MFA nur für RDP-Sitzungen und überspringt lokale Windows-Anmeldungen. 0 aktiviert MFA für lokale Windows-Anmeldungen und RDP.	Nein
userAccountControlProtect	1 fordert bei jeder UAC-Aufforderung zur MFA auf.	Nein
proxyHost	Adresse des Proxy-Servers.	Nein
proxyPort	Port des Proxy-Servers.	Nein
proxyUsername	Benutzername für den HTTP-Proxy.	Nein
proxyPassword	Passwort für den HTTP-Proxy.	Nein
rublonApiServer	Server der Rublon API.	Nein
LOG=”filename”	Erstellt zusätzlich eine Protokolldatei im angegebenen Verzeichnis. Ohne Pfad wird die Logdatei unter C:\ProgramData\Rublon\Logon\Logs erstellt.	Nein
NORESTART	Verhindert einen Neustart nach erfolgreicher Installation oder nach einem Fehler, der einen Neustart anfordert.	Nein
offlineAuth	Standard: 1 1 aktiviert Offline Mode für MFA ohne Internet. 0 deaktiviert Offline Mode.	Nein
offlineTOTPMaxAttempts	Anzahl fehlgeschlagener Offline-Anmeldeversuche mit Passcode bis eine Wartezeit erzwungen wird. Standard: 5 Maximum: 99	Nein
offlineTOTPTimeBetweenAttempts	Erzwungene Wartezeit nach Überschreiten von OfflineTOTPMaxAttempts in Sekunden. Standard: 10  Maximum: 600	Nein
sendUPN	Standard: 0 Wenn auf 1 gesetzt, sucht Rublon den Universal Principal Name (UPN) in Active Directory und sendet den UPN als Rublon-Benutzernamen an die Rublon-API (z. B. user@domain.com). Angenommen, Sie setzen SendUPN auf 1, Rublon findet den UPN des Benutzers im Active Directory jedoch nicht. In diesem Fall entscheidet FailMode: Bei bypass wird die MFA-Aufforderung umgangen (bypass) und die Anmeldung zugelassen, bei deny wird die Anmeldung abgelehnt (deny) und protokolliert. Hinweis: Wenn user1 der UPN user2@rublon.com zugewiesen ist, erhält user1 die MFA-Aufforderung von user2. Verwenden Sie eine solche Konfiguration mit Vorsicht.	Nein
sendNTLM	Standard: 1 Wenn auf 1 gesetzt, sendet Rublon DOMAIN\username an die Rublon API als Rublon-Benutzernamen. Wenn Rublon die Domäne nicht findet, wird nur der Benutzername gesendet. Wenn SendUPN und SendNTLM beide auf 0 gesetzt sind, sendet Rublon nur den Benutzernamen (sAMAccountName) an die Rublon API. Wenn SendUPN und SendNTLM beide auf 1 gesetzt sind, verhält sich Rublon so, als wäre SendUPN=1 und SendNTLM=0.	Nein
RequestTimeout	Zeitüberschreitung in Millisekunden, nach der Fail Mode oder Offline Mode ausgelöst wird, wenn die Rublon API nicht erreichbar ist. Standard: 20000	Nein

3. Führen Sie den vorbereiteten Befehl aus.

4. Glückwunsch! Die Installation ist abgeschlossen.

Beim nächsten Mal, wenn Sie sich abmelden und wieder anmelden, müssen Sie sich mit Rublon 2FA authentifizieren.

Vor dem Abmelden sollten Sie möglicherweise noch einige Dinge erledigen:

• Informationen zum Ändern der während der Installation festgelegten Einstellungen finden Sie im Abschnitt Konfiguration dieser Dokumentation.
• Siehe Anmeldung bei Windows mit Rublon MFA und Anmeldung bei RDP mit Rublon MFA, um zu erfahren, wie die Anmeldung bei einem lokalen Windows- und RDP-System nach der Aktivierung von Rublon funktioniert.

