2FA/MFA für die Windows-Anmeldung

Warum 2FA/MFA für die Windows-Anmeldung?

Gestohlene oder schwache Computerpasswörter sind ein weit verbreiteter Angriffsvektor. Der Microsoft Digital Defense Report 2024 gibt an, dass 99 % aller Cyberangriffe auf Identitäten passwortbasiert sind. Fortschritte bei Angriffen auf Anmeldedaten bedeuten, dass es für die Sicherheit Ihrer Systeme nicht ausreicht, die Komplexität von Computerpasswörtern zu erhöhen. Die ausschließliche Verwendung von passwortbasierter Authentifizierung, insbesondere auf Unternehmensebene, macht das Netzwerk, die Daten und die IT-Infrastruktur des Unternehmens anfällig und kann zu lateralen Bewegungen, Privilegieneskalation, Datenexfiltration, Ransomware-Angriffen und anderen Sicherheitsrisiken führen.

Die Zwei-Faktor-Authentifizierung (2FA), eine Untergruppe der Multi-Faktor-Authentifizierung (MFA), ist ein einfacher, aber robuster Mechanismus zur Abwehr von Angriffen auf Anmeldedaten. Durch die Aktivierung der Windows-Zwei-Faktor-Authentifizierung und der Multi-Faktor-Authentifizierung für Workstations und Server können Unternehmen einen erheblichen Prozentsatz von Cyberangriffen abwehren.

Sichern Sie Ihre Anmeldungen mit einer robusten Windows-Zwei-Faktor-Authentifizierungslösung

ManageEngine ADSelfService Plus bietet die ideale Windows-Anmelde-2FA-Lösung, die durch robuste Authentifizierungsmethoden, risikobasierte Zugriffskontrollen und Offline-Schutz unterstützt wird. Seine umfassenden Windows-MFA-Funktionen stärken alle Windows-Endpunkte, einschließlich Workstations, Server, RDP und UAC.

Wie funktioniert die Windows-Anmelde-MFA?

1. Wenn die 2FA für die Windows-Anmeldung konfiguriert ist, müssen Benutzer, die sich bei ihren Windows-Computern anmelden, zunächst ihre Identität mit ihren AD-Domänenanmeldedaten überprüfen.
2. Anschließend schließen sie den Windows-Anmelde-MFA-Prozess ab, indem sie sich mit zusätzlichen Methoden wie Biometrie, TOTP oder SMS-Verifizierung authentifizieren. Je nach Konfiguration müssen Benutzer ihre Identität möglicherweise durch eine oder mehrere Authentifizierungsmethoden überprüfen.
3. Schließlich werden Benutzer an ihren Windows-Computern angemeldet, sobald sie ihre Identität mithilfe der konfigurierten Authentifizierungsmethoden erfolgreich überprüft haben.

Die Lösung unterstützt sowohl lokale Windows- als auch RDP-MFA und bietet so eine verbesserte Anmeldesicherheit.

Welche MFA-Methoden werden für Windows-Anmeldungen unterstützt?

ADSelfService Plus unterstützt eine umfassende Liste von Authentifizierungsmethoden für Wissen, Besitz und Inhärenz, mit denen Administratoren die für die Zielbenutzer geeigneten MFA- und 2FA-Abläufe für die Windows-Anmeldung entwerfen können. Hier ist die vollständige Liste der unterstützten Authentifikatoren:

Wie richte ich MFA für Windows-Anmeldungen über ADSelfService Plus ein?

1. Melden Sie sich mit Ihren Administratoranmeldedaten bei der ADSelfService Plus-Webkonsole an.
2. Navigieren Sie zu Konfiguration > Self-Service > Multi-Faktor-Authentifizierung > MFA für Endpunkte.
3. Wählen Sie eine Richtlinie aus dem Dropdown-Menü Richtlinie auswählen aus. Dadurch wird festgelegt, welche Authentifizierungsmethoden für jede Benutzergruppe aktiviert sind.
4. Aktivieren Sie im Abschnitt MFA für Maschinenanmeldung das Kontrollkästchen __-Faktor-Authentifizierung aktivieren, wählen Sie die Anzahl der Authentifizierungsmethoden aus und geben Sie im Dropdown-Menü an, welche Sie verwenden möchten.
5. Klicken Sie auf Einstellungen speichern.

