Overview

Specops Secure Access bietet eine Zwei-Faktor-Authentifizierung für die Windows-Anmeldung, um Benutzerkonten und Computer in Szenarien zu schützen, in denen ein Kennwort möglicherweise kompromittiert wurde. Mit Secure Access müssen sich Benutzer direkt auf dem Anmeldebildschirm neben ihrem Windows-Kennwort auch mit einem weiteren Faktor authentifizieren. Das System ist darauf ausgelegt, die Auswirkungen auf die Benutzer zu minimieren und gleichzeitig eine wichtige Sicherheitsebene hinzuzufügen, und bietet Benutzern die Flexibilität, den zu verwendenden zusätzlichen Faktor selbst zu wählen.

Allgemeine Specops Authentication-Konzepte


Authentifizierung

Die Authentifizierung dient zur Überprüfung der Identität des Benutzers. Dazu muss der Benutzer in der Regel seine Identität angeben, indem er seinen Benutzernamen und sein Kennwort eingibt.

Registrierung

Die Benutzer müssen sich bei Specops Authentication registrieren. Das Registrierverfahren ist für jede Art von Identitätsdienst unterschiedlich. Zur Registrierung bei einem persönlichen Identitätsdienst wie z. B. Google muss der Benutzer dem Link von der Specops-Webanwendung zur Google-Webseite folgen und sich mit der mit seiner Google-Konto verbundenen E-Mail-Adresse und entsprechendem Kennwort anmelden.

Multi-Faktor-Authentifizierung

Die Multi-Faktor-Authentifizierung erfordert mehr als eine Authentifizierungsmethode aus unabhängigen Kategorien von Berechtigungsnachweisen: etwas, das Sie wissen (z. B. Kennwort), etwas, das Sie haben (z. B. Mobilgerät), und etwas, das Sie verkörpert (z. B. Fingerabdruck). Specops uReset geht über die Zwei-Faktor-Authentifizierung hinaus, indem es eine breite Palette von Identitätsdiensten unterstützt, die zur Erhöhung der Sicherheit und Flexibilität verwendet werden können. Diese Lösung unterstützt nicht nur gängige Authentifikatoren wie Fragen und Antworten sowie mobile Verifizierungscodes, sondern auch diverse digitale Identitätsdienste, die von persönlichen (z. B. LinkedIn) bis zu Unternehmensidentitätsdiensten (z. B. salesforce.com) reichen, sowie vertrauenswürdige Methoden wie SmartCards. Das Multi-Faktor-Authentifizierungsmodell von Specops ist dynamisch. Die Benutzer können wählen, welche Identitätsdienste sie für die Registrierung und Authentifizierung kombinieren möchten, solange sie die Anforderungen der Richtlinie erfüllen. Benutzer, die bei mehr Identitätsdiensten angemeldet sind, als für ihre Authentifizierung erforderlich sind, haben die Wahl bei der Authentifizierung. Dadurch wird gewährleistet, dass die Endnutzer auch dann noch in der Lage sind, die Authentifizierungsrichtlinien zu erfüllen, wenn ein bestimmter Identitätsdienst nicht verfügbar ist (z. B. wenn das Mobiltelefon nicht greifbar ist).

Administratoren können auf der Grundlage von Rollen und Sicherheitsrichtlinien auswählen, welche Identitätsdienste/Authentifikatoren sie auf Endnutzer ausweiten möchten, deren Identität sie zum Zurücksetzen oder Entsperren ihrer Konten überprüfen müssen. Diese Flexibilität gewährleistet, dass unterschiedliche Sicherheits- und Flexibilitätsanforderungen erfüllt werden können. Zum Beispiel:

  • Benutzern mit niedriger Sicherheitsfreigabe, aber hohem Flexibilitätsbedarf, wie z. B. Studenten, können IT-Administratoren erlauben, sich mit mehreren persönlichen Identitätsdiensten wie ihrer Google ID zu authentifizieren.
  • Benutzern mit einer höheren Sicherheitsfreigabe, z. B. Administratoren von Finanzhilfen oder leitenden Angestellten, können IT-Administratoren Richtlinien zuweisen, die eine höhere Anzahl oder eine stärkere Kombination von Identitätsdiensten erzwingt. Dieser Ansatz bietet Administratoren die benötigte Flexibilität, um Richtlinien durchzusetzen, die zu mehr Sicherheit und Effizienz führen.

