Sean Deuby

Die moderne Informationssicherheit basiert auf einer mehrschichtigen Verteidigung. Jede Schicht unterstützt die anderen und stellt zusätzliche Hindernisse für Bedrohungsakteure dar. Von der Patch-Verwaltung bis hin zu Perimeter-Firewalls - jede Schicht erschwert es Angreifern, Ihr Netzwerk zu kompromittieren. Die Multifaktor-Authentifizierung (MFA) ist eine dieser Schichten. MFA hat viele Gesichter, aber alle beinhalten eine Kombination aus:

  • Etwas, das Sie besitzen, wie z.B. ein Smartphone oder einen Hardtoken
  • Etwas, das Sie kennen, wie z.B. ein Passwort
  • Etwas, das Sie sind, wie z.B. ein Fingerabdruck oder andere biometrische Daten

Angesichts der Häufigkeit von Phishing, schwachen Passwörtern und gestohlenen Zugangsdaten, die online gekauft und verkauft werden, kann die Implementierung von MFA für Active Directory zusätzlichen Schutz vor Angriffen bieten.

Lesen Sie dazu: Was ist Active Directory-Sicherheit?

Wie funktioniert MFA für Active Directory?

MFA erhöht den Schutz vor identitätsbasierten Angriffen. Für Active Directory, das das Herzstück Ihrer Identitätsinfrastruktur ist, bietet MFA eine gewisse Sicherheit, dass es sich bei den Benutzern, die sich anmelden und auf Ihre IT-Ressourcen zugreifen, um legitime Benutzer handelt.

Der Schutz der Active Directory-Umgebung vor Ort mit MFA ist eine Herausforderung. Active Directory bietet native Unterstützung für MFA nur über Smartcard-Authentifizierung - nicht zu verwechseln mit MFA für Active Directory Federation Services (AD FS), die einen zweiten Authentifizierungsfaktor für AD FS-integrierte Anwendungen bietet.

Da es keine direkte MFA-Unterstützung für Active Directory gibt, können Unternehmen MFA-Lösungen wie Windows Hello for Business oder Cisco Duo in ihre PC- oder administrativen (d.h. Jump-) Server-Endpunkte integrieren. Auf diese Weise kann der Zugang zu diesen typischen Active Directory-Zugangspunkten für interaktive Anmeldungen oder RDP verstärkt werden. Es stehen weitere Tools zur Verfügung, um Active Directory-Authentifizierungsanfragen zu analysieren und MFA gemäß den Richtlinien des Unternehmens durchzusetzen.

Wie können Sie MFA für Active Directory in hybriden Identitätsumgebungen implementieren?

Aufgrund der Einführung der Cloud benötigen viele Unternehmen einen MFA-Ansatz, der sowohl ihre lokale Active Directory-Umgebung als auch Cloud-Identitätsdienstleister wie Entra ID umfasst. Um diese Art von hybrider Umgebung zu unterstützen, können Unternehmen Microsoft Entra Connect (ehemals Azure AD Connect) verwenden, um Identitäten zwischen Active Directory und dem Entra-Mieter zu synchronisieren.

Innerhalb von Entra ID werden Entra-Mietern Sicherheitsvorgaben zur Verfügung gestellt, unabhängig davon, ob sie Premium-Lizenzen besitzen. In der kostenlosen Version von Entra ID fehlt jedoch die Funktion "bedingter Zugriff", mit der Sie Regeln mit Aktionen für bestimmte Anmeldeszenarien konfigurieren können.

Richtlinien für den bedingten Zugriff bieten einen detaillierteren Ansatz für die Kontrolle des Zugriffs unter von Ihnen festgelegten Bedingungen, z. B. die Aufforderung zur MFA für jeden, der auf einen Dienst zugreift, wenn er sich nicht im Unternehmensnetzwerk befindet. Diese Funktion ist in den Premium-Plänen enthalten. Außerdem können Unternehmen bei allen Microsoft 365-Plänen MFA mit Sicherheitsvorgaben implementieren. Microsoft 365 for Business und andere Tarife verfügen über zusätzliche Funktionen.

