Multi-Faktor-Authentifizierung (MFA) für Benutzer- und Dienstkonten
0Um eine Multi-Faktor-Authentifizierung einzurichten, gibt es mittlerweile einige Tools im Internet, die Sie nutzen könnten. In einer Windows-Infrastruktur bietet es sich natürlich an, die Microsoft-Tools Windows Hello und Azure MFA zu nutzen. Die richtige Implementierung einer Multi-Faktor-Authentifizierung ist sehr komplex und geht deutlich über die technischen Details hinaus. Sie müssen auch zahlreiche organisatorische Fragen klären, die stark von den Eigenheiten Ihrer Umgebung abhängen:
- Kann gesonderte Hardware angeschafft werden?
- Ist die Nutzung von biometrischen Daten möglich?
- Welche Konten sollen mit dem zusätzlichen Faktor geschützt werden?
Diese Fragen können wir Ihnen nicht abnehmen, aber wir wollen Ihnen zumindest die unterschiedlichen Möglichkeiten vorstellen.
Windows Hello
Windows Hello ist ein biometrisches Authentifizierungssystem, das Gesichtserkennung, Iriserkennung sowie das Anmelden per Fingerabdruck ermöglicht. Damit soll das Anmelden per Passwort überflüssig gemacht werden. Mit Windows Hello kann eine Authentifizierung bei einem Microsoft-Konto, einem Active Directory-Konto oder einem Microsoft-Azure-Active-Directory-Konto erfolgen. Um Windows Hello nutzen zu können, brauchen Sie Hardware, die von Microsoft unterstützt wird. Eine Liste mit Geräten finden Sie hier.
Die Einrichtung von Windows Hello erfolgt an einem Windows-10-Client über einen Assistenten, der die biometrischen Anmeldeinformationen des Nutzers lernt. Damit die Einrichtung erfolgen kann, muss der Nutzer als Erstes eine PIN festlegen. Diese dient als Sicherung, wenn die biometrische Authentifizierung fehlschlägt. Die biometrischen Daten des Benutzers werden verschlüsselt auf dem Gerät gespeichert. Die Gesichtserkennung von Windows Hello gilt als sehr sicher, allerdings ist hierfür spezielle Hardware erforderlich: Damit die Gesichtserkennung genutzt werden kann, ist eine Kamera mit Intels RealSense-Technologie notwendig. Bei dieser Technologie werden unter anderem auch Tiefeninformationen verarbeitet, wodurch ein Überlisten der Gesichtserkennung nicht trivial möglich ist. Die Gesichtserkennung erfolgt zudem mit einer Infrarotlichterkennung, wodurch zuverlässig der Unterschied zwischen einem Foto und einer lebenden Person erkennbar ist. Bei der Fingerabdruckerkennung wird ein kapazitiver Sensor zum Scannen des Fingers verwendet.
Windows Hello for Business
Windows Hello for Business ist die Lösung für den Einsatz im Unternehmen und kann entweder in einer hybriden Variante oder als lokale Bereitstellung mit schlüsselbasiertem bzw. zertifikatsbasiertem Vertrauensmodell genutzt werden.
Voraussetzungen für Windows Hello for Business:
- Sie müssen einen schnellen Internetzugang garantieren können.
- Die korrekte Namensauflösung interner und externer Namen muss gegeben sein.
- Sie nutzen ein Active Directory mit einer angemessenen Anzahl von Domänencontrollern pro Standort zur Unterstützung der Authentifizierung.
- Sie nutzen Active Directory Zertifikatdienste 2012 oder höher.
- Ihre Arbeitsstationen nutzen mindestens Windows 10, Version 1703.
- Das Schema in Ihrem AD entspricht Windows Server 2016.
Die hybride Variante kann von allen Unternehmen genutzt werden, die Azure Active Directory verwenden. Die lokale Bereitstellung müssen Sie nutzen, wenn Sie sich an einem lokalen Active Directory anmelden.
Wenn Sie sich für eine der beiden Varianten näher interessieren, können Sie hier die genauen Anforderungen und eine Anleitung zur Einrichtung einsehen. Die Komplexität dieses Vorgangs sollte nicht unterschätzt werden.
Weiterbildung mit Büchern und Seminaren von Rheinwerk
Dieser Artikel basiert auf dem Buch ▸Sichere Windows-Infrastrukturen von Peter Kloep und Karsten Weigel, erschienen im Rheinwerk Verlag (ISBN 978-3-8362-7321-3). Peter Kloep leitet zudem das gleichnamige ▸Rheinwerk Seminar im April 2022.
Azure MFA
Azure MFA wird über Azure Active Directory zur Verfügung gestellt und kann für die Anwender sehr schnell implementiert werden. Wenn Sie nur ein kleines Unternehmen betreuen und MFA einsetzen wollen, sollten Sie diese Variante nutzen. Die Grundfunktionen für die mehrstufige Authentifizierung stehen für Administratoren von Office 365 und Azure Active Directory (Azure AD) ohne Zusatzkosten zur Verfügung. Wenn Sie mehr als die Grundfunktionen nutzen wollen, müssen Sie eventuell weitere Lizenzen erwerben. In der untenstehenden Tabelle sehen Sie den aktuellen Funktionsvergleich je nach Lizenzvariante. Wenn Sie also die Grundfunktion von Azure MFA nutzen, können Sie als zweiten Faktor eine mobile Authentifikator-App verwenden. Haben Sie Ihr Kennwort dann richtig eingegeben, werden Sie zusätzlich aufgefordert, den aktuellen Code einzutragen, der in der App angezeigt wird und nur befristet gültig ist. Erst wenn beide Eingaben korrekt erfolgt sind, wird der Zugang zu dem System oder zu den geschützten Daten gewährt.
Tabelle Multi-Faktor-Authentifizierung
In kleinen Unternehmen, die die kostenfreie Variante einsetzen, müssen Sie sich nicht genau mit Azure AD auskennen. Damit MFA genutzt wird, wählen Sie im Azure-AD-Portal schlicht unter dem Punkt Eigenschaften die Option Sicherheitsstandards verwalten aus. Ändern Sie die Auswahl Sicherheitsstandards aktivieren auf Ja.
Ist dieser Punkt aktiviert, werden sofort die folgenden Einstellungen aktiv:
- Alle Benutzer und Administratoren werden aufgefordert, sich für Azure MFA zu registrieren.
- Ältere Authentifizierungsprotokolle werden blockiert.
Alle Benutzer müssen sich also für die mehrstufige Authentifizierung (MFA) in Form von Azure Multi-Factor Authentication registrieren. Sie haben dann 14 Tage Zeit, die Microsoft Authenticator-App für die Azure Multi-Factor Authentication auf ihr Smartphone zu laden und die Registrierung durchzuführen. Nach Ablauf der 14 Tage kann sich der Benutzer anmelden, wenn dieser Schritt durchgeführt wurde. Die 14-tägige Frist beginnt nach der ersten erfolgreichen interaktiven Anmeldung bzw. nach Aktivierung der Sicherheitsstandards.
Mehr Informationen & Praxis-Tipps zur Server-Verwaltung mit Windows Server 2022 finden Sie im Thomas-Krenn-Wiki.