Wir nutzen matomo zur anonymisierten Reichweitenerfassung. Mehr Informationen, sowie eine Option zum Opt-out, erhalten Sie in unserer Datenschutzerklärung.

magBLOG

Passwortloses Arbeiten in der Domäne und in der Cloud

Wer kennt es nicht oder hat schon einmal davon gelesen? Passwort-Leaks etc.

Passwörter sind in der jetzigen Form leider kein wirklicher Garant für Sicherheit.

Im Gegenteil: Passwörter sind für Mitarbeiter oft ein Graus. Man muss sich für viele verschiedene Systeme und Zugänge unterschiedliche Kennwörter merken, sie regelmäßig wechseln und zu guter Letzt sollten sie durch alphanumerische Kombinationen auch noch sicher sein und für jedes System bestenfalls ein anderes Passwort verwenden.

Hand aufs Herz: Welches Unternehmen kann sicher sagen, dass jeder Mitarbeiter diese Regeln befolgt?

Führende Anbieter haben bereits erkannt, dass Passwörter allein nicht sicher sind und stellen zusätzlich eine 2-Faktor- oder Multi-Faktor-Authentifizierung bereit.

Doch auch bei der Umsetzung der 2-Faktor-Authentifizierung ergeben sich besondere Herausforderungen für Unternehmen. So kann diese Funktion z. B. für den Windows-Login ohne Zusatz-Software überhaupt nicht genutzt werden oder der User benötigt erst mal Kenntnis darüber, dass eine 2-Faktor-Authentifizierung überhaupt existiert und wie diese angewendet wird.

Lange Rede, kurzer Sinn: Die Verwendung von Passwörtern ist nicht nur nervig für die Mitarbeiter, sondern auch nicht sicher genug und sollte abgeschafft werden.

Sie glauben nicht, dass das geht? Doch das funktioniert mit Windows Hello for Business.

Was ist Windows Hello for Business genau?

Im Wesentlichen kann man es mit der Quadratur des Kreises vergleichen:

Es handelt sich um eine sicherere Anmeldemethode, die keine Passwörter nutzt und prinzipiell nicht angegriffen werden kann – zumindest nicht so, wie man es mit Kennwörtern praktizieren kann.

Wie wird dies erreicht? Nun, zunächst muss ein Ersatz für den Anmeldevorgang gefunden werden.

Apple hat es bereits vorgemacht und andere ziehen nach: die Biometrie.

Nun ist es aber nicht so, dass das Kennwort mit Biometrie geschützt wird, sondern der Anmeldevorgang an sich. Zunächst muss man sich kurz vor Augen führen, wie üblicherweise eine Anmeldung in einer Windows-Domäne aussieht. Es gibt einen Benutzernamen und ein dazu gespeichertes Kennwort. Wenn der User sich anmelden möchte, tippt er das Kennwort ein. Windows nimmt dieses Kennwort, hasht es und sendet es an den Anmeldeserver. Dieser prüft, ob der Hashwert mit dem übereinstimmt, der in der Active-Directory-Datenbank hinterlegt ist. Ist das der Fall, dann wird die Anmeldung freigegeben und es werden die im AD (Active Directory) verwendeten Kerberos-Tickets erstellt und an den Client weitergegeben.

Hierbei gibt es einen entscheidenden Angriffsvektor: Besitzt ein Angreifer ein Kennwort und einen Nutzernamen, kann er versuchen, diese Zugangsdaten auch auf anderen Systemen anzuwenden, um ausfindig zu machen, was man damit noch erreichen kann – vielleicht sogar auf anderen Plattformen, da viele User ihre Kennwörter mehrfach wiederverwenden.

Wie funktioniert Windows Hello for Business und was macht es um so viel sicherer als ein Kennwort?

Zunächst einmal zur Funktionsweise für die lokale Domänenumgebung:

Wenn man Windows Hello for Business als User einrichtet, muss man erst mal eine starke Authentifizierung durchführen. Das bedeutet: Der User muss neben dem Benutzernamen und dem Kennwort eine Multifaktor-Lösung eingerichtet haben. Dies verhindert vorab schon mal, dass ein Angreifer sich selbst für diese Methode registriert.

