Fachartikel

Seite 2 - Hybride Identitäten als Sicherheitsherausforderung

Drei Authentifizierungsmethoden zur Wahl
Der wichtigste Vorteil richtig umgesetzter hybrider Identitäten ist, dass Benutzer kein separates Passwort eingeben müssen. Die Anmeldung erfolgt laut Microsoft wahlweise mit drei Authentifizierungsmethoden: Passwort-Hash-Synchronisierung (PHS), Pass-Through-Authentifizierung (PTA) oder Federation (AD-FS oder andere Federation-Services).

Bei der ersten Methode, der Passwort-Hash-Synchronisierung, wird das Passwort des Nutzers aus dem lokalen AD mittels einer weiteren Verschlüsselung, dem Hash des Hashs, an Azure AD übermittelt. Bei der Anmeldung an Teams gibt der Nutzer in der Regel als Kennung seine E-Mail-Adresse an und kann sich dann mit dem gleichen Passwort wie dem seiner lokalen AD-Kennung bei Azure AD zur Nutzung von Teams anmelden. Bei einer Änderung des lokalen AD-Passworts verändert sich auch das Passwort in AAD. Durch eine zusätzliche MFA-Prüfung lässt sich die Sicherheit noch erhöhen.

Die Synchronisierung der Passwörter ist aus mehreren Gründen sinnvoll. Sie ermöglicht die Überprüfung der Passwortsicherheit und die Erkennung kompromittierten Nutzerkennungen. Ebenso können Unternehmen auf diese Methode zurückgreifen, wenn Probleme mit den anderen zwei Methoden auftreten. Diese Probleme können die erforderliche Infrastruktur betreffen, also den Server mit dem PTA-Agenten, die Federation-Server oder die AD-Verfügbarkeit infolge eines Ransomware-Angriffs, bei dem alle Domaincontroller außer Gefecht gesetzt wurden.

Die zweite Methode, die Passthrough-Authentifizierung, erfordert ein oder mehrere Hilfssysteme in der lokalen Umgebung, um die Anmeldung der AAD-Nutzer an das lokale AD zur Passwortprüfung weiterreichen zu können. Nutzer melden sich somit mit ihrer AAD-Kennung bei Teams an. Die Validierung des eingegebenen Passworts erfolgt aber durch lokale AD Domain Controllern. Die AAD-Anmeldung lässt sich zusätzlich mit einer MFA-Prüfung koppeln, was aus Sicherheitsperspektive einen Pluspunkt darstellt.

Für Federation – als dritte Methode – ist eine noch umfangreichere Infrastruktur erforderlich. Der komplette Anmeldevorgang wird hierbei von den lokalen Federation-Servern gesteuert, die im Hintergrund die Authentifizierung der Nutzer am lokalen AD vornehmen. Nach der Anmeldung erfolgt eine Rückmeldung an AAD. Bei einer Anmeldung an Microsoft Teams sehen die Nutzer auf ihrem Bildschirm somit die unternehmensinterne Federation-Webseite. Zu den Federation-Services zählt auch die Abwicklung der MFA-Prüfung zur Anmeldung an AAD.

Die Gemeinsamkeit der drei beschriebenen Methoden liegt in einer direkten Verknüpfung zwischen den lokalen AD-Nutzern und deren synchronisierten Pendants in Azure AD, was als hybride Identitäten bezeichnet wird.
Umdenken und völlig neuer Ansatz erforderlich
Anhand der beschriebenen Thematik soll auch deutlich werden, dass es für den Anmeldeprozess nicht auf den Standort einer Applikation ankommt, sondern darum, welche Protokolle eine Applikation unterstützt. Dies bedeutet, dass eine .NET-Applikation durch die Migration einer virtuellen Maschine vom lokalen Rechenzentrum in die Cloud nicht mit modernen Web-Authentifizierungsprotokollen zurechtkommt. Es handelt sich weiterhin um eine herkömmliche Anwendung der Vor-Cloud-Ära und zur Verwaltung ist weiterhin die Anmeldung an das lokale AD erforderlich. Selbst wenn ein Unternehmen alle lokalen AD Domain Controller in der Cloud hosten würde, unterstützen diese weiterhin nur Kerberos und sind damit angreifbar

