Fachartikel

Multifaktor-Authentifizierung in Azure AD (1)

Mit der zunehmenden Nutzung von Cloudanwendungen sowie der Azure-AD-Identity-Plattform wächst für Unternehmen die Dringlichkeit, Anmeldungen und die Konten von Benutzern zu schützen. Microsoft stellt dafür eine Multifaktor-Authentifizierung zur Verfügung. Dabei lassen sich auch die Smartphones der Mitarbeiter bequem via App nutzen. Wie Sie Anmeldung und Konten in der Microsoft-Cloud dank zweitem Faktor schützen, lesen Sie in diesem Beitrag. Im ersten Teil gehen wir besonders auf die Grundlagen ein und erklären, wie Sie MFA für Benutzer aktivieren.
Doppelt hält besser: Auch im Azure AD bietet sich die Mehrfaktor-Authentifizierung an.
Multifaktor-Authentifizierung (MFA) wird eingesetzt, um den Anmeldeprozess neben Benutzername und Passwort durch einen weiteren Faktor zu schützen. Die Idee dahinter ist, dass im Fall eines gestohlenen Kennworts ein zusätzliches Sicherheitsmerkmal greift, das der Angreifer ebenfalls stehlen müsste, um Zugriff auf Ressourcen und Daten zu erhalten. Der zusätzliche Faktor kann dabei ein zweites Passwort oder eine PIN sein, im Idealfall jedoch etwas, das der legitime Benutzer mit sich trägt (Hardware-Token), das der Benutzer ist (Biometrie) oder wo sich der Benutzer befindet (beispielsweise Geofencing). Eine Smartcard ist ein Beispiel für die Kombination aus Wissen (PIN zum Zertifikat) und den physischen Besitz (Smartcard selbst). Das Erzwingen mehrerer Faktoren schützt also vor Identitätsklau, wenn sich Angreifer mit gestohlenen Credentials im Namen der Benutzer anzumelden versuchen.

Um es Endbenutzern möglichst einfach zu machen, zusätzliche Faktoren zu nutzen, fokussiert Microsofts MFA-Strategie auf das Lieblingsgerät der meisten Menschen: ihr Smartphone. Benutzer lassen selten ihr Smartphone irgendwo liegen – und fehlt es, fällt es meist auf. Bei der Arbeit ist es ebenfalls in der Nähe. Es ergibt also Sinn, nach einer erfolgreichen Anmeldung mit Benutzernamen und Passwort das Smartphone in den Anmeldevorgang einzubeziehen. Dafür gibt es unterschiedliche Optionen: das Beantworten eines Telefonanrufs inklusive der Eingabe einer PIN, das Versenden eines PIN-Codes per SMS, den der Benutzer dann eingeben muss oder die Verifikation der Anmeldung in einer App auf dem Smartphone, die zuvor registriert werden muss. Benutzer sind dabei in der Lage, ihre bevorzugte Kontaktmethode auszuwählen und ihr gewünschtes Endgerät selbst einzurichten.


Bild 1: Wenn Mitarbeiter für MFA konfiguriert sind oder Azure AD die Anmeldung schützen muss,
werden Benutzer um eine zusätzliche Verifikation gebeten.

Für viele Unternehmen stellt die Nutzung von zertifikatbasierter Authentifizierung einen legitimen zweiten Faktor dar, neben Benutzername und Passwort. Die Benutzerzertifikate werden dabei nur auf gewünschten und erlaubten Geräten ausgerollt, sodass sie nur auf Unternehmensgeräten wie Notebooks und Tablets zur Verfügung stehen. Der Benutzer hätte dann sein Gerät samt Zertifikat als zweiten Faktor im Einsatz. Gerade wenn unternehmensweit Zertifikate auch auf Tablets und Smartphones eingesetzt werden, ist das eine logische Erweiterung von ADFS und Office 365 für sichere Anmeldungen. Für diesen Teil des Workshops fokussieren wir uns jedoch auf die weniger Deployment-intensiven Optionen als weiteren Faktor.
Smartphone als zweiter Faktor
Die beschriebenen MFA-Optionen, die den Benutzer seine Identität mit dem Smartphone bestätigen lassen, werden von Microsoft in zwei Varianten angeboten: für die lokale Installation auf einem eigenen Windows-Server und aus der Cloud durch Azure MFA oder im Rahmen des Office-365-Abonnements.

