von Redaktion IT-A…
Lesezeit
2 Minuten
Seite 2 - Hybride Identitäten als Sicherheitsherausforderung
Drei Authentifizierungsmethoden zur Wahl
Der wichtigste Vorteil richtig umgesetzter hybrider Identitäten ist, dass Benutzer kein separates Passwort eingeben müssen. Die Anmeldung erfolgt laut Microsoft wahlweise mit drei Authentifizierungsmethoden: Passwort-Hash-Synchronisierung (PHS), Pass-Through-Authentifizierung (PTA) oder Federation (AD-FS oder andere Federation-Services).
Die zweite Methode, die Passthrough-Authentifizierung, erfordert ein oder mehrere Hilfssysteme in der lokalen Umgebung, um die Anmeldung der AAD-Nutzer an das lokale AD zur Passwortprüfung weiterreichen zu können. Nutzer melden sich somit mit ihrer AAD-Kennung bei Teams an. Die Validierung des eingegebenen Passworts erfolgt aber durch lokale AD Domain Controllern. Die AAD-Anmeldung lässt sich zusätzlich mit einer MFA-Prüfung koppeln, was aus Sicherheitsperspektive einen Pluspunkt darstellt.
Für Federation – als dritte Methode – ist eine noch umfangreichere Infrastruktur erforderlich. Der komplette Anmeldevorgang wird hierbei von den lokalen Federation-Servern gesteuert, die im Hintergrund die Authentifizierung der Nutzer am lokalen AD vornehmen. Nach der Anmeldung erfolgt eine Rückmeldung an AAD. Bei einer Anmeldung an Microsoft Teams sehen die Nutzer auf ihrem Bildschirm somit die unternehmensinterne Federation-Webseite. Zu den Federation-Services zählt auch die Abwicklung der MFA-Prüfung zur Anmeldung an AAD.
Die Gemeinsamkeit der drei beschriebenen Methoden liegt in einer direkten Verknüpfung zwischen den lokalen AD-Nutzern und deren synchronisierten Pendants in Azure AD, was als hybride Identitäten bezeichnet wird.
Umdenken und völlig neuer Ansatz erforderlich
Anhand der beschriebenen Thematik soll auch deutlich werden, dass es für den Anmeldeprozess nicht auf den Standort einer Applikation ankommt, sondern darum, welche Protokolle eine Applikation unterstützt. Dies bedeutet, dass eine .NET-Applikation durch die Migration einer virtuellen Maschine vom lokalen Rechenzentrum in die Cloud nicht mit modernen Web-Authentifizierungsprotokollen zurechtkommt. Es handelt sich weiterhin um eine herkömmliche Anwendung der Vor-Cloud-Ära und zur Verwaltung ist weiterhin die Anmeldung an das lokale AD erforderlich. Selbst wenn ein Unternehmen alle lokalen AD Domain Controller in der Cloud hosten würde, unterstützen diese weiterhin nur Kerberos und sind damit angreifbar
ln/Guido Grillenmeier, Chief Technologist bei Semperis
Der wichtigste Vorteil richtig umgesetzter hybrider Identitäten ist, dass Benutzer kein separates Passwort eingeben müssen. Die Anmeldung erfolgt laut Microsoft wahlweise mit drei Authentifizierungsmethoden: Passwort-Hash-Synchronisierung (PHS), Pass-Through-Authentifizierung (PTA) oder Federation (AD-FS oder andere Federation-Services).
Bei der ersten Methode, der Passwort-Hash-Synchronisierung, wird das Passwort des Nutzers aus dem lokalen AD mittels einer weiteren Verschlüsselung, dem Hash des Hashs, an Azure AD übermittelt. Bei der Anmeldung an Teams gibt der Nutzer in der Regel als Kennung seine E-Mail-Adresse an und kann sich dann mit dem gleichen Passwort wie dem seiner lokalen AD-Kennung bei Azure AD zur Nutzung von Teams anmelden. Bei einer Änderung des lokalen AD-Passworts verändert sich auch das Passwort in AAD. Durch eine zusätzliche MFA-Prüfung lässt sich die Sicherheit noch erhöhen.
