Übersicht

Specops Key Recovery ist eine Selbstbedienungslösung zum Entsperren von Computern, die von Symantec Endpoint Encryption oder Microsoft BitLocker verschlüsselt oder verwaltet werden. Ein Benutzer, der am Authentifizierungsbildschirm vor dem Start ausgesperrt wird, kann Specops Key Recovery verwenden, um seinen Computer zu entsperren, ohne den Helpdesk anzurufen. Für zusätzliche Sicherheit werden die Benutzer mit einer Multi-Faktor-Authentifizierung verifiziert. Diese Lösung unterstützt eine Reihe von Authentifizierungsfaktoren, darunter Symantec VIP und Mobile Code (SMS) (Senden eines einmaligen Codes an ein Mobilgerät).

Specops Key Recovery unterstützt derzeit:

  • Symantec Endpoint Encryption (Version 11 und höher)
  • BitLocker, verwaltet von Symantec Endpoint Encryption (ab Version 11)
  • BitLocker

Grundkonzepte


Bildschirm zur Authentifizierung vor dem Start

Wenn ein Benutzer einen Computer mit Festplattenverschlüsselung einschaltet, wird der "Pre-Boot"-Authentifizierungsbildschirm angezeigt. Windows startet möglicherweise erst dann, wenn der Benutzer seine Identität auf diesem Bildschirm korrekt bestätigt hat.

Richtlinie

Eine Richtlinie enthält die Regeln, die zur Registrierung und Multi-Faktor-Authentifizierung bei der Verwendung von Specops Key Recovery erforderlich sind. Eine Richtlinie steuert, welche Identitätsdienste verwendet werden können und wie viele davon zur Überprüfung der Identität von Endbenutzern verwendet werden müssen. Der Systemadministrator ist für die Konfiguration der Regeln in der Richtlinie verantwortlich.

Multi-Faktor-Authentifizierung

Die Multi-Faktor-Authentifizierung erfordert mehr als eine Authentifizierungsmethode aus unabhängigen Kategorien von Berechtigungsnachweisen: etwas, das Sie wissen (z. B. Kennwort), etwas, das Sie haben (z. B. Mobilgerät), und etwas, das Sie verkörpert (z. B. Fingerabdruck).

Das Multi-Faktor-Authentifizierungsmodell von Specops ist dynamisch. Die Benutzer können wählen, welche Identitätsdienste sie für die Registrierung und Authentifizierung kombinieren möchten, solange sie die Anforderungen der Richtlinie erfüllen.

Identitätsservices

Mit Identitätsdiensten können sich die Benutzer bei der Anmeldung sicher identifizieren. Die Identitätsdienste lassen sich in mehrere Kategorien einteilen, darunter: Benutzername und Kennwort, soziale Dienste (LinkedIn, Tumblr) und Dienste mit höherem Vertrauensstatus (Google Authenticator, Microsoft Authentic, Duo Security Security).

Um mehrere Identitätsdienste zur Authentifizierung von Benutzern zu verwenden, müssen diese in der Verwaltungskonsole konfiguriert (aktiviert) werden, und der von der uReset-Richtlinie betroffene Benutzer muss sich beim uReset-Dienst registrieren. Sobald sich ein Benutzer angemeldet hat, kann er sein Kennwort über die uReset-Webanwendung zurücksetzen (über einen Hyperlink auf dem Anmeldebildschirm oder in jedem modernen Browser). Specops uReset verwendet Daten von Benutzerobjekten in Active Directory zum Lesen und Schreiben von im System verwendeten Informationen.

Nachstehend finden Sie eine Liste aller in Specops Authentication verfügbaren Identitätsdienste.

