Durchsetzung von MFA bei der Windows-Anmeldung: lokale Endpoints, virtuelle Desktops und Server 

Silverfort Bild
Silverfort_PAS_Blog_5 (1)
Inhaltsverzeichnis

Diesen Beitrag teilen:

Wissen Sie, wie viele Windows-Anmeldeauthentifizierungen täglich stattfinden? Hunderttausende Mitarbeiter weltweit nutzen diese Funktion, um täglich auf ihre Laptops, Desktops und virtuellen Umgebungen zuzugreifen und Arbeitsvorgänge durchzuführen. Trotz der weit verbreiteten Einführung von Multi-Faktor-Authentifizierung Authentifizierungs- (MFA) für Cloud-Anwendungen bleibt diese kritische Ebene oft ungeschützt. 

Obwohl diese Sicherheitsherausforderung bekannt ist, liegt der wahre Grund darin, wie schwierig es ist, MFA in verschiedenen Umgebungen. Native Lösungen wie Windows Hello for Business können zusätzliche Infrastruktur erfordern, während viele virtuelle Desktop-Plattformen oft keine integrierte MFA-Unterstützung bieten. In OT- und Remote-Umgebungen kann die Durchsetzung von MFA aufgrund eingeschränkter Konnektivität oder der fehlenden Möglichkeit, mobile Geräte zu nutzen, noch schwieriger sein. 

In diesem Blog untersuchen wir, warum die Durchsetzung MFA für Windows Die Anmeldung ist so anspruchsvoll und wie Silverfort Die Lösung zur Windows-Anmeldung hilft, diese Lücken zu schließen.

Bevor mit der Arbeit begonnen wird: Der erste Schritt ist die Windows-Anmeldung 

In Organisationen gibt es normalerweise zwei Haupttypen der Windows-Anmeldung: die lokale Windows-Anmeldung und die virtuelle Desktop-Anmeldung: 

Lokale Windows-Anmeldung 

Dabei handelt es sich um den Vorgang der direkten Anmeldung bei einem einzelnen Windows-Computer, entweder über aus einer regionalen oder domänenbasiertes Konto. Es wird häufig auf Einzelgeräten, Arbeitslaptops, gemeinsam genutzten Terminals im Einzelhandel oder Gesundheitswesen sowie Computern in OT-Umgebungen verwendet.  

Diese Maschinen arbeiten oft außerhalb der Sichtbarkeit zentralisierter Identitätssysteme, einschließlich Active Directory (AD) oder moderne IdPs. Infolgedessen ist die MFA-Durchsetzung höchst inkonsistent, insbesondere bei lokalen Konten, die mit keiner Domäne verbunden sind, wodurch diese Rechner der Gefahr einer Kompromittierung der Anmeldeinformationen ausgesetzt sind.  

Anmeldung am virtuellen Desktop 

Bei diesem Vorgang authentifizieren sich Benutzer in virtuellen Umgebungen wie Azure Virtual Desktop, Citrix oder RDP-Sitzungen (Remote Desktop Protocols). Obwohl diese Umgebungen zentral verwaltet werden, basiert der anfängliche Anmeldevorgang weiterhin auf der Windows-Authentifizierungsebene, bevor eine MFA stattfindet.  

Viele virtuelle Desktop-Infrastrukturen unterstützen derzeit keine native MFA. Dadurch entsteht eine Sicherheitslücke, die Angreifer beim Fernzugriff ausnutzen können. Ohne die Durchsetzung von MFA sind Unternehmen kritischen Daten und Anwendungen für Angreifer schutzlos ausgeliefert, die sich von nicht verwalteten oder externen Geräten aus verbinden. 

Warum die Durchsetzung von MFA für die Windows-Anmeldung nicht so einfach ist 

Die Durchsetzung von MFA über die Windows-Anmeldung mag zwar einfach erscheinen, ist in der Praxis aber mehr als nur eine technische Häkchensetzung für Sicherheitsteams. Während SaaS-Anwendungen, Cloud-Workloads und VPNs mit zentralen Identitätsanbietern (IdPs) geschützt werden können, bleibt die Windows-Anmeldung oft unbeachtet – unüberwacht und ungeschützt.  

