Vorheriges Thema

Maschinenbasierte MFA

Maschinenbasierte MFA ist eine Einstellung, die dazu dient, geschäftskritische Maschinen in einer Organisation zu schützen, indem verhindert wird, dass sie kompromittiert werden.

Hinweis: Maschinenbasierte MFA erfordert die Professional Edition von ADSelfService Plus mit Endpoint MFA. Wenn Sie diese nicht besitzen, wird die maschinenbasierte MFA nicht durchgesetzt.

• Wie funktioniert maschinenbasierte MFA?
  • Schritte zur Durchsetzung der maschinenbasierten MFA
  • Schritte zum Freistellen einer Maschine von maschinenbasierter MFA
• Erweiterte Einstellungen für maschinenbasierte MFA
  • MFA-Einstellungen für Windows-Maschinen
  • MFA für GUI-Anmeldungen auf Windows-Maschinen
  • MFA für Benutzerkontensteuerung
  • MFA für Remote Desktop-Zugriff
  • MFA zum Entsperren der Maschine

Wie funktioniert maschinenbasierte MFA?

Wenn maschinenbasierte MFA für eine bestimmte Maschine durchgesetzt wird, muss jeder Benutzer, der auf die Maschine zugreift, seine Identität mittels MFA bestätigen, um sich erfolgreich anzumelden. Die MFA-Authentifikatoren im Anmeldeprompt basieren auf den für den Benutzer konfigurierten Authentifikatoren im MFA für Maschinen Login-Bereich. Diese Einstellungen unterscheiden sich von policybasierten maschinenbasierten MFA-Einstellungen, da sie dazu dienen, sensible Maschinen unter allen Umständen zu sichern, d. h. MFA wird auf den ausgewählten Maschinen erzwungen, unabhängig vom Anmeldestatus des Benutzers oder der Verfügbarkeit des ADSelfService Plus-Servers.

Wenn diese Einstellung aktiviert ist, dürfen sich Benutzer nicht an der Maschine anmelden, auf der maschinenbasierte MFA durchgesetzt wird, wenn:

• Der ADSelfService Plus-Server nicht erreichbar ist.
• Das Benutzerkonto in ADSelfService Plus eingeschränkt ist.
• Der Benutzer keiner Richtlinie angehört, die MFA für Maschinenanmeldung konfiguriert hat.
• Der Benutzer sich nicht für einen der in der Sektion „MFA für Maschinenanmeldung“ konfigurierten Authentifikatoren (sowohl Online- als auch Offline-MFA) angemeldet hat, unabhängig davon, ob die Option „Zwangsanmeldung“ für die Benutzer-Richtlinie aktiviert ist.
• Das Benutzerlizenzlimit überschritten wurde oder Endpoint MFA nicht erworben wurde. Um Endpoint MFA zu erwerben, klicken Sie hier.

Benutzer, die die Einstellung Dieser Maschine vertrauen am Anmeldebildschirm ausgewählt haben, dürfen sich für die angegebene Dauer nach ihrer ersten Identitätsüberprüfung ohne MFA an der Maschine anmelden.

Hinweis: Stellen Sie sicher, dass der Anmeldeagent auf die folgenden neuesten Versionen aktualisiert wird, um MFA ordnungsgemäß durchzusetzen: Windows 5.10, macOS 1.7 oder Linux 2.4 und höher. Wenn eine ältere Version des Anmeldeagents installiert ist und der ADSelfService Plus-Server nicht erreichbar ist, darf der Benutzer auf die Maschine zugreifen, wenn die Option „MFA überspringen, wenn ADSelfService Plus-Server nicht erreichbar ist“ aktiviert ist.

Schritte zur Durchsetzung der maschinenbasierten MFA

1. Navigieren Sie zu Konfiguration > Administrations-Tools > GINA/Mac/Linux (Strg+Alt+Entf) > GINA/Mac/Linux Installation > Installierte Maschinen.

   

2. Wählen Sie die gewünschte Domäne aus der Dropdown-Liste aus.
3. Wählen Sie die Maschinen aus, auf denen Sie maschinenbasierte MFA durchsetzen möchten.

   

4. Klicken Sie auf MFA verwalten und wählen Sie Erzwingen.

   

Schritte zum Freistellen einer Maschine von maschinenbasierter MFA

1. Navigieren Sie zu Konfiguration > Administrations-Tools > GINA/Mac/Linux (Strg+Alt+Entf) > GINA/Mac/Linux Installation > Installierte Maschinen.
2. Wählen Sie die gewünschte Domäne aus der Dropdown-Liste aus.
3. Wählen Sie die Wählen Sie die Maschine
4. Klicken Sie auf MFA verwalten aus dem Dropdown-Menü aus, die Sie von der maschinenbasierten MFA freistellen möchten. Wählen Sie.

