Eine der größten Herausforderungen bei der Einführung von Cloud-Diensten ist die Ausweitung von Identitätsrichtlinien aus der lokalen Umgebung in die Cloud. In einer Active Directory (AD)-Umgebung könnte es verlockend sein, sich an Active Directory Federation Services (ADFS) zu wenden, die seit langem die Lösung für die Bereitstellung von Single Sign-On-Funktionen sind, mit denen sich Benutzer authentifizieren und auf Anwendungen zugreifen können, die ihnen sonst nur über Active Directory nicht zur Verfügung stehen würden, wie z.B. Azure und Microsoft 365.
Da jedoch Bedrohungsakteure weiterhin Cloud-Umgebungen ins Visier nehmen, ist es nur fair zu prüfen, ob ADFS die beste Lösung für Unternehmen ist, die hybride Umgebungen nutzen. ADFS ist zwar nicht von Natur aus unsicher, aber die Komplexität der richtigen Implementierung macht es anfällig für Angreifer. Wie der Angriff auf die Lieferkette von SolarWinds gezeigt hat, kann eine Schwachstelle in der lokalen Umgebung letztlich zur Kompromittierung des Azure AD-Mandanten führen. ADFS-Server sind nicht nur eine weitere Gruppe von physischen Servern, die verwaltet werden müssen, sondern vergrößern auch die Angriffsfläche, die Unternehmen schützen müssen.
Sogar Microsoft hat Unternehmen empfohlen, die Migration von ADFS in Erwägung zu ziehen, wie es in einem Blogbeitrag im Januar hieß : "Wenn Sie MFA und Conditional Access auf ältere lokale Anwendungen, einschließlich Header-basierter Anwendungen, ausweiten möchten, verwenden Sie Azure AD Application Proxy oder eine integrierte Lösung von einem unserer Partner für sicheren hybriden Zugang. Mit unseren Migrationstools können Sie die Authentifizierung aller Anwendungen modernisieren und Ihre ADFS-Implementierung in den Ruhestand versetzen. Dies wird dazu beitragen, Angriffe zu verhindern, die in lokalen Identitätssystemen besonders schwer zu erkennen sind."
Verwandte Lektüre
Eine Welt ohne ADFS
Um Unternehmen dabei zu helfen, alle ihre Anwendungen mit Azure AD zu verbinden, hat Microsoft die Password Hash Synchronization (PHS) und die Pass-through Authentication (PTA) eingeführt. Mit der Passwort-Hash-Synchronisierung können Active Directory-Administratoren einen Hash des lokalen AD-Passworts eines Benutzers mit Azure AD synchronisieren. Dadurch können Benutzer Dienste wie Microsoft 365 mit demselben Passwort nutzen, das sie auch für ihr lokales AD-Konto verwenden würden.
Die zweite Methode der verwalteten Authentifizierung für Azure AD ist die Pass-Through-Authentifizierung, bei der die Passwörter der Benutzer mit dem lokalen Active Directory des Unternehmens abgeglichen werden. Sie verwendet Authentifizierungsagenten in der lokalen Umgebung. Diese Agenten lauschen auf Anfragen zur Überprüfung von Passwörtern, die von Azure AD gesendet werden, und benötigen keine eingehenden Ports, die mit dem Internet verbunden sind, um zu funktionieren. Passwörter müssen in Azure AD nicht in irgendeiner Form vorhanden sein, wodurch ein potenzieller Angriffsvektor eliminiert wird. Darüber hinaus können auf Konten lokale Richtlinien wie z.B. das Ablaufen von Konten oder die Beschränkung der Anmeldezeiten angewendet werden. Damit die Pass-Through-Authentifizierung funktioniert, müssen die Benutzer mit Azure AD Connect aus dem lokalen Active Directory in Azure AD bereitgestellt werden.
Es gibt zwar immer noch Anwendungsfälle, in denen die Beibehaltung einer ADFS-Bereitstellung sinnvoll sein kann - wie z.B. die Verwendung von ADFS für die Authentifizierung von Benutzerzertifikaten -, aber für viele Unternehmen gibt es gute Gründe, sich von ADFS zu verabschieden. Durch den Einsatz von PHS und PTA können Unternehmen die Anzahl der Passwörter, die sich die Benutzer merken müssen, reduzieren. Dies ist jedoch nur einer der Vorteile, die sich aus der Migration ergeben können. ADFS ist komplex in der Bereitstellung und erfordert physische Hardware, die gewartet werden muss. Wenn ein ADFS-Server nicht mit den neuesten Patches auf dem neuesten Stand gehalten wird, ist er anfällig für Angriffe. PHS hingegen wird von Microsoft gewartet, so dass die Infrastruktur, die Unternehmen schützen müssen, geringer ist.
Wenn Sie am Anfang Ihrer hybriden Reise stehen, sollte ADFS nicht Ihre erste Option für die Verknüpfung der Authentifizierung zwischen den On-Premise- und Online-Workloads sein. Wenn Sie jedoch ADFS eingesetzt haben, steht Ihnen eine Migration bevor, die immer noch mehr Sicherheit bietet als ADFS.
Der Wechsel der Authentifizierungsmethoden ist jedoch keine triviale Aufgabe und erfordert eine umfangreiche Planung und Tests. Jede Migration weg von ADFS sollte schrittweise erfolgen, um ausreichende Tests und mögliche Ausfallzeiten zu ermöglichen. Unternehmen sollten mindestens Azure AD Connect 1.1.819.0 einsetzen, um die Schritte zur Umstellung auf die Passwort-Hash-Synchronisierung erfolgreich durchzuführen. Die Methode für den Wechsel zu PHS hängt davon ab, wie ADFS ursprünglich konfiguriert wurde. Wenn ADFS über Azure AD Connect konfiguriert wurde, muss der Azure AD Connect-Assistent verwendet werden. In diesem Fall führt Azure AD Connect automatisch das Cmdlet Set-MsolDomainAuthentication aus und hebt automatisch alle verifizierten Verbunddomänen im Azure AD-Mandanten auf.
Wenn eine Organisation ADFS ursprünglich nicht mit Azure AD Connect konfiguriert hat, kann sie Azure AD Connect mit PowerShell verwenden, um zu PHS zu migrieren. Allerdings muss der AD-Administrator die Anmeldemethode für die Benutzer noch über den Azure AD Connect-Assistenten ändern. Der AD Connect-Assistent führt das Cmdlet Set-MsolDomainAuthentication nicht automatisch aus, so dass der Administrator die volle Kontrolle darüber hat, welche Domänen in welcher Reihenfolge konvertiert werden.
Unterstützung von Cloud-Initiativen
Für Unternehmen mit hybriden Umgebungen reduziert die Anbindung aller Anwendungen an Azure AD die Komplexität und bietet die Möglichkeit, die Angriffsfläche zu verringern. Als Nebeneffekt hat dies auch das Potenzial, die Benutzererfahrung zu verbessern, indem eine einmalige Anmeldung sowie strenge Kontosicherheitskontrollen implementiert werden. Wenn Unternehmen hybride Identitätsansätze zur Unterstützung ihrer Cloud-Initiativen einführen, sollten sie sich die Zeit nehmen, um zu prüfen, ob ADFS ihren Anforderungen am besten gerecht wird oder nicht.
Weitere Ressourcen
- Die wichtigsten Sicherheitsrisiken, die bei der Umstellung auf hybrides Identitätsmanagement zu beachten sind | Semperis
- Was Sie über die Absicherung von Active Directory wissen müssen_register | Semperis
- Drei Schritte zur Absicherung Ihres Active Directory im Lichte der jüngsten Angriffe | Semperis