Specops Secure Access

Specops Secure Access fügt Windows-Anmeldungen für Benutzerkonten und Computer eine Multi-Faktor-Authentifizierung (MFA) hinzu und bietet zusätzlichen Schutz in Szenarien, in denen ein einzelnes Passwort nicht sicher genug ist.

Mit dem installierten und konfigurierten Specops Client für Secure Access müssen Benutzer ihre Identität mit einem zweiten Faktor verifizieren, nachdem sie ihren Windows-Benutzernamen und ihr Passwort auf dem Anmeldebildschirm eingegeben haben. Das Gleiche gilt, wenn sie über Remote Desktop eine Verbindung zu einem Windows-Computer herstellen, obwohl in diesem Fall die Verifizierung außerhalb des Anmeldebildschirms erfolgt.

Das System ist darauf ausgelegt, die Auswirkungen auf die Benutzer zu minimieren und gleichzeitig eine zusätzliche Sicherheitsebene bereitzustellen, sodass Benutzer die Flexibilität haben, auszuwählen, welchen zusätzlichen Faktor sie verwenden möchten.

Zentrale Konzepte

Die folgenden Konzepte sind für die verschiedenen Szenarien von Specops Secure Access relevant.

Authentifizierung

Sobald sich Benutzer bei den erforderlichen Identitätsdiensten registriert haben, werden sie bei jeder Anmeldung bei Windows aufgefordert, sich über Secure Access zu authentifizieren. Die Authentifizierung über Secure Access bedeutet, dass ein zusätzlicher Faktor (Identitätsdienst) zusätzlich zum regulären Windows-Benutzernamen und -Passwort verwendet wird. Dies kann - je nach Umständen - auch ein Offline-Code sein (beschrieben in Secure Access für Windows-Clients).

Der Authentifizierungsablauf ist optimiert und präsentiert dem Benutzer denselben Faktor, den er beim letzten Mal verwendet hat. Abhängig vom Identitätsdienst kann der Prozess so einfach sein wie das Tippen auf eine Schaltfläche in einer mobilen App oder das Drücken der Taste auf einem YubiKey-Gerät. Der Systemadministrator konfiguriert die Regeln für die Authentifizierung, einschließlich der Häufigkeit, mit der Benutzer Secure Access verwenden müssen. Das System könnte beispielsweise so konfiguriert werden, dass der zusätzliche Faktor nur einmal täglich erforderlich ist. In diesem Szenario würden Benutzer Secure Access umgehen - nur das Windows-Passwort verwenden - bis die konfigurierte Zeit abgelaufen ist.

Specops Authentication

Secure Access ist Teil des Specops Authentication Frameworks und erfordert, dass Ihre Organisation über ein Specops Authentication-Konto verfügt und die On-Prem-Komponente, Specops Authentication Gatekeeper, installiert und konfiguriert ist. Weitere Informationen finden Sie unter Gatekeeper-Installationsübersicht.

Identitätsdienste

Die zusätzlichen Authentifizierungsfaktoren in Specops Authentication werden als Identitätsdienste bezeichnet. Einige Beispiele für Identitätsdienste sind Textnachricht, YubiKey und Specops:ID.

Die meisten Identitätsdienste erfordern, dass Benutzer ein Mobiltelefon haben, um beispielsweise eine Textnachricht zu empfangen oder biometrische Daten in einer App zu verwenden, um ihre Identität zu verifizieren. Der Systemadministrator konfiguriert, welche Identitätsdienste den Benutzern in der Secure Access-Richtlinie in Specops Authentication zur Verfügung stehen.

Registrierung

Um einen Identitätsdienst zu nutzen, müssen sich Benutzer zuerst über Specops Authentication registrieren. Im Szenario Secure Access für Windows-Clients werden Benutzer direkt vom Windows-Anmeldebildschirm aus zur Registrierung aufgefordert.

Specops:ID

Specops:ID ist eine mobile Anwendung, die speziell entwickelt wurde, um den Authentifizierungsablauf zu optimieren und als empfohlener Identitätsdienst für Secure Access zu dienen.

