Fachartikel

Seite 2 - Hybride Identitäten als Sicherheitsherausforderung

Drei Authentifizierungsmethoden zur Wahl
Der wichtigste Vorteil richtig umgesetzter hybrider Identitäten ist, dass Benutzer kein separates Passwort eingeben müssen. Die Anmeldung erfolgt laut Microsoft wahlweise mit drei Authentifizierungsmethoden: Passwort-Hash-Synchronisierung (PHS), Pass-Through-Authentifizierung (PTA) oder Federation (AD-FS oder andere Federation-Services).

Bei der ersten Methode, der Passwort-Hash-Synchronisierung, wird das Passwort des Nutzers aus dem lokalen AD mittels einer weiteren Verschlüsselung, dem Hash des Hashs, an Azure AD übermittelt. Bei der Anmeldung an Teams gibt der Nutzer in der Regel als Kennung seine E-Mail-Adresse an und kann sich dann mit dem gleichen Passwort wie dem seiner lokalen AD-Kennung bei Azure AD zur Nutzung von Teams anmelden. Bei einer Änderung des lokalen AD-Passworts verändert sich auch das Passwort in AAD. Durch eine zusätzliche MFA-Prüfung lässt sich die Sicherheit noch erhöhen.

Die Synchronisierung der Passwörter ist aus mehreren Gründen sinnvoll. Sie ermöglicht die Überprüfung der Passwortsicherheit und die Erkennung kompromittierten Nutzerkennungen. Ebenso können Unternehmen auf diese Methode zurückgreifen, wenn Probleme mit den anderen zwei Methoden auftreten. Diese Probleme können die erforderliche Infrastruktur betreffen, also den Server mit dem PTA-Agenten, die Federation-Server oder die AD-Verfügbarkeit infolge eines Ransomware-Angriffs, bei dem alle Domaincontroller außer Gefecht gesetzt wurden.

Die zweite Methode, die Passthrough-Authentifizierung, erfordert ein oder mehrere Hilfssysteme in der lokalen Umgebung, um die Anmeldung der AAD-Nutzer an das lokale AD zur Passwortprüfung weiterreichen zu können. Nutzer melden sich somit mit ihrer AAD-Kennung bei Teams an. Die Validierung des eingegebenen Passworts erfolgt aber durch lokale AD Domain Controllern. Die AAD-Anmeldung lässt sich zusätzlich mit einer MFA-Prüfung koppeln, was aus Sicherheitsperspektive einen Pluspunkt darstellt.

Für Federation – als dritte Methode – ist eine noch umfangreichere Infrastruktur erforderlich. Der komplette Anmeldevorgang wird hierbei von den lokalen Federation-Servern gesteuert, die im Hintergrund die Authentifizierung der Nutzer am lokalen AD vornehmen. Nach der Anmeldung erfolgt eine Rückmeldung an AAD. Bei einer Anmeldung an Microsoft Teams sehen die Nutzer auf ihrem Bildschirm somit die unternehmensinterne Federation-Webseite. Zu den Federation-Services zählt auch die Abwicklung der MFA-Prüfung zur Anmeldung an AAD.

Die Gemeinsamkeit der drei beschriebenen Methoden liegt in einer direkten Verknüpfung zwischen den lokalen AD-Nutzern und deren synchronisierten Pendants in Azure AD, was als hybride Identitäten bezeichnet wird.
Umdenken und völlig neuer Ansatz erforderlich
Anhand der beschriebenen Thematik soll auch deutlich werden, dass es für den Anmeldeprozess nicht auf den Standort einer Applikation ankommt, sondern darum, welche Protokolle eine Applikation unterstützt. Dies bedeutet, dass eine .NET-Applikation durch die Migration einer virtuellen Maschine vom lokalen Rechenzentrum in die Cloud nicht mit modernen Web-Authentifizierungsprotokollen zurechtkommt. Es handelt sich weiterhin um eine herkömmliche Anwendung der Vor-Cloud-Ära und zur Verwaltung ist weiterhin die Anmeldung an das lokale AD erforderlich. Selbst wenn ein Unternehmen alle lokalen AD Domain Controller in der Cloud hosten würde, unterstützen diese weiterhin nur Kerberos und sind damit angreifbar

