19. Mai 2024

Best Practices für MFA in Microsoft-Netzwerken

Microsoft wird in Kürze die Multi-Faktor-Authentifizierung einführen, und das sind die wichtigsten Vorüberlegungen, bevor Sie sie einsetzen. [...]

Microsoft wird bald das Multi- Faktor-Authentifizierungsmandat [engl.] (MFA) mit Änderungen an den Microsoft 365-Standardeinstellungen ändern. Microsoft weist darauf hin: „Wenn wir uns gehackte Konten ansehen, haben mehr als 99,9 % keine MFA, was sie anfällig für Passwort-Spray, Phishing und Passwort-Wiederverwendung macht. „Basierend auf den Nutzungsmustern werden wir damit beginnen, MFA bei Organisationen einzuführen, die sich für Sicherheitsvorgaben eignen. Insbesondere werden wir mit Kunden beginnen, die keinen bedingten Zugriff verwenden, noch nie Sicherheitsvorgaben verwendet haben und keine älteren Authentifizierungsclients aktiv nutzen.“

Microsoft wird die globalen Administratoren der in Frage kommenden Unternehmen per E-Mail benachrichtigen. „Nachdem die Sicherheitsvorgaben aktiviert sind, werden alle Benutzer im jeweiligen Unternehmen aufgefordert, sich für MFA zu registrieren. Für die Registrierung gibt es wieder eine Frist von 14 Tagen. Die Benutzer werden aufgefordert, sich über die Microsoft Authenticator-App zu registrieren, und globale Administratoren werden zusätzlich nach einer Telefonnummer gefragt.“ Wenn Sie noch nicht mit der Implementierung von MFA begonnen haben, ist jetzt der richtige Zeitpunkt, dies zu tun. Phishing-Angriffe werden von Hackern genutzt, um auf ungeschützte Konten zuzugreifen, und MFA ist eine wichtige Methode, um den Benutzerzugang zu schützen.

Können Sie die Multi-Faktor-Authentifizierung immer noch deaktivieren, wenn Sie das Risiko in Kauf nehmen wollen? Ja, aber das bedeutet, dass Ihr Unternehmen ein leichtes Ziel für Phishing-Kampagnen sein wird. Benutzerkonten und Anmeldungen sind der neue Einstiegspunkt für eine Vielzahl von Angriffen auf ein Netzwerk.

Bestimmen Sie die Methode der Multi-Faktor-Authentifizierung

Die Einführung von MFA bedeutet, dass Sie festlegen müssen, welches Authentifizierungsverfahren Sie unterstützen werden. Forscher behaupten oft, dass SMS-Nachrichten nicht sicher sind. Vor Jahren konnten Angreifer die SMS-basierte MFA mithilfe einer Reverse-Proxy-Komponente umgehen. In der Realität reicht es aber aus, wenn das Verfahren überhaupt funktioniert.

Wie bei vielen Sicherheitsentscheidungen müssen Sie eine Risikoanalyse durchführen, um festzustellen, wer die bestmögliche, angemessene oder notwendige Sicherheit benötigt. Wenn Sie glauben, dass einige Ihrer Benutzer gezielt MFA-Anwendungen einsetzen werden, können Sie Geräte wie Yubikeys verwenden. Benutzer und Berater könnten darauf hinweisen, dass MFA nicht kugelsicher ist. Sie kann angegriffen und gefälscht werden. Die Grundidee hierbei ist aber dass Ihre Sicherheit nur ein bisschen besser sein muss als die nächste Domäne oder Cloud-Anwendung.

Verwenden Sie konditionelle Zugriffsregeln

Wenn Sie eine Azure Active Directory P1-Lizenz hinzufügen (bereits in den Premium-Abonnements von Microsoft 365 Business enthalten), können Sie bedingte Zugriffsregeln hinzufügen, die es Ihnen ermöglichen, Whitelists für Standorte zu erstellen. So können Sie MFA nur für Remote-Benutzer einrichten, um den Remote-E-Mail-Zugriff zu schützen. Diese Regeln für den bedingten Zugriff können granularer sein, um Benutzern die Nutzung von Ressourcen zu ermöglichen und gleichzeitig die Anforderungen für MFA auszugleichen.