Beim Anmelden erhalten Benutzer eine Benachrichtigung auf ihrem Mobiltelefon. Beim Tippen auf die Benachrichtigung wird die Specops:ID Mobile App gestartet und der Benutzer kann die Authentifizierungsanfrage akzeptieren oder ablehnen. Ein Administrator konfiguriert, ob eine biometrische Authentifizierung, Fingerabdruck oder Face ID, erforderlich ist, wenn die Anfrage akzeptiert wird. In der mobilen App können Benutzer auch Informationen zu ihrem Arbeitskonto sehen, einschließlich des Kontosperrstatus und des Datums, an dem ihr Passwort zuletzt geändert wurde.

Secure Access Authentifizierungsszenarien

Specops Secure Access fügt den folgenden Szenarien eine Multi-Faktor-Authentifizierung hinzu:

Specops Secure Access für Windows-Clients
Specops Secure Access für Remote Access

Secure Access für Windows-Clients

Der Specops Client ist die Komponente, die in den Windows-Anmeldebildschirm integriert ist und auf allen Computern installiert werden muss, um das Szenario "Secure Access für Windows-Clients" zu unterstützen. Der Specops Client erfüllt mehrere Zwecke innerhalb des Specops Authentication Frameworks und besteht aus mehreren Unterkomponenten. Die Unterkomponenten und Funktionen im Zusammenhang mit Secure Access werden unten beschrieben.

Specops Credential Provider ist die erste Schicht der Specops Client-Komponente. Dies ist der Teil, der in den Windows-Anmeldeprozess integriert ist. Credential Providers sind Erweiterungspunkte, die von Microsoft bereitgestellt werden und es Drittanbietern ermöglichen, sich in das Windows-Authentifizierungssystem zu integrieren. Das Vorhandensein anderer Drittanbieter-Credential Providers kann zu Konflikten führen. Wenn solche Konflikte auftreten, wenden Sie sich bitte an den Specops-Support.

Bei Verwendung von Secure Access startet der Credential Provider die Specops Secure Access Desktop-App, nachdem der Benutzer gültige Domänenanmeldeinformationen eingegeben hat.
Specops Secure Access Desktop-App ist eine Windows-Desktop-Anwendung, die als separates Fenster über dem Anmeldebildschirm geöffnet wird, nachdem der Benutzer seinen Benutzernamen und sein Passwort eingegeben hat. In der Specops Secure Access Desktop-App werden den Benutzern ein oder mehrere Identitätsdienste als zweiter Faktor zur Vervollständigung der Authentifizierung präsentiert. Die Specops Secure Access Desktop-App kommuniziert mit dem Specops Authentication Web, das wiederum mit dem On-Prem Gatekeeper kommuniziert, um den Benutzer zu verifizieren.

Wenn ein Benutzer sich bei einem Identitätsdienst registrieren muss, startet die Specops Secure Access Desktop-App den gesicherten Browser.
Specops Gesicherter Browser basiert auf einer Browser-Laufzeitumgebung und verwendet die CefSharp-Browser-Engine. Er ist sicher in dem Sinne, dass er dem Benutzer nicht erlaubt, außerhalb der Specops Authentication-Registrierungsseiten zu navigieren. Im Secure Access wird der gesicherte Browser verwendet, wenn ein Benutzer einen oder mehrere Identitätsdienste registrieren muss. Dies sollte normalerweise nur einmal für jeden Benutzer geschehen. Wenn die Organisation bereits Specops Authentication zum Zurücksetzen von Passwörtern verwendet, sind die Benutzer möglicherweise bereits registriert und bereit, Secure Access zu verwenden.
Offline-Authentifizierung mit Specops:ID ist eine Fallback-Authentifizierungsmethode, die es Benutzern ermöglicht, sich bei Windows anzumelden, auch wenn Netzwerk- oder Cloud-Dienste nicht verfügbar sind, wodurch das Risiko ausgeschlossen wird, ausgesperrt zu werden. Aus Sicherheitsgründen müssen Benutzer dennoch einen zusätzlichen Authentifizierungsfaktor angeben, wenn sie sich anmelden.