Richtlinie

Eine Richtlinie enthält die zur Registrierung und Multi-Faktor-Authentifizierung erforderlichen Regeln. Eine Richtlinie steuert, welche Identitätsdienste verwendet werden können und wie viele davon zur Überprüfung der Identität von Endbenutzern verwendet werden müssen. Der Systemadministrator ist für die Konfiguration der Regeln in der Richtlinie verantwortlich.

Identitätsdienste

Mit Identitätsdiensten können sich die Benutzer bei der Anmeldung sicher identifizieren. Die Identitätsdienste lassen sich in mehrere Kategorien einteilen, darunter: Benutzername und Kennwort, soziale Dienste (LinkedIn, Tumblr) und Dienste mit höherem Vertrauensstatus (Google Authenticator, Microsoft Authentic, Duo Security Security).

Um mehrere Identitätsdienste zur Authentifizierung von Benutzern zu verwenden, müssen diese in der Verwaltungskonsole konfiguriert (aktiviert) werden, und der von der uReset-Richtlinie betroffene Benutzer muss sich beim uReset-Dienst registrieren. Sobald sich ein Benutzer angemeldet hat, kann er sein Kennwort über die uReset-Webanwendung zurücksetzen (über einen Hyperlink auf dem Anmeldebildschirm oder in jedem modernen Browser). Specops uReset verwendet Daten von Benutzerobjekten in Active Directory zum Lesen und Schreiben von im System verwendeten Informationen.

Nachstehend finden Sie eine Liste aller in Specops Authentication verfügbaren Identitätsdienste.

Standard

  • Specops Fingerprint: Specops Fingerprint ermöglicht die Registrierung und Authentifizierung von Benutzern über Geräte mit Fingerabdruck-Scannern, wie Smartphones und Tablets. Die Benutzer können ihren Finger auf den Fingerabdruckscanner ihres Geräts legen, um sich sofort zu identifizieren. Benutzer können auch Face ID zur Authentifizierung verwenden, wenn sie ein iPhone X oder höher besitzen. Zur Nutzung dieses Identitätsdienstes müssen die Benutzer die App auf ihrem Mobilgerät installiert haben.
  • Specops Authenticator: Benutzer können sich mit der Specops Authenticator-App authentifizieren. Die Benutzer scannen dafür einen QR-Code oder beantworten eine Geheimfrage. Specops Authenticator sendet den Benutzern dann ein sechsstelliges Einmal-Kennwort, das zur Authentifizierung eingegeben werden muss.
  • Mobile Code (SMS): Die Benutzer erhalten per SMS ein einmaliges sechsstelliges Kennwort, das sie für ihre Authentifizierung eingeben müssen.
  • E-Mail: Das E-Mail-System des Benutzers wird als Identitätsdienst verwendet, indem ein Code an die registrierte E-Mail-Adresse gesendet wird, den der Benutzer dann in das Feld auf dem Bildschirm eingeben muss. E-Mail E-Mail erfordert keine Registrierung, da es auf die E-Mail-Adresse im E-Mail-Attribut in AD verweist (oder auf ein anderes Attribut, falls überschrieben); es kann nur mit Domains verwendet werden, die mit Specops Authentication verbunden sind.
  • : Das E-Mail-System des Benutzers wird als Identitätsdienst verwendet, indem ein Code an die registrierte E-Mail-Adresse gesendet wird, den der Benutzer dann in das Feld auf dem Bildschirm eingeben muss. muss bei der Anmeldung vom Benutzer registriert werden. Dazu kann er eine beliebige E-Mail-Adresse seiner Wahl verwenden.
  • Vertrauenswürdige Netzwerkstandorte: Vertrauenswürdige Netzwerkstandorte ist ein Identitätsdienst, mit dem Administratoren bestimmte IP-Bereiche als Vertrauenswürdige Netzwerkstandorte freigeben können.
  • Manager-Identifizierung: Wenn sich ein Benutzer mit Manager-Identifizierung authentifiziert, wird eine E-Mail oder SMS an seinen Vorgesetzten gesendet. Der Vorgesetzte muss dann den Authentifizierungsantrag genehmigen. Administratoren können die gesendete Benachrichtigung individuell anpassen, indem sie ihr benutzerdefinierte Informationen hinzufügen. Zur Nutzung von Manager-Identifizierung muss dem jeweiligen Benutzer ein Manager in Active Directory zugewiesen sein, und die Manager-Konten müssen eine mit ihrem Profil verknüpfte E-Mail-Adresse/Mobiltelefonnummer haben, um Authentifizierungsanfragen von Benutzern erhalten zu können.
  • Geheimfragen: Die Benutzer können Fragen aus einer vorgegebenen Liste auswählen und ihre Antworten darauf registrieren. Sie müssen dann diese Fragen beantworten, um sich erfolgreich zu authentifizieren.