Im Gegensatz zu Cloud-Anwendungen, die auf zentralisierten SSO-Plattformen basieren, erfolgt die Windows-Anmeldeauthentifizierung auf Endpunktebene, wobei die Durchsetzung und Sichtbarkeit von MFA von der zugrunde liegenden Infrastruktur abhängt. In vielen Fällen, insbesondere bei lokalen oder Offline-Rechnern, erschwert dies Sicherheitsteams die Anwendung konsistenter Richtlinien oder die Nachverfolgung von Authentifizierungsaktivitäten. 

Es führt zu einer Reihe neuer Herausforderungen, basierend auf zusätzliche Infrastrukturanforderungen, fehlende native Unterstützung für virtuelle Umgebungenund die Realität von Offline-BenutzerszenarienAngesichts dieser Risiken suchen Angreifer häufig nach der Präsenz der Windows-Anmeldeauthentifizierung in der Umgebung, um Anmeldeinformationen zu kompromittieren und beginnen, sich seitlich zu bewegen mit Privilege-Escalation-Angriffe danach. 

Sehen wir uns genauer an, warum der Schutz der Windows-Anmeldung mit MFA schwieriger ist, als es scheint. 

  1. Zusätzliche Infrastrukturanforderungen: ein Hindernis für die Bereitstellung 

Der Schutz der Windows-Anmeldung mit MFA erfordert häufig die Bereitstellung zusätzlicher Infrastruktur, darunter zertifikatbasierte Authentifizierung, Public-Key-Infrastruktur (PKI) oder die Registrierung biometrischer Geräte. Diese Komponenten erhöhen die Komplexität der Einrichtung und schränken die Skalierbarkeit von MFA in unterschiedlichen Umgebungen ein. Für Unternehmen mit begrenztem Personal oder ohne vorhandene Zertifikatsinfrastruktur wird dies zum Engpass, der die MFA-Durchsetzung verzögert oder ganz verhindert. Infolgedessen bleibt eine kritische Authentifizierungsebene ungeschützt, da Kosten und Aufwand der Bereitstellung zu hoch sind. 

  1. Fehlende native Unterstützung in virtuellen Umgebungen: eine Sicherheitslücke für den Fernzugriff 

In virtuellen Desktop-Umgebungen fehlt die MFA-Durchsetzung oft bereits auf der ersten Identitätsebene. Diese Plattformen unterstützen MFA möglicherweise erst später, beispielsweise beim Anwendungszugriff oder beim Sitzungsaufbau. Dies schafft einen blinden Fleck, in dem sich Benutzer ohne zusätzliche Überprüfungen am Desktop authentifizieren können. Für Angreifer stellt dies eine kritische Lücke in Remote-Access-Szenarien dar, die eine kompromittierte Nutzung von Anmeldeinformationen ermöglicht oder lateraler Bewegung ausnutzen ohne MFA-Trigger. 

  1. Offline- und OT-Umgebungen: keine Konnektivität, keine MFA 

In vielen Unternehmen arbeiten Windows-Rechner in Umgebungen mit eingeschränkter Netzwerkkonnektivität. Dazu gehören OT-Systeme in Fabriken, industriellen Kontrollräumen, Lagerhallen und Außenstellen. In diesen Umgebungen können Mitarbeiter keine herkömmlichen MFA-Methoden, einschließlich Push-Benachrichtigungen, nutzen. Dadurch bleiben Windows-Anmeldeauthentifizierungen völlig ungeschützt und unbeobachtet, wodurch kritische Ressourcen gefährdet sind.  

Diese Herausforderungen lassen die Windows-Anmeldeebene ungeschützt und machen sie zu einem Hauptziel für Identitätsbasierte Angriffe. Deshalb ist die Durchsetzung von MFA auf dieser Ebene für viele Organisationen nicht mehr optional. Cyber-Versicherungspolicen und Compliance-Frameworks, wie CJIS, erfordern jetzt eine sichere Authentifizierung auf Maschinenebene, um vertrauliche Daten zu schützen. 

Wie Silverfort erweitert MFA für die Windows-Anmeldung 

Silverfort ermöglicht es Unternehmen, MFA in allen Arten von Windows-Anmeldeszenarien durchzusetzen, ohne dass zusätzliche Infrastruktur in der Umgebung bereitgestellt werden muss. Durch direkte Integration auf der Ebene des Authentifizierungsprotokolls, Silverfort wendet MFA in Echtzeit sowohl auf domänenbasierte als auch auf lokale Authentifizierungen an, sei es auf einem physischen Gerät, einer virtuellen Maschine oder einem Offline-System. 

