+49 (0) 8171/405-0 info@proSoft.de

Identitätssicherheit (Teil 2) – Sieben gute Gründe, warum die Lösungen von SecurEnvoy mehr als eine Alternative zu Microsoft Azure sind

30.
Aug
2022
2 Faktor Authentifizierung, Active Directory, Azure AD, Cloudidentität, Helpdesk, Identitätsdiebstahl, Identity and Access Management, Microsoft, Multifaktor-Authentifizierung, Passwort, SecurEnvoy, sichere Passwörter, SMS Passcode Verfahren

Schutzwall für mehr Identitätssicherheit gegen digitale Raubritter

Die Bedrohung durch Cyber-Angriffe, Datenschutzverletzungen und IT-Ausfälle stehen bei Unternehmen weltweit an der Spitze ihrer Risiko-Liste. Das ergab eine Umfrage für das Allianz Risk Barometer, das die Allianz Global Corporate & Speciality (AGCS), der Industrieversicherer der Allianz, Anfang 2022 veröffentlichte. Die Furcht vor den wirtschaftlichen Auswirkungen von Cyber-Kriminalität beunruhigt internationale Führungskräfte demnach mehr als Geschäfts- und Lieferkettenunterbrechungen, Naturkatastrophen und die Covid-19-Pandemie.

Wie berechtigt die Furcht der Wirtschaft ist, zeigt sich in der Flut der Meldungen über Cyber-Angriffe auf alle Bereiche, angefangen von der klassischen IT über IoT-Installationen bis hin zu Industrie-Anlagen (auch OT genannt) und kritischen Infrastrukturen. Die Dunkelziffer kann man nicht einmal erahnen. Viele Organisationen zahlen und schweigen.

Zu den größten Bedrohungen für die Unternehmenssicherheit gehören nach wie vor E-Mail-Angriffe auf die Identitätssicherheit. Mithilfe ausgeklügelter Social-Engineering-Taktiken nehmen Cyberkriminelle dabei die Endbenutzer ins Visier. Mobiles Arbeiten, HomeOffice, BYOD (Bring Your Own Device) und auch Cloud-Computing können Schlupflöcher bieten, über die Angreifer eine Identität kapern.

Sicherheit ist Vertrauenssache

In Teil 1 unserer Blogserie erwähnten wir bereits, dass Microsoft im Sommer 2020 für alle Microsoft 365 Business Premium-Konten Azure AD Premium 1 einführte. Das soll die Identitätssicherheit der Kunden stärken. Ob alle Anforderungen erfüllt und sämtliche Probleme damit gelöst werden? Nicht alle Nutzer sind sich sicher. ProSoft bietet mit der SecureIdentity & Protection Suite von SecurEnvoy eine Lösung an, die bereits von vielen Nutzern als Alternative zum Microsoft-Lizenzprogramm eingesetzt wird.

Für die Zwei-Faktor Authentifizierung von SecurEnvoy sprechen im Besonderen die unten aufgeführten 7 Punkte bzw. Vorteile. In Teil 1 unserer Themenreihe sind wir bereits auf die Punkte 1 und 2 eingegangen. Der zweite Teil unserer Themenreihe behandelt die Themen 3, 4 und 5.

  1. Flexibilität bei der Bereitstellung (Teil 1)
  2. Vereinfachte Verwaltung und Management (Teil 1)
  3. Schutz der Desktop-Anmeldung (Teil 2)
  4. Erweiterte Radius-Unterstützung (Teil 2)
  5. Erhöhte Granularität der Authentifizierungsrichtlinien (Teil 2)
  6. Handhabung mehrerer Verzeichnisumgebungen (Teil 3)
  7. Verbesserter Kunden-Support im Concierge-Stil (Teil 3)

 

3. Schutz der Desktop-Anmeldung

Den Anmeldevorgang unter Windows vollständig abzusichern, selbst mittels Multi-Faktor-Authentifizierung (MFA), ist ein Problem, das Microsoft noch nicht wirklich geknackt hat. Windows Hello ist nicht zuverlässig genug und unglaublich schwierig zu verwalten. Gerade in großen Organisationen kann das zum Problem für die Identitätssicherheit werden.