Konfiguration von MFA für Windows-Anmeldungen und RDP

Wir empfehlen, mindestens eine aktive Sitzung eines angemeldeten Benutzers geöffnet zu lassen, vorzugsweise eine lokale Sitzung. So vermeiden Sie den Verlust des Zugriffs auf die Maschine, falls eine falsche Konfiguration, fehlende Systembibliotheken oder störende Zusatzsoftware den Rublon for Windows Konnektor beeinträchtigen.

Alle Standardwerte der Einstellungen hängen von Ihren Auswahloptionen während der Installation ab.

Zum Ändern der Einstellungen von Rublon MFA für Windows öffnen Sie die Windows Registry: HKEY_LOCAL_MACHINE\SOFTWARE\Rublon\WindowsLogon

Bei binären Werten gilt: 1 bedeutet Ja, 0 bedeutet Nein.

Die folgende Tabelle beschreibt alle Werte:

Wert	Beschreibung
ProxyMode	Standard: 0 Damit der Proxy funktioniert, müssen Sie mindestens zwei Registrierungswerte festlegen: ProxyHost und ProxyPort. Sind beide vorhanden, wird der Proxy automatisch aktiviert (und ProxyMode auf 1 gesetzt). Ist nur einer der beiden gesetzt, bleiben die Registry-Änderungen zwar bestehen, ProxyMode bleibt jedoch 0 und der Proxy ist inaktiv. Auf 0 setzen, um den Proxy zu deaktivieren. Hinweis: Diese Proxy-Werte gelten nur für den konnektorspezifischen Proxy. Bei vorhandenem System-Proxy gilt: • Wenn im System kein Proxy eingerichtet ist und auch im Konnektor kein Proxy eingerichtet ist, verwendet der Konnektor überhaupt keinen Proxy. • Wenn im System ein Proxy eingerichtet ist, jedoch nicht im Konnektor, verwendet der Konnektor unabhängig von ProxyMode den System-Proxy. • Wenn sowohl im System als auch im Konnektor ein Proxy eingerichtet ist, verwendet der Konnektor seinen eigenen Proxy (überschreibt den System-Proxy).
ProxyHost	Die Adresse des Proxy-Servers. Optional.
ProxyPort	Der Port, auf dem der Proxy-Server läuft. Optional.
ProxyUsername	Der Benutzername des Benutzers des HTTP-Proxy-Servers. Optional.
ProxyPassword	Das Passwort des Benutzers des HTTP-Proxy-Servers. Optional.
RublonApiServer	Standard: https://core.rublon.net Der Server der Rublon API.
RublonRDPOnly	Standard: 1 Auf 0 setzen, um MFA sowohl für lokale Systemanmeldungen als auch für RDP-Sitzungen zu aktivieren. Auf 1 setzen, um MFA nur für RDP-Sitzungen zu aktivieren und lokale Systemanmeldungen zu umgehen.
FailMode	Legt fest, ob dem Benutzer Zugriff ohne MFA gewährt oder verweigert werden soll, wenn die Rublon-API nicht erreichbar ist oder keine gültige Antwort liefert. Possible values: bypass – Wenn die Authentifizierungsanfrage an die Rublon API fehlschlägt, wird die MFA-Aufforderung umgangen und die Anmeldung zugelassen. deny – Wenn die Authentifizierungsanfrage an die Rublon API fehlschlägt, wird die Anmeldung abgelehnt. Wenn OfflineAuth auf 1 gesetzt ist und alle Anforderungen des Offline-Modus erfüllt sind, wird die Option FailMode überschrieben und der Benutzer muss die Offline-MFA durchführen. Sind die Anforderungen des Offline-Modus jedoch nicht erfüllt, wird die MFA-Aufforderung je nach FailMode entweder umgangen (bypass) oder die Anmeldung abgelehnt (deny).“
SecretKey	Secret Key Ihrer Rublon MFA für Windows Anwendung in der Rublon Admin Console.
SystemToken	System Token Ihrer Rublon MFA für Windows Anwendung in der Rublon Admin Console.
DebugMode	Standard: 0 Auf 1, 2 oder 3 setzen, um zusätzliche Log-Einträge zu aktivieren. Je höher der Wert, desto detaillierter die Debug-Logs.
DebugRublonRequests	Standard: 0 Auf 1 setzen, um bei jeder Anmeldung ein Debug-Fenster (Developer Tools) neben dem Rublon Prompt anzuzeigen.
SendUPN	Standard: 0 Wenn auf 1 gesetzt, sucht Rublon den Universal Principal Name (UPN) in Active Directory und sendet den UPN als Rublon-Benutzernamen an die Rublon-API (z. B. user@domain.com). Angenommen, Sie setzen SendUPN auf 1, Rublon findet den UPN des Benutzers im Active Directory jedoch nicht. In diesem Fall entscheidet FailMode: Bei bypass wird die MFA-Aufforderung umgangen (bypass) und die Anmeldung zugelassen, bei deny wird die Anmeldung abgelehnt (deny) und protokolliert. Hinweis: Wenn user1 der UPN user2@rublon.com zugewiesen ist, erhält user1 die MFA-Aufforderung von user2. Verwenden Sie eine solche Konfiguration mit Vorsicht.
SendNTLM	Standard: 1 Wenn auf 1 gesetzt, sendet Rublon DOMAIN\username an die Rublon API als Rublon-Benutzernamen. Wenn Rublon die Domäne nicht findet, wird nur der Benutzername gesendet. Wenn SendUPN und SendNTLM beide auf 0 gesetzt sind, sendet Rublon nur den Benutzernamen (sAMAccountName) an die Rublon API. Wenn SendUPN und SendNTLM beide auf 1 gesetzt sind, verhält sich Rublon so, als wäre SendUPN=1 und SendNTLM=0.
UserAccountControlProtect	Standard: 0 Auf 1 setzen, damit Rublon bei jedem User Account Control (UAC)-Prompt zur MFA auffordert.
OfflineAuth	Standard: 1 Wenn auf 1 gesetzt, aktiviert dies die Offline-MFA-Authentifizierung bei Anmeldungen ohne Internetverbindung (Offline-Modus). Auf 0 setzen, um den Offline-Modus zu deaktivieren.
OfflineTOTPMaxAttempts	Anzahl fehlgeschlagener Offline-Anmeldeversuche mit der Authentifizierungsmethode Passcode, nach deren Überschreitung der Benutzer warten muss, bevor er es erneut versuchen kann. Standard: 5 Maximum: 99
OfflineTOTPTimeBetweenAttempts	Die verpflichtende Wartezeit, die erzwungen wird, nachdem der Benutzer das in OfflineTOTPMaxAttempts definierte Limit aufeinanderfolgender fehlgeschlagener Offline-Anmeldeversuche mit der Authentifizierungsmethode Passcode überschritten hat. Standard: 10  Maximum: 600
RequestTimeout	Anzahl der Millisekunden, nach deren Ablauf der Fail Mode oder der Offline Mode ausgelöst wird, wenn die Rublon API nicht erreicht werden kann. Standard: 20000