Bei Verwendung der Secure Access Desktop-App in Kombination mit der Specops:ID Mobile App wird die Fallback-Methode als Offline-Codes bezeichnet. Ein Offline-Code wird erstellt und für jeden Computer synchronisiert, bei dem sich ein Benutzer mit Secure Access anmeldet. Die Offline-Codes sind im Offline-Codes-Tab in der Specops:ID Mobile App verfügbar.

Wenn ein Benutzer versucht, sich ohne Netzwerkzugang bei Windows anzumelden, fordert die Secure Access Desktop-App ihn auf, einen Offline-Code zu verwenden. Der Benutzer muss dann manuell die Specops:ID Mobile App öffnen, zum Offline-Codes-Tab navigieren und den Code für den Computer finden, bei dem er sich anmeldet.

Wenn ein Benutzer mehrere Offline-Codes von der Anmeldung bei mehreren Computern hat, kann er die QR-Scan-Funktion in der mobilen App verwenden, um den von der Secure Access Desktop-App angezeigten Code zu scannen. Dies wird automatisch den richtigen Offline-Code finden und anzeigen. Sobald der Benutzer den richtigen Code in der mobilen App gefunden hat, muss er ihn in die Desktop-App eingeben, um die Authentifizierung abzuschließen.
Offline-Authentifizierung ohne Specops:ID Wenn die Specops:ID Mobile App nicht verwendet wird, gibt es die Möglichkeit, eine Smart Card für das Offline-Authentifizierungsszenario zu verwenden. Derzeit werden nur YubiKey-Smartcards unterstützt. Für dieses Szenario sind mehrere zusätzliche Konfigurationsschritte erforderlich, die im Abschnitt Smart Card als Offline-Methode einrichten weiter unten beschrieben sind.

Secure Access für Remote Access

Organisationen mit Benutzern, die remote über ein VPN oder über ein Remote Desktop Gateway (RDGW) auf das Netzwerk zugreifen, können ihre Benutzer schützen, indem sie einen zweiten Faktor für diese Anmeldungen hinzufügen. In diesem Szenario erweitert Specops Secure Access eine bestehende Microsoft Network Policy Service (NPS) Konfiguration.

Hinweis

In diesem Szenario wird die Secure Access Desktop-App nicht verwendet. Der Specops:ID Identitätsdienst ist jedoch speziell erforderlich und die Benutzer müssen die Specops:ID Mobile App installiert haben.

Microsoft Network Policy Service (NPS): Das Szenario erfordert, dass der Microsoft Network Policy Service (NPS) im Netzwerk eingerichtet wurde, um VPNs und Remote Desktop Gateway zu sichern. Für Informationen über NPS, konsultieren Sie bitte die offizielle Dokumentation von Microsoft.
Specops Secure Access NPS Companion: Um die "Secure Access für Remote Access" Konfiguration abzuschließen, muss der Specops Secure Access NPS Companion auf allen NPS-Servern installiert werden. Diese Komponente erweitert die NPS-Konfiguration, um mit den Specops Authentication-Webdiensten zu kommunizieren, wann immer ein Benutzer versucht, sich über ein VPN oder das RDGW zu authentifizieren. Weitere Informationen finden Sie unter Konfiguration von Secure Access für Remote Access weiter unten.

Erste Schritte

Es gibt einige verschiedene Konfigurationsbereiche für Secure Access, abhängig vom Authentifizierungsszenario.

Um mit Secure Access zu beginnen, sind die folgenden Vorbereitungen für beide Szenarien erforderlich:

Ein Specops Authentication-Konto einrichten.
Installieren und konfigurieren Sie die On-Prem-Komponente, Specops Authentication Gatekeeper.
Stellen Sie sicher, dass die Benutzer, die teilnehmen sollen, darüber informiert sind, dass sie die Specops:ID Mobile App installieren müssen.

Die Konfiguration der Secure Access-Authentifizierungsrichtlinie ist für beide Szenarien erforderlich, während die verbleibenden Konfigurationsschritte je nach Szenario unterschiedlich sind. Alle Schritte werden in den folgenden Abschnitten beschrieben.

