Offline-Sicherheits-Blog

Windows-MFA, die auch offline funktioniert: Absicherung von Windows-Anmeldungen mit dem OpenOTP-Anmeldeinformationsanbieter

Produktaktualisierung

Windows MFA, das offline funktioniert: Stärkung von Windows-Anmeldungen mit OpenOTP Credential Provider

Die Sicherheit bei der Windows-Anmeldung wird oft als netzwerkabhängige Kontrollmaßnahme betrachtet. Benutzer authentifizieren sich bei einer Domäne, die MFA wird gegen ein Backend überprüft, und der Zugriff wird nur gewährt, wenn der Endpunkt den Authentifizierungsdienst erreichen kann. Dieses Modell funktioniert innerhalb des Unternehmensnetzwerks gut, schafft jedoch eine erhebliche Sicherheitslücke für mobile Benutzer, gemeinsam genutzte Arbeitsplätze, Zweigstellen, Remote-Mitarbeiter und Administratoren, die sich über RDP verbinden.

Das OpenOTP-Anmeldeinformationsanbieter für Windows schließt diese Lücke, indem es die RCDevs-OpenOTP-Authentifizierung direkt in den Windows-Anmeldeprozess integriert. Es erweitert Windows-Sitzungen um Multi-Faktor-Authentifizierung (MFA), unterstützt mehrere Authentifizierungsmethoden und lässt sich in zentralisierte WebADM-Richtlinien, und kann fortfahren Durchsetzung der MFA auch dann, wenn der Arbeitsplatzrechner offline ist oder der OpenOTP-Dienst ist vorübergehend nicht erreichbar.

Sichern des Windows-Zugangs am Anmeldebildschirm

Der OpenOTP Windows Credential Provider integriert OpenOTP MFA in die native Windows-Authentifizierung. Nach der Installation können Benutzer je nach Konfiguration der Organisation bei der Windows-Anmeldung, der Remote-Desktop-Authentifizierung, bei CredUI-/UAC-Berechtigungserweiterungen sowie beim Smartcard-basierten Zugriff zur Eingabe eines zweiten Authentifizierungsfaktors aufgefordert werden. Administratoren können zudem spezifische Client-IDs für LogonUI-, CredUI- und RDP-Szenarien definieren, wodurch unterschiedliche OpenOTP-Richtlinien auf verschiedene Windows-Zugriffskontexte angewendet werden können.

Dies bietet IT-Teams eine eine einheitliche Methode zum Schutz wichtiger Windows-Zugriffspunkte, darunter:

  • Arbeitsplatz freischalten
  • privilegierte Eingabeaufforderungen
  • Server-Anmeldungen
  • und Remote-Desktop-Sitzungen

Anstatt sich ausschließlich auf Passwörter zu verlassen, können Unternehmen OTP, Push-Benachrichtigungen auf Mobilgeräten, Smartcards, FIDO2-Sicherheitsschlüssel oder andere von OpenOTP unterstützte Authentifizierungsmethoden vorschreiben.

Hauptfunktionen des OpenOTP Credential Provider für Windows

Der OpenOTP-Anmeldeinformationsanbieter wurde für Windows-Unternehmensumgebungen entwickelt, in denen Sicherheit, Flexibilität und Betriebskontinuität von entscheidender Bedeutung sind.

Mehrstufige Authentifizierung bei der Windows-Anmeldung: Benutzer können sich mit ihren Windows-Anmeldedaten authentifizieren und anschließend die MFA mittels OTP, Push-Benachrichtigung, FIDO2 oder Smartcard-basierter Authentifizierung abschließen.

Remote-Desktop-Support: OpenOTP kann die RDP-Authentifizierung schützen und bietet eine spezielle Konfiguration der RDP-Client-ID zur Richtliniensteuerung. FIDO2-Sicherheitsschlüssel werden ebenfalls für die RDP-Authentifizierung über Windows Hello unterstützt, sofern kompatible Windows-Versionen und eine entsprechende Konfiguration des Microsoft Remote Desktop-Clients vorhanden sind.

Anmeldung per Smartcard mit optionaler zusätzlicher MFA: Unternehmen, die Smartcards einsetzen, können nach einer erfolgreichen Smartcard-Anmeldung einen weiteren OpenOTP-Faktor hinzufügen und so den zertifikatsbasierten Windows-Zugriff weiter absichern.

Offline-Authentifizierung Benutzer können sich weiterhin per MFA gesichert bei Windows anmelden, wenn die Workstation OpenOTP nicht erreichen kann, indem sie unterstützte Offline-Methoden wie OpenOTP Token, FIDO2-Schlüssel und ab OpenOTP-CP Version 3.0.15 die Offline-Smartcard-Anmeldung verwenden.

Direktanmeldung: Ab Version 4.0.0.0 des OpenOTP-Credential-Providers können sich Benutzer, die noch kein token registriert haben, bei ihrer ersten Windows-Anmeldung über die Selbstregistrierungskomponente registrieren.