 

Windows Logon & RDP mit MFA von SecurEnvoy schützen

Der SecurEnvoy Windows Logon Agent kann auf allen Windows-Arbeitsstationen und -Servern installiert werden. Konsolen- sowie RDP-Anmeldungen lassen sich so mit MFA sichern. Jeder Nutzer, der direkt oder remote versucht auf Windows zuzugreifen, wird automatisch zur Eingabe von MFA aufgefordert. In Kombination mit verschiedenen SecurEnvoy Authentifizierungsverfahren kann MFA selbst dann bereitgestellt werden, wenn ein Benutzer versucht, sich zu authentifizieren, während er offline ist.

Der Logon Agent lässt sich so konfigurieren, dass er die Anmeldung und das Entsperren schützt. Ein Nutzer, der seinen Rechner manuell sperrt, wird dadurch bei seiner Rückkehr zur MFA aufgefordert. Bei Bedarf besteht die Option, Gruppenmitgliedschaften für MFA zu aktivieren. So können bei der RDP-Anmeldung auf Servern z. B. nur Domänen- oder lokale Administratoren zur Eingabe von MFA aufgefordert werden. Das schränkt den Zugriff für Benutzer außerhalb dieser Gruppe ein, was das Risiko des Missbrauchs von Anmeldeinformationen verringert und die Identitätssicherheit erhöht. Der Windows Logon Agent von SecurEnvoy lässt sich nahtlos in das Microsoft-Betriebssystem integrieren und bietet einen nativen Workflow für Benutzer. Zu den weiteren Funktionen gehören der Notfallzugang und die selbständige Passwortrücksetzung für Benutzer vom Endgerät aus.

 

macOS-Desktops mit MFA schützen

macOS-Endgeräte sind im Unternehmensumfeld auf dem Vormarsch. Nutzer dieser Geräte sind in der Regel Führungskräfte, Vorstandsmitglieder, Softwareentwickler oder Sicherheitsteams. Dementsprechend stehen sie verstärkt im Fokus von Angreifern. In diesem Umfeld hat der Schutz vor diversen Angriffsvektoren daher oberste Priorität.

Der SecurEnvoy macOS Logon Agent kann hier problemlos eingesetzt werden, um den Standard-Workflow zu erweitern und einen sicheren Zugriff auf macOS-Geräte zu ermöglichen. Das Risiko eines unbefugten Zugriffs auf die Unternehmensumgebung lässt sich dadurch reduzieren, ohne Kompromisse bei der Funktionalität zu machen. macOS Systeme lassen sich vollständig integrieren und sicher mit den Authentifizierungslösungen von SecurEnvoy nutzen.

 

2 faktor authentifizierung

4. Erweiterte RADIUS-Unterstützung

Unternehmen verlagern ihre IT-Umgebungen zunehmend in die Cloud. Dennoch sind die bestehenden Umgebungen vor Ort häufig durch ein VPN oder andere remote Zugriffsmethoden geschützt. Diese unterstützen in der Regel das RADIUS-Protokoll.

Microsoft Azure AD MFA unterstützt das RADIUS-Protokoll ebenfalls, benötigt aber zusätzliche Komponenten wie den Network Policy Server (NPS), was die Komplexität erhöht. Die RADIUS-Fähigkeit ist zudem begrenzt und funktioniert nicht mit allen VPNs einwandfrei.

 

Volle Funktionsunterstützung für RADIUS-basierte Clients mit MFA

SecurEnvoy bietet eine vollständig betriebsbereite RADIUS-Funktion. Unterstützt wird eine Vielzahl von Legacy-Anwendungen, einschließlich traditioneller VPN-basierter Technologien und Remote Desktop-Umgebungen.

Die Unterstützung für RADIUS-Clients basiert auf Richtlinien für „vertrauenswürdige Netzwerke“. Benutzer, die sich von einer bestimmten Adresse oder einem bestimmten Hostnamen aus verbinden, werden nicht zur MFA aufgefordert. Sie können sich nur mit Benutzername und Passwort authentifizieren. In ähnlicher Form lassen sich „gesperrte Netzwerke“ hinzufügen. Authentifizierungsversuche von einem oder mehreren bestimmten Netzwerkstandort(en) können im Fall der Fälle vollständig blockiert werden.

Mit dem Verfahren können auch „vertrauenswürdige Gruppen“ konfiguriert werden. Benutzer innerhalb bestimmter Gruppen benötigen dann bei der Authentifizierung keine MFA. Bei Bedarf können Attribute an den RADIUS-Client zurückgegeben werden. Auch eine Authentifizierung nur von bestimmten Domänen ist möglich. Das optimiert z.B. Prozesse von Managed Service Providern, die mandantenfähige Umgebungen betreiben.