Zum Beispiel:

MFA für Benutzer mit administrativen Rollen erforderlich
MFA für Azure-Verwaltungsaufgaben erforderlich machen
Blockieren von Anmeldungen für Benutzer, die versuchen, ältere Authentifizierungsprotokolle zu verwenden
Vertrauenswürdige Standorte für die Azure AD MFA-Registrierung erforderlich machen
Blockieren oder Gewähren des Zugriffs von bestimmten Standorten aus
Blockieren riskanter Anmeldeverhaltensweisen
Unternehmens-verwaltete Geräte für bestimmte Anwendungen erforderlich machen

Einschätzung der Hardware-Anforderungen von Benutzern

Denken Sie bei der Einführung von MFA an die Hardware, die Sie benötigen. Möglicherweise müssen Sie Ihren Mitarbeitern Mobiltelefone zur Verfügung stellen, damit sie eine MFA-Anwendung nutzen können. Wenn Sie ihnen kein Mobiltelefon zur Verfügung stellen und MFA vorschreiben, so dass sie ihre persönlichen Smartphones benutzen müssen, müssen Sie ihnen möglicherweise die Kosten für eine angemessene Nutzung ihrer persönlichen Ressourcen erstatten. Sie können auch Token wie Yubikey einsetzen, das die Authentifizierung mit Azure AD unterstützt.

Backup- und Umstellungsbedarf berücksichtigen

Wenn Sie sich für ein Gerät oder einen Token entscheiden, müssen Sie auch Backups und eine erneute Implementierung planen. Es wird zum Beispiel empfohlen, mindestens zwei Yubikeys pro Benutzer zu haben, damit die Person ein Backup hat. Einige Lösungen unterstützen mehr als zwei solcher Token für ein Benutzerkonto. Wenn Sie die Microsoft Authenticator-App verwenden, müssen Sie möglicherweise ein lokales Microsoft-Konto als Backup einplanen, wenn Sie ein iPhone verwenden.

Außerdem ist die Migration zwischen iPhone und Android kein direkter Sicherungs- und Wiederherstellungsprozess. Ihr Backup wird bei iOS in der iCloud und bei Android in Microsofts Cloud Storage Provider gespeichert. Das bedeutet, dass Ihr Backup nicht mehr verfügbar ist, wenn Sie zwischen Android- und iOS-Geräten wechseln. Wenn Sie den Wechsel vornehmen, müssen Sie Ihre Konten in der Microsoft Authenticator-App manuell neu erstellen. Stellen Sie sicher, dass Sie Ihre MFA-Benutzer über diese Bereitstellungsprobleme im Voraus informieren, damit sie über die Probleme Bescheid wissen und entsprechend planen können.

Microsoft legt die Messlatte für den Schutz der Benutzerauthentifizierung immer höher. Machen Sie es in diesem Jahr zu einer Priorität, sicherzustellen, dass die Benutzer vor solchen Angriffen geschützt sind. Ein einfacher Benutzername und ein Kennwort reichen heutzutage nicht mehr aus.

*Susan Bradley ist, unter anderem, Redakteurin für csoonline.

Fake-Shop Detector gewinnt Staatspreis Digitalisierung

16. Mai 2024 pi/rai

Linzer Technologielösungsanbieter X-Net und seine Partner AIT und ÖIAT werden für ihre wegweisende Arbeit im Kampf gegen Online-Betrug ausgezeichnet. […]

KI am Arbeitsplatz: Unternehmen investieren, Arbeitnehmer:innen sind besorgt

16. Mai 2024 pi/rai

Eine aktuelle, groß angelegte Umfrage von SD Worx zeigt die wachsende Bedeutung von Künstlicher Intelligenz (KI) am Arbeitsplatz in Europa. […]

Neue Machine-Learning-Methoden bieten eine Fülle von Möglichkeiten, Behandlungsstrategien zu personalisieren (c) Unsplash

KI in der Medizin: Was ist derzeit möglich?