Fazit
Seit mehr als zwei Jahrzehnten ist Microsofts Active Directory die gängige Methode zur Authentifizierung und Autorisierung von Benutzern, damit diese auf Computer, Hardwareperipherie und Anwendungen zugreifen können. Das AD punktet mit umfassender Kompatibilität mit verschiedenen Anwendungen und Windows-Editionen, was jedoch auch von Nachteil sein kann. Der Verzeichnisdienst zentralisiert den Zugriff auf geschäftskritische Daten. Ein Angreifer, dem es gelingt, ins Netzwerk einzudringen, kann somit erheblichen Schaden anrichten. Unternehmen, die auf eine hybride Umgebung umsteigen, sehen sich mit einer komplexen Herausforderung konfrontiert. Die Erweiterung von der bisherigen ausschließlich lokalen AD-Nutzung auf Cloudauthentifizierung erfordert daher ein Umdenken und einen völlig neuen Ansatz.


<< Vorherige Seite Seite 2 von 2
12.01.2022/ln/Guido Grillenmeier, Chief Technologist bei Semperis

Nachrichten

Flowmon 12 erweitert Multicloud-Monitoring [7.07.2022]

Progress hat Flowmon 12 veröffentlicht, die neue Version seiner Lösung für Netzwerksichtbarkeit und -sicherheit. Sie unterstützt ab sofort auch das Monitoring nativer Flow Logs in der Google Cloud sowie Microsoft Azure und enthält neue Funktionen für die Anomalie-Erkennung. [mehr]

Hacker stehlen interne Daten von Hotelkette [6.07.2022]

Die Hotelkette Marriott wurde offenbar erneut Opfer eines Hackerangriffs. Den Tätern gelang es, rund 20 GByte an internen Daten zu stehlen, insbesondere Geschäftsunterlagen. Während die Hotelkette die Informationen als "nicht-sensibel" bezeichnet, sollen diese auch persönliche Daten von Mitarbeitern und Gästen enthalten. Rund 300 bis 400 Personen könnten von dem Leck betroffen sein. [mehr]

Tipps & Tools

Studie: Unternehmen geben zu viel für Cloudservices aus [5.07.2022]

Couchbase hat die Kosten, die Unternehmen jährlich für ihre Cloudnutzung bezahlen, näher untersucht. Unter anderem aufgrund unflexibler Preisgestaltung und unzureichender Managementtools ermittelte die Studie unnötige Mehrkosten um etwa 35 Prozent. [mehr]

Online-Intensivseminar "Hyper-V unter Windows Server 2019" [13.06.2022]

Allen Public-Cloud-Trends zum Trotz: Die lokale Virtualisierung ist bei vielen Unternehmen nach wie vor die sicherere Basis des IT-Betriebs. Lernen Sie in unserem dreitägigen Intensivseminar deshalb, wie diese optimal mit Microsofts Hyper-V gelingt. Dabei führt Sie die Onlineveranstaltung durch die komplette Arbeit mit virtuellen Maschinen – vom Erstellen, dem Anbinden ans Netz bis hin zur Versorgung mit passendem Speicher – Hochverfügbarkeit und Replikation der VMs inklusive. Die Veranstaltung findet vom 19. bis 21. Oktober virtuell statt. Zögern Sie nicht, sich Ihren Platz zu sichern – und vergessen Sie nicht, dass für Abonnenten wie immer ein Sondertarif gilt. [mehr]

Buchbesprechung

Kerberos

von Mark Pröhl und Daniel Kobras

Anzeigen