Zwei-Faktor-Authentifizierungslösung zur Windows-Anmeldung

Da Sicherheitslücken Tag für Tag stetig zunehmen und ständig variieren, steht die traditionelle Benutzername-Passwort-Kombination zum Absichern von Benutzerkonten nicht mehr zur Debatte. Es ist unabdingbar, zusätzliche Sicherheitsebenen zu schaffen, um unbefugte Benutzer herausfiltern zu können. Das wird durch die Zwei-Faktor-Authentifizierung (2FA) möglich, eine Methode, bei der die Identitäten von Benutzern durch zusätzliche Methoden wie Biometrie, Google Authenticator und YubiKey bestätigt werden.

Implementierung von 2FA für Windows-Anmeldungen mit ADSelfService Plus

Wenn die 2FA für Windows-Anmeldungen von ADSelfService Plus aktiv ist, müssen sich Benutzer über zwei aufeinanderfolgende Stufen an ihrem Windows-Gerät anmelden. Die erste Authentifizierungsstufe erfolgt über die üblichen Windows-AD-Zugangsdaten. Für die zweite Ebene der Authentifizierung können Admins aus einer Vielzahl von Authentifizierungsfaktoren auswählen, die ADSelfService Plus bietet, darunter:

  1. Fingerabdruck
  2. Face ID
  3. Duo Security
  4. Microsoft Authenticator
  1. Google Authenticator
  2. YubiKey Authenticator
  3. E-Mail-Bestätigung
  4. SMS-Bestätigung

Eine vollständige Liste der unterstützten Authentifizierungsmethoden finden Sie hier<1--/a-->.

screenshot-multi-factor-authentication.png

ADSelfService Plus bietet 19 verschiedene Authentifizierungsfaktoren, aus denen Admins auswählen können. Damit wird sichergestellt, das unbefugte Benutzer keinesfalls auf das Gerät eines Benutzers zugreifen können, selbst wenn sie seine Zugangsdaten in die Hände bekommen.

So funktioniert 2FA für Windows-Anmeldungen

  • Wenn konfiguriert, benötigen Benutzer zur Anmeldung an ihren Windows-Geräten zunächst Zugangsdaten ihrer Active-Directory-Domäne, um ihre Identität zu bestätigen.
  • Anschließend müssen sich Benutzer mit einem zeitlich begrenzten Authentifizierungscode authentifizieren, den sie per SMS oder E-Mail oder durch einen Drittanbieter für Authentifizierung erhalten. Je nach Konfiguration des Administrators können auch noch weitere Methoden zur Authentifizierung erforderlich sein.
  • Zum Schluss werden Benutzer nach erfolgreicher Authentifizierung an ihren Windows-Geräten angemeldet.
  • Bei entsprechender Konfiguration wird der 2FA-Prozess sogar für RDP-Anmeldungen abgefragt, ähnlich wie bei lokalen Anmeldungen.

How 2FA for Windows logons works

How 2FA for Windows logons works

Anpassen der Windows 2FA für Ihre Organisation

Admins können die Windows-2FA-Funktion von ADSelfService Plus folgendermaßen an die Anforderungen ihrer Organisation anpassen:

  • Basierend auf der Zugehörigkeit des Benutzers zu OEs und Gruppen kann eine unterschiedliche Anzahl an Authentifizierungsfaktoren aktiviert werden.
  • Sie können auch bestimmte Authentifizierungsfaktoren obligatorisch machen.
  • Benutzern kann ermöglicht werden, den 2FA-Prozess zu überspringen, wenn ein vertrauenswürdiges Gerät verwendet wird. Vertrauenswürdige Geräte sind Geräte, mit denen der jeweilige Benutzer zuvor bereits erfolgreich den 2FA-Prozess durchlaufen hat. Vertrauen wird nur für eine bestimmte Anzahl an Tagen aufgebaut, woraufhin sich der Benutzer auf dem gleichen Gerät erneut authentifizieren muss.