Effektive Integration mit gängigen Betriebssystemversionen für Windows-Multi-Faktor-Authentifizierung (MFA)

ADSelfService Plus unterstützt die Aktivierung von MFA für Windows-Anmeldungen unter den folgenden Betriebssystemversionen:

Maßgeschneiderte Windows-2FA für die Anforderungen jedes Unternehmens

Administratoren können die MFA-Funktion für die Windows-Anmeldung von ADSelfService Plus an die spezifischen Sicherheits-, Richtlinien- und Compliance-Anforderungen ihres Unternehmens anpassen.

• Detaillierte Authentifizierungskontrollen: Aktivieren Sie bestimmte Authentifizierungsmethoden für Benutzer in bestimmten AD-Domänen, Gruppen und Organisationseinheiten. Erstellen Sie detaillierte 2FA-Abläufe für die Windows-Anmeldung, die der Rolle des Benutzers, den Geräterichtlinien und den bereits vorhandenen Authentifizierungsmethoden entsprechen.
• Echte MFA: Konfigurieren Sie unterschiedliche Anzahlen von Authentifizierungsstufen – maximal drei – für Benutzer basierend auf ihren AD-Domänen, OUs und Gruppen. Verschärfen oder lockern Sie den Authentifizierungsprozess je nach Rolle und Berechtigungen des Benutzers.
• Flexible Registrierungsrichtlinien: Erzwingen Sie obligatorische Authentifizierungsfaktoren für erhöhte Sicherheit oder ermöglichen Sie Benutzern, ihre gewünschten Authentifizierungsfaktoren aus einer vorkonfigurierten Liste auszuwählen.
• Ausnahme für vertrauenswürdige Geräte: Erlauben Sie ausgewählten Benutzern, die MFA für Windows-Anmeldungen zu überspringen, wenn sie ein vertrauenswürdiges Gerät verwenden. Ein vertrauenswürdiges Gerät ist ein Gerät, das zuvor durch den MFA-Prozess authentifiziert wurde. Diese Vertrauenswürdigkeit bleibt für einen bestimmten Zeitraum gültig, danach ist eine erneute Authentifizierung erforderlich.

MFA für Windows RDP

RDP-Zugriffsversuche sind am anfälligsten, da Remote-Verbindungen zum Unternehmensnetzwerk Sicherheitslücken aufweisen können, die ausgenutzt werden können. Durch die Durchsetzung von MFA für RDP stellt ADSelfService Plus sicher, dass der Fernzugriff durch fortschrittliche Authentifizierungsmethoden gesichert ist. Darüber hinaus ist der Windows RDP 2FA-Prozess der Lösung zweigleisig und schützt sowohl die RDP-Server-Authentifizierung als auch die RDP-Client-Authentifizierungsaufforderungen vor Manipulationen durch Mittelsmänner, Phishing und Angriffen auf Basis von Anmeldedaten.

MFA für Windows UAC

ADSelfService Plus integriert auch MFA für Windows UAC-Elevationsaufforderungen. Jedes Mal, wenn ein Benutzer oder Prozess versucht, eine administrative Aktion durchzuführen, ist ein zweiter Authentifizierungsfaktor erforderlich. Dies verhindert die Ausweitung von Berechtigungen durch böswillige Insider oder Malware, die sich als vertrauenswürdige Anwendungen ausgeben.

Windows Server MFA

Die Durchsetzung von Windows Server MFA ist entscheidend für den Schutz kritischer Server vor unbefugtem Zugriff. Windows-Server speichern häufig sensible Daten und führen wichtige Dienste aus, was sie zu einer Goldgrube für Angreifer macht. Durch die Implementierung von Windows Server 2FA mit Authentifizierungsmethoden wie Biometrie und Einmalpasswörtern können Administratoren sicherstellen, dass Angreifer selbst bei Kompromittierung der Anmeldedaten keinen Zugriff auf ihre Windows Server-Instanzen erhalten. Diese Funktion ist mit Windows Server 2008 und höher kompatibel.