Standard

  • Specops Fingerprint: Specops Fingerprint ermöglicht die Registrierung und Authentifizierung von Benutzern über Geräte mit Fingerabdruck-Scannern, wie Smartphones und Tablets. Die Benutzer können ihren Finger auf den Fingerabdruckscanner ihres Geräts legen, um sich sofort zu identifizieren. Benutzer können auch Face ID zur Authentifizierung verwenden, wenn sie ein iPhone X oder höher besitzen. Zur Nutzung dieses Identitätsdienstes müssen die Benutzer die App auf ihrem Mobilgerät installiert haben.
  • Specops Authenticator: Benutzer können sich mit der Specops Authenticator-App authentifizieren. Die Benutzer scannen dafür einen QR-Code oder beantworten eine Geheimfrage. Specops Authenticator sendet den Benutzern dann ein sechsstelliges Einmal-Kennwort, das zur Authentifizierung eingegeben werden muss.
  • Mobile Code (SMS): Die Benutzer erhalten per SMS ein einmaliges sechsstelliges Kennwort, das sie für ihre Authentifizierung eingeben müssen.
  • E-Mail: Das E-Mail-System des Benutzers wird als Identitätsdienst verwendet, indem ein Code an die registrierte E-Mail-Adresse gesendet wird, den der Benutzer dann in das Feld auf dem Bildschirm eingeben muss. E-Mail E-Mail erfordert keine Registrierung, da es auf die E-Mail-Adresse im E-Mail-Attribut in AD verweist (oder auf ein anderes Attribut, falls überschrieben); es kann nur mit Domains verwendet werden, die mit Specops Authentication verbunden sind.
  • : Das E-Mail-System des Benutzers wird als Identitätsdienst verwendet, indem ein Code an die registrierte E-Mail-Adresse gesendet wird, den der Benutzer dann in das Feld auf dem Bildschirm eingeben muss. muss bei der Anmeldung vom Benutzer registriert werden. Dazu kann er eine beliebige E-Mail-Adresse seiner Wahl verwenden.
  • Vertrauenswürdige Netzwerkstandorte: Vertrauenswürdige Netzwerkstandorte ist ein Identitätsdienst, mit dem Administratoren bestimmte IP-Bereiche als Vertrauenswürdige Netzwerkstandorte freigeben können.
  • Manager-Identifizierung: Wenn sich ein Benutzer mit Manager-Identifizierung authentifiziert, wird eine E-Mail oder SMS an seinen Vorgesetzten gesendet. Der Vorgesetzte muss dann den Authentifizierungsantrag genehmigen. Administratoren können die gesendete Benachrichtigung individuell anpassen, indem sie ihr benutzerdefinierte Informationen hinzufügen. Zur Nutzung von Manager-Identifizierung muss dem jeweiligen Benutzer ein Manager in Active Directory zugewiesen sein, und die Manager-Konten müssen eine mit ihrem Profil verknüpfte E-Mail-Adresse/Mobiltelefonnummer haben, um Authentifizierungsanfragen von Benutzern erhalten zu können.
  • Geheimfragen: Die Benutzer können Fragen aus einer vorgegebenen Liste auswählen und ihre Antworten darauf registrieren. Sie müssen dann diese Fragen beantworten, um sich erfolgreich zu authentifizieren.