Rublon auf ausgewähltem Rechner aktivieren oder deaktivieren

Wenn Sie Rublon 2FA auf einem ausgewählten Computer deaktivieren möchten, führen Sie die Datei disableRublon.reg auf diesem Computer aus.

Wenn Sie Rublon 2FA wieder aktivieren möchten, führen Sie die Datei enableRublon.reg aus.

Beide Dateien finden Sie unter: C:\Program Files\Rublon\Logon\

Rublon MFA für Azure AD-Anmeldedaten aktivieren

• Aktivieren Sie Rublon MFA für Azure AD-Anmeldeinformationen für lokale Windows-Anmeldungen: Installieren Sie Rublon MFA für Windows-Anmeldung und RDP 4.0.0 oder höher, um die Multi-Faktor-Authentifizierung (MFA) für Azure AD-Anmeldeinformationen sofort zu aktivieren, wenn sich Ihre Benutzer bei lokalen Windows-Konten anmelden.
• Aktivieren Sie Rublon MFA für Azure AD-Anmeldeinformationen für RDP-Verbindungen: Während die Unterstützung für AD-Anmeldeinformationen für die Windows-Anmeldung sofort funktioniert, müssen Sie die Authentifizierungsfunktion im RDP-Client deaktivieren, damit die Anmeldung mit Azure AD-Anmeldeinformationen funktioniert, wenn Sie eine RDP-Verbindung zu Ihren Azure AD-Computern herstellen. Der Grund dafür ist, dass RDP und Azure AD nicht sofort kompatibel sind. Dieses Problem tritt auch dann auf, wenn Sie Rublon MFA nicht verwenden. Wir haben jedoch eine Schritt-für-Schritt-Anleitung für Sie vorbereitet: How to RDP Into Azure AD-Joined Machine.

