Flexible Security for Your Peace of Mind

So halten Sie Ihre MFA am Laufen, trotz Unterbrechung der Authentifizierungsdienste

Specops Authentication ist die MFA-Plattform, die das Zurücksetzen von Passwörtern und die Wiederherstellung von Encryption-Keys per Self-Service und/oder am IT-Service Desk sicherstellt. Eines der einzigartigen Merkmale der Specops Authentication-Plattform ist die flexible MFA. Diese Funktion sorgt dafür, dass die oben genannten Anwendungsfälle auch dann funktionieren, wenn ein primärer Faktor zur Verfizierung der Identität (Authentifizierungsdienst oder Identity Service) nicht verfügbar ist.

In diesem Artikel gehen wir auf die Szenarien ein, die zu einer Unterbrechung des Identity Service führen können, sowie auf Best Practices, um MFA mit Specops Authentication am Laufen zu halten

Wodurch kann Multi-Faktor-Authentifizierung (MFA) gestört werden?

  • Ein Benutzergerät geht verloren oder wird gestohlen: Einige Authentifizierungsdienste (z. B. einmalige Passwörter in Google Authenticator) können dauerhaft verloren gehen, wenn der Benutzer den Zugriff auf sein Gerät verliert.
  • Der Identity Service ist ausgefallen: Unterbrechungen von Authentifizierungsdiensten sind keine Seltenheit. Auch wenn diese meist nur vorübergehend sind, können sie den Service Desk und die Produktivität erheblich beeinträchtigen.  
  • Der Identity Service ist kompromittiert: Wenn der Verdacht besteht, dass ein externer Identity Service kompromittiert wurde, sollten Sie ihn ganz deaktivieren und gleichzeitig alternative Optionen für die sichere Authentifizierung von Benutzern bereithalten.
Specops Authentication
Profitieren Sie mit Specops von einer Vielzahl von Authentifizierungsdiensten beim Password-Reset oder Servicedeskanfragen

So konfigurieren Sie Ihre MFA-Richtlinie, um Störungen zu minimieren

Wenn Sie Ihre Specops MFA-Richtlinie konfigurieren, sollten Sie eine mehrschichtige Strategie in Betracht ziehen, um MFA immer verfügbar zu halten. Die MFA-Richtlinie basiert auf der Anzahl und den Arten der verfügbaren Authentifizierungsdienste für Benutzer sowie auf deren Sicherheitseinstufung (“Sterne”). Das System ermöglicht es Ihnen, denjenigen Identity Services eine höhere Bedeutung (Sterne) zuzuweisen, von denen Sie glauben, dass sie ein höheres Maß an Sicherheit bieten.

Beachten Sie bei der Erstellung Ihrer MFA-Richtlinie die folgenden Punkte:

  • Aktivierte ID-Dienste: Die aktivierten Identity Services stehen den Benutzern bei der Anmeldung zur Verfügung. Je mehr Möglichkeiten zur Auswahl stehen, desto flexibler können sich die Benutzer erfolgreich anmelden und authentifizieren.
  • Anforderungen für das Enrollment: Die Registrierungsrichtlinie bestimmt die Anzahl und Art der Authentifizierungsdienste, die für die Registrierung erforderlich sind. Um den Benutzern mehr Flexibilität zu bieten, stellen Sie sicher, dass die aktivierten (verfügbaren) Identitätsdienste die Enrollmentanforderungen übersteigen.
  • Identitätsdienst-Authentifizierungsanforderungen: Die Authentifizierungsrichtlinie bestimmt die Anzahl und die Arten der Faktoren, die für eine erfolgreiche Authentifizierung erforderlich sind. Um den Benutzern Flexibilität zu bieten, stellen Sie sicher, dass die aktivierten Faktoren die Authentifizierungsanforderungen übertreffen.

Welche Authentifizierungsdienste sollte man aktivieren?

Eine vollständige Liste der verfügbaren Identitätsdienste im Specops Authentication System finden Sie hier. Als Best Practice empfehlen wir, mindestens 2 Identity Services aus der Kategorie Standard und mindestens 1 Authentifizierungsdienst aus der Kategorie 3rd Party zu aktivieren. Es besteht auch die Möglichkeit, Authentifizierungsdienste aus der Kategorie “Federated” hinzuzufügen, die gegebenenfalls eine zusätzliche “nicht-mobile” basierte Authentifizierung ermöglichen.