Sowohl Microsoft 365 als auch Office 365 unterstützen MFA über die folgenden Methoden:

  • Eine Textnachricht, die an das Telefon des Benutzers gesendet wird und die den Benutzer auffordert, einen Verifizierungscode einzugeben
  • Ein Sprachanruf
  • Microsoft Authentifikator

Wie Microsoft 365 unterstützt auch Entra ID mehrere Formen der Verifizierung:

  • Microsoft Authentifikator
  • Authenticator Lite (in Outlook)
  • Windows Hello für Unternehmen
  • FIDO2 Sicherheitsschlüssel
  • OATH-Hardware-Tokens
  • OATH-Software-Tokens
  • SMS
  • Ein Sprachanruf

Anwendungen, die sich direkt mit Entra ID authentifizieren und über eine moderne Authentifizierung verfügen, wie z.B. OpenID Connect, können Richtlinien für den bedingten Zugriff verwenden. Ältere und lokale Anwendungen, die sich nicht direkt mit Entra ID authentifizieren, müssen jedoch über den Entra ID Application Proxy oder die Network Policy Services (NPS) integriert werden.

Im September 2022 teilte Microsoft seinen Kunden mit, dass es Azure MFA Server abschafft. Ab dem 30. September 2024 werden Azure MFA Server-Implementierungen keine MFA-Anfragen mehr bedienen. Um Authentifizierungsfehler zu vermeiden, sollten Unternehmen die Authentifizierungsdaten der Benutzer mit Hilfe des von Microsoft bereitgestellten Migrationsdienstprogramms auf den Cloud-basierten Entra ID MFA-Dienst migrieren.

Was ist mit adaptiver Authentifizierung?

Der MFA-Schutz entwickelt sich weiter, um mehr granulare und angemessene Sicherheit zu bieten. Die adaptive Authentifizierung basiert auf dem traditionellen Ansatz der MFA und fügt eine weitere Ebene hinzu, die auf der Risikoerkennung basiert.

Bei diesem Modell wird der Benutzer anhand dynamischer Kriterien gezwungen, eine höhere Authentifizierungsstufe zu durchlaufen. Ein Benutzer kann zum Beispiel bestimmte Eigenschaften haben, wie eine Rolle, einen Gerätetyp oder einen geografischen Standort. Wenn dieser Benutzer plötzlich versucht, sich von einem anderen Gerät oder Land aus anzumelden, kann das mit diesem Versuch verbundene Risiko als Rechtfertigung für eine MFA-Aufforderung dienen. Umgekehrt kann dieses Modell die Reibungsverluste für den Benutzer verringern, da er sich weniger oft neu authentifizieren muss, wenn er sich wie gewohnt verhält.

Entra ID Protection (früher Azure Identity Protection) ist ein Service, der eine adaptive Authentifizierung auf der Grundlage des Benutzer- und Anmeldungsrisikos durchführt. Wenn ein Risiko erkannt wird, können Abhilfemaßnahmen ergriffen werden, z. B. das Zurücksetzen der Passwörter oder das Sperren des Zugangs, bis ein Administrator eingeschaltet wird. Die adaptive Authentifizierung stellt eine weitere Barriere gegen Bedrohungsakteure dar, die versuchen, in Ihre Umgebung einzudringen.

Ist MFA für Active Directory die beste Verteidigung?

Die Implementierung von MFA für Active Directory kann dazu beitragen, die Bedrohung durch den Diebstahl von Zugangsdaten zu verringern. Wenn Sie mit Ihrer MFA-Implementierung beginnen, sollten Sie vor allem bei Konten mit privilegierten Zugriffsrechten ansetzen. Diese Konten sind für Angreifer am attraktivsten, da sie dazu verwendet werden können, die Position der Angreifer zu erweitern und unentdeckt in Ihrer Umgebung zu bleiben.

Andere Konten können aufgrund der Rolle des Mitarbeiters im Unternehmen von Wert sein. Wenn beispielsweise die Identität eines wichtigen Mitglieds des Softwareentwicklungsteams oder des Leiters der Personalabteilung geknackt wird, haben Angreifer die Möglichkeit, an wertvolle Informationen heranzukommen.

Die Implementierung von Sicherheitsfunktionen wie MFA kann eine zusätzliche Barriere zwischen Angreifern und Ihrer Umgebung bilden. Aber MFA ist für sich genommen kein ausreichender Schutz.

Verstärken Sie die Sicherheit von Active Directory

Um die Identitäten in Ihrer Umgebung wirklich zu schützen, ist ein umfassender Ansatz erforderlich. So härten Sie Active Directory ab:

Zusätzliche Tools, einschließlich Endpunkt-, MFA- und protokoll- oder ereignisbasierten Lösungen, können lohnende Ergänzungen Ihrer Strategie zur Erkennung von und Reaktion auf Identitätsbedrohungen (ITDR) sein. Eine mehrschichtige Verteidigung, die sich auf die Sicherung von Active Directory und anderen kritischen Systemen und Diensten konzentriert, ist der beste Weg, um die operative Widerstandsfähigkeit Ihres Unternehmens zu stärken.