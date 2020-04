Der kalifornische PAM-Anbieter (Privileged-Access-Management) Centrify hat erweiterte Privilege-Elevation-Konfigurationen vorgestellt, um Linux- und Unix-Server in Umgebungen mit Microsofts Red Forest einzubinden. Damit sollen sich Zugriffskontrollen von Red Forest in der gesamten IT-Server-Landschaft einheitlich durchsetzen lassen. Zudem unterstützen Centrifys Lösungen nun den FIDO2-Standard für die dynamische Mehr-Faktor-Authentifizierung (MFA).

Microsofts Sicherheitsmodell ESAE (Enhanced Security Administrative Environment), auch Red Forest genannt, dient dazu, das Risiko von Sicherheitsverstößen auf der Domänenebene zu minimieren. Es zielt auf Unternehmen mit zahlreichen Windows-Servern, hinterlässt jedoch laut Centrify potenzielle Lücken in heterogenen Umgebungen. Denn der Administrator könne die im Red Forest konfigurierten Administratorrechte auf Linux- und Unix-Servern nicht automatisiert durchsetzen lassen.

Deshalb hat Centrify seine PAM-Lösung ergänzt, um die Verwaltung von Privilegien im Red Forest auf Linux und Unix auszuweiten: Für Administratoren, die sich bei einem Linux- oder Unix-System anmelden, stelle die Software sicher, dass die Mitgliedschaft des Benutzers in der Red-Forest-Sicherheitsgruppe berücksichtigt wird. Dies erfolge unabhängig davon, ob er sich direkt beim Server oder indirekt über Kerberos SSO (Single Sign-on) von einem anderen Windows-System aus anmeldet.

Des Weiteren, so der US-Anbieter, unterstütze man nun die passwortlose Authentifizierung von Administratoren per FIDO2-Web-Authentication-API. Das Verfahren erlaube es, Passwörter durch stärkere Authentifizierungsfaktoren wie Fingerabdruck oder Gesichtserkennung zu ersetzen und so ein deutlich höheres Sicherheitslevel zu gewährleisten. Durch MFA lasse sich das Risiko eines Missbrauchs schwacher, voreingestellter oder gestohlener Passwörter deutlich senken.

FIDO2 ist der neueste Satz von Spezifikationen der FIDO Alliance (FIDO: Federated Identity Online). Damit können sich Endanwender mit mobilen wie auch Desktop-Geräten einfach bei Online-Diensten authentisieren. Das Verfahren diene dazu, den jeweils sichersten Authentisierungsweg dynamisch auszuhandeln. Dazu