Best Practices für MFA in Microsoft-Netzwerken

Microsoft wird in Kürze die Multi-Faktor-Authentifizierung einführen, und das sind die wichtigsten Vorüberlegungen, bevor Sie sie einsetzen. [...]

Foto: pixabay.com

Microsoft wird bald das Multi- Faktor-Authentifizierungsmandat [engl.] (MFA) mit Änderungen an den Microsoft 365-Standardeinstellungen ändern. Microsoft weist darauf hin: „Wenn wir uns gehackte Konten ansehen, haben mehr als 99,9 % keine MFA, was sie anfällig für Passwort-Spray, Phishing und Passwort-Wiederverwendung macht. „Basierend auf den Nutzungsmustern werden wir damit beginnen, MFA bei Organisationen einzuführen, die sich für Sicherheitsvorgaben eignen. Insbesondere werden wir mit Kunden beginnen, die keinen bedingten Zugriff verwenden, noch nie Sicherheitsvorgaben verwendet haben und keine älteren Authentifizierungsclients aktiv nutzen.“

Microsoft wird die globalen Administratoren der in Frage kommenden Unternehmen per E-Mail benachrichtigen. „Nachdem die Sicherheitsvorgaben aktiviert sind, werden alle Benutzer im jeweiligen Unternehmen aufgefordert, sich für MFA zu registrieren. Für die Registrierung gibt es wieder eine Frist von 14 Tagen. Die Benutzer werden aufgefordert, sich über die Microsoft Authenticator-App zu registrieren, und globale Administratoren werden zusätzlich nach einer Telefonnummer gefragt.“ Wenn Sie noch nicht mit der Implementierung von MFA begonnen haben, ist jetzt der richtige Zeitpunkt, dies zu tun. Phishing-Angriffe werden von Hackern genutzt, um auf ungeschützte Konten zuzugreifen, und MFA ist eine wichtige Methode, um den Benutzerzugang zu schützen.

Können Sie die Multi-Faktor-Authentifizierung immer noch deaktivieren, wenn Sie das Risiko in Kauf nehmen wollen? Ja, aber das bedeutet, dass Ihr Unternehmen ein leichtes Ziel für Phishing-Kampagnen sein wird. Benutzerkonten und Anmeldungen sind der neue Einstiegspunkt für eine Vielzahl von Angriffen auf ein Netzwerk.

Bestimmen Sie die Methode der Multi-Faktor-Authentifizierung

Die Einführung von MFA bedeutet, dass Sie festlegen müssen, welches Authentifizierungsverfahren Sie unterstützen werden. Forscher behaupten oft, dass SMS-Nachrichten nicht sicher sind. Vor Jahren konnten Angreifer die SMS-basierte MFA mithilfe einer Reverse-Proxy-Komponente umgehen. In der Realität reicht es aber aus, wenn das Verfahren überhaupt funktioniert.

Wie bei vielen Sicherheitsentscheidungen müssen Sie eine Risikoanalyse durchführen, um festzustellen, wer die bestmögliche, angemessene oder notwendige Sicherheit benötigt. Wenn Sie glauben, dass einige Ihrer Benutzer gezielt MFA-Anwendungen einsetzen werden, können Sie Geräte wie Yubikeys verwenden. Benutzer und Berater könnten darauf hinweisen, dass MFA nicht kugelsicher ist. Sie kann angegriffen und gefälscht werden. Die Grundidee hierbei ist aber dass Ihre Sicherheit nur ein bisschen besser sein muss als die nächste Domäne oder Cloud-Anwendung.

Verwenden Sie konditionelle Zugriffsregeln

Wenn Sie eine Azure Active Directory P1-Lizenz hinzufügen (bereits in den Premium-Abonnements von Microsoft 365 Business enthalten), können Sie bedingte Zugriffsregeln hinzufügen, die es Ihnen ermöglichen, Whitelists für Standorte zu erstellen. So können Sie MFA nur für Remote-Benutzer einrichten, um den Remote-E-Mail-Zugriff zu schützen. Diese Regeln für den bedingten Zugriff können granularer sein, um Benutzern die Nutzung von Ressourcen zu ermöglichen und gleichzeitig die Anforderungen für MFA auszugleichen.