3. Parteien

HINWEIS
In den meisten Fällen müssen Registrierungen über externe Identitätsdienste von den Benutzern individuell betrieben werden.
  • PingID: Mit PingID können sich Benutzer über die Mobil-App PingID authentifizieren.
  • Duo Security: Mit Duo Security können sich Benutzer über die Mobil-App Duo Security authentifizieren.
  • Freja: Mit Freja können sich Benutzer über die Mobil-App Freja authentifizieren.
  • OktaBenutzer können sich mit ihren Okta-Kontodaten registrieren und authentifizieren. Dies kann über die Okta-App und durch Versenden von Codes per Textnachricht geschehen.
  • Symantec VIP: Benutzer können sich mit der mobilen Symantec VIP-App authentifizieren.
  • Google Authenticator: Google Authenticator ist eine App, die einmalige Kennwörter generiert. Ein Geheimnis wird generiert und in Form eines QR-Codes präsentiert, den der Benutzer scannt. Google Authenticator sendet den Benutzern dann ein sechs- bis achtstelliges Einmal-Kennwort, das zur Authentifizierung eingegeben werden muss.
  • Microsoft Authenticator: Microsoft Authenticator ist eine App, die einmalige Kennwörter generiert. Ein Geheimnis wird generiert und in Form eines QR-Codes präsentiert, den der Benutzer scannt. Microsoft Authenticator sendet den Benutzern dann ein sechs- bis achtstelliges Einmal-Kennwort, das zur Authentifizierung eingegeben werden muss.
  • EFOS/SITHS (Schweden): EFOS/SITHS ist ein Smartcard-basierter Authentifizierungsdienst, mit dem sich Mitarbeiter (z. B. medizinisches Personal) von Behörden, Gemeinden und Kreisräten in Schweden elektronisch identifizieren können.
  • Mobile BankID (Schweden): Benutzer, die über die Mobile BankID-App verfügen, können damit ihre Identität verifizieren.
    HINWEIS
    Benutzer müssen einen QR-Code in der Mobile BankID-App scannen, um sich mit diesem Identitätsdienst zu authentifizieren.
  • Yubikey: Der Yubikey ist ein Hardware-Authentifizierungsgerät. Benutzer können sich authentifizieren, indem sie Einmal-Kennwörter (OTP) mit ihrem Yubikey generieren (nur wenn der Yubikey Yubico OTP als Sicherheitsfunktion unterstützt). Weitere Informationen zu Yubikeyfinden Sie auf der Yubikey-Seite.
  • Passkeys: Benutzer können sich mit Passkeys authentifizieren, die sie bereits auf ihrem Gerät eingerichtet haben. Passkey sind digitale Berechtigungsnachweise (Authentifikator), die an ein Benutzerkonto und eine Website oder Anwendung gebunden sind. Einige Beispiele für Passkeys sind Windows Hello, Yubikey, Bitwarden und jede Authentifizierungs-App wie Google Authenticator.
  • Entra ID: ermöglicht Specops Authentication die Integration in Microsoft Authentifizierungsverzeichnisse (Authentication Libraries). Der Microsoft Authenticator kann verwendet werden, um sich ohne Kennwort über Specops Authentication zu authentifizieren.

Föderiert

  • Google: Benutzer können sich mit ihren Google-Kontodaten registrieren und authentifizieren.
  • Microsoft Live: Benutzer können sich mit ihren Microsoft Live-Kontodaten registrieren und authentifizieren. Microsoft Live Anmeldedaten werden für die Anmeldung bei der Microsoft Cloud verwendet. Dazu gehören: Outlook, Office Online, OneDrive, Skype, Xbox Live und der Microsoft Store.
  • Tumblr: Benutzer können sich mit ihren Tumblr-Kontodaten registrieren und authentifizieren.
  • Flickr: Benutzer können sich mit ihren Flickr-Kontodaten registrieren und authentifizieren.
  • LinkedIn: Benutzer können sich mit ihren LinkedIn-Anmeldedaten registrieren und authentifizieren.