Konfiguration von Secure Access für Windows-Clients

Specops Authentication konfigurieren

Suchen Sie die Specops Authentication Web-URL im On-Prem Gatekeeper Admin Tool und öffnen Sie dann die Specops Authentication Admin-Seiten in einem Webbrowser.

Konfigurieren Sie im Abschnitt Secure Access die Authentifizierungsrichtlinie für Windows-Clients.
Erstellen Sie im Abschnitt Secure Access einen API-Schlüssel für Windows-Clients, kopieren Sie den API-Schlüssel und bewahren Sie ihn vorerst auf. Kopieren Sie auch die API-URL von derselben Seite. Der API-Schlüssel und die entsprechende URL werden benötigt, wenn der Specops Client konfiguriert wird.

Specops:ID Mobile App konfigurieren

Die Konfiguration für die Specops:ID App erfolgt über die Specops Authentication Admin-Seiten.

Suchen Sie im Abschnitt Identitätsdienst Specops:ID und die Einstellung "Biometrische Verifizierung erforderlich". Wenn diese Option aktiviert ist, müssen Benutzer Fingerabdruck oder Face ID verwenden, um eine Authentifizierungsanfrage in der Specops:ID Mobile App akzeptieren zu können.
Der Specops:ID Identitätsdienst enthält auch eine Funktion zur Vermeidung von Benachrichtigungsüberlastung. Diese Funktion gilt nicht für Secure Access, da Benutzer das richtige Passwort eingeben müssen, bevor sie den Specops:ID Identitätsdienst starten.

Wenn Benutzer Specops:ID für andere Authentifizierungsszenarien verwenden, z. B. Passwortzurücksetzungen, sollte die Aktivierung der Benachrichtigungsüberlastungsfunktion in Betracht gezogen werden. Im Abschnitt für den Identitätsdienst Specops:ID kann ein Herausforderungstyp konfiguriert und entweder auf QR-Code oder Zahleneingabe gesetzt werden. Die Aktivierung einer dieser Optionen verhindert, dass Benutzer versehentlich eine Authentifizierungsanfrage in der App genehmigen, die von einem Dritten initiiert wurde.

Für den "Zahlen"-Herausforderungstyp gibt der Benutzer die im Secure Access Desktop-App angezeigte Zahl in die mobile App ein. Für den "QR-Code"-Herausforderungstyp scannt der Benutzer den im Desktop-App angezeigten QR-Code.

Specops Client auf Client-Computern bereitstellen

Stellen Sie den Specops Client auf allen Client-Computern bereit, die teilnehmen sollen.

Client-Computer konfigurieren

In diesem Schritt benötigen Sie den API-Schlüssel und die API-URL.

Die Konfiguration für den Specops Client wird in der Windows-Registrierung auf jedem Client-Computer gespeichert, auf dem er installiert ist. Es gibt einige erforderliche Einstellungen, die angewendet werden müssen, um Secure Access verwenden zu können. Diese Registrierungseinstellungen müssen auf jedem Computer bereitgestellt werden, auf dem der Specops Client installiert ist. Der empfohlene Weg, diese Einstellungen bereitzustellen, ist die Verwendung von Gruppenrichtlinien und der ADMX-Vorlage, die im Specops Client-Setup enthalten ist.

Der Hauptschlüssel für diese Einstellungen ist:

HKEY_LOCAL_MACHINE\SOFTWARE\Specopssoft\uReset\Client\Mfa

Obligatorische Einstellungen

Die folgenden Einstellungen sind erforderlich, um Secure Access auf Client-Computern zu aktivieren.