Ein Office-365-Abonnement erlaubt in allen Business-, Enterprise-, Schul-, Non-Profit- und Standalone-Lizenzen prinzipiell die Nutzung von MFA. Die Funktionen werden dabei für die jeweiligen Benutzer aktiviert, sind im Rahmen des Office-365-Abonnements im Gegensatz zu Azure MFA allerdings eingeschränkt. Während Office 365 stets nach dem zweiten Faktor bei einer Neuanmeldung fragt, bietet Azure weitere Optionen an. So können Administratoren definieren, in welchen Situationen ein zweiten Faktor verlangt wird – etwa, wenn sich Benutzer außerhalb des Unternehmensnetzwerks befinden oder sensible Applikationen oder Dienste aufrufen. Auch die Zugehörigkeit zu einer definierten Sicherheitsgruppe lässt sich als Auslöser definieren. Zudem wird Azure MFA besonders dann relevant, wenn neben Office 365 weitere Cloud-Ressourcen geschützt werden sollen. Benachrichtigungen über die MFA-Nutzung und mögliche Missbrauchsversuche sind ebenfalls nur in Azure möglich. Selbst die Begrüßung für Telefonanrufe lässt sich dort anpassen. Microsoft bietet unter [1] eine Gegenüberstellung der Features an.

Azure MFA ist also die deutlich flexiblere Variante, aber an ein Kostenmodell gebunden, sofern das Unternehmen nicht die Variante "Azure AD Premium" für die Mitarbeiter lizensiert hat.

Seite 1: Smartphone als zweiter Faktor
Seite 2: MFA für Benutzer aktivieren


Seite 1 von 2 Nächste Seite >>
12.08.2019/dr/ln/Florian Frommherz

Nachrichten

Cyberkriminelle attackieren Finanzabteilungen [14.08.2019]

ESET Forscher haben eine Reihe von Cyberangriffen entdeckt, die es seit 2016 auf Finanzabteilungen in Unternehmen abgesehen hat. Die Kriminellen setzen dabei auf E-Mails mit Links, die zu schadhaften Dateien führen. Der Inhalt, die Verlinkungen und auch der Dateien in diesen Nachrichten behandeln das Thema Steuern und sollen die Empfänger zu einem unbedachten Klick verleiten. [mehr]

Schwer erkennbarer polymorpher Schadcode [13.08.2019]

Der APT-Akteur "Cloud Atlas", auch bekannt als "Inception", hat sein Angriffsarsenal mit neuen Tools erweitert: mit einer HTML-Anwendung und dem VBShower-Modul, die beide polymorph sind. Das verhindert eine Erkennung durch klassische Indicators of Compromise. [mehr]

Tipps & Tools

Jetzt noch buchen: Training "Drucker in Windows-Netzen" [19.08.2019]

Drucker beschäftigen den Support mehr als jedes andere Gerät. Denn nach wie vor lauern beim Betrieb von Druckservern unter Windows zahlreiche Fallstricke auf den Administrator und eine fehlerhafte Konfiguration lässt das Telefon im Support klingeln. Unser Training liefert Best Practices für den Druck unter Windows und zeigt die Behandlung typischer Fehler. Für den Termin Ende September in Düsseldorf sind noch Teilnahmeplätze offen. [mehr]

VPC richtig konfigurieren [18.08.2019]

Wenn Sie eine Virtual Private Cloud für die Verwendung mit Amazon Aurora anlegen, ist es wichtig diese richtig zu konfigurieren. Grundsätzlich muss eine Virtual Private Cloud (VPC), die einen Amazon-Aurora-DB-Cluster enthält, mindestens zwei Availability Zones (AZ) umfassen. Jede AZ muss außerdem mindestens ein Subnetz bereithalten. Für das folgende Beispielszenario melden Sie sich in der AWS Management Console an und öffnen dort die VPC-Konsole. [mehr]

Buchbesprechung

Anzeigen