16. Mai 2024 Wolfgang Franz

Maschinen können lernen, nicht nur Vorhersagen zu treffen, sondern auch mit kausalen Zusammenhängen umzugehen. Das könnte helfen, Therapien effizienter, sicherer und individueller zu machen, schreibt ein internationales Forschungsteam. Aktuelle KI-Beispiele aus der Medizin. […]

OceanStor A800: Huawei setzt neue Maßstäbe im KI-gesteuerten Datenspeicher

16. Mai 2024 pi/rai

Huawei hat mit dem OceanStor A800 ein neues hochleistungsfähiges Speichergerät vorgestellt, das auf die Anforderungen moderner KI zugeschnitten ist. […]

Female Lehrlingshackathon – Siegerinnen beim 4GAMECHANGERS Festival präsentiert

16. Mai 2024 pi/rai

Weibliche Lehrlinge entwickelten beim Lehrlingshackathon von apprentigo und CEOs FOR FUTURE innovative und nachhaltige App-Projekte für ihre Unternehmen. Das sind Siegerinnen! […]

Thomas Dietinger, CIO der TU Graz (c) Foto Furgler

Die IT als Triebfeder der Unternehmensziele

16. Mai 2024 Christof Baumgartner

Die TU Graz ist die traditionsreichste technisch-naturwissenschaftliche Forschungs- und Bildungsinstitution in Österreich und spielt seit über 200 Jahren eine zentrale Rolle im internationalen Forschungs- und Bildungsnetzwerk. Verantwortlich für die IT ist Thomas Dietinger. […]

EU-NIS2-Richtlinie: jeder dritte Betrieb betroffen

16. Mai 2024 pi/rai

Geschäftspartner der „kritischen Infrastruktur“ müssen voraussichtlich ab 18. Oktober 2024 einen Nachweis über ihre Cybersecurity-Maßnahmen erbringen. Wenn nicht, droht das Ende von Geschäftsbeziehungen. KSV1870 unterstützt bei Vorbereitung und Nachweis. […]

Digitalisierung des Handels mit Gold

16. Mai 2024 Simon Müller

Die zunehmende Digitalisierung spielt vor allem im Handel eine wichtige Rolle. In allen europäischen Ländern steigt die Beliebtheit des bequemen Einkaufs über das Internet beispielsweise stark, hier stellt auch Österreich keine Ausnahme dar. […]

Tyrolit treibt digitale Transformation mit IT-Partner Kyndryl weiter voran

16. Mai 2024 pi/rai

Tyrolit setzt einen weiteren bedeutenden Schritt auf dem Weg zur digitalen Transformation: Gemeinsam mit Kyndry modernisiert Tyrolit seine SAP-Infrastruktur. […]

Best Practices für MFA in Microsoft-Netzwerken

Microsoft wird in Kürze die Multi-Faktor-Authentifizierung einführen, und das sind die wichtigsten Vorüberlegungen, bevor Sie sie einsetzen. [...]

Bestimmen Sie die Methode der Multi-Faktor-Authentifizierung

Verwenden Sie konditionelle Zugriffsregeln

Einschätzung der Hardware-Anforderungen von Benutzern

Backup- und Umstellungsbedarf berücksichtigen

Mehr Artikel

Fake-Shop Detector gewinnt Staatspreis Digitalisierung

KI am Arbeitsplatz: Unternehmen investieren, Arbeitnehmer:innen sind besorgt

KI in der Medizin: Was ist derzeit möglich?

OceanStor A800: Huawei setzt neue Maßstäbe im KI-gesteuerten Datenspeicher

Female Lehrlingshackathon – Siegerinnen beim 4GAMECHANGERS Festival präsentiert

Die IT als Triebfeder der Unternehmensziele

EU-NIS2-Richtlinie: jeder dritte Betrieb betroffen

Digitalisierung des Handels mit Gold

Tyrolit treibt digitale Transformation mit IT-Partner Kyndryl weiter voran

Be the first to comment

Leave a Reply Antworten abbrechen