Identitätssicherheit (Teil 2) – Sieben gute Gründe, warum die Lösungen von SecurEnvoy mehr als eine Alternative zu Microsoft Azure sind

3. Schutz der Desktop-Anmeldung

Den Anmeldevorgang unter Windows vollständig abzusichern, selbst mittels Multi-Faktor-Authentifizierung (MFA), ist ein Problem, das Microsoft noch nicht wirklich geknackt hat. Windows Hello ist nicht zuverlässig genug und unglaublich schwierig zu verwalten. Gerade in großen Organisationen kann das zum Problem für die Identitätssicherheit werden.

Windows Logon & RDP mit MFA von SecurEnvoy schützen

Der SecurEnvoy Windows Logon Agent kann auf allen Windows-Arbeitsstationen und -Servern installiert werden. Konsolen- sowie RDP-Anmeldungen lassen sich so mit MFA sichern. Jeder Nutzer, der direkt oder remote versucht auf Windows zuzugreifen, wird automatisch zur Eingabe von MFA aufgefordert. In Kombination mit verschiedenen SecurEnvoy Authentifizierungsverfahren kann MFA selbst dann bereitgestellt werden, wenn ein Benutzer versucht, sich zu authentifizieren, während er offline ist.

Der Logon Agent lässt sich so konfigurieren, dass er die Anmeldung und das Entsperren schützt. Ein Nutzer, der seinen Rechner manuell sperrt, wird dadurch bei seiner Rückkehr zur MFA aufgefordert. Bei Bedarf besteht die Option, Gruppenmitgliedschaften für MFA zu aktivieren. So können bei der RDP-Anmeldung auf Servern z. B. nur Domänen- oder lokale Administratoren zur Eingabe von MFA aufgefordert werden. Das schränkt den Zugriff für Benutzer außerhalb dieser Gruppe ein, was das Risiko des Missbrauchs von Anmeldeinformationen verringert und die Identitätssicherheit erhöht. Der Windows Logon Agent von SecurEnvoy lässt sich nahtlos in das Microsoft-Betriebssystem integrieren und bietet einen nativen Workflow für Benutzer. Zu den weiteren Funktionen gehören der Notfallzugang und die selbständige Passwortrücksetzung für Benutzer vom Endgerät aus.

macOS-Desktops mit MFA schützen

macOS-Endgeräte sind im Unternehmensumfeld auf dem Vormarsch. Nutzer dieser Geräte sind in der Regel Führungskräfte, Vorstandsmitglieder, Softwareentwickler oder Sicherheitsteams. Dementsprechend stehen sie verstärkt im Fokus von Angreifern. In diesem Umfeld hat der Schutz vor diversen Angriffsvektoren daher oberste Priorität.

Der SecurEnvoy macOS Logon Agent kann hier problemlos eingesetzt werden, um den Standard-Workflow zu erweitern und einen sicheren Zugriff auf macOS-Geräte zu ermöglichen. Das Risiko eines unbefugten Zugriffs auf die Unternehmensumgebung lässt sich dadurch reduzieren, ohne Kompromisse bei der Funktionalität zu machen. macOS Systeme lassen sich vollständig integrieren und sicher mit den Authentifizierungslösungen von SecurEnvoy nutzen.

4. Erweiterte RADIUS-Unterstützung

Unternehmen verlagern ihre IT-Umgebungen zunehmend in die Cloud. Dennoch sind die bestehenden Umgebungen vor Ort häufig durch ein VPN oder andere remote Zugriffsmethoden geschützt. Diese unterstützen in der Regel das RADIUS-Protokoll.

Microsoft Azure AD MFA unterstützt das RADIUS-Protokoll ebenfalls, benötigt aber zusätzliche Komponenten wie den Network Policy Server (NPS), was die Komplexität erhöht. Die RADIUS-Fähigkeit ist zudem begrenzt und funktioniert nicht mit allen VPNs einwandfrei.

Volle Funktionsunterstützung für RADIUS-basierte Clients mit MFA

SecurEnvoy bietet eine vollständig betriebsbereite RADIUS-Funktion. Unterstützt wird eine Vielzahl von Legacy-Anwendungen, einschließlich traditioneller VPN-basierter Technologien und Remote Desktop-Umgebungen.

