Multi-Faktor-Authentifizierung zur Windows-Anmeldung
Zuhause » Funktionen » Multi-Faktor-Authentifizierung zur Windows-Anmeldung

Multi-Faktor-Authentifizierung zur Windows-Anmeldung

Doppelter Schutz gegen Sicherheitslücken

Angesichts der immer raffinierteren Angriffsversuche , steht die traditionelle Kombination aus Benutzername und Passwort zum Absichern von Benutzerkonten nicht mehr zur Debatte. Um unbefugte Benutzer zuverlässig herauszufiltern, müssen zusätzliche Sicherheitsebenen hinzugefügt werden. Möglich machen diese die Zwei-Faktor-Authentifizierung (2FA) und die Multi-Faktor-Authentifizierung (MFA). Hierbei handelt es sich um Methoden, bei denen Benutzeridentitäten mit zusätzlichen Authentifizierungsmethoden wie Biometrie, Google Authenticator und YubiKey überprüft werden können.

Windows-Anmeldung mit der MFA-Funktion von ADSelfService Plus

Wenn die MFA-Funktion von ADSelfService Plus zur Geräteanmeldung aktiviert ist, müssen sich Benutzer in zwei aufeinanderfolgenden Schritten an ihrem Windows-Gerät anmelden. Die erste Authentifizierungsstufe erfolgt mit den üblichen Windows-Active-Directory-Anmeldeinformationen. Die zweite Authentifizierungsstufe lässt sich über eine der folgenden Möglichkeiten realisieren:

  1. Sicherheitsfragen und Antworten
  2. Verifizierungs-Codes per E-Mail
  3. Verifizierungs-Codes per SMS
  4. Google Authenticator
  5. Duo Security
  6. RSA SecurID
  7. RADIUS
  8. Push-Benachrichtigung
  9. Fingerabdruck
  1. Face ID authentication
  2. QR code-based authentication
  3. Microsoft Authenticator
  4. Zeitbasierte Einmalpasswörter
  5. AD-basierte Sicherheitsfragen
  6. SAML-basierte Authentifizierung
  7. Yubikey-Authenticator
  8. Zoho OneAuth TOTP
  9. Custom TOTP Authenticator

Der Einsatz der MFA bei der Windows-Anmeldung vermindert die Gefahr unbefugter Zugriffe auf sensible Daten – auch in Fällen, in denen Passwörter kompromittiert wurden. Das bedeutet, dass Eindringlinge, selbst wenn sie sich Zugang zum Passwort eines Benutzers verschaffen, zusätzlich auch noch Zugriff auf das Smartphone oder die E-Mails des Anwenders erlangen müssten, um an die Bestätigungs-Codes heranzukommen.

Als Teil der Windows-MFA-Option in ADSelfService Plus können Sie SMS- und E-Mail-basierte Bestätigungs-Codes, Google Authenticator, YubiKey, Duo Security oder biometrische Authentifizierungsmethoden als zusätzlichen Authentifizierungsschritt aktivieren. Diese MFA-Methoden sind für jeden Anwender eindeutig und daher sicherer als die Verwendung von Passwörtern.

So funktioniert MFA für Windows-Anmeldungen

  • Wenn die MFA-Funktion konfiguriert ist, benötigen Benutzer zur Anmeldung an ihren Windows-Geräten die Anmeldeinformationen der Active-Directory-Domäne, um ihre Identität nachzuweisen.
  • Anschließend müssen sich Benutzer mit einem zeitbasierten Authentifizierungs-Code authentifizieren, den sie per SMS oder E-Mail oder über einen Drittanbieter für Authentifizierungen erhalten. Je nach Konfiguration des Administrators können auch mehrere Methoden zur Authentifizierung erforderlich sein.
  • Nach erfolgreicher Authentifizierung mit allen Faktoren werden Benutzer an ihren Windows-Geräten angemeldet.

So funktioniert MFA für Windows-Anmeldungen

Multifaktor-Authentifizierung für Remote-Desktops

Wenn die MFA-Funktion zur Windows-Anmeldung aktiviert ist, werden für alle lokalen und Remote-Windows-Anmeldungen mehrere Authentifizerungsmethoden eingesetzt. Besonders wichtig ist die MFA insbesondere bei Anwendern, die remote auf interne Unternehmensressourcen zugreifen möchten.

VPN-Lösungen erleichtern zwar den Remote-Zugriff, sind aber anfällig für Angriffe. ADSelfService Plus bietet MFA für VPNs, um die VPN-Sicherheit zu verbessern. Neben dem Benutzernamen und dem Kennwort, die der Benutzer an den VPN-Server übermittelt, müssen Benutzer zusätzliche Authentifizierungsfaktoren eingeben, um auf Unternehmensressourcen zugreifen zu können.