Die Synchronisierung der Passwörter ist aus mehreren Gründen sinnvoll. Sie ermöglicht die Überprüfung der Passwortsicherheit und die Erkennung kompromittierten Nutzerkennungen. Ebenso können Unternehmen auf diese Methode zurückgreifen, wenn Probleme mit den anderen zwei Methoden auftreten. Diese Probleme können die erforderliche Infrastruktur betreffen, also den Server mit dem PTA-Agenten, die Federation-Server oder die AD-Verfügbarkeit infolge eines Ransomware-Angriffs, bei dem alle Domaincontroller außer Gefecht gesetzt wurden.
Die zweite Methode, die Passthrough-Authentifizierung, erfordert ein oder mehrere Hilfssysteme in der lokalen Umgebung, um die Anmeldung der AAD-Nutzer an das lokale AD zur Passwortprüfung weiterreichen zu können. Nutzer melden sich somit mit ihrer AAD-Kennung bei Teams an. Die Validierung des eingegebenen Passworts erfolgt aber durch lokale AD Domain Controllern. Die AAD-Anmeldung lässt sich zusätzlich mit einer MFA-Prüfung koppeln, was aus Sicherheitsperspektive einen Pluspunkt darstellt.
Für Federation – als dritte Methode – ist eine noch umfangreichere Infrastruktur erforderlich. Der komplette Anmeldevorgang wird hierbei von den lokalen Federation-Servern gesteuert, die im Hintergrund die Authentifizierung der Nutzer am lokalen AD vornehmen. Nach der Anmeldung erfolgt eine Rückmeldung an AAD. Bei einer Anmeldung an Microsoft Teams sehen die Nutzer auf ihrem Bildschirm somit die unternehmensinterne Federation-Webseite. Zu den Federation-Services zählt auch die Abwicklung der MFA-Prüfung zur Anmeldung an AAD.
Die Gemeinsamkeit der drei beschriebenen Methoden liegt in einer direkten Verknüpfung zwischen den lokalen AD-Nutzern und deren synchronisierten Pendants in Azure AD, was als hybride Identitäten bezeichnet wird.
Umdenken und völlig neuer Ansatz erforderlich
Anhand der beschriebenen Thematik soll auch deutlich werden, dass es für den Anmeldeprozess nicht auf den Standort einer Applikation ankommt, sondern darum, welche Protokolle eine Applikation unterstützt. Dies bedeutet, dass eine .NET-Applikation durch die Migration einer virtuellen Maschine vom lokalen Rechenzentrum in die Cloud nicht mit modernen Web-Authentifizierungsprotokollen zurechtkommt. Es handelt sich weiterhin um eine herkömmliche Anwendung der Vor-Cloud-Ära und zur Verwaltung ist weiterhin die Anmeldung an das lokale AD erforderlich. Selbst wenn ein Unternehmen alle lokalen AD Domain Controller in der Cloud hosten würde, unterstützen diese weiterhin nur Kerberos und sind damit angreifbar
Fazit
Seit mehr als zwei Jahrzehnten ist Microsofts Active Directory die gängige Methode zur Authentifizierung und Autorisierung von Benutzern, damit diese auf Computer, Hardwareperipherie und Anwendungen zugreifen können. Das AD punktet mit umfassender Kompatibilität mit verschiedenen Anwendungen und Windows-Editionen, was jedoch auch von Nachteil sein kann. Der Verzeichnisdienst zentralisiert den Zugriff auf geschäftskritische Daten. Ein Angreifer, dem es gelingt, ins Netzwerk einzudringen, kann somit erheblichen Schaden anrichten. Unternehmen, die auf eine hybride Umgebung umsteigen, sehen sich mit einer komplexen Herausforderung konfrontiert. Die Erweiterung von der bisherigen ausschließlich lokalen AD-Nutzung auf Cloudauthentifizierung erfordert daher ein Umdenken und einen völlig neuen Ansatz.ln/Guido Grillenmeier, Chief Technologist bei Semperis