Gerätebasierte 2FA

Die gerätebasierte 2FA ist eine Funktion von ADSelfService Plus, bei der die 2-Faktor-Authentifizierung bei der Anmeldung in Abhängigkeit von den Geräterichtlinien und nicht den Kontoeinstellungen des Benutzers ausgelöst wird. Wenn diese Funktion aktiviert wird, müssen alle Benutzer ihre Identität über 2FA unter Beweis stellen, die sich auf einem bestimmten Gerät anmelden. Admins können die Authentifizierungsmethoden für die gerätebasierte 2FA aus einer Vielzahl von Authentifikatoren auswählen, ähnlich denen, die in ADSelfService Plus für die 2FA bei der Windows-Anmeldung zur Verfügung stehen.

2FA für Windows UAC

ADSelfService Plus ermöglicht 2FA für Windows UAC (User Account Control), um höherwertige Systemaktivitäten zu sichern, die an Standard-Benutzerkonten durchgeführt werden. Wenn Sie diese Funktion aktivieren, greift die 2FA für alle Abfragen von UAC-Zugangsdaten. Benutzer können die administrative Aktion dann nur ausführen, nachdem sie ihre Identität erfolgreich bestätigt haben. ADSelfService Plus bietet mehrere Authentifizierungsfaktoren für Windows UAC 2FA. Diese Funktion ist kompatibel mit Windows 7 und neueren Versionen, sowie mit Windows Server 2008 und neueren Versionen.

2FA für Remote-Desktops

ADSelfService Plus ermöglicht 2FA für RDP, wodurch sich Remote-Windows-Anmeldungen mit zusätzlichen Authentifizierungsmethoden absichern lassen. So können Admins 2FA für RDP-Verbindungen zum Client-Gerät (auch als Host-Gerät bezeichnet) oder zum Ziel-Gerät abfragen. Nachdem Sie die RDP-clientbasierte 2FA aktiviert haben, lässt sich der IP-basierte, bedingte Zugriff für RDP-Anmeldungen nutzen. ADSelfService Plus ermöglichen es Admins, die abzufragenden Authentifizierungsmethoden für RDP 2FA aus den verschiedenen angebotenen Authentifikatoren auszuwählen.

Systemanforderungen für den 2FA-Anmeldeagenten von ADSelfService Plus

Im Folgenden finden Sie die Versionen des Windows-Betriebssystems, die der Anmeldeagent von ADSelfService Plus für die Anmeldung bei Windows und zum RDP-Zugriff unterstützt.

Unterstützte Versionen

Server

  • Windows Server 2022
  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008 R2
  • Windows Server 2008

Clients

  • Windows 11
  • Windows 10
  • Windows 8.1
  • Windows 8
  • Windows 7
  • Windows Vista

Neben Windows als Betriebssystem unterstützt ADSelfService Plus die 2FA auch für macOS und Linux-Betriebssysteme.

Vorteile beim Einsatz von ADSelfService Plus zum Aktivieren der 2FA für die Windows-Anmeldung

 

Mehr Sicherheit

Windows 2FA gewährleistet auch dann Sicherheit, wenn Passwörter offengelegt wurden. Nämlich dadurch, dass zur Anmeldung an Windows-Geräten zusätzliche Autorisierungen, zum Beispiel per E-Mail oder Smartphone, erforderlich sind.

 

Vielfältige Auswahlmöglichkeiten bei Authentifikatoren

ADSelfService Plus unterstützt ca. 20 unterschiedliche Authentifikatoren und gibt IT-Administratoren damit reichhaltige Auswahloptionen zum Einrichten der passenden Authentifizierungsmechanismen für ihre Anwender an die Hand.

 

Unterschiedliche Authentifikatoren für verschiedene Benutzer

ADSelfService Plus gibt Administratoren zusätzlich die Möglichkeit, 2FA anhand der OE-, Gruppen- und Domänenmitgliedschaften der Benutzer zu konfigurieren. So können bei Benutzern mit unterschiedlichen Berechtigungen auch unterschiedliche Authentifizierungsstufen eingesetzt werden.

 

Vertrauensoptionen für Geräte zur Verbesserung der Benutzererfahrung

Mit ADSelfService Plus können Benutzer die Option „Vertrauenswürdige Geräte“ aktivieren, um sich für einen festgelegten Zeitraum nach der ursprünglichen Identitätsverifizierung ohne 2FA bei ihren Geräten anmelden zu können.

