Microsoft Active Directory - 2FA Authentifizierung

Ich erneuere gerade unsere Passwortrichtlinie und versuche herauszufinden, wie ich eine 2FA-Authentifizierung für ein On-Premise gehostetes Active Directory (Windows Server 2019) einrichten kann, ohne auf die Cloud-Dienste von Microsoft Azure zurückzugreifen? Idealerweise sollte der zweite Faktor (z.B. TOTP) zunächst nur für die Domänenadministratoren ausgerollt werden.

Danach sollte 2FA in einer Pilotphase für einzelne Benutzergruppen hinzugefügt werden. Der Geltungsbereich der Richtlinie wird sich in Teilen der Institution an der Kernabsicherung des BSI orientieren, für die ein hoher Schutzbedarf anzuwenden ist (z.B. Entwicklung und Forschung), während andere Teile der Institution bis auf weiteres mit einer weniger strengen Auslegung der Richtlinien konfrontiert werden. Das bedeutet, dass eine Aktivierung von 2FA im Active Directory nicht sofort die gesamte Institution betreffen sollte. Ist das machbar? Gerne auch mit Third-Party-Tools, wenn es die Bordmittel nicht zulassen.

Thx Cyberduck

Mal abgesehen davon, dass ich wenig von 2FA und noch weniger von 2-Schritt-Authentifizierung (die Regel bei TOTP) halte: willst Du das in eine LDAP- oder Kerberos-Authentifizierung integrieren? Vermutlich LDAP. Warum scheidet Kerberos aus?

Kerberos und LDAP schließen sich doch nicht aus. LDAP ist ein Verzeichniszugriffsprotokoll und Kerberos ist ein Authentifizierungsprotokoll.

2FA ist imho sicherer als kein 2FA. Ja, ich weiß, dass fortgeschrittene Phishing-Attacken auch TOTP angreifen können. Aber für mich ist das wie die Diskussion um die Gurtpflicht, wo Gegenargumente kommen wie, man kennt jemanden, der jemanden kennt, der jemanden kannte, der im Auto ertrunken ist, weil er angeschnallt war.

Was sind deine Argumente gegen 2FA?

Für Leute, die geeignete Passörter verwenden (auch nicht wiederverwenden) absolut kein Mehrwert. Und in Analogie zu Deinem Gurtpflicht-Beispiel ignoriere ich dabei die Möglichkeit eines Trojaners, aber wenn der ins Spiel kommt ist m.E. sowieso alles verloren.

und kann auch zur Authentifizierung verwendet werden.

Wenn Du Kerberos und/oder Single-Sign-On verwendest, kannst Du die Authentfizierung automatisch machen, das ist benutzerfreundlicher und sicherer als alles andere.

Letztendlich hast Du gar nicht beantwortet in welche Art von Authentifizierung Du 2FA integrieren willst.

Das hängt davon ab, wie man den Mehrwert für den Benutzer definiert. Im Grunde geht es bei sicheren Authentifizierungsmaßnahmen auch darum, die Daten zu schützen, auf die der Benutzer Zugriff hat, und nicht nur den Benutzer. Ich habe schon Setups gesehen, bei denen eine ganze Abteilung die Passwörter der Kollegen kannte. Das mag praktisch sein, ist aber ein Albtraum, wenn es um die Nachvollziehbarkeit von Änderungen am System oder an den Daten geht. Wenn man dann noch die Passwortliste hinter irgendeinem Kalender versteckt, sind Manipulationen Tür und Tor geöffnet. Das passiert häufiger als man denkt. Selbst wenn man sich über alle Compliance-Regeln hinwegsetzt und Passwort und TOTP austauscht, funktioniert das nur einmal. Beim nächsten Mal reicht das Passwort allein nicht mehr aus, um unbemerkt mit einem fremden Passwort ins System zu gelangen.

Wir verwenden sowohl Kerberos als auch LDAP in der Windows-Standardimplementierung. Was Windows im Hintergrund damit im Detail macht, entzieht sich meiner Kenntnis, aber ich will ja auch keine 2FA-Implementierung programmieren, sondern sie nur nutzen. Ich weiß vieles nicht, was Windows im Hintergrund macht. Wenn ich das wüsste, würde ich mich wahrscheinlich mit anderen Fragen beschäftigen. Und wenn wir eine vom Standard abweichende Konfiguration betreiben, würde ich das auch sagen. Also mehr Details kann ich jetzt nicht dazu beitragen.

das zeigt doch eher, dass Du ganz andere Probleme hast, als 2FA. Die Kolegen werden dann wohl auch die TOTP-Geheimnisse tauschen.