Ereignisbeobachter Der optionale Event-Watcher-Dienst kann Windows-Ereignisprotokolle erfassen, die sich auf mit OpenOTP authentifizierte Sitzungen beziehen, und diese an WebADM senden. Standardmäßig erfasst er Anmelde- und Abmeldeereignisse und kann mithilfe von XPath-Regeln für eine gezieltere Ereigniserfassung konfiguriert werden.

Sitzungssperrsteuerung: Durch die Kombination von Event Watcher und OpenOTP Badging können Sitzungen gesperrt werden, wenn die WebADM-Sitzung abläuft, wenn sich ein Benutzer über die OpenOTP-Token-Anwendung abmeldet oder wenn der Windows-Rechner den OpenOTP-Dienst nicht mehr erreichen kann.

Zentrale Richtlinienverwaltung: Durch WebADM und OpenOTP Client Policies können Administratoren unterschiedliche Regeln für lokale Anmeldungen, RDP und CredUI/UAC-Szenarien anwenden.

Flexibler Einsatz: Der Credential Provider kann manuell installiert oder mithilfe von MSI-Parametern stummgeschaltet bereitgestellt werden, wodurch er sich für große Workstation- und Server-Flotten eignet.

Unterstützung für Domain-, Arbeitsgruppen- und Entra-ID-Szenarien: Der Anmeldeinformationsanbieter unterstützt Domänen-verbundene Computer, Arbeitsgruppencomputer und Entra ID-verbundene Computer, wobei zusätzliche Konfigurationsmöglichkeiten für die Entra ID-Identitätszuordnung verfügbar sind.

Das Merkmal, das bei einem Netzwerkausfall zählt: Offline-MFA

Offline-Kapazität ist einer der wichtigsten Unterscheidungsmerkmale des OpenOTP Credential Provider für Windows.

Bei vielen MFA-Lösungen stellt der Verlust der Netzwerkverbindung eine schwierige Entscheidung dar: Entweder wird der Benutzer vollständig gesperrt oder es wird auf eine Anmeldung nur per Passwort zurückgegriffen. Keine der beiden Optionen ist ideal. Die Sperrung von Benutzern stört den Geschäftsbetrieb, während der Rückgriff auf die reine Passwortanmeldung das Sicherheitsmodell genau dann schwächt, wenn Transparenz und Kontrolle möglicherweise bereits eingeschränkt sind.

OpenOTP bietet einen besseren Weg. Wenn der Offline-Modus aktiviert und korrekt vorbereitet ist, können Windows-Benutzer sich weiterhin mit MFA anmelden, auch wenn der Endpunkt keine Verbindung zum OpenOTP-Backend herstellen kann. Der Credential Provider schaltet automatisch in den Offline-Modus, wenn der OpenOTP-Dienst nicht erreichbar ist. Je nach Authentifizierungsmethode kann der Benutzer einen QR-Code mit der OpenOTP Token-Anwendung scannen, um einen OTP zu generieren, oder sich mit einem FIDO2-Schlüssel authentifizieren.

Das ist besonders wertvoll für:

  • Mitarbeiter auf Dienstreisen, die Laptops ohne Internetzugang nutzen.
  • Remote-Mitarbeiter, die Windows entsperren müssen, bevor sie sich mit dem VPN verbinden.
  • Zweigstellen mit instabilen WAN-Verbindungen.
  • Gemeinsam genutzte Arbeitsplätze, an denen die MFA weiterhin vorgeschrieben ist.
  • Administratoren, die bei Netzwerkstörungen einen sicheren Zugriff auf Server benötigen.
  • Umgebungen, in denen die Rückkehr zur reinen Passwortanmeldung nicht akzeptabel ist.

Wie die Offline-Authentifizierung funktioniert

Offline-Anmeldung erfordert zuerst eine erfolgreiche Online-Anmeldung. Diese Online-Anmeldung bereitet den Offline-Status für diesen spezifischen Benutzer auf diesem spezifischen Windows-Computer vor. Bei gemeinsam genutzten Computern muss sich jeder Benutzer auf jedem Computer, auf dem die Offline-Authentifizierung verfügbar sein soll, mit einer Online-Anmeldung anmelden. (RCDevs | Dokumentationszentrum)

Sobald der Offline-Zustand verfügbar ist, bleibt die Benutzererfahrung unkompliziert. Der Benutzer gibt seine Windows-Anmeldeinformationen ein. Wenn der Anmeldeinformationsanbieter OpenOTP nicht erreichen kann, startet er automatisch den Offline-Flow. Mit OpenOTP Token, der Benutzer scannt den angezeigten QR-Code und gibt die generierte OTP ein. Mit FIDO2 authentifiziert sich der Benutzer mit dem Sicherheitsschlüssel.