Zentrale Konzepte Specops Secure Access


Specops Authentication

Secure Access ist Teil des Specops Authentication-Frameworks und erfordert, dass Ihre Organisation über ein Specops Authentication-Konto verfügt und dass die lokale Komponente, der Specops Authentication Gatekeeper (weitere Informationen finden Sie auf der Seite Installation), installiert und konfiguriert ist.

Verwendungsbeispiele

Client-Computer beim Anmelden bei Windows schützen

Wenn der Specops-Client für installiert und konfiguriert ist, müssen sich Benutzer mit einem zweiten Faktor identifizieren, nachdem sie ihren Windows-Benutzernamen und ihr Kennwort auf dem Windows-Anmeldebildschirm eingegeben haben.

Fernzugriff schützen (RADIUS)

Organisationen, deren Benutzer remote über ein VPN auf ihr Netzwerk zugreifen oder über ein Remote Desktop Gateway (RDGW) auf Computer zugreifen, können ihre Benutzer schützen, indem sie einen zweiten Faktor für diese Anmeldungen hinzufügen. Der VPN-Server oder das Remote Desktop Gateway kann mithilfe von RADIUS so konfiguriert werden, dass er/es den Microsoft NPS (Network Policy Server) aufruft, wobei Specops NPS Companion installiert und konfiguriert ist, was die Verwendung von Secure Access ermöglicht.

HINWEIS
Die Richtlinie zum Schutz des Fernzugriffs kann mit dem folgenden Identitätsdienst konfiguriert werden: Specops:ID

Specops Client

Der Specops-Client ist die Komponente, die in den Windows-Anmeldebildschirm integriert wird und auf allen Computern installiert werden muss, die durch Secure Access geschützt werden sollen. Der Specops Client hat mehrere Komponenten innerhalb des Specops Authentication-Frameworks. Nähere Informationen zum Specops Client finden Sie auf dieser Seite. In diesem Abschnitt werden nur die Funktionen beschrieben, die sich auf Secure Access beziehen. Der Specops Client enthält mehrere Unterkomponenten, wie z. B. den Anmeldeinformationsanbieter, die WinMFA-App und den sicheren Browser, siehe Beschreibung unten.

Anmeldeinformationsanbieter

Der Specops Client-Anmeldeinformationsanbieter ist die erste Ebene der Specops Client-Komponente. Dies ist der Teil, der in den Windows-Anmeldebildschirm integriert ist. Anmeldeinformationsanbieter sind von Microsoft bereitgestellte Erweiterungspunkte, um Drittanbieter bei der Integration in das Windows-Authentifizierungssystem zu unterstützen. Bei Verwendung von Secure Access startet der Anmeldeinformationsanbieter die WinMfa-App, nachdem der Benutzer gültige Domain-Anmeldeinformationen eingegeben hat. Wenn die Anmeldung bei Windows aktiviert ist, werden andere Anmeldeinformationsanbieter vom Specops-Anmeldeinformationsanbieter herausgefiltert.

WinMFA-App

Die WinMFA-App ist eine Windows-Desktopanwendung, die als separates Fenster oben auf dem Anmeldebildschirm geöffnet wird, nachdem der Benutzer seinen Benutzernamen und sein Kennwort eingegeben hat. In der WinMFA-App werden Benutzern ein oder mehrere Identitätsdienste angezeigt, die sie als zweiten Faktor zum Abschluss der Authentifizierung verwenden können. Welche Identitätsdienste verfügbar sind, wird vom Systemadministrator in der Secure Access Richtlinie konfiguriert. Die WinMFA-App kommuniziert mit Specops Authentication in der Cloud, die wiederum mit dem lokalen Gatekeeper kommuniziert, um Benutzerinformationen abzurufen. Bevor sich ein Benutzer zum ersten Mal authentifizieren kann, muss er sich bei einem oder mehreren Identitätsdiensten registrieren. Nähere Informationen zu Identitätsdiensten, die mit Secure Access funktionieren, finden Sie im Abschnitt zu Identitätsdiensten weiter unten. Wenn sich ein Benutzer registrieren muss, startet die WinMFA-App den sicheren Browser, der auch Teil des Specops Client-Installationspakets ist.