Lassen Sie uns untersuchen, wie Silverfort hilft Organisationen bei der Bewältigung verschiedener Anwendungsfälle der Windows-Anmeldeauthentifizierung. 

Erzwingen von MFA für lokale Windows-Endpunkte 

Silverfort für Windows Logon (S4WL) bietet Zugriffskontrolle und Echtzeit-Risikoanalyse für alle Windows-Endpunkte, um Benutzern die Authentifizierung bei der Domäne des lokalen AD oder Microsoft zu ermöglichen Entra IDWenn ein Benutzer versucht, sich anzumelden, Silverfort wertet die Anfrage über seine Policy Engine aus und kann eine Push-Benachrichtigung auslösen über Entra ID, wodurch sichergestellt wird, dass die Identität des Benutzers überprüft wird, bevor der Zugriff gewährt wird. 

Video: Beispiel für die Windows-Anmeldeauthentifizierung am lokalen Endpunkt mit Silverfort Auslösen einer Push-Benachrichtigung über Entra ID. 

Schützen der Anmeldung am virtuellen Desktop 

Silverfort sichert RDP-Sitzungen durch die Erzwingung von MFA direkt in der Windows-Anmeldeebene. In dieser Konfiguration wird ein Benutzer beim Aufbau einer RDP-Verbindung zur Eingabe eines Einmalpassworts (OTP) aufgefordert. Dies bietet eine zusätzliche Identitätsprüfung, bevor der Zugriff auf Remotecomputer oder -server gewährt wird. 

Video: Beispiel für RDP-Sitzungsschutz auf der Windows-Anmeldeebene mit Silverfort Auslösen eines OTP. 

Sicherung von Offline- und OT-Umgebungen 

In Umgebungen, in denen die Internetverbindung eingeschränkt oder nicht verfügbar ist, wie z. B. OT-Systeme in Fabriken oder an Außenstandorten, Silverfort unterstützt die Offline-Anmeldung bei Windows, indem Authentifizierungsversuche lokal ausgewertet werden und Benutzer aufgefordert werden, sich mit einem FIDO2-Hardware-Token oder einem TOTP-Code zu authentifizieren. 

Video: Beispiel für den Offline-Authentifizierungsprozess bei Windows mit Silverfort Eingabeaufforderung für FIDO2-Hardware-Token.

Identitätsbasierte Angriffe bereits bei der ersten Anmeldung verhindern 

Die Windows-Anmeldung ist einer der häufigsten ersten Zugriffspunkte in Unternehmen. Ohne Schutz auf dieser kritischen Ebene können Angreifer Anmeldeinformationen leicht ausnutzen, um sich unbemerkt seitlich zu bewegen und Berechtigungen zu erweitern. Silverfort hilft, diesen blinden Fleck zu schließen, indem strenge MFA-Kontrollen im Anmeldeauthentifizierungsprozess erzwungen werden. Mit durchgängiger Transparenz bei jedem Authentifizierungsversuch und richtlinienbasierter Zugriffskontrolle, Silverfort kann Sicherheitsteams endlich dabei helfen, identitätsbasierte Angriffe zu verhindern. 

Möchten Sie Ihre Windows-Anmeldeauthentifizierungen sichern? Vereinbare einen Termin mit einem unserer Experten, um zu sehen, wie Silverfort kann Ihnen helfen, Ihre Umgebung zu sichern. 

Wir haben Identity Security auf ein neues Level gehoben.

Entdecken Sie, was möglich ist.

Vereinbaren Sie eine Demo und erleben Sie die Silverfort Identity-Security-Plattform in Aktion.

Demo anfragen
neuer Held (1)

Silverfort übernimmt Fabrix Security

Bereitstellung autonomer Identitätssicherheit zur Laufzeit

Pionierarbeit bei der Entwicklung der ersten autonomen Laufzeit-Zugriffskontroll-Engine, die alle menschlichen, maschinellen und agentenbasierten Identitäten mithilfe von tiefgreifendem Kontext und der Geschwindigkeit von KI schützen soll.

Holen Sie sich die ganze Geschichte