   

Erweiterte Einstellungen für maschinenbasierte MFA

Freistellen klicken Sie hier.

ADSelfService Plus ermöglicht Administratoren, MFA in bestimmten Anwendungsszenarien für Windows-Maschinen zu aktivieren. Um diese Funktion für Mac oder Linux anzufordern,Hinweis: Die erweiterte Maschine MFA-Funktion erfordert die Professional Edition von ADSelfService Plus

mit Endpoint MFA. Wenn Sie diese nicht besitzen, wird MFA auf Windows-Maschinen umgangen. Die Authentifikatoren im Anmeldeprompt für die aktivierten Szenarien basieren auf den in der MFA für Maschinenanmeldung

Wenn diese Einstellung aktiviert ist, ist MFA bei interaktiven oder GUI-basierten Anmeldungen an Windows-Maschinen erforderlich. Benutzer können nach erfolgreicher Identitätsüberprüfung nur noch weitere Aktionen durchführen.

• MFA für interaktive Anmeldungen an Windows-Servern erfordert die

  

  Professional Edition von ADSelfService Plus

  Hinweis: mit Endpoint MFA. Wenn Sie diese nicht besitzen, wird MFA auf Windows-Servern umgangen. Die erweiterte Maschine MFA-Funktion erfordert die MFA für Benutzerkontensteuerung aktivieren:

• Diese Einstellung aktiviert MFA für alle Benutzerkontensteuerungs-UAC-Anmeldeaufforderungen, und der Benutzer kann die gewünschte Aktion erst nach erfolgreicher Identitätsverifizierung ausführen. Voraussetzung

Bevor Sie MFA für UAC konfigurieren, melden Sie sich an einem Domain Controller mit Domain-Admin-Rechten an und stellen Sie sicher, dass die folgenden Gruppenrichtlinieneinstellungen auf die Zielcomputer angewendet werden:

Öffnen Sie den Gruppenrichtlinienverwaltungseditor (GPMC) und navigieren Sie zu

1. Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen.
2. Konfigurieren Sie diese Richtlinieneinstellungen:
• User Account Control: Verhalten der Eingabeaufforderung für Erhöhung bei Administratoren im Admin-Bestätigungsmodus → Auf „Eingabe von Anmeldeinformationen auf dem sicheren Desktop anfordern“ setzen
• User Account Control: Wechsel zum sicheren Desktop bei Eingabeaufforderung zur Erhöhung → Auf „Aktiviert“ setzen



• Sobald dies erledigt ist, aktivieren Sie die Option „MFA für Benutzerkontensteuerung aktivieren“ in ADSelfService Plus.
• Diese Einstellung ist kompatibel mit Windows 7 und höher sowie Windows Server 2008 und höher. Sie wird ab Version 5.10 des ADSelfService Plus Windows-Anmeldeagents unterstützt.

Hinweis: MFA für UAC auf Windows-Maschinen erfordert die Die erweiterte Maschine MFA-Funktion erfordert die Professional Edition von ADSelfService Plus



Hinweis: mit Endpoint MFA. Wenn Sie diese nicht besitzen, wird MFA auf Windows-Maschinen umgangen. Aktionen, die durch die Auswahl der Option „Als anderer Benutzer ausführen“



• ausgeführt werden, erfordern keine Anmeldeinformationen wie bei anderen UAC-Aktionen. MFA für Remote Desktop-Zugriff auf Windows-Maschinen aktivieren während:

  Hinweis: Der Administrator kann festlegen, dass MFA bei der Herstellung von Verbindungen zu Maschinen über RDP erforderlich ist. Dies stellt sicher, dass RDP-Verbindungen zu Maschinen mit einer zusätzlichen Authentifizierungsebene gesichert sind. Die erweiterte Maschine MFA-Funktion erfordert die MFA für RDP-Zugriffe auf Windows-Maschinen erfordert die

  Professional Edition von ADSelfService Plus

  • mit Endpoint MFA. Wenn Sie diese nicht besitzen, wird MFA bei RDP-Anmeldungen an Windows-Maschinen umgangen. Es gibt zwei Möglichkeiten, MFA für Remote Desktop-Zugriff zu konfigurieren:
  • RDP-Serverauthentifizierung: Wenn diese Einstellung aktiviert ist, werden alle eingehenden Remote Desktop-Verbindungen zu Windows-Maschinen mit installiertem ADSelfService Plus-Anmeldeagent mit MFA authentifiziert und geschützt. Um diese Einstellung zu aktivieren, wählen Sie „MFA für Remote Desktop-Zugriffe auf Windows-Maschinen während“.
  • und aktivieren Sie „RDP-Serverauthentifizierung“.RDP-Clientauthentifizierung:Diese Einstellung kann aktiviert werden, um MFA für alle ausgehenden Remote Desktop-Verbindungen von domänengebundenen Maschinen über die Windows-Remote-Desktop-Anwendung (mstsc.exe) auf Maschinen mit installiertem ADSelfService Plus-Anmeldeagent zu verlangen.