Dann solltest Du da anfangen oder Deine Organisation jemanden anheuern, der sich besser auskennnt.
Die allemal bessere Lösung ist in meinen Augen, die Eingabe von Passwörtern unnötig zu machen (bis auf die Anmeldung am Arbeitsplatzcomputer) statt sie mit MFA/MSA zu ergänzen. Mit Kerberos hast Du schonmal gute Voraussetzungen dafür.

Ja, das ist mit Third-Party-Tools auf jeden Fall umsetzbar. Eventuell RSA SecurID, aber persönlich habe ich damit noch keine Erfahrungen gemacht.

Was 2FA angeht, so bietet es auf jeden Fall einen zusätzlichen Schutz, der natürlich je nach Situation mal mehr oder weniger stark ausfällt. Sich einzig und alleine auf ein komplexes Passwort zu verlassen ist eine überholte Ansicht und berücksichtigt einige der aktuellen Angriffsszenarien nicht.

1 „Gefällt mir“

Da du auf meine Frage nicht eingegangen bist und selbst nur vage Fragen als Überschriften in den Raum geworfen hast, musste ich natürlich auch mit meiner Antwort vage bleiben. Ich habe einfach keine Ahnung, was die technischen Details der Kerberos-Authentifizierung mit 2FA zu tun haben und wie tief ich da eintauchen muss, um die beiden Dinge zusammenzubringen. Ist das denn so wichtig? Du redest halt einfach lieber über Kerberos, obwohl ich nach 2FA gefragt habe. Schließt denn das eine das andere aus? Vermutlich weißt du es selber nicht.

Wir hätten eine Diskussionsgrundlage, wenn ich mit 2FA an anderer Stelle auf Sicherheit verzichten müsste, aber ich sehe nicht wo und du wirst an der Stelle auch nicht konkret. Bisher habe ich nur verstanden, dass du 2FA nicht magst und meine Kompetenz in Frage stellst, weil ich Kerberos nicht mit 2FA in Verbindung bringen kann. Ich weiß, was Kerberos ist, wie es im Prinzip funktioniert, aber was muss ich noch wissen, um 2FA auch schlecht zu finden? Sorry, aber ich muss keine Bachelorarbeit über Kerberos schreiben, sondern eine Passwortrichtlinie.

Danke, aber ich bin nicht daran interessiert, missioniert zu werden. Wenn du Fakten beisteuern kannst, kannst du das gerne tun, aber dann ohne persönlich zu werden. An deinen Ideologien bin ich nicht interessiert.

5 „Gefällt mir“

Moin, gibt es RSA SecureID noch On-Prem?

@Cyberduck da gibt es z.B. privacyIDEA

Hinweis: Ich arbeite für die Firma die Support und Beratung für privacyIDEA anbietet und es kontinuierlich weiterentwickelt. Wir haben auch einen CredentialProvider, der sich in die Authentifizierung von Windows einhängt.

1 „Gefällt mir“

Auch geeignete Passwörter, die nicht wiederverwendet werden, können in falsche Hände geraten. Und dann kann ein zweiter Faktor der entscheidende Unterschied sein, oder was verstehe ich falsch?

wie? an welches Angriffsszenario denkst Du?

Auf Anhieb fällt mir ein:

  • ein erfolgreicher Phishing-Angriff
  • ein kompromittiertes Endgerät, auf dem das Passwort eingegeben wurde
  • Eine Kompromittierung der Passwort-Management-Lösung, der das Passwort anvertraut wurde

Selbst wenn mir keine Szenarien einfallen würden, würde ich daraus nicht schließen, dass keine existieren. Selbstüberschätzung ist ein Feind von IT-Sicherheit.

1 „Gefällt mir“

Kann, muss man nicht so sehen.
Meine Philosophie ist eher Konsequenz aka Disziplin.

kann ich ausschließen. Wenn eine Mail nach einem Passwort fragt, ist es in meiner Infrastruktur definitiv Phishing. Ich empfehle auch allen Kunden, auf Single-Sign-On statt auf Passworteingaben zu setzen. Leider nehmen das nicht alle Kunden ernst.

