Zwei-Faktor-Authentifizierung für Windows-Logons

Unternehmen sollten sich nicht allein auf Benutzernamen und Passwörter verlassen, um die Konten ihrer Anwender vor Angriffen zu schützen. Zusätzlichen Schutz bietet unter anderem die Zwei-Faktor-Authentifizierung (2FA) von ADSelfService Plus für das Windows-Logon. Bei diesem Verfahren authentifizieren sich die Anwender mit etwas, das sie wissen und etwas, das sie haben. Diese zusätzliche Sicherheitsebene hilft, unberechtigte User besser herauszufiltern. 

Logon unter Windows mit ADSelfService Plus

Wenn die 2FA-Funktion von ADSelfService Plus für das Windows-Logon aktiviert ist, müssen sich Anwender in zwei aufeinanderfolgenden Schritten authentifizieren, bevor sie auf ihren Windows-Rechner zugreifen können. Die erste Authentifizierungsebene erfolgt mit Informationen, die nur sie haben sollten, d. h. ihren üblichen Windows-Anmeldeinformationen. Die zweite Ebene der Authentifizierung erfolgt über eine der folgenden Methoden:

  1. SMS- oder E-Mail-basierte Verifizierungs-Codes
  2. DUO Security
  3. RSA SecurID
  4. RADIUS-Authentifizierung

Nächstes Webinar

zu ADSelfService Plus

Die 2FA für das Windows-Logon stellt sicher, dass keine Gefahr für sensible Daten besteht, selbst wenn Passwörter kompromittiert sind. Das heißt, selbst wenn sich nicht berechtigte User das Passwort eines Anwenders verschaffen, benötigen sie dennoch zusätzlich Zugriff auf dessen Handy oder E-Mail-Account, um den Bestätigungs-Code abzufangen. Darüber hinaus werden die SMS- und E-Mail-basierten Verifizierungs-Codes sowie die Authentifizierungs-Codes von Duo Security und RSA SecurID für jeden Anwender nur einmal vergeben: Sie können nur einmal genutzt werden und verfallen, wenn sie nicht innerhalb einer bestimmten Zeitspanne verwendet werden.

Wenn die 2FA-Funktion für das Windows-Logon in ADSelfService Plus aktiviert ist, gilt dieser Prozess für alle Windows-Login-Versuche – lokal und remote.

ADSelfService Plus unterstützt die 2FA für das Windows-Logon auf den folgenden Betriebssystemen:

  • Windows Vista und höher
  • Windows Server 2008 und höher

So funktioniert die 2FA-Funktion von ADSelfService Plus

  • Wenn ein konfigurierter User versucht, sich an seinem Windows-Computer anzumelden, benötigt er seine Anmeldeinformationen für die Active-Directory-Domain, um seine Identität nachzuweisen.
  • Anschließend authentifiziert sich der Anwender mit einem zeitbasierten Authentifizierungs-Code, der ihm per SMS oder E-Mail oder über einen Drittanbieter für Authentifizierungen zugesendet wird.
  • Der Benutzer ist nun erfolgreich an seinem Windows-Rechner angemeldet.
ADSelfService Plus Grafik: Zwei-Faktor-Authentifizierung
Abbildung: So funktioniert die Zwei-Faktor-Authentifizierung (2FA) in ADSelfService Plus für das Windows-Logon.

Vorteile der 2FA-Funktion

Mit der 2FA für das Windows-Logon bietet ADSelfService Plus mehr Sicherheit für die Konten der Anwender und schützt diese besser vor potenziellen Cyber-Angriffen.

Da es unwahrscheinlich ist, dass jeder User in einer Domain die Aktivierung der 2FA für das Windows-Logon benötigt, bietet Ihnen ADSelfService Plus auch die Möglichkeit, die 2FA basierend auf der Zugehörigkeit zu einer Domain, Organisationseinheit oder Gruppe zu konfigurieren.

ManageEngine – Support & Kontakt


MicroNova AG
Unterfeldring 6
85256 Vierkirchen

Vertrieb
   +49 8139 9300-456
   Sales-ManageEngine@micronova.de

Technische Unterstützung
   +49 8139 9300-13
   Support kontaktieren