Fazit
Seit mehr als zwei Jahrzehnten ist Microsofts Active Directory die gängige Methode zur Authentifizierung und Autorisierung von Benutzern, damit diese auf Computer, Hardwareperipherie und Anwendungen zugreifen können. Das AD punktet mit umfassender Kompatibilität mit verschiedenen Anwendungen und Windows-Editionen, was jedoch auch von Nachteil sein kann. Der Verzeichnisdienst zentralisiert den Zugriff auf geschäftskritische Daten. Ein Angreifer, dem es gelingt, ins Netzwerk einzudringen, kann somit erheblichen Schaden anrichten. Unternehmen, die auf eine hybride Umgebung umsteigen, sehen sich mit einer komplexen Herausforderung konfrontiert. Die Erweiterung von der bisherigen ausschließlich lokalen AD-Nutzung auf Cloudauthentifizierung erfordert daher ein Umdenken und einen völlig neuen Ansatz.


<< Vorherige Seite Seite 2 von 2
12.01.2022/ln/Guido Grillenmeier, Chief Technologist bei Semperis

Nachrichten

Schritte zur Ransomware-Abwehr [26.01.2022]

Die Ransomware-Gefahr von Datenbeständen und Netzwerken in Unternehmen und Organisationen wächst – mit weitreichenden bis verheerenden Folgen für die Betroffenen, wenn ein solcher Angriff erfolgreich verläuft. BlackBerry hat mit dem Prevention First-Ansatz eine Methode entwickelt, um Hackerangriffe durch den Einsatz von KI präventiv zu verhindern. Die Experten für IT-Sicherheit fassen in drei Tipps zusammen, wie sich Unternehmen wirksam gegen Data Leaks wehren können. [mehr]

Neue Malware vereint Fähigkeiten zweier Formen von Schadsoftware [24.01.2022]

Sicherheitsexperten von Proofpoint haben eine neue Malware namens DTPacker identifiziert, die bei dutzenden Kampagnen verschiedener cyberkrimineller Gruppen zum Einsatz kam. Bei dieser Schadsoftware handelt es sich um einen Hybrid aus Packer und Downloader, der zur Verbreitung verschiedener anderer Malware-Typen genutzt wird, darunter Remote-Access-Trojaner und Information Stealer. [mehr]

Tipps & Tools

Vorschau Februar 2022: Cloudmanagement [24.01.2022]

Der Gang in die Cloud klingt erst einmal verlockend für viele Unternehmen. Doch lauern bei genauem Hinsehen zahlreiche Fallstricke, die IT-Verantwortlichen das Leben schwer machen. Im Februar befasst sich IT-Administrator mit dem Schwerpunkt "Cloudmanagement". Darin erfahren Sie, worauf es bei der Migration von Storage in die Cloud ankommt und wie Sie die Google Cloud Platform im Auge behalten. Außerdem zeigen wir im Februar-Heft die Überwachung virtueller Umgebungen mit ManageIQ und was Salt, Puppet, Chef und Ansible bei der Cloudverwaltung zu bieten haben. [mehr]

Intensivseminar zu Kubernetes-Infrastrukturen [17.01.2022]

Mit Kubernetes verwalten IT-Verantwortliche containerisierte Arbeitslasten und Services und profitieren dabei von deklarativer Konfiguration und erleichterter Automatisierung. Die containerzentrierte Managementumgebung koordiniert die Computer-, Netzwerk- und Speicherinfrastruktur für die Workloads. Wie Admins Kubernetes einrichten und auf der Plattform Anwendungen sicher in Containern betreiben, zeigt unser Online-Intensivseminar im kommenden Frühjahr detailliert und praxisnah. Sichern Sie schon heute Ihren Platz, Abonnenten nehmen wie immer zum Vorzugspreis teil.  [mehr]

Buchbesprechung

Datenschutz im Unternehmen

von Michael Wächter

Anzeigen