 

Identitätssicherheit

5. Erhöhte Granularität der Authentifizierungsrichtlinien

Die Implementierung effektiver, aber dennoch einfacher Zugriffsrichtlinien ist für Unternehmen eine große Herausforderung. Microsoft Azure AD MFA hier bietet hier nur eine begrenzte Granularität. Das ist eine Herausforderung für den Aufbau eines Gleichgewichts zwischen Identitätssicherheit und Benutzerfreundlichkeit.

Herausforderungen sind Authentifizierungsmethoden sowie einige Konfigurationen, die nur als globale „Ein/Aus“-Einstellung verfügbar sind. Deshalb können Organisationen beispielsweise keine Richtlinien konfigurieren, die nur Mechanismen wie SMS OTP für einige Benutzeraktivitäten mit geringem Risiko zulassen. Daher ist es wichtig, dass Unternehmen über eine breite Palette von Authentifizierungsmechanismen verfügen. Das wird jedem Anwendungsfall und jeder Benutzergruppe gerecht.

 

Unterschiedliche Profile brauchen individuelle Authentifizierungsmethoden

Zur Erhöhung der Identitätssicherheit stellt SecurEnvoy einzelnen Benutzern oder Benutzergruppen für Anmeldungen eine breite Palette von Authentifizierungsmethoden zur Verfügung. Die Optionen reichen von biometrisch geschützten Smart-Phone-Apps über Hardware-Token bis hin zu einfachen SMS-OTP-Optionen.

Die SecurEnvoy Plattformen (IAM, MFA) liefern auch detaillierte Berichte darüber, welche Benutzer für welche Authentifizierungsmethoden angemeldet sind. Verantwortliche erhalten so einen transparenten Überblick über die ausgewählten Authentifizierungsarten.

 

Benutzer-Selbstverwaltung reduziert Verwaltungsaufwand

Sobald Nutzer bei der Anmeldung die Möglichkeit haben, ihre gewünschte Anmeldemethode selbst auszuwählen, steigt die Akzeptanz. Die Optionen werden auf Verwaltungsebene konfiguriert. Das garantiert ein Höchstmaß an Benutzerfreundlichkeit.

SecurEnvoy verfügt über eine integrierte Benutzer-Selbstverwaltungsfunktion. Benutzer können damit ihre Authentifizierungsmethode sicher, schnell und einfach ändern. Das wird möglicherweise notwendig, wenn ein Gerät verloren geht, gewechselt wird oder wenn sich die Arbeitsumgebung ändert.

 

Wenn Geo-IP nicht ausreicht

Er kürzlich führte SecurEnvoy eine Kundenumfrage zum Thema Geo-IP durch. Das Ergebnis zeigt, dass Unternehmen wenig Vertrauen in die Nutzung der Standard-Geo-IP als Metrik zur Identifizierung eines Benutzers haben. Wenn es um Datenhoheit und Datengrenzen geht, ist es aber wichtig genau zu wissen, dass ein Benutzer von einem bestimmten Standort aus zugreift. Noch wichtiger ist es zu wissen, dass er nicht von einem Standort aus zugreift, der nicht autorisiert ist.

SecurEnvoy kann den Standort des Benutzers zum Zeitpunkt der Authentifizierung garantieren. Entsprechende strenge Richtlinien können individuell definiert werden. So lassen sich exakte vordefinierte „sichere“ Standorte definieren oder ein auch zulässiges Maß an Abweichung zwischen der Anfrage und der Authentifizierungsantwort (PUSH) erlauben. Unternehmen können dadurch die Identität des Benutzers, aber auch den genauen Standort garantieren. Die Benutzerzugangskontrolle wird so auf eine neue Ebene gehoben.

Fortsetzung folgt

Damit sind wir am Ende des zweiten Teils unserer Themenreihe zur Identitätssicherheit angekommen. Viele Informationen, die wir Ihnen hier an die Hand geben, nicht wahr? Aber noch sind wir nicht am Ende.

Im dritten Teil unseres Blogs informieren wir Sie über die beiden verbleibenden Punkte auf der SecurEnvoy-Liste, die Handhabung mehrerer Verzeichnisumgebungen sowie dem Kunden-Support im Concierge-Stil. Damit komplettieren wir die sieben Gründe, die SecurEnvoy zur echten Alternative zu Microsoft Azure AD machen. Erscheinungstermin ist voraussichtlich der 18. September. Bleiben Sie neugierig!