Offline Mode

Der Offline Mode ist eine Funktion von Rublon für Windows, die eine Offline-MFA-Absicherung für Benutzer ermöglicht, die sich an ihren Windows-Rechnern anmelden. Wenn aktiviert, werden Benutzer auch dann zur Multifaktor-Authentifizierung (MFA) aufgefordert, wenn der Rechner, an dem sie sich anmelden, keine Internetverbindung hat. Dies ist besonders nützlich in Szenarien, in denen sich der Benutzer an einem abgelegenen Standort befindet oder der Internetdienst vorübergehend nicht verfügbar ist.

Offline Mode MFA Workflow

Ein Ablauf im Offline Mode kann wie folgt aussehen:

1. Initiierung: Wenn sich ein Benutzer mit korrektem Benutzernamen und Passwort an einem Windows-Rechner anmeldet, erkennt Rublon, dass der Rechner nicht mit dem Internet verbunden ist, und startet den Offline Mode. (In manchen Fällen wird der Offline Mode nicht gestartet. Siehe dazu Offline Mode und weitere Optionen in Rublon für Windows für alle möglichen Szenarien. In diesem Beispiel wird davon ausgegangen, dass alle Anforderungen für den Offline Mode erfüllt sind.)
2. Authentifizierung: Der Benutzer wird aufgefordert, sich mit einer Methode zu authentifizieren, die keine Internetverbindung benötigt, zum Beispiel mit einem Passcode, der von der mobilen Rublon Authenticator App generiert wird.
3. Verifizierung: Nachdem der Benutzer den Passcode eingegeben hat, prüft Rublon diesen gegen die lokal gespeicherten Daten. Stimmt der Passcode, wird der Benutzer angemeldet.
4. Synchronisierung: Beim nächsten Herstellen einer Internetverbindung synchronisiert Rublon die Authentifizierungs- und Organisationsdaten, um sicherzustellen, dass sie aktuell sind.

Offline Mode und weitere Optionen in Rublon für Windows

• OfflineAuth: 1 und FailMode: deny – Der Benutzer muss die Offline-MFA durchführen, außer die Anforderungen des Offline-Modus sind nicht erfüllt. In diesem Fall wird die Anmeldung abgelehnt (deny).
• OfflineAuth: 1 and FailMode: bypass – Der Benutzer muss die Offline-MFA durchführen, außer die Anforderungen des Offline-Modus sind nicht erfüllt. In diesem Fall wird die MFA-Aufforderung umgangen (bypass).
• Die Anforderungen für den Offline Mode sind wie folgt:
  • Der Benutzer hat den Status in der Rublon Admin Console auf Active gesetzt.
  • Der Benutzer hat den Rublon Authenticator registriert.
  • Nach der Installation von Version 4.2.0 oder höher hat sich der Benutzer mindestens einmal online mit Rublon MFA angemeldet. Dabei spielt es keine Rolle, welche Methode für die Anmeldung verwendet wurde, solange die Anmeldung mit aktiver Internetverbindung durchgeführt wurde.

Aktualisierung der Organisationsdaten

Organisationsdaten aus der Rublon Admin Console, wie zum Beispiel Organisationslogo, Organisationsname, Anwendungsname und benutzerdefinierte Nachrichten der Organisation, werden während der Installation von Rublon für Windows gesetzt. Grund dafür ist, dass der Rublon for Windows Installer eine aktive Internetverbindung benötigt.

Die Organisationsdaten werden beim ersten Online-Login eines Benutzers nach einem Neustart aktualisiert. Wird die Internetverbindung während des Authentifizierungsprozesses wiederhergestellt, erfolgt die Aktualisierung der Organisationsdaten erst nach einem Neustart des Windows-Rechners.