3. Parteien

HINWEIS
In den meisten Fällen müssen Registrierungen über externe Identitätsdienste von den Benutzern individuell betrieben werden.
  • PingID: Mit PingID können sich Benutzer über die Mobil-App PingID authentifizieren.
  • Duo Security: Mit Duo Security können sich Benutzer über die Mobil-App Duo Security authentifizieren.
  • Freja: Mit Freja können sich Benutzer über die Mobil-App Freja authentifizieren.
  • OktaBenutzer können sich mit ihren Okta-Kontodaten registrieren und authentifizieren. Dies kann über die Okta-App und durch Versenden von Codes per Textnachricht geschehen.
  • Symantec VIP: Benutzer können sich mit der mobilen Symantec VIP-App authentifizieren.
  • Google Authenticator: Google Authenticator ist eine App, die einmalige Kennwörter generiert. Ein Geheimnis wird generiert und in Form eines QR-Codes präsentiert, den der Benutzer scannt. Google Authenticator sendet den Benutzern dann ein sechs- bis achtstelliges Einmal-Kennwort, das zur Authentifizierung eingegeben werden muss.
  • Microsoft Authenticator: Microsoft Authenticator ist eine App, die einmalige Kennwörter generiert. Ein Geheimnis wird generiert und in Form eines QR-Codes präsentiert, den der Benutzer scannt. Microsoft Authenticator sendet den Benutzern dann ein sechs- bis achtstelliges Einmal-Kennwort, das zur Authentifizierung eingegeben werden muss.
  • EFOS/SITHS (Schweden): EFOS/SITHS ist ein Smartcard-basierter Authentifizierungsdienst, mit dem sich Mitarbeiter (z. B. medizinisches Personal) von Behörden, Gemeinden und Kreisräten in Schweden elektronisch identifizieren können.
  • Mobile BankID (Schweden): Benutzer, die über die Mobile BankID-App verfügen, können damit ihre Identität verifizieren.
    HINWEIS
    Benutzer müssen einen QR-Code in der Mobile BankID-App scannen, um sich mit diesem Identitätsdienst zu authentifizieren.
  • Yubikey: Der Yubikey ist ein Hardware-Authentifizierungsgerät. Benutzer können sich authentifizieren, indem sie Einmal-Kennwörter (OTP) mit ihrem Yubikey generieren (nur wenn der Yubikey Yubico OTP als Sicherheitsfunktion unterstützt). Weitere Informationen zu Yubikeyfinden Sie auf der Yubikey-Seite.
  • Passkeys: Benutzer können sich mit Passkeys authentifizieren, die sie bereits auf ihrem Gerät eingerichtet haben. Passkey sind digitale Berechtigungsnachweise (Authentifikator), die an ein Benutzerkonto und eine Website oder Anwendung gebunden sind. Einige Beispiele für Passkeys sind Windows Hello, Yubikey, Bitwarden und jede Authentifizierungs-App wie Google Authenticator.
  • Entra ID: ermöglicht Specops Authentication die Integration in Microsoft Authentifizierungsverzeichnisse (Authentication Libraries). Der Microsoft Authenticator kann verwendet werden, um sich ohne Kennwort über Specops Authentication zu authentifizieren.

Föderiert

  • Google: Benutzer können sich mit ihren Google-Kontodaten registrieren und authentifizieren.
  • Microsoft Live: Benutzer können sich mit ihren Microsoft Live-Kontodaten registrieren und authentifizieren. Microsoft Live Anmeldedaten werden für die Anmeldung bei der Microsoft Cloud verwendet. Dazu gehören: Outlook, Office Online, OneDrive, Skype, Xbox Live und der Microsoft Store.
  • Tumblr: Benutzer können sich mit ihren Tumblr-Kontodaten registrieren und authentifizieren.
  • Flickr: Benutzer können sich mit ihren Flickr-Kontodaten registrieren und authentifizieren.
  • LinkedIn: Benutzer können sich mit ihren LinkedIn-Anmeldedaten registrieren und authentifizieren.

Architektur und Design


Specops Key Recovery ist eine Komponente der Specops Cloud. Specops Authentication, eine weitere Komponente der Specops Cloud, dient der Authentifizierung bei Specops Key Recovery. Die Authentifizierungsregeln für den Zugriff auf Specops Key Recovery können auf den Admin-Seiten in der Specops Cloud definiert werden.

Um Benutzerinformationen aus dem Active Directory zu lesen, kommuniziert die Specops Cloud mit dem Gatekeeper. Der Gatekeeper wird auf einem Server in Ihrer Domain installiert. Der Gatekeeper liest Benutzerinformationen aus dem Active Directory und verwaltet alle Operationen mit dem Active Directory, wie z. B. das Lesen und Schreiben von Anmeldedaten.