    ADSelfService Plus ermöglicht Administratoren, MFA in bestimmten Anwendungsszenarien für Windows-Maschinen zu aktivieren. Um diese Funktion für Mac oder Linux anzufordern,Hinweis: Die RDP-Clientauthentifizierung wird für lokale Benutzer auf domänengebundenen und eigenständigen (Workgroup-) Maschinen nicht unterstützt.

  • Voraussetzungen:

    Bevor Sie die RDP-Clientauthentifizierung konfigurieren, melden Sie sich an einem Domain Controller mit Domain-Admin-Rechten an und stellen Sie sicher, dass folgende Einstellungen angewendet werden:

  1. Computerkonfiguration > Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Remote Desktop Services > Remote Desktop-Sitzungshost > Sicherheit.
  2. Doppelklicken Sie auf „Benutzerauthentifizierung für Remoteverbindungen mit Netzwerkebenenauthentifizierung erforderlich“und aktivieren Sie „Aktiviert“..
  3. Klicken Sie auf Wenden Sie die Einstellungen an und speichern Sie sie. Sobald dies erledigt ist, wählen Sie „MFA für Remote Desktop-Zugriffe auf Windows-Maschinen während“
  • und aktivieren Sie „RDP-Clientauthentifizierung“. Um diese Einstellung zu aktivieren, wählen Sie Diese Einstellung wird ab Version 5.10 des ADSelfService Plus Windows-Anmeldeagents unterstützt und gilt für Windows 7 und höher sowie Windows Server 2008 R2 und höher..
  • Die Aktivierung sowohl der RDP-Server- als auch der RDP-Clientauthentifizierung kann zu einer doppelten Verifizierung führen, wenn der ADSelfService Plus-Anmeldeagent auf Server- und Client-Maschinen installiert ist. Wenn zum Beispiel Google Authenticator als MFA-Authentifikator konfiguriert ist und beide Authentifizierungsmethoden aktiviert sind, muss der Benutzer sich mithilfe des Codes vor und nach dem Herstellen der Verbindung mit der entfernten Maschine authentifizieren.

  

  Hinweis: Um MFA für die RDP-Clientauthentifizierung zu aktivieren, melden Sie sich an einem Domain Controller mit Domain-Admin-Rechten an und stellen Sie sicher, dass die folgenden Gruppenrichtlinieneinstellungen auf die Zielcomputer angewendet werden:
  • To enable MFA for RDP client authentication, log into a Domain Controller with Domain Admin privileges, and ensure the following Group Policy settings are applied to the target computers:
    • Computerkonfiguration > Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Remote Desktop Services > Remote Desktop-Sitzungshost > Sicherheit.
    • Doppelklicken Sie auf „Benutzerauthentifizierung für Remoteverbindungen mit Netzwerkebenenauthentifizierung erforderlich“und aktivieren Sie „Aktiviert“..
    • Klicken Sie auf Wenden Sie die Einstellungen an und speichern Sie sie. Sobald dies erledigt ist, wählen Sie „MFA für Remote Desktop-Zugriffe auf Windows-Maschinen während“

    Um MFA für Remote-Desktop-Verbindungen in einer Multi-Forest-AD-Umgebung zu erzwingen, muss eine Vertrauensstellung zwischen den beiden Domänen bestehen. Domänenvertrauensstellungen können entweder durch eine Forest-Vertrauensstellung (d.h. eine Vertrauensstellung auf Forest-Ebene) oder durch eine externe Vertrauensstellung (d.h. eine Vertrauensstellung auf Domänen-Ebene) zwischen Forests hinzugefügt werden. Für Schritte zur Konfiguration einer Vertrauensstellung beachten Sie bitte dieses Dokument.

    Hinweis: Mit der RDP-Client-Authentifizierung können Sie den Remotezugriff mit MFA nur für Benutzer schützen, die über das Internet oder andere öffentliche IP-Adressen mittels Remote Desktop Gateway (RD Gateway) auf die Maschine zugreifen, indem Sie eine Richtlinie für den bedingten Zugriff mit IP-Einschränkungen konfigurieren. Erfahren Sie mehr über bedingten.
• MFA aktivieren, wenn Windows-Maschinen entsperrt werden: Das Aktivieren dieser Einstellung erzwingt MFA beim Entsperren von Windows-Maschinen.

  Hinweis: MFA für das Entsperren von Windows-Maschinen erfordert das Die erweiterte Maschine MFA-Funktion erfordert die mit Endpoint MFA. Falls Sie diese nicht haben, wird MFA beim Entsperren von Windows-Maschinen umgangen.

  

Nächstes Thema