Mehr Datensicherheit dank Multi-Faktor-Authentifizierung

Grund-Installation

Die Installation startet mit der Standardinstallation einer Remote-Desktop-Umgebung. Im Testaufbau (Bildergalerie) werden die Funktionen dediziert jeweils auf einem Server ausgeführt. Nachdem auf dem zukünftigen Verbindungsbroker alle Server im Server-Manager hinzugefügt sind, erfolgt die Installation über den Assistenten für Rollen und Funktionen. Es wird eine sitzungsbasierte Bereitstellung gewählt, die einer klassischen Terminalserverumgebung entspricht. Die Installation des Remote-Desktop-Gateway und Lizenzservers sind optionale Schritte, die im Nachgang über die Übersicht der Remote-Desktop-Dienste im Server-Manager gestartet werden. Der Testaufbau zeigt die am meisten verbreitete Variante. Die interne und externe Domäne sind unterschiedlich. Für die externe Domäne ist Split DNS im Einsatz. Das Gateway befindet sich in der Demilitarized Zone (DMZ) und wird ausschließlich mit Port 443 und 3391 im Internet veröffentlicht. Es kommt lediglich ein externes Zertifikat zum Einsatz, das zwei Namen beinhalten muss: rdgw.<ExterneDomäne> und rdcb.<ExterneDomäne>. Wenn das Zertifikat über den Servermanager an die Rollen gebunden wurde, muss der interne Name auf den externen Namen umgebogen werden, weil die Zertifikatskette sonst nicht stimmt. Dabei hilft ein Skript aus der Technet Gallery. Abschließend wird die Sicherheit durch einige Einschränkungen weiter erhöht, wie in den zehn Tipps (Infokasten) beschrieben.

Installation des Multi-Faktor-Providers

Nun geht es an die Installation des Multi-Faktor-Providers. Zu Beginn muss der Dienst im Microsoft Azure Portal im Menüpunkt Active Directory erstellt werden. Anschließend kann die lokale Serverkomponente heruntergeladen, installiert und mithilfe der generierten E-Mail und des Passwortes registriert werden. Damit ist die eigentliche Installation bereits abgeschlossen. Sollen Benutzer selbst Änderungen vornehmen können, wie die Handynummer, den PIN oder die Methode ändern, wird das User Portal benötigt. Soll nun noch die Mobile App (eine Art Software Token) zur Anwendung kommen, benötigt man das Web Service SDK und das Portal der mobilen App. Alle drei Komponenten sind im Installationspfad des Servers zu finden. Die drei Rollen werden idealerweise auch in der DMZ betrieben und sind über Port 443 aus dem Internet erreichbar. Der MFA Server zieht die Benutzerdaten aus dem Active Directory nicht automatisch. Es empfiehlt sich einen Synchronisierungsjob einzurichten, der eine Active Directory Gruppe, zum Beispiel. "MFA-User" filtert. Das Verfahren setzt voraus, dass die Rufnummern der Benutzer im Active Directory gepflegt sind. Alternativ kann auch zugelassen werden, dass sich Benutzer ohne hinterlegte Rufnummer über das User Portal anmelden, um anschließend ihre private Handynummer direkt im MFA Server, abseits des Active Directory, zu hinterlegen. Im sichersten Verfahren verwendet der Benutzer bei der Authentifizierung zusätzlich eine PIN, die er bei der ersten Anmeldung kennen muss. Der PIN kann automatisiert in einer individualisierten Willkommens-E-Mail verschickt werden.

Im letzten Teil der Konfiguration muss das RD Gateway noch dazu gebracht werden, dass es erst verbinden soll wenn die Freigabe des MFA Providers erfolgte. Dazu wird die CAP des RD Gateway auf einen zentralen NPS umgestellt. Der MFA Server und der NPS Server werden nun untereinander zur Verwendung von RADIUS konfiguriert. Nach Freigabe der benötigten Ports ist der Zugriff auf die Ressourcen aus dem Internet nun durch Benutzername, Kennwort, den Azure MFA Dienst und optional durch eine PIN geschützt. Nachdem der Benutzer sich am RD Webaccess angemeldet hat und eine App startet, wird beim Verbindungsaufbau des RDP Kanals der zusätzliche Faktor abgefragt.

Multi-Faktor-Authentifizierung als Branchenstandard

Multi-Faktor-Authentifizierung sollte bei jeder Veröffentlichung sensibler Daten ins Internet Branchenstandard sein. Auch wenn der Benutzerkomfort durch die Eingabe zusätzlicher Daten minimal sinkt, ist die zusätzliche Sicherheit unverzichtbar - egal ob beim Wartungszugang oder dem permanenten Zugriff für Benutzer. Darüber hinaus findet mit den beiden Preismodellen eigentlich jedes Unternehmen die passende Lösung. (hal)