Zum Beispiel:

  • MFA für Benutzer mit administrativen Rollen erforderlich
  • MFA für Azure-Verwaltungsaufgaben erforderlich machen
  • Blockieren von Anmeldungen für Benutzer, die versuchen, ältere Authentifizierungsprotokolle zu verwenden
  • Vertrauenswürdige Standorte für die Azure AD MFA-Registrierung erforderlich machen
  • Blockieren oder Gewähren des Zugriffs von bestimmten Standorten aus
  • Blockieren riskanter Anmeldeverhaltensweisen
  • Unternehmens-verwaltete Geräte für bestimmte Anwendungen erforderlich machen

Einschätzung der Hardware-Anforderungen von Benutzern

Denken Sie bei der Einführung von MFA an die Hardware, die Sie benötigen. Möglicherweise müssen Sie Ihren Mitarbeitern Mobiltelefone zur Verfügung stellen, damit sie eine MFA-Anwendung nutzen können. Wenn Sie ihnen kein Mobiltelefon zur Verfügung stellen und MFA vorschreiben, so dass sie ihre persönlichen Smartphones benutzen müssen, müssen Sie ihnen möglicherweise die Kosten für eine angemessene Nutzung ihrer persönlichen Ressourcen erstatten. Sie können auch Token wie Yubikey einsetzen, das die Authentifizierung mit Azure AD unterstützt.

Backup- und Umstellungsbedarf berücksichtigen

Wenn Sie sich für ein Gerät oder einen Token entscheiden, müssen Sie auch Backups und eine erneute Implementierung planen. Es wird zum Beispiel empfohlen, mindestens zwei Yubikeys pro Benutzer zu haben, damit die Person ein Backup hat. Einige Lösungen unterstützen mehr als zwei solcher Token für ein Benutzerkonto. Wenn Sie die Microsoft Authenticator-App verwenden, müssen Sie möglicherweise ein lokales Microsoft-Konto als Backup einplanen, wenn Sie ein iPhone verwenden.

Außerdem ist die Migration zwischen iPhone und Android kein direkter Sicherungs- und Wiederherstellungsprozess. Ihr Backup wird bei iOS in der iCloud und bei Android in Microsofts Cloud Storage Provider gespeichert. Das bedeutet, dass Ihr Backup nicht mehr verfügbar ist, wenn Sie zwischen Android- und iOS-Geräten wechseln. Wenn Sie den Wechsel vornehmen, müssen Sie Ihre Konten in der Microsoft Authenticator-App manuell neu erstellen. Stellen Sie sicher, dass Sie Ihre MFA-Benutzer über diese Bereitstellungsprobleme im Voraus informieren, damit sie über die Probleme Bescheid wissen und entsprechend planen können.

Microsoft legt die Messlatte für den Schutz der Benutzerauthentifizierung immer höher. Machen Sie es in diesem Jahr zu einer Priorität, sicherzustellen, dass die Benutzer vor solchen Angriffen geschützt sind. Ein einfacher Benutzername und ein Kennwort reichen heutzutage nicht mehr aus.

*Susan Bradley ist, unter anderem, Redakteurin für csoonline.


Mehr Artikel

News

Große Sprachmodelle und Data Security: Sicherheitsfragen rund um LLMs

Bei der Entwicklung von Strategien zur Verbesserung der Datensicherheit in KI-Workloads ist es entscheidend, die Perspektive zu ändern und KI als eine Person zu betrachten, die anfällig für Social-Engineering-Angriffe ist. Diese Analogie kann Unternehmen helfen, die Schwachstellen und Bedrohungen, denen KI-Systeme ausgesetzt sind, besser zu verstehen und robustere Sicherheitsmaßnahmen zu entwickeln. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*