Die Unterstützung für RADIUS-Clients basiert auf Richtlinien für „vertrauenswürdige Netzwerke“. Benutzer, die sich von einer bestimmten Adresse oder einem bestimmten Hostnamen aus verbinden, werden nicht zur MFA aufgefordert. Sie können sich nur mit Benutzername und Passwort authentifizieren. In ähnlicher Form lassen sich „gesperrte Netzwerke“ hinzufügen. Authentifizierungsversuche von einem oder mehreren bestimmten Netzwerkstandort(en) können im Fall der Fälle vollständig blockiert werden.

Mit dem Verfahren können auch „vertrauenswürdige Gruppen“ konfiguriert werden. Benutzer innerhalb bestimmter Gruppen benötigen dann bei der Authentifizierung keine MFA. Bei Bedarf können Attribute an den RADIUS-Client zurückgegeben werden. Auch eine Authentifizierung nur von bestimmten Domänen ist möglich. Das optimiert z.B. Prozesse von Managed Service Providern, die mandantenfähige Umgebungen betreiben.

5. Erhöhte Granularität der Authentifizierungsrichtlinien

Die Implementierung effektiver, aber dennoch einfacher Zugriffsrichtlinien ist für Unternehmen eine große Herausforderung. Microsoft Azure AD MFA hier bietet hier nur eine begrenzte Granularität. Das ist eine Herausforderung für den Aufbau eines Gleichgewichts zwischen Identitätssicherheit und Benutzerfreundlichkeit.

Herausforderungen sind Authentifizierungsmethoden sowie einige Konfigurationen, die nur als globale „Ein/Aus“-Einstellung verfügbar sind. Deshalb können Organisationen beispielsweise keine Richtlinien konfigurieren, die nur Mechanismen wie SMS OTP für einige Benutzeraktivitäten mit geringem Risiko zulassen. Daher ist es wichtig, dass Unternehmen über eine breite Palette von Authentifizierungsmechanismen verfügen. Das wird jedem Anwendungsfall und jeder Benutzergruppe gerecht.

Unterschiedliche Profile brauchen individuelle Authentifizierungsmethoden

Zur Erhöhung der Identitätssicherheit stellt SecurEnvoy einzelnen Benutzern oder Benutzergruppen für Anmeldungen eine breite Palette von Authentifizierungsmethoden zur Verfügung. Die Optionen reichen von biometrisch geschützten Smart-Phone-Apps über Hardware-Token bis hin zu einfachen SMS-OTP-Optionen.

Die SecurEnvoy Plattformen (IAM, MFA) liefern auch detaillierte Berichte darüber, welche Benutzer für welche Authentifizierungsmethoden angemeldet sind. Verantwortliche erhalten so einen transparenten Überblick über die ausgewählten Authentifizierungsarten.

Benutzer-Selbstverwaltung reduziert Verwaltungsaufwand

Sobald Nutzer bei der Anmeldung die Möglichkeit haben, ihre gewünschte Anmeldemethode selbst auszuwählen, steigt die Akzeptanz. Die Optionen werden auf Verwaltungsebene konfiguriert. Das garantiert ein Höchstmaß an Benutzerfreundlichkeit.

SecurEnvoy verfügt über eine integrierte Benutzer-Selbstverwaltungsfunktion. Benutzer können damit ihre Authentifizierungsmethode sicher, schnell und einfach ändern. Das wird möglicherweise notwendig, wenn ein Gerät verloren geht, gewechselt wird oder wenn sich die Arbeitsumgebung ändert.

Wenn Geo-IP nicht ausreicht

Er kürzlich führte SecurEnvoy eine Kundenumfrage zum Thema Geo-IP durch. Das Ergebnis zeigt, dass Unternehmen wenig Vertrauen in die Nutzung der Standard-Geo-IP als Metrik zur Identifizierung eines Benutzers haben. Wenn es um Datenhoheit und Datengrenzen geht, ist es aber wichtig genau zu wissen, dass ein Benutzer von einem bestimmten Standort aus zugreift. Noch wichtiger ist es zu wissen, dass er nicht von einem Standort aus zugreift, der nicht autorisiert ist.

SecurEnvoy kann den Standort des Benutzers zum Zeitpunkt der Authentifizierung garantieren. Entsprechende strenge Richtlinien können individuell definiert werden. So lassen sich exakte vordefinierte „sichere“ Standorte definieren oder ein auch zulässiges Maß an Abweichung zwischen der Anfrage und der Authentifizierungsantwort (PUSH) erlauben. Unternehmen können dadurch die Identität des Benutzers, aber auch den genauen Standort garantieren. Die Benutzerzugangskontrolle wird so auf eine neue Ebene gehoben.