Einstellung	Beschreibung	Standard
WinMfa_EnableLocal	Setzen Sie diesen Wert auf 1, um Secure Access für Windows-Clients zu aktivieren	0
WinMfa_EnableRemote	Setzen Sie diesen Wert auf 1, um Secure Access für Windows-Clients für das Remote-Desktop-Szenario zu aktivieren	0
WinMfa_DispatcherApiUrl	Die URL, mit der Secure Access zunächst eine Verbindung herstellt, können Sie im Abschnitt API-Schlüssel des Secure Access-Bereichs auf der Specops Authentication-Webseite erhalten
WinMfa_ApiKey	Der API-Schlüssel, den Secure Access zur Authentifizierung bei Specops Authentication verwendet, können Sie im Abschnitt API-Schlüssel des Secure Access-Bereichs auf der Specops Authentication-Webseite erhalten

Optionale Einstellungen

Dies sind einige zusätzliche Einstellungen, die Sie für die Client-Computer konfigurieren möchten:

Einstellung	Beschreibung	Standard
WinMfa_TimeBeforeRequireMfa	Standardmäßig ist Secure Access MFA für jede Anmeldung erforderlich, wenn Secure Access aktiviert ist. Ändern Sie diese Einstellung, wenn Sie Benutzern erlauben möchten, sich ohne MFA für einen bestimmten Zeitraum nach erfolgreicher Online-Authentifizierung anzumelden. Das Format ist HH:MM:SS und die maximale Zeit beträgt 72 Stunden. Wenn ein ungültiger Wert eingegeben wird, ist MFA für jede Anmeldung erforderlich.	0
WinMfa_AllowOfflineAuth	Standardmäßig ist die Offline-Authentifizierung deaktiviert, was die Anmeldung deaktiviert, wenn der Computer offline ist oder ein vorübergehender Dienstausfall oder eine Fehlkonfiguration auftritt. Aktivieren Sie diese Einstellung, wenn Sie die Offline-Authentifizierung zulassen möchten, wenn die Specops Authentication API nicht erreicht werden kann oder andere Dienstausfälle auftreten.	0
WinMfa_DaysBeforeRequireOnlineAuth	Wenn die Offline-Authentifizierung aktiviert ist, kann sich ein Benutzer mit der Offline-Authentifizierung bis zu der konfigurierten Anzahl von Tagen anmelden, bevor er online gehen muss, um sich anzumelden. Ändern Sie diese Einstellung, wenn Sie andere Anforderungen an die Online-Authentifizierung als den Standard von 30 Tagen haben.	30

Protokollierung

Die Protokollierung ist aktiviert in:

HKEY_LOCAL_MACHINE\SOFTWARE\Specopssoft\uReset\Client\Mfa\Logging

Einstellung	Beschreibung	Standard
debug	Setzen Sie diesen Wert auf 2, um die Protokollierung zu aktivieren. Die Protokolldateien werden in C:\Windows\debug\SpecopsWinMfa\ gespeichert Nach jedem Anmeldeversuch wird ein Katalog mit einem Zeitstempel erstellt, einschließlich der folgenden Protokolldateien: WinMfa.Launcher.log und WinMfa.App.log	0

Smart Card als Offline-Methode einrichten

Wenn Specops:ID nicht verwendet wird, erhalten Benutzer nicht die automatische Offline-Code-Option für die Authentifizierung im Falle von Netzwerkproblemen. Dieser Abschnitt beschreibt, wie die Smart Card-Option als Alternative eingerichtet wird.

Hinweis

Derzeit werden nur YubiKey-Smartcards unterstützt.

opensc-pkcs11.dll auf Client-Computern verteilen

Verteilen Sie die opensc-pkcs11.dll Datei auf die Client-Computer.

Aus lizenzrechtlichen Gründen ist die erforderliche opensc-pkcs11.dll Datei nicht im Specops Authentication-Client-Installationspaket enthalten und muss auf alle Client-Computer verteilt werden.

Diese Datei kann beispielsweise in diesem Paket gefunden werden: https://github.com/OpenSC/OpenSC

Laden Sie die Light-Version dieses Pakets herunter und verteilen Sie es entweder auf alle Client-Computer oder extrahieren Sie speziell die opensc-pkcs11.dll Datei aus dem Paket und verteilen Sie nur diese Datei.
Nachdem die Datei auf die Client-Computer verteilt wurde, muss der WinMfa_SmartCardPkcs11LibraryPath Registrierungswert auf den vollständigen Pfad des Speicherorts der Datei gesetzt werden, siehe nächsten Abschnitt.