Recovery Codes (Wiederherstellungscodes)

Der Offline Mode unterstützt derzeit keine Bypass Codes, die in der Rublon Admin Console generiert wurden. Als Alternative können Sie Recovery Codes verwenden. Beachten Sie jedoch: Recovery Codes sind kein Ersatz für Bypass Codes und dürfen nicht als solcher verstanden werden. 

Ein Recovery Code ist eine Notfalllösung, falls der Benutzer das Gerät mit der Rublon Authenticator App nicht verwenden kann (z. B. Verlust des Telefons), der Windows-Rechner keine Internetverbindung hat und kein anderer Zugriffsweg auf den Rechner möglich ist (z. B. ist ein Start im abgesicherten Modus nicht machbar).

So funktioniert der Recovery Code:

1. Klicken Sie auf Need Help? unten im Rublon Prompt, um den Footer zu erweitern und den Recovery Code anzuzeigen.

2. Senden Sie den Recovery Code an den Rublon Support.

3. Sie erhalten daraufhin einen Passcode. Geben Sie diesen während der Offline-MFA ein, um Zugriff auf Windows zu erhalten.

Bekannte Einschränkungen

• Passcodes von Drittanbieter-Authentifizierungs-Apps wie Google Authenticator und Microsoft Authenticator werden derzeit nicht unterstützt.
• Bypass Codes werden derzeit nicht unterstützt – verwenden Sie stattdessen Recovery Codes.
• Recovery Codes erfordern den Kontakt mit dem Rublon Support. Wir planen, diese Funktion zu verbessern, damit Administratoren einer Organisation Recovery Codes ohne Unterstützung des Rublon Supports verwalten können.
• Recovery Codes können nicht kopiert werden. Auch wenn das möglicherweise unpraktisch ist, bedenken Sie, dass Recovery Codes nur selten in sehr spezifischen Notfallsituationen verwendet werden.

Bekannte Fehlerbehebungen

• Wenn der eingegebene Passcode nicht als korrekt erkannt wird, stellen Sie sicher, dass Datum und Uhrzeit auf dem Windows-Rechner mit Datum und Uhrzeit auf dem Gerät mit der Rublon Authenticator App übereinstimmen.

Anmeldung bei Windows mit MFA für Windows-Anmeldung und RDP

Dieses Beispiel zeigt den Anmeldevorgang bei Windows, nachdem Rublon 2FA für Windows-Anmeldungen und RDP installiert wurde. In diesem Beispiel wird die Anmeldung an einem lokalen Rechner dargestellt.

1. Melden Sie sich ab, falls Sie bereits angemeldet sind.

2. Geben Sie Ihre Zugangsdaten ein. Windows zeigt das Kontobild des Benutzers an. In diesem Beispiel hat der Benutzer das Rublon-Logo als Kontobild in Windows gesetzt, Sie können jedoch jedes beliebige andere Bild verwenden.

3. Der Rublon Prompt erscheint mit einer Auswahl an Authentifizierungsmethoden.

4. Wählen Sie eine der Authentifizierungsmethoden aus. In diesem Beispiel wird Mobile Push gewählt.

5. Sie erhalten eine Push-Benachrichtigung. Tippen Sie auf APPROVE (Bestätigen).

6. Sie werden erfolgreich bei Windows angemeldet.

Anmeldung über RDP mit MFA für Windows-Anmeldungen und RDP

Dieses Beispiel zeigt den Anmeldevorgang über RDP, nachdem Rublon MFA für Windows-Anmeldungen und RDP installiert wurde.

1. Starten Sie die Remote Desktop Connection (Remotedesktopverbindung).

2. Geben Sie den Namen oder die IP-Adresse des Rechners ein, mit dem Sie sich verbinden möchten.

3. Klicken Sie auf Connect (Verbinden).

4. Der Rublon Prompt erscheint mit einer Auswahl an Authentifizierungsmethoden.

5. Wählen Sie eine der Authentifizierungsmethoden aus. In diesem Beispiel wird Mobile Push gewählt.

6. Sie erhalten eine Push-Benachrichtigung. Tippen Sie auf APPROVE (Genehmigen)

7. Sie werden erfolgreich an Ihrem Rechner angemeldet.

Aktualisierung von MFA für Windows-Anmeldungen und RDP

Um Ihren Rublon 2FA für Windows-Anmeldungen und RDP Konnektor zu aktualisieren, laden Sie die neue Version herunter download und installieren Sie sie auf dem Rechner, auf dem zuvor die alte Version installiert war.