Wir müssen auch feststellen mehrere wichtige operative Punkte:

  • ein kompatibles token muss bereits registriert sein,
  • Für die Offline-Nutzung mit der OpenOTP Token-Anwendung ist die Push-Registrierung erforderlich.,
  • und alle registrierten FIDO2-Schlüssel können offline funktionieren, solange nur ein Schlüssel während der Authentifizierung angeschlossen ist.

Für Domänen-verbundene Maschinen überprüft Windows weiterhin lokal das Benutzerkennwort, sodass die Richtlinie für zwischengespeicherte Anmeldeinformationen es dem Benutzer erlauben muss, sich anzumelden, wenn der Domänencontroller nicht verfügbar ist.

In der Praxis bedeutet dies, dass die Offline-Mehrfaktorauthentifizierung kein verschlechterter Sicherheitsmodus ist. Es handelt sich um eine Kontinuitätsfunktion, die es Organisationen ermöglicht, die MFA-Durchsetzung bei fehlender Konnektivität aktiv zu halten.

Inline-Registrierung: MFA-Onboarding direkt nach der Windows-Anmeldung

Starke Authentifizierung funktioniert nur in großem Maßstab, wenn die Einschreibung einfach ist. Der OpenOTP Credential Provider unterstützt jetzt Inline-Registrierung bei dem ersten Anmeldeversuch für Benutzer, die die erforderliche OTP-Methode noch nicht verfügbar haben.

Wenn OpenOTP feststellt, dass ein Benutzer kein registriertes token hat, kann auf dem Windows-Anmeldebildschirm eine Anmeldetoken Schaltfläche nach der Validierung von Benutzername und Kennwort. Der Benutzer wird dann durch eine Webansicht in die Self-Registration-Anwendung für Benutzer geleitet, wobei die verfügbaren Registrierungsoptionen von der Self-Registration-Konfiguration des Unternehmens abhängen.

Zu den unterstützten Inline-Registrierungsmethoden gehören Hardware-tokens, YubiKeys, Software-tokens wie OpenOTP Token, Google Authenticator und Microsoft Authenticator sowie FIDO2-Schlüssel für RDP-Szenarien.

Dadurch wird eine häufige Hürde bei der Einführung von MFA beseitigt. Anstatt von jedem Benutzer zu verlangen, sich vorab über ein separates Portal zu registrieren, bevor Windows MFA erzwungen werden kann, können Unternehmen die Benutzer direkt während des Windows-Anmeldevorgangs durch die token-Registrierung führen. Das Ergebnis ist ein reibungsloserer Ablauf bei der ersten Anmeldung, weniger Helpdesk-Anfragen und eine schnellere Einführung von MFA auf allen Windows-Endgeräten.

Entwickelt für Unternehmens-Windows-Umgebungen

Über die Authentifizierung selbst hinaus bietet der OpenOTP Credential Provider die Bereitstellungs- und Steuerungsfunktionen, die Administratoren in Produktionsumgebungen benötigen.

Der Installer unterstützt die automatische und manuelle Konfiguration von WebADM/OpenOTP-URLs, die Verwaltung von CA-Zertifikaten, optionale Authentifizierung per API-Schlüssel oder Client-Zertifikat, Proxy-Einstellungen, die Konfiguration von SOAP-Timeouts sowie Serverauswahlrichtlinien wie sortierte, ausgewogene oder konsistente Weiterleitung.

Organisationen können auch das Anmeldeformular anpassen, einfache oder normale Anmelde-Layouts wählen, benutzerdefinierte Anmeldebildelemente hinzufügen, die Erstellung lokaler Konten für Nicht-Domänen-Szenarien konfigurieren und Meldungen des Anmeldeinformationsanbieters übersetzen oder anpassen.

Für große Bereitstellungen unterstützt das MSI-Paket eine stille Installation mit Konfigurationsparametern, die es IT-Teams ermöglicht, den OpenOTP Credential Provider ohne Benutzerinteraktion auf vielen Windows-Clients auszurollen.

Ein stärkeres Modell für die Windows-Anmeldesicherheit

Der Windows-Zugang ist zu wichtig, um sich nur auf Passwörter zu verlassen. Er ist auch zu wichtig, um von einer perfekten Netzwerkverfügbarkeit abhängig zu sein. Der OpenOTP Windows Credential Provider gibt Unternehmen ein widerstandsfähigeres Modell an die Hand: zentralisierte MFA bei Online-Verbindung, fortlaufende MFA-Durchsetzung bei Offline-Verbindung, flexible Authentifizierungsmethoden, starke Unterstützung für RDP und Smartcards, Ereignissichtbarkeit und benutzerfreundliche Inline-Authentifizierung Einschreibung.

Für Organisationen, die Windows-Workstations, Server, gemeinsam genutzte Computer und den Remote-Desktop-Zugriff sichern, bringt OpenOTP Windows Credential Provider MFA näher an den Zugriffspunkt: die Windows-Anmeldebildschirm selbst.

DE