Ist noch nicht vorgekommen, aber kann man nie ganz ausschließen. Allerdings ist dann völlig unklar auf was die Malware Zugriff hat und ob da nicht die Shared-Secrets auch gleich kompromittiert sind (halte ich für sehr wahrscheinlich wenn es ein gezielter Angriff ist). Dann hat man noch größere Probleme als wenn irgendein externer Account kompromittiert ist. Und Du müsstest für alle Accounts prüfen, wie gut der Notfallplan des Anbieters ist.

Ein weiteres Angriffsszenario:

  • Jemand trägt die (schlecht geschützte) Passwort-Datenbank beim Anbieter raus.

Genau deshalb sollte der zweite Faktor ja auf einem anderen Gerät sein.

Ihr könnt machen was Ihr wollt, ich halte das für beschwerlich und entbehrlich.
Meine Passwort-Datenbank liegt aber auch bei mir zuhause und nicht bei Anbietern.

Die Strategie des Verzichts auf MFA kann er ruhig als Einzelkämpfer praktizieren. Er wird schon wissen, was er tut. Wenn man aber für 600 Leute mit unterschiedlichem Erfahrungsniveau mitdenken muss, sieht die Sache schon anders aus. Wenn man dann noch Richtlinien und Compliance-Vorgaben anderer Institutionen beachten muss, deren Dienste mit hohem Schutzbedarf klassifiziert sind und die ein entsprechendes Schutzniveau einfordern, kommt man sowieso nicht mehr aus. Da erübrigt sich jede Diskussion und wenn man dann auch noch für blöd verkauft wird, sowieso.

3 „Gefällt mir“

Gebe Dir Recht, nur dass Compliance und Sicherheit oft nicht übereinstimmen. Klassisches Beispiel die inzwischen historische Anforderung, alle drei Monate das Passwort zu ändern.

Diese Anforderung ist wirklich historisch. Das BSI hat das inzwischen geändert und empfiehlt den Wechsel von Passwörtern nicht mehr explizit, wenn die Komplexitätsrichtlinien angepasst werden und Maßnahmen zur Erkennung der Kompromittierung von Passwörtern getroffen werden (ORP.4.A23). Genau das wurde bei einem Audit bemängelt und ist der Grund, warum wir unsere Passwortrichtlinie überarbeiten. By the way, MFA wird in ORP.4.A10 und ORP.4.A21 geregelt. Zur Info: SOLL wird zu MUSS, wenn es technisch umsetzbar ist…

das nenne ich Selbstüberschätzung.
Und selbst wenn das wahr wäre: Es geht hier nicht um Deine Infrastruktur. Es geht um die Infrastruktur von @Cyberduck, und um die all derer, die sich durch diesen Thread Erkenntnisgewinn erhoffen. Du kannst gerne schreiben, dass Du Deine Infrastruktur so gebaut hast, dass Dir 2FA keinen Mehrwert bietet. Aber

ist schlichtweg falsch.

und kann deshalb nicht rausgetragen werden? Siehe oben.

2 „Gefällt mir“

Du zeigst eigentlich nur, dass Du Dir nicht vertraust, möglicherweise zu Recht.
Ich vertraue mir, meinem Wissen und meiner Disziplin, und das sowohl bei MFA als auch bei Viren oder Phishing. Ich habe „I love you“ vor 25 Jahren ungelesen gelöscht. Ich archiviere Phishing-Mails die ich der Move-It-Lücke verdanke, aber auf die Links clicke ich nicht.

die Festplatte schon. Der normale Einbrecher wird sie verkaufen, aber nicht an die Schlüssel rankommen. Und ja, ich habe außer-Haus-Backups, auch die verschlüsselt.

Der Grundschutz verlangt an vielen Stellen zu wenig und an einigen auch Unsinn. Einen roten Faden liefert er nicht. MFA ist eine Lösung, weil es in Organisationen Leute gibt, die sich nicht an Regeln halten. Abmahnen und Entlassen wäre die richtige Lösung. Oder den Notnagel auch so benennen und nicht die anderen für dumm verkaufen.