GUI Update

Sie können einfach den Installer ausführen und Update current installation auswählen.

Falls der neue Installer eine Option enthält, die in früheren Versionen des Konnektors nicht verfügbar war, können Sie diese Option nach einem Klick auf Next anpassen. Andernfalls startet das Update sofort.

Silent Mode Update

Um den Konnektor auf eine neuere Version zu aktualisieren, führen Sie den Installer im Silent Mode mit dem Parameter /verysilent aus (Administratorrechte auf dem Rechner sind erforderlich).

Beispiel:

.\RublonForWindows-6.1.3.exe /verysilent

Weitere Informationen zur Installation im Silent Mode finden Sie unter Installation von MFA für Windows-Anmeldungen und RDP (Installation im Silent Mode).

Es ist außerdem möglich, den Konnektor auf mehreren Endpunkten gleichzeitig automatisch zu aktualisieren, indem Sie Remote-Software-Installationstools wie folgende verwenden:

• SCCM
• PDQ Deploy
• Intune

Deinstallation von MFA für Windows-Anmeldungen und RDP

So deinstallieren Sie Rublon MFA für Windows-Anmeldungen:

• Führen Sie C:\Program Files\Rublon\Logon\unins000.exe als Administrator aus.

ODER

• Deinstallieren Sie Rublon für Windows Logon und RDP über Windows  Start → Einstellungen → Apps → Installierte Apps / Systemsteuerung → Programme → Programme und Features

ODER

• ManuaLöschen Sie den Konnektor manuell (fortgeschritten):
  • Löschen Sie den Ordner C:\Program Files\Rublon\Logon
  • Löschen Sie den Ordner C:\ProgramData\Rublon\Logon
  • DeLöschen Sie die folgenden Einträge in der Windows Registry:
    • HKEY_LOCAL_MACHINE\SOFTWARE\Rublon\WindowsLogon
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{FF8E23F0-68F5-4ED9-9B09-67DA991736CF}_is1
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{BD0A5367-C3AF-46B1-9F44-D10406EB7CC1}
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Provider Filters\{BD0A5367-C3AF-46B1-9F44-D10406EB7CC1}
    • HKEY_CLASSES_ROOT\CLSID\{BD0A5367-C3AF-46B1-9F44-D10406EB7CC1}
    • HKEY_CLASSES_ROOT\CLSID\{BD0A5367-C3AF-46B1-9F44-D10406EB7CC1}\InprocServer32

Um Rublon MFA für Windows wiederherzustellen, müssen die zuvor gelöschten Registry-Einträge erneut hinzugefügt werden.

Fehlerbehebung für MFA für Windows-Anmeldungen und RDP

Wenn Sie ein Problem oder eine Frage haben, sehen Sie sich zunächst die Rublon MFA for Windows Logon and RDP – FAQ an.

Falls Sie in den FAQ keine Lösung für Ihr Problem finden, suchen Sie die Logdatei und senden Sie diese zusammen mit einer Problembeschreibung an den Rublon Support.

Speicherort der Logdatei: C:\ProgramData\Rublon\Logon\Logs\rublon-credential-provider.log

Wenn Sie Probleme mit Ihrer Rublon-Integration haben, wenden Sie sich bitte an den Rublon Support.

Verwandte Beiträge

Rublon MFA for Windows Logon and RDP – Release Notes

Rublon MFA for Windows Logon and RDP – FAQ

Rublon MFA for Windows Logon and RDP – Download

How to Enable Username Normalization?

How to deploy Rublon MFA for Windows Logon & RDP on multiple endpoints using PDQ Deploy

How to deploy Rublon MFA for Windows Logon & RDP on many endpoints at once using Microsoft System Center Configuration Manager (SCCM)

How to deploy Rublon for Windows Logon & RDP on many endpoints at once using Intune