 

Häufig gestellte Fragen (FAQs)

1. Was ist die Windows Zwei-Faktor-Authentifizierung?

Die Windows Zwei-Faktor-Authentifizierung (2FA) bedeutet, dass die Anmeldung bei Windows-Rechnern mit mehr als einem Authentifizierungsfaktor gesichert wird, um die Identität eines Nutzers zu überprüfen, bevor dieser Zugang zum Netzwerk erhält.

2. Braucht meine Organisation 2FA für Windows Anmeldungen?

Ja, indem Sie 2FA für Windows Anmeldungen implementieren, können Sie die Rechner der Nutzer zusätzlich absichern. Wenn Sie die Rechneranmeldung nur mit einem einzigen Faktor schützen - traditionell mit einem Nutzernamen und einem Kennwort - sind sie anfällig für Angriffe. Wenn Sie jedoch zusätzliche Authentifizierungsmaßnahmen einführen, stärken Sie die Rechner in Ihrer Organisation und schützen sie vor Lücken und Angriffen.

3. Welche Windows 2FA-Lösung kann ich in meiner Organisation implementieren?

Sie können die Windows-Rechner in Ihrer Organisation schützen, indem Sie ManageEngine ADSelfService Plus' Windows Logon 2FA für lokale und Fernanmeldungen implementieren. Neben Windows-Rechnern bietet ADSelfService Plus auch 2FA für Linux und macOS-Rechner. Sie können auch andere 2FA-Funktionen von ADSelfService Plus nutzen, wie z. B.:

  • Gerätebasierte 2FA
  • 2FA für Windows UAC
  • Offline 2FA

Um die 2FA-Funktionen von ADSelfService Plus besser kennenzulernen, vereinbaren Sie bitte einen Termin für eine persönliche Web-Demo mit unseren Lösungsexperten oder laden Sie eine kostenlose 30-Tage-Probeversion herunter, um sie auf eigene Faust zu testen.

4. Welche verschiedenen Arten von Authentifikatoren bietet ADSelfService Plus für Active Directory 2FA?

ADSelfService Plus bietet 19 verschiedene Authentifikatoren für die Windows Anmeldung 2FA. Sie können aus einer Reihe von Authentifikatoren wie YubiKey, Biometrie, Smartcard, Microsoft Authenticator und Duo Security wählen, um Ihren Nutzern zusätzliche Sicherheit durch Windows Logon 2FA zu bieten.

Höhepunkte

Kennwort-SB-Service

Befreit Active Directory-Nutzer von langatmigen Helpdesk-Anrufen, da Kennwörter und Konten auch ohne fremde Unterstützung rückgesetzt oder freigeschaltet werden können. Problemlose Kennwortänderung für Active Directory-Nutzer mit der „Kennwort ändern“-Konsole von ADSelfService Plus.

Eine Identität mit Einmalanmeldung

Genießen Sie in nahtlosen Ein-Klick-Zugriff auf mehr als 100 Cloud-Applikationen. Mit Einmalanmeldung für Unternehmen können Nutzer all ihre Cloud-Applikationen mit ihren Active Directory-Anmeldeinformationen abrufen. Dank ADSelfService Plus!

Kennwort-/Konto-Ablaufbenachrichtigung

Benachrichtigen Sie Active Directory-Nutzer über bevorstehenden Kennwort-/Kontoablauf durch Zustellung solcher Kennwort-/Kontoablaufbenachrichtigungen per E-Mail.

Kennwortsynchronisierung

Synchronisieren Sie Änderungen von Windows Active Directory-Nutzerkennwörtern/-konten automatisch über mehrere Systeme hinweg, einschließlich Office 365, G Suite, IBM iSeries und mehr.

Erzwingung von Kennwortrichtlinien

Sorgen Sie mit ADSelfService Plus für starke Kennwörter, die zahlreichen Hackerangriffen standhalten – zwingen Sie Active Directory-Nutzer durch Anzeigen von Kennwortkomplexitätsanforderungen, richtlinienkonforme Kennwörter zu verwenden.

Verzeichnis-Selbstaktualisierung und Unternehmensweite Suche

Ein Portal, über das Active Directory-Nutzer ihre Daten auf den neuesten Stand bringen können, das eine Schnellsuche zum Einholen von Informationen über Kollegen mit Suchschlüsseln wie der Telefonnummer des Kollegen bietet.