Windows MFA für Ihr Unternehmen anpassen

Administratoren können die MFA-Merkmale von ADSelfService Plus einfach an den Bedarf ihres Unternehmens anpassen. Nachstehend finden Sie ein paar unterschiedliche Möglichkeiten zur Anpassung der MFA:

  • ADSelfService Plus gibt Administratoren die Möglichkeit, unterschiedliche und unterschiedlich viele Authentifizierungsfaktoren für verschiedene Benutzer festzulegen. Dies ist äußerst wichtig, da bestimmte Benutzer anfälliger für die Kompromittierung ihrer Passwörter sind. So sind beispielsweise Mitarbeiter, die remote arbeiten, mehr gefährdet als Anwender, die sich nur im Firmennetzwerk anmelden.
  • Für verschiedene Benutzer können unterschiedliche Authentifizierungsfaktoren aktiviert werden, die auf den Organisationseinheiten (OUs) und Gruppen basieren, zu denen sie gehören.
  • ADSelfService Plus bietet auch Optionen, um bestimmte Authentifizierungsfaktoren obligatorisch zu machen.
  • Administratoren können Benutzern erlauben, sich an ihren Windows-Geräten anzumelden, ohne jedes Mal den gesamten MFA-Ablauf absolvieren zu müssen, wenn sie sich über ein vertrauenswürdiges Gerät anmelden. Vertrauenswürdige Geräte sind Geräte, mit denen sich der jeweilige Benutzer zuvor bereits erfolgreich per MFA authentifizieren konnte. Dies spart Benutzern wertvolle Zeit.

Vorteile

 

Mehr Sicherheit

Die Windows Zwei-Faktor-Authentifizierung und MFA stellen sicher, dass unbefugte Benutzer selbst bei einer Kompromittierung von Passwörtern zusätzlich auch Zugriff auf das E-Mail-Konto oder das Smartphone eines autorisierten Benutzers benötigen, um sich bei deren Windows-Geräten anmelden zu können. Dies sorgt für mehr Sicherheit.

 

Große Auswahl an Authentifikatoren

ADSelfService Plus unterstützt 15 unterschiedliche Authentifikatoren, die IT-Administratoren eine große Auswahln an Optionen bieten, um einen für ihre Benutzer passenden Authentifizierungsmechanismus einzurichten.

 

Unterschiedliche Authentifikatoren für verschiedene Benutzer

ADSelfService Plus bietet Administratoren auch die Möglichkeit, MFA auf der Grundlage der OE-, Gruppen- und Domänenmitgliedschaften eines Anwenders zu konfigurieren. So können Anwender mit unterschiedlichen Berechtigungen auch unterschiedliche Authentifizierungsstufen haben.

 

Unterstützung von verschiedenen Windows-Betriebssystemen

ADSelfService Plus funktioniert mit allen Windows-Betriebssystemen ab Windows Vista, einschließlich Windows Server 2008 und allen danach veröffentlichten Windows-Server-Betriebssystemen.

MFA für Windows-Anmeldungen aktivieren:

  • Verwenden Sie einen oder mehrere der 15 zur Verfügung stehenden Authentifikatoren.
  • Konfigurieren Sie die MFA basierend auf Domänen-, OE- oder Gruppenmitgliedschaften.
Probieren Sie ADSelfService Plus kostenlos aus!
Highlights

Self-Service Passwort-Management

Ersparen Sie Active-Directory-Benutzern langwierige Helpdesk-Anrufe, indem Sie ihnen die Möglichkeit geben, ihre Passwörter selbst zurückzusetzen und Konten zu ändern. Problemlose Passwortänderung für Active-Directory-Benutzer mit der „Kennwort ändern“-Konsole von ADSelfService Plus. 

Eine Identität mit Single-Sign-on

Erhalten Sie nahtlosen Ein-Klick-Zugriff auf mehr als 100 Cloud-Anwendungen. Mit Enterprise Single Sign-On können Benutzer mit ihren Active-Directory-Anmeldedaten auf all ihre Cloud-Anwendungen zugreifen. Dank ADSelfService Plus! 

Benachrichtigung zum Ablauf des Passworts / Kontos

Informieren Sie Active-Directory-Benutzer über den bevorstehenden Ablauf ihres Passworts/Kontos durch entsprechende Ablaufbenachrichtigungen per E-Mail.

Passwort-Synchronisierung

Synchronisierungen Sie Änderungen von Active-Directory-Benutzerpasswörtern/-konten automatisch über mehrere Systeme hinweg, einschließlich Microsoft 365, Google Workspace, IBM iSeries und mehr. 

Durchsetzung von Passwortrichtlinien

Sorgen Sie mit ADSelfService Plus für starke Benutzerpasswörter, die Angriffen durch Hacker standhalten: Zeigen Sie Ihren Active-Directory-Benutzern die Anforderungen zur Passwortkomplexität an und zwingen Sie sie so, richtlinienkonforme Kennwörter zu verwenden.

Verzeichnis-Aktualisierung als Self-Service und unternehmensweite Suche im Mitarbeiterverzeichnis

Bieten Sie Ihren Active-Directory-Benutzern ein sicheres Portal, über das sie ihre Daten selbst aktualisieren können. Stellen Sie eine Schnellsuche bereit, über die Mitarbeiter einfach die Profilinformationen von Kollegen mit Hilfe von Suchbegriffen, wie z. B. der Kontaktnummer der gesuchten Person, ausfindig machen können.