Maschinenzentrierte Windows-2FA  

Bei der maschinenbasierten 2FA wird die Windows-Anmelde-2FA auf der Grundlage der Geräteeinstellungen und nicht der individuellen Benutzerkontoeinstimmungen ausgelöst. Wenn diese Option aktiviert ist, müssen alle Benutzer, die sich an einem bestimmten Computer anmelden, ihre Identität mithilfe von 2FA überprüfen. Administratoren können Authentifizierungsmethoden für die maschinenbasierte 2FA für Windows konfigurieren und dabei aus einer Reihe von Authentifizierungsmethoden auswählen.

2FA für Windows-Offline-Anmeldungen  

ADSelfService Plus unterstützt Offline-2FA für Windows-Maschinen und gewährleistet so sichere Anmeldungen, selbst wenn Benutzer remote, offline oder nicht mit dem Produktserver verbunden sind. Administratoren können mehrere Authentifizierungsmethoden für sichere Anmeldungen konfigurieren. Um den Offline-Zugriff zu aktivieren, müssen sich Benutzer online für die von ihnen gewählten Authentifizierungsfaktoren registrieren. Diese Offline-Windows-2FA-Lösung erhöht die Sicherheit für Remote-Mitarbeiter und gewährleistet einen kontinuierlichen Schutz auch ohne Internetverbindung.

Lokale Benutzer-MFA

ADSelfService Plus erweitert den MFA-Schutz auf lokale Benutzerkonten auf Windows-Rechnern. Dadurch wird sichergestellt, dass auch Konten, die nicht mit Domänencontrollern verbunden sind, vor unbefugtem Zugriff geschützt sind. Durch die Durchsetzung von MFA für lokale Anmeldungen können Unternehmen Angriffe auf eigenständige Systeme verhindern und die Sicherheit für alle Benutzer unabhängig von der Netzwerkverbindung verbessern.

Vorteile der Implementierung der Windows-Multi-Faktor-Authentifizierung

• Einfache Bereitstellung: Das intuitive Admin-Webportal vereinfacht die Konfiguration der Windows-MFA und bietet eine planungsbasierte, automatisierte Bereitstellung des MFA-Agenten auf allen Endgeräten. Der MFA-Agent wird zu einem festgelegten Zeitpunkt automatisch auf neuen Geräten in der Domäne installiert.
• Umfassende Konfiguration: MFA erstreckt sich auf macOS- und Linux-Anmeldungen, VPNs, Outlook im Web und wichtige Unternehmensanwendungen und sorgt so dafür, dass die Angriffsfläche eines Unternehmens so weit wie möglich minimiert wird.
• Sichere Benutzerregistrierung: Es stehen Optionen für die Massenregistrierung und die obligatorische Registrierung zur Verfügung, um sicherzustellen, dass die Windows-Computer und Domänenkonten der Benutzer durch 2FA geschützt sind.
• Echtzeit-Berichterstellung: Die integrierte Berichtsfunktion bietet auditfähige Protokolle, die jeden Authentifizierungsversuch auf allen Endpunkten verfolgen. Diese Echtzeit-Einblicke helfen Administratoren, Zugriffsmuster zu überwachen, Anomalien zu erkennen und die Einhaltung von Sicherheitsrichtlinien sicherzustellen.
• Einhaltung von Vorschriften: Die 2FA-Funktion hilft Unternehmen dabei, Branchenvorschriften zu erfüllen, indem sie strenge, identitätsbasierte Zugriffskontrollen durchsetzt. Sie entspricht Standards wie der DSGVO, PCI DSS, HIPAA und NIST CSF, indem sie das Risiko eines unbefugten Zugriffs auf sensible Systeme und Daten minimiert.