Sobald sich der User nun mit Benutzernamen und Kennwort registriert hat und die starke Authentifizierung durchgeführt hat, muss der User noch eine PIN festlegen, die mindestens zwischen 6-8 Zeichen lang sein sollte.

Nach Eingabe der PIN registriert der User seine biometrischen Merkmale auf dem Computer.

Die Komplexität der PIN kann administrativ vorgegeben werden.

Während dieses Vorgangs wird in einem Sicherheits-Chip (dem TPM-Chip) eine Art Zertifikat gebildet, welches aus einem privaten und einem öffentlichen Teil besteht.

Der öffentliche Teil wird in das Nutzer-Objekt geschrieben und der private Teil verbleibt im TPM-Chip und kann nicht ausgelesen werden.

Wo liegt hierbei technisch der Unterschied und was sind die Vorteile?

Zunächst betrachten wir einmal die Anmeldung: Statt eines Kennwortes wird zukünftig der Computer nur den Public Key und einige Zusatzinformationen (welche beweisen, dass hier keine sogenannte Replay-Attacke gefahren wird) an die Domäne senden. Die Domäne entscheidet auf Grundlage der Public-Key-Infos, ob die Anmeldung zu genehmigen ist. Wenn ja, werden die benötigten Kerberos-Tickets ausgestellt und der Nutzer kann innerhalb der Domäne arbeiten.

Der Clou dabei ist: Keine der Informationen, die der User oder der Computer hat, kann verwendet werden, um die Domäne oder den Nutzer anzugreifen.

Die PIN ist gebunden an den Computer und ist nur eine zusätzliche Notfallmaßnahme, falls die Biometrie nicht funktionieren sollte.

Die gespeicherten biometrischen Merkmale sind auf anderen Computern nicht verwendbar, da diese auch im sicheren TPM-Speicher hinterlegt sind. Auf neuen Computern wird bei der Einrichtung wieder die starke Authentifizierung angefordert.

Für wen lohnt sich Windows Hello for Business?

Hier gibt es zwei Akteure.

Der User: Aus User-Sicht ist das Einloggen mittels Biometrie absolut einem Anmelden per Passwort vorzuziehen. Zudem muss das Kennwort auch nicht mehr regelmäßig geändert werden.

Für User ist diese Technologie viel komfortabler, da er sich weniger Gedanken um Kennwörter machen muss, sondern "einfach arbeiten kann".

Die Administratoren und die Security-Beauftragten: Auch hier lohnt es sich.

Es können keine Kennwörter mehr abgegriffen werden.

Dies betrifft sowohl die Eingabe selbst als auch die technischen Hilfsmittel, wie z. B. Keylogger oder durch schlechte Sicherheit im Netzwerk verwendete Protokolle, wie NTLM, die man heutzutage in Echtzeit brechen kann.

Auch Angriffsmethoden, wie sie in Tools, wie z. B. Mimikatz verwendet werden (NTLM Hashes stehlen oder Pass-the-Hash-Attacken), sind somit nicht mehr möglich.

In Kombination mit anderen Technologien, die Microsoft ebenfalls anbietet, gibt es weitere Möglichkeiten, um die Gesamtsicherheit im Unternehmen zu erhöhen.

So sichern Sie beispielsweise in Kombination mit Windows Credential Guard (Absichern gespeicherter Kennwörter, falls doch mal benötigt), Remote Credential Guard (RDP-Anmeldung ohne Kennwort), Microsoft Endpoint Manager (Verwaltungs-Software und Modern Device Management) und Azure Active Directory Ihre Domäne noch weiter vor typischen Angriffen ab, die auf Nachlässigkeiten bei der Passwortwahl oder auf typischen Angriffsszenarien (die Hashes der Kennwörter nutzen) basieren.