Smart Card als Offline-Authentifizierungsmethode konfigurieren

Konfigurieren Sie die folgenden Einstellungen für die Smart Card-Option:

Einstellung	Beschreibung	Standard
WinMfa_OfflineIdentityService	Um die Smart Card-Option als Offline-Authentifizierungsmethode zu verwenden, auf Smart Card setzen	Specops ID
WinMfa_SmartCardDisplayName	Diese Einstellung konfiguriert, wie die Smart Card-Option den Benutzern angezeigt wird
WinMfa_SmartCardPkcs11LibraryPath	Diese Einstellung ist erforderlich, wenn Smart Card als Offline-Identitätsdienst verwendet wird. Setzen Sie den vollständigen Pfad, wo die opensc-pkcs11.dll Datei verteilt ist
WinMfa_SmartCardVerifyCertificateExpiration	Auf 0 setzen, um die Zertifikatsvalidierung zu überspringen	1

Benutzer mit YubiKey registrieren

Um einen YubiKey mit Specops Authentication zu registrieren, führen Sie die folgenden Schritte aus:

Installieren Sie das Yubico-Piv-Tool.
Stecken Sie einen YubiKey in den Computer ein.
Verwenden Sie auf einem Computer, auf dem das Gatekeeper Admin Tool installiert ist, das New-SAYubiKeySCOfflineEnrollment PowerShell Cmdlet, um ein Zertifikat auf dem YubiKey-Gerät zu erstellen und es sicher in Ihrem Active Directory zu speichern. Beispiel:

New-SAYubiKeySCOfflineEnrollment -Username user -PinCode 123456 -CertificateSubject /CN=Alvis/OU=scard/OU=corp/

Alternativ, wenn Benutzer bereits YubiKeys verwenden, die bereits Zertifikate enthalten, können diese Zertifikate an Specops Authentication gesendet werden, anstatt ein neues zu erstellen, wie oben beschrieben. Um dies durchzuführen, muss das Zertifikat mit der YubiKey-Software aus dem YubiKey extrahiert werden. In diesem Beispiel wird angenommen, dass ein solches Zertifikat in der Variablen $certificate gespeichert ist. Verwenden Sie das folgende PowerShell-Skript. Hinweis, dass dieses Skript dieselben Anforderungen hat wie das oben beschriebene New-SAYubiKeySCOfflineEnrollment.

Set-SASmartcardOfflineEnrollment -Username [userName] -Certificate $certificate

Konfiguration von Secure Access für Remote Access

Auf jedem NPS-Server, auf dem der NPS Companion installiert ist, müssen die API-URL und der API-Schlüssel konfiguriert werden. Diese Werte können aus den API-Schlüsselabschnitten von Secure Access in der Specops Authentication-Webseite abgerufen werden.

Um den Specops Secure Access NPS Companion einzurichten:

Öffnen Sie die Specops Authentication Admin-Seiten in einem Webbrowser:
- Konfigurieren Sie im Abschnitt Secure Access die Authentifizierungsrichtlinie für Remote Access.
- Erstellen Sie im Abschnitt Secure Access einen API-Schlüssel für Remote Access, kopieren Sie den API-Schlüssel und bewahren Sie ihn vorerst auf. Kopieren Sie auch die API-URL von derselben Seite. Der API-Schlüssel und die entsprechende URL werden benötigt, wenn der NPS Companion konfiguriert wird.
Stellen Sie sicher, dass NPS eingerichtet und funktionsfähig ist. Konsultieren Sie die Microsoft-Dokumentation für Informationen.
Installieren Sie den Secure Access NPS Companion auf den NPS-Servern.
Konfigurieren Sie den NPS Companion, indem Sie das PowerShell-Skript Set-SpecopsApiConfiguration.ps1 ausführen, das in der Installation enthalten ist. Verwenden Sie den API-Schlüssel und die API-URL aus dem vorherigen Schritt. Beispiel:

.\Set-SpecopsApiConfiguration.ps1 -Url [API-URL] -ApiKey [API-key]