Multi-Faktor-Authentifizierung (MFA) für Windows-, MacOS- und Linux-OS-Logons
Unternehmen sollten sich nicht allein auf Benutzernamen und Passwörter verlassen, um die Konten ihrer Anwender vor Angriffen zu schützen. Zusätzlichen Schutz bietet unter anderem die Multi-Faktor-Authentifizierung (MFA) für Endpoints von ADSelfService Plus, mit der sich Windows-Logons, MacOS-Logons sowie Linux-OS-Logons durch eine zweite Authentifizierungsmethode absichern lassen. Bei diesem Verfahren authentifizieren sich die Anwender mit etwas, das sie wissen und etwas, das sie haben.
Diese zusätzliche Sicherheitsebene hilft, unberechtigte User besser herauszufiltern und deren Zugriff auf sensible IT-Ressourcen zu verhindern. Denn selbst wenn ein Passwort kompromittiert sein sollte: Ohne Zugriff auf die zweite Authentifizierungsmethode – also meist das mit dem gehackten Account verknüpfte Handy oder der E-Mail-Account – kommt der Angreifer trotzdem nicht an sein Ziel. Darüber hinaus können die SMS- und E-Mail-basierten Verifizierungs-Codes sowie die Authentifizierungs-Codes der anderen Verifizierungsmethoden für jeden Anwender nur einmal genutzt werden und verfallen nach einer bestimmten Zeitspanne.
Logon unter Windows mit ADSelfService Plus
Die MFA-Funktion von ADSelfService Plus für das Windows-Logon zwingt Anwender, sich in zwei aufeinanderfolgenden Schritten zu authentifizieren, bevor sie auf ihren Windows-Rechner zugreifen können. Die erste Authentifizierungsebene erfolgt mit Informationen, die nur sie haben sollten, d. h. ihren üblichen Windows-Anmeldeinformationen. Bei der zweiten Ebene der Authentifizierung können IT-Abteilungen aus zahlreichen Methoden wählen, darunter SMS- und E-Mail-basierte Verifizierungs-Codes, DUO Security, Google Authenticator, YubiKey Authenticator, RSA SecurID oder QR-Codes.
Die MFA-Funktion für Windows-Logons stellt sicher, dass keine Gefahr für sensible Daten besteht, selbst wenn Passwörter kompromittiert sind. Sobald die MFA-Funktion für das Windows-Logon in ADSelfService Plus aktiviert ist, gilt dieser Prozess für alle Windows-Login-Versuche – lokal und remote. Das sorgt gerade bei den für Angriffe anfälligeren VPN-Verbindungen für zusätzliche Sicherheit.
MFA für MacOS-Anmeldungen mit ADSelfService Plus
Auch MacOS-Logons lassen sich mit der MFA-Funktion von ADSelfService Plus zuverlässig absichern: Sobald sich Benutzer an ihrem Mac anmelden, müssen sie ihre Identität über zwei Faktoren authentifizieren, bevor sie auf ihren Computer zugreifen können. Der erste Faktor sind in der Regel die Active-Directory(AD)-Anmeldeinformationen des Benutzers. Beim zweiten Faktor können IT-Abteilungen aus verschiedenen Authentifizierungsmethoden wählen, darunter SMS- und E-Mail-basierte Verifizierungs-Codes, DUO Security, Google Authenticator, YubiKey Authenticator, RSA SecurID oder QR-Codes.
MFA für Linux-OS-Anmeldungen mit ADSelfService Plus
Anmeldungen an Linux-Endpoints können mit der MFA-Funktion von ADSelfService Plus ebenfalls mit einer zusätzlichen Sicherheitsebene abgesichert werden. Sobald die MFA-Funktion für Linux aktiviert ist, erhalten Benutzer nur dann Zugriff auf ihre Workstations oder Server, wenn sie sich erfolgreich über ihre AD-Anmeldedaten sowie mit einer weiteren MFA-Methode authentifiziert haben.
Auf diese Weise können IT-Abteilungen Account-Übernahmen durch Hacker selbst dann verhindern, wenn diese über Brute-Force-, Credential-Stuffing- oder Phishing-Angriffe Zugriff auf die Anmeldedaten von Linux-Active-Directory-Benutzern erhalten haben: Denn die Angreifer benötigen zudem Zugriff auf das Smartphone oder den E-Mail-Account des Benutzers, bevor sie an ihr Ziel gelangen.
So funktioniert die MFA-Funktion von ADSelfService Plus
- Wenn ein konfigurierter User versucht, sich an seinem Windows-Computer anzumelden, benötigt er seine Anmeldeinformationen für die Active-Directory-Domain, um seine Identität nachzuweisen.
- Anschließend authentifiziert sich der Anwender mit einem zeitbasierten Authentifizierungs-Code, der ihm per SMS oder E-Mail oder über einen Drittanbieter für Authentifizierungen zugesendet wird.
- Der Benutzer ist nun erfolgreich an seinem Windows-, Mac- und Linux-Rechner angemeldet.
MFA für Remote Desktops (RDP)
Sogenannte RDP-Verbindungen werden häufig Ziel von Malware- und Ransomware-Angriffen, die auf schwache Passwörter, lückenhafte Verschlüsselungsmechanismen und fehlende Zugriffskontrollen hoffen. Gerade in hybriden Arbeitsumgebungen sollten Unternehmen sowohl VPN- als auch RDP-Verbindungen daher gründlich absichern. Mit ADSelfService Plus können Administratoren gesonderte Bedingungen für die Anmeldung von Remote-Anwendern definieren. Die Funktionsweise der MFA-Anmeldung ist ähnlich wie bei den lokalen Rechnern, außer dass der zweite Authentifizierungsfaktor (oder bei Bedarf auch mehrere) während der RD-Gateway-Verbindung ausgelöst werden.
ADSelfService Plus unterstützt eine Multi-Faktor-Authentifizierung u.a. für folgende Endpoints:
- Top-VPN-Anbieter wie Fortinet, Cisco AnyConnect, Pulse und mehr
- Endpoints, die RADIUS-Authentifizierung unterstützen, wie Citrix Gateway, VMWare Horizon und Microsoft Remote Desktop Gateway (RDP)
- Outlook Web Access (OWA) Anmeldungen
Vorteile der MFA-Funktion von ADSelfService Plus
- Mehr Sicherheit:
Die MFA-Funktion von ADSelfService Plus sichert die Konten der Anwender zusätzlich ab und schützt diese besser vor potenziellen Cyber-Angriffen. - Große Auswahl an Authentifikatoren:
Sie können aus zahlreichen Optionen Ihre präferierten Authentifizierungsmethoden auswählen. - Unterschiedliche Authentifikatoren für verschiedene Benutzer:
Mit ADSelfService Plus lassen sich die MFA-Einstellungen übrigens auch basierend auf der Zugehörigkeit zu einer Domain, Organisationseinheit oder Gruppe konfigurieren. - Unterstützung verschiedener Betriebssysteme:
ADSelfService Plus funktioniert mit Mac- und Linux-OS sowie mit allen Windows-Betriebssystemen ab Windows Vista inklusive Windows Server 2008.
Unter „Infomaterial“ finden Sie mehrere Schritt-für-Schritt-Anleitungen, wie Sie die Multi-Faktor-Authentifizierung in ADSelfService Plus aktivieren und z. B. Google Authenticator, Microsoft Authenticator oder die Fingerabdruck-Authentifizierung für Password Resets konfigurieren.