Sie haben Fragen zur SecureIdentity & Protection Suite von SecurEnvoy und zum Thema Identitätssicherheit? Sprechen Sie uns an! Entweder telefonisch unter +49 8171/405-200 oder per E-Mail an vertrieb@prosoft.de.

Dieser Blog wurde von ProSoft geschrieben und basiert auf dem von SecurEnvoy veröffentlichten Blog „7 Reasons why customers consider SecurEnvoy an alternative to Microsoft Azure AD MFA for Identity security“. Das Original finden Sie hier.

Potenziell #Backdoor Lücke bei #Cisco gepatcht. https://t.co/TQ3sFXTqZK
@safetogo_de: Die verschlüsselten USB-Sticks #SafeToGo 302E und SafeToGo Solo sind jetzt auch kompatibel zur #macOS Version Ventura. https://t.co/uaOTOjw64r https://t.co/Ht2irhj2P5
#dell schließt Schadcode-Schlupfloch im BIOS mehrerer PC-Modelle https://t.co/imkTREUgf2 https://t.co/ob641j3yDJ
Große #Microsoft Störung Deutsche beklagen massenhaft Ausfälle bei #Teams und #Outlook https://t.co/2tMfZbMR5m https://t.co/1776PfXt1x
Zunehmende Cyberkriminalität – Welche Gegenmaßnahmen helfen wirklich? https://t.co/kA0sIJ10PM #cyberangriff #cyberdefense #itsicherheit https://t.co/tp1RBM4pTE
Cyberkriminelle verschaffen sich Zugang zu Sky-Kundenkonten https://t.co/mPtWKobNG5 #Sky https://t.co/M1nU038UeZ
Fernwartungs-Software mit SSL & TLS für mehr Sicherheit https://t.co/TcT8IP2OVA #NetSupport
#Fernwartung https://t.co/NAj203kh9V
Dortmunder Datenpanne – Personenbezogene Daten im Lost Place #Dortmund #LostPlace https://t.co/UNuaJhaNiy https://t.co/brjrrE564g
Nach drohender #Cyberattacke reagierte die Stadt #Potsdam mit dem Abschalten der Internetverbindungen. Nach umfangreichen Sicherheits-Checks geht es nun weiter. https://t.co/skdKzbND3N https://t.co/KNa6jgL6Kp
Hacker versuchen #Ionos Passwörter zu phishen https://t.co/lqTDa8v0Hf
Handelsblatt: „Kaum zu bewältigen“: Neue EU-Richtlinie für Cybersicherheit setzt Unternehmen unter Zeitdruck - https://t.co/GVPGf4jXsC
Attacken auf kritische Lücke in ManageEngine-Produkte von Zoho bald möglich | Security https://t.co/HqRLyjtDW3
@heisec: Industrie-Router von InHand: Angreifer könnten Geräte in der Cloud übernehmen https://t.co/DEy74bF6wh #InHand #InRouter
Cyber-Attacken auf kritische Lücke in Control Web Panel | Security https://t.co/XW83hKUc8F
Fahrradbauer #Prophete: Erste Details zum Cyber-Angriff | Die Insolvenz der Prophete-Gruppe wurde schlussendlich durch einen Cyber-Angriff ausgelöst. Security https://t.co/IrjyYFWjJu
So schützt die #OPSWAT MetaDefender-Plattform vor Cyberangriffen https://t.co/m1Yo1jA7WQ
Sicherheitsprüfung: 13.000 Passwörter der US-Regierung in 90 Minuten geknackt. Weil Mitarbeiter des US-Innenministeriums leicht zu erratene Kennwörter wie Password-1234 nutzen, könnten Angreifer leichtes Spiel haben. https://t.co/R9S2L77pnK https://t.co/QcqGLwTIO4

Der ProBlog Newsletter

Bleiben Sie auf dem Laufenden mit unseren interessanten News, Updates und Insights
zu modernen IT-Security & IT-Infrastruktur-Lösungen.

Members Only:
Alle Newsletter-Empfänger erhalten jetzt Zugriff auf exklusive Inhalte!

Bitte füllen Sie kurz das Formular aus.
Anschließend erhalten Sie eine E-Mail, mit der Sie Ihre Anmeldung bestätigen können.

 

 
Mit der Anmeldung akzeptiere ich die Datenschutzbestimmungen der ProSoft GmbH.

 

Share This