Schauen Sie sich im folgenden Tutorial einmal an, wie einfach der Diebstahl von Zugangsdaten vonstattengeht, sobald man erst mal Zugriff auf einen Rechner hat (remote oder physisch):

Attack Tutorial: Pass-the-Hash Attack Using Mimikatz

Diese Art von Angriffen ist bei korrekter Implementierung von Windows Hello for Business nicht mehr möglich.

Der Ansatz „passwortloses Arbeiten“ wird mit dieser Technologie auch in die Cloud erweitert.

Bei Nutzung des Azure Active Directories und der Verknüpfung mittels SAML, OAuth oder SCIM wird es der Organisation ermöglicht, Applikationen zu föderieren, somit dann auch in kompatiblen Web-Apps oder VPN-Anbietern der Single-Sign-On-Ansatz weitergeführt wird.

Auch hier kann man mittels geschickter Kombination von Azure Active Directory, Microsoft Azure MFA und Microsoft Endpoint Manager (ehemals Intune) erweiterte Prüfmöglichkeiten hinterlegen, wie beispielsweise „Zugriff nur für Computer zulassen, die alle Organisations-Richtlinien erfüllen“ oder „Zugriff nur aus Deutschland zulassen“ und vieles mehr.

Der Katalog bei Microsoft mit kompatiblen Applikationen umfasst etwas über 1550 Applikationen.

Andererseits kann jede App hinzugefügt werden, die SAML oder OAuth unterstützt.

Die Voraussetzungen für die Nutzung von Windows Hello for Business sind im Grunde human:

Client-Hardware:

  • TPM-Chip (mindestens 1.2, besser ab 2.0)
  • Biometrie-Hardware (Fingerabdrucksensor oder Windows-Hello-for-Business-Kamera (im Notebook integriert oder extern)

Software:

  • Windows 10 Pro (oder für erweiterte Sicherheit Enterprise)
  • Windows PKI (kann im Rahmen eines Projektes mit eingerichtet werden)
  • Mindestens 1x Windows Server 2016 Domain-Controller (oder höher) als Anmeldeserver
  • OATH-Token-Generator
    • Microsoft Authenticator (auf dem Smartphone) oder
    • Jeder x-beliebige OATH-TOTP Token-Generator

Lizenzen:

  • Azure AD (enthält auch Microsoft Azure MFA)

 

Die Zukunft wird passwortlos!

Dieser Trend wird sicherlich getrieben durch die private Nutzung, z. B. von Google als Identifizierungsprovider oder auch Apple mit seiner "Sign in with Apple"-Technologie. Gerade Mitarbeiter, die solche Technologien aus dem privaten Umfeld nutzen und kennen, erwarten solche Technologien auch im Arbeitsumfeld.

Dies hat auch Microsoft erkannt und man muss im Enterprise-Bereich nun auch nicht mehr auf den Komfort oder die erhöhte Sicherheit verzichten. Microsoft ist im Enterprise-Bereich der absolute Vorreiter, was das passwortlose Arbeiten in der Cloud, aber auch On-Premises angeht. Microsoft ist seit 2018 mit Komplettlösungen zum passwortlosen Arbeiten auf dem Markt vertreten.

Allerdings ist das durchgehende passwortlose Arbeiten in allen Applikationen eine Reise für sich, gerade wenn man noch viele klassische Applikationen im lokalen Umfeld nutzt – gerne begleiten wir Sie dabei!

Sprechen Sie uns an. Wir beraten Sie ergebnisoffen und haben bereits viele Kundenprojekte in diesem Bereich erfolgreich umgesetzt.

Mario Saternus

Cloud and Datacenter Services Specialist
magellan netzwerke GmbH

News

Das FERNAO-Netzwerk

Durch den Zusammenschluss der Unternehmen profitieren Kunden von ganzheitlichen IT-Lösungen aus einer Hand – professionell und spezialisiert auf Ihre Projekte abgestimmt.

Folgen Sie uns:
facebook twitter youtube linkedin xing instagram