Schlüsselwiederherstellung für die Symantec Endpoint-Verschlüsselung.
Alt-Text für dieses Bild

  1. Ein Benutzer hat sein Kennwort vergessen und wird am Pre-Boot-Authentifizierungsbildschirm ausgesperrt. Der Bildschirm fordert den Benutzer auf, Specops Key Recovery auf einem Mobilgerät zu öffnen.
  2. Specops Key Recovery (keyrecovery.specopssoft.com) leitet den Benutzer zu Specops Authentication weiter.
  3. Specops Authentication fragt den Gatekeeper nach dem Gruppenrichtlinienobjekt, das den Benutzer betrifft, und erhält die Authentifizierungsregeln für dessen Zugriff auf Specops Key Recovery. Die Authentifizierungsregeln für den Benutzer werden angezeigt. Der Benutzer authentifiziert sich bei verschiedenen Identitätsdiensten, um die Richtlinie zu erfüllen. Danach wird der Benutzer an Specops Key Recovery zurückgewiesen.
  4. Specops Key Recovery fragt den Gatekeeper nach einer Liste der Geräte des Benutzers.
  5. Der Gatekeeper fragt Symantec Endpoint Encryption nach den Geräten des Benutzers und erhält die entsprechende Liste. Die Computer der Benutzer werden auf der Schlüsselwiederherstellungsseite (keyrecovery.specopssoft.com) angezeigt.
  6. Der Benutzer wählt seinen gesperrten Computer aus der Liste in Specops Key Recovery aus, und sein Browser wird auf die Wiederherstellungsseite umgeleitet.
  7. Der Benutzer gibt auf seinem Mobilgerät eine laufende Nummer ein und drückt auf Weiter. Es wird ein Schlüsselpaar erzeugt, und der öffentliche Schlüssel wird zusammen mit der Sequenznummer an den Gatekeeper gesendet.
  8. Der Gatekeeper fragt Symantec Endpoint Encryption nach einem Wiederherstellungsschlüssel, der auf den vom Benutzer bereitgestellten Informationen basiert.
  9. Specops Key Recovery zeigt dem Benutzer den Wiederherstellungsschlüssel an und fordert ihn auf, bestimmte Informationen in seinen gesperrten Computer einzugeben.
  10. Der Benutzer gibt den Wiederherstellungsschlüssel in seinem gesperrten Computer ein. Der Computer wird daraufhin entsperrt.

Schlüsselwiederherstellung für BitLocker
Alt-Text für dieses Bild

  1. Ein Benutzer hat sein Kennwort vergessen und navigiert auf einem Mobilgerät zu Specops Key Recovery.
  2. Specops Key Recovery leitet ihn zu login.specopssoft.com weiter.
  3. Specops Authentication fragt den Gatekeeper nach dem Gruppenrichtlinienobjekt (GPO), das den Benutzer betrifft, und erhält die Authentifizierungsregeln, um ihm Zugriff auf Specops Key Recovery zu gewähren. Die Authentifizierungsregeln für den Benutzer werden angezeigt, und er authentifiziert sich bei verschiedenen Identitätsdiensten, woraufhin er an Specops Key Recovery zurückgewiesen wird.
  4. Specops Key Recovery fordert den Benutzer auf, die ersten 8 Zeichen der Wiederherstellungsschlüssel-ID einzugeben, die auf seinem Computer erscheint. Der Benutzer gibt die Wiederherstellungsschlüssel-ID ein und drückt auf Weiter. Ein öffentlicher Schlüssel wird generiert und zusammen mit der Wiederherstellungsschlüssel-ID an den Gatekeeper gesendet.
  5. Der Gatekeeper fragt Active Directory ab, um das Wiederherstellungs-Kennwort für den Computer des Benutzers zu finden. Das Wiederherstellungs-Kennwort wird im Gatekeeper verschlüsselt, dann entschlüsselt und auf dem Mobilgerät des Benutzers angezeigt.
  6. Der Benutzer gibt das Wiederherstellungs-Kennwort in seinen gesperrten Computer ein. Der Computer wird daraufhin entsperrt.