Best Practices für MFA in Microsoft-Netzwerken

Microsoft wird in Kürze die Multi-Faktor-Authentifizierung einführen, und das sind die wichtigsten Vorüberlegungen, bevor Sie sie einsetzen. [...]

img-1
Foto: pixabay.com

Microsoft wird bald das Multi- Faktor-Authentifizierungsmandat [engl.] (MFA) mit Änderungen an den Microsoft 365-Standardeinstellungen ändern. Microsoft weist darauf hin: „Wenn wir uns gehackte Konten ansehen, haben mehr als 99,9 % keine MFA, was sie anfällig für Passwort-Spray, Phishing und Passwort-Wiederverwendung macht. „Basierend auf den Nutzungsmustern werden wir damit beginnen, MFA bei Organisationen einzuführen, die sich für Sicherheitsvorgaben eignen. Insbesondere werden wir mit Kunden beginnen, die keinen bedingten Zugriff verwenden, noch nie Sicherheitsvorgaben verwendet haben und keine älteren Authentifizierungsclients aktiv nutzen.“

Microsoft wird die globalen Administratoren der in Frage kommenden Unternehmen per E-Mail benachrichtigen. „Nachdem die Sicherheitsvorgaben aktiviert sind, werden alle Benutzer im jeweiligen Unternehmen aufgefordert, sich für MFA zu registrieren. Für die Registrierung gibt es wieder eine Frist von 14 Tagen. Die Benutzer werden aufgefordert, sich über die Microsoft Authenticator-App zu registrieren, und globale Administratoren werden zusätzlich nach einer Telefonnummer gefragt.“ Wenn Sie noch nicht mit der Implementierung von MFA begonnen haben, ist jetzt der richtige Zeitpunkt, dies zu tun. Phishing-Angriffe werden von Hackern genutzt, um auf ungeschützte Konten zuzugreifen, und MFA ist eine wichtige Methode, um den Benutzerzugang zu schützen.

Können Sie die Multi-Faktor-Authentifizierung immer noch deaktivieren, wenn Sie das Risiko in Kauf nehmen wollen? Ja, aber das bedeutet, dass Ihr Unternehmen ein leichtes Ziel für Phishing-Kampagnen sein wird. Benutzerkonten und Anmeldungen sind der neue Einstiegspunkt für eine Vielzahl von Angriffen auf ein Netzwerk.

Bestimmen Sie die Methode der Multi-Faktor-Authentifizierung

Die Einführung von MFA bedeutet, dass Sie festlegen müssen, welches Authentifizierungsverfahren Sie unterstützen werden. Forscher behaupten oft, dass SMS-Nachrichten nicht sicher sind. Vor Jahren konnten Angreifer die SMS-basierte MFA mithilfe einer Reverse-Proxy-Komponente umgehen. In der Realität reicht es aber aus, wenn das Verfahren überhaupt funktioniert.

Wie bei vielen Sicherheitsentscheidungen müssen Sie eine Risikoanalyse durchführen, um festzustellen, wer die bestmögliche, angemessene oder notwendige Sicherheit benötigt. Wenn Sie glauben, dass einige Ihrer Benutzer gezielt MFA-Anwendungen einsetzen werden, können Sie Geräte wie Yubikeys verwenden. Benutzer und Berater könnten darauf hinweisen, dass MFA nicht kugelsicher ist. Sie kann angegriffen und gefälscht werden. Die Grundidee hierbei ist aber dass Ihre Sicherheit nur ein bisschen besser sein muss als die nächste Domäne oder Cloud-Anwendung.

Verwenden Sie konditionelle Zugriffsregeln

Wenn Sie eine Azure Active Directory P1-Lizenz hinzufügen (bereits in den Premium-Abonnements von Microsoft 365 Business enthalten), können Sie bedingte Zugriffsregeln hinzufügen, die es Ihnen ermöglichen, Whitelists für Standorte zu erstellen. So können Sie MFA nur für Remote-Benutzer einrichten, um den Remote-E-Mail-Zugriff zu schützen. Diese Regeln für den bedingten Zugriff können granularer sein, um Benutzern die Nutzung von Ressourcen zu ermöglichen und gleichzeitig die Anforderungen für MFA auszugleichen.