Gewichtung der Authentifizierungsdienste

Wie bereits erwähnt, können Sie mit Specops Authentication jedem Identity Service eine bestimmte Gewichtung zuweisen. Die Zuweisung der Gewichtung sollte sich an der angenommenen Sicherheit des Authentifizierungsdienstes orientieren. Der sicherste kann mit den meisten Sternen versehen werden. Das bedeutet, dass das System, wenn er bei der Authentifizierung ausgewählt wird, möglicherweise keine zusätzliche Überprüfung mit anderen Faktoren verlangt.  

Um Sie bei der Auswahl der besten Identity Services für Ihr Unternehmen zu unterstützen, haben wir die folgende Matrix erstellt, die die beliebtesten Services und die folgenden Kriterien enthält:

  • Der MFA-Faktor, den der Service anspricht: etwas, das Sie wissen, etwas, das Sie sind, etwas, das Sie haben
  • Flexibilität beim Enrollment: Vorabenrollement und/oder Administrator-Enrollment unter Verwendung vorhandener Active Directory-Daten
  • Abhängigkeit von mobilen Geräten
  • Widerstandsfähigkeit gegen MFA-Fatique-Angriffe
Identity ServiceEtwas das Sie wissenEtwas das Sie besitzenEtwas das Sie sindPre-Admin-EnrollmentMobilgerät nötigActive Directory DataSchutz vor MFA-Fatique
DUO SecurityXXXXX
Manager IdentifikationXXX
Specops FingerprintXXXX
Symantec VIPXXXXX
Vertrauter NetzwerkstandortXX
TOTP Google and Specops AuthenticatorXXXX
TOTP Microsoft AuthenticatorXX*Hängt von der Benutzereinstellung abX*Hängt von der Benutzereinstellung ab
YubikeyXXX

Maßnahmen im Falle einer Störung

Wenn Sie derzeit von einer Unterbrechung der Identity Services betroffen sind, sollten Sie wie folgt vorgehen:

Ihre MFA-Richtlinie unterstützt zusätzliche Authentifizierungsdienste

  1. Kommunizieren Sie mit den Endbenutzern: Informieren Sie sie über die Unterbrechung und erläutern Sie, welche Maßnahmen auf ihrer Seite ergriffen werden müssen.
  2. Wenn es sich um eine langfristige Unterbrechung handelt, können Sie je nach Ihrer Anmelde- und Authentifizierungsrichtlinie entweder:
    • Den Identity Service ganz abschalten.
    • Wenn er nicht mehr so vertrauenswürdig ist wie früher, reduzieren Sie die Anzahl der Sterne für die betroffenen Identity Services.

Bitte beachten Sie aber Folgendes:

  • Diese Aktionen können eine erneutes Enrollment erzwingen, da die aktuelle Anzahl von Sternen für die erfolgreiche Authentifizierung des Benutzers nun möglicherweise unter die erforderliche Anzahl fällt.
  • Sie können Benutzer über das Service Desk-Webportal zur erneuten Registrierung auf individueller Basis zwingen oder ein PowerShell-Skript verwenden, um die erneute Registrierung global zu erzwingen.

Wie verwaltet man Identity Services in Specops Authentication?

Im Specops Authentication Web finden Sie eine vollständige Liste der verfügbaren Authentifizierungsdienste auf der Registerkarte Identity Services. Sie können alle Authentifizierungsdienste in dieser Liste aktivieren/deaktivieren. In diesen Bereich können Sie auch einige dieser Authentifizierungsdienste konfigurieren und ihre systemweiten Einstellungen verwalten.

Unterstützung von Specops

Wenn Sie weitere Fragen haben oder zusätzliche Unterstützung benötigen, wie Sie die Specops-Authentifizierung am besten für Ihr Unternehmen konfigurieren, wenden Sie sich an den Specops-Support.

Flexible Authentifizierungsdienste mit Specops

Ausgefallene Authentifizierungsservices können echten Schaden, Frustration und Kosten verursachen, die Unternehmen mit der richtigen Vorbereitung nicht eingehen müssen. Die Verwendung mehrerer MFA-Dienste mit flexibler Nutzung ermöglicht es einer Organisation, sich schnell an einen unerwarteten Ausfall anzupassen. Eine vollständige Liste der unterstützten Authentifizierungsdienste für den Service Desk und die Self-Service-Passwortrücksetzung finden Sie unter Identity Services Overview.

Sie können Specops uReset und Secure Servicedesk kostenlos und jederzeit testen. Nehmen Sie am besten noch heute Kontakt zu uns auf.

(Zuletzt aktualisiert am 23/05/2023)

Tags: , , , , , , ,

Zurück zum Blog