Secure Browser

Der Secure Browser ist in der Specops Client-Installation enthalten und basiert auf einer Browser-Laufzeitumgebung, die die CefSharp-Browser-Engine verwendet. Er ist insofern sicher, dass es dem Benutzer nicht erlaubt, außerhalb der Specops Authentication-Registrierungsseiten zu navigieren. In Secure Access wird der sichere Browser verwendet, wenn sich ein Benutzer für einen oder mehrere Identitätsdienste registrieren muss. Dies sollte normalerweise nur einmal jährlich für jeden Benutzer vorkommen. Wenn die Organisation Specops Authentication bereits zum Zurücksetzen von Kennwörtern verwendet, sind die Benutzer möglicherweise bereits registriert und können mit der Verwendung beginnen, ohne sich zunächst registrieren zu müssen.

HINWEIS
Beachten Sie bitte, dass sich Benutzer auch dann, wenn sie sich bereits bei Identitätsdiensten für andere Specops-Authentifizierungsprodukte registriert haben, für den Offline-Code registrieren müssen (siehe unten).

Identitätsdienste

Die zusätzlichen Authentifizierungsfaktoren in Specops Authentication werden als Identitätsdienste bezeichnet. Einige Beispiele für Identitätsdienste sind Textnachricht, YubiKey, Duo und Specops:ID. Die meisten Identitätsdienste erfordern, dass Benutzer ein Mobiltelefon verwenden, um beispielsweise eine Textnachricht zu empfangen oder biometrische Daten in einer App zu verwenden, um ihre Identität nachzuweisen. Welche Identitätsdienste Benutzer auswählen können, wird in der Richtlinie vom Systemadministrator in Specops Authentication konfiguriert.

Registrierung

Um einen Identitätsdienst nutzen zu können, müssen Benutzer bei diesem registriert sein. Benutzer melden sich bei Identitätsdiensten über die Specops Authentication-Website an, die ihnen im Secure Browser angezeigt wird, wenn sie sich noch nicht bei Identitätsdiensten registriert haben. - Die Registrierung bei den Identitätsdiensten kann für Benutzer eine leichte Unannehmlichkeit darstellen. Wenn möglich, wird empfohlen, diesen Vorgang für so viele Identitätsdienste wie möglich zu automatisieren. Die Automation der Benutzerregistrierung ist nicht bei allen Identitätsdiensten möglich. Hier erfahren Sie mehr zum Thema.

Offline-Code

Neben den in der Richtlinie von Administratoren in Specops Authentication konfigurierten Identitätsdiensten müssen sich Benutzer auch für den Offline-Code registrieren. Dabei handelt es sich um eine Sicherungs-Authentifizierungsmethode, die verwendet werden kann, wenn während der Anmeldung keine Internetverbindung verfügbar ist oder bei den Specops Authentication-Diensten ein Fehler auftreten sollte. Natürlich ist es sehr wichtig, dass Benutzer nicht daran gehindert werden, sich bei Windows anzumelden, auch wenn sie keinen Zugriff auf das Netzwerk haben, und gleichzeitig die zusätzliche Sicherheitsebene durch einen zusätzlichen Faktor zu haben. Der Offline-Code ist ein standardmäßiges zeitlich begrenztes Einmalpasswort (TOTP), das in jeder TOTP-App wie Google Authenticator oder Microsoft Authenticator registriert werden kann. Die Offline-Code-Registrierung wird sicher auf dem lokalen Computer gespeichert.

Authentifizierung

Wenn sich Benutzer bei den erforderlichen Identitätsdiensten registriert haben, werden sie bei jeder Anmeldung bei Windows aufgefordert, eine Authentifizierung über Secure Access durchzuführen. Eine Authentifizierung in Secure Access bedeutet, dass ein zusätzlicher Faktor (Identitätsdienst) neben dem regulären Windows-Benutzernamen und -Kennwort Anwendung findet. Dabei kann es sich je nach Sachverhalt auch um den Offline-Code handeln (siehe Offline-Code oben). Der Authentifizierungsablauf ist optimiert und bietet dem Benutzer denselben Faktor, den er bei der letzten Authentifizierung verwendet hat. Abhängig vom Identitätsdienst kann der Vorgang so einfach sein wie das Tippen auf eine Schaltfläche in einer mobilen App oder das Tippen auf die Schaltfläche auf einem YubiKey-Gerät. Der Systemadministrator konfiguriert die Regeln zur Authentifizierung, einschließlich der Häufigkeit, mit der Benutzer Secure Access verwenden müssen. Das System könnte beispielsweise so konfiguriert werden, dass der zusätzliche Faktor nur einmal am Tag benötigt wird. In diesem Szenario würden Benutzer Secure Access nur mit dem Windows-Kennwort umgehen, bis die konfigurierte Zeit abgelaufen ist.