Zum Beispiel:

  • MFA für Benutzer mit administrativen Rollen erforderlich
  • MFA für Azure-Verwaltungsaufgaben erforderlich machen
  • Blockieren von Anmeldungen für Benutzer, die versuchen, ältere Authentifizierungsprotokolle zu verwenden
  • Vertrauenswürdige Standorte für die Azure AD MFA-Registrierung erforderlich machen
  • Blockieren oder Gewähren des Zugriffs von bestimmten Standorten aus
  • Blockieren riskanter Anmeldeverhaltensweisen
  • Unternehmens-verwaltete Geräte für bestimmte Anwendungen erforderlich machen

Einschätzung der Hardware-Anforderungen von Benutzern

Denken Sie bei der Einführung von MFA an die Hardware, die Sie benötigen. Möglicherweise müssen Sie Ihren Mitarbeitern Mobiltelefone zur Verfügung stellen, damit sie eine MFA-Anwendung nutzen können. Wenn Sie ihnen kein Mobiltelefon zur Verfügung stellen und MFA vorschreiben, so dass sie ihre persönlichen Smartphones benutzen müssen, müssen Sie ihnen möglicherweise die Kosten für eine angemessene Nutzung ihrer persönlichen Ressourcen erstatten. Sie können auch Token wie Yubikey einsetzen, das die Authentifizierung mit Azure AD unterstützt.

Backup- und Umstellungsbedarf berücksichtigen

Wenn Sie sich für ein Gerät oder einen Token entscheiden, müssen Sie auch Backups und eine erneute Implementierung planen. Es wird zum Beispiel empfohlen, mindestens zwei Yubikeys pro Benutzer zu haben, damit die Person ein Backup hat. Einige Lösungen unterstützen mehr als zwei solcher Token für ein Benutzerkonto. Wenn Sie die Microsoft Authenticator-App verwenden, müssen Sie möglicherweise ein lokales Microsoft-Konto als Backup einplanen, wenn Sie ein iPhone verwenden.

Außerdem ist die Migration zwischen iPhone und Android kein direkter Sicherungs- und Wiederherstellungsprozess. Ihr Backup wird bei iOS in der iCloud und bei Android in Microsofts Cloud Storage Provider gespeichert. Das bedeutet, dass Ihr Backup nicht mehr verfügbar ist, wenn Sie zwischen Android- und iOS-Geräten wechseln. Wenn Sie den Wechsel vornehmen, müssen Sie Ihre Konten in der Microsoft Authenticator-App manuell neu erstellen. Stellen Sie sicher, dass Sie Ihre MFA-Benutzer über diese Bereitstellungsprobleme im Voraus informieren, damit sie über die Probleme Bescheid wissen und entsprechend planen können.

Microsoft legt die Messlatte für den Schutz der Benutzerauthentifizierung immer höher. Machen Sie es in diesem Jahr zu einer Priorität, sicherzustellen, dass die Benutzer vor solchen Angriffen geschützt sind. Ein einfacher Benutzername und ein Kennwort reichen heutzutage nicht mehr aus.

*Susan Bradley ist, unter anderem, Redakteurin für csoonline.


Mehr Artikel

Otto Neuer, Regional VP und General Manager bei Denodo. (c) Denodo
Kommentar

Wie logisches Datenmanagement das ESG-Reporting vereinfacht

Mit zunehmendem Bewusstsein für Nachhaltigkeitsthemen wächst auch der Druck, den Stakeholder diesbezüglich auf Unternehmen ausüben. Gerade auf Seiten der Gesetzesgeber entstehen vermehrt Richtlinien, die „ESG“ (Enviornmental, Social und Governance)-Anliegen vorantreiben und Unternehmen zu mehr Transparenz in Form von entsprechender Berichterstattung verpflichten. […]

Frank Schwaak, Field CTO EMEA bei Rubrik (c) Rubrik
Kommentar

Wie CIOs Unternehmen als Cloud-Lotse sicher durch Daten- und Sicherheitsrisiken führen

In einer fragmentierten Infrastruktur ist es herausfordernd, den Durchblick über Daten und Kosten zu behalten. CIOs werden zu Lotsen, die das Unternehmen sicher durch die unterschiedlichen Cloud-Umgebungen steuern müssen. Was können Unternehmen also tun, um den Überblick über Cloud-Anwendungen zu behalten und den Kurs zwischen Cloud und Cyberresilienz zu halten? […]

Ass. Prof. Dr. Johannes Brandstetter, Chief Researcher bei NXAI (c) NXAI
News

KI-Forschung in Österreich: Deep-Learning zur Simulation industrieller Prozesse

Als erstes Team weltweit präsentiert das NXAI-Forscherteam um Johannes Brandstetter eine End-to-End-Deep-Learning Alternative zur Modifizierung industrieller Prozesse, wie Wirbelschichtreaktoren oder Silos. Das Team strebt schnelle Echtzeit-Simulationen an, plant den Aufbau von Foundation Models für Industriekunden und fokussiert sich im nächsten Schritt auf die Generalisierung von Simulationen. […]

img-10
News

Die besten Arbeitgeber der Welt

Great Place To Work hat durch die Befragung von mehr als 7,4 Millionen Mitarbeitenden in den Jahren 2023 und 2024 die 25 World’s Best Workplaces identifiziert. 6 dieser Unternehmen wurden auch in Österreich als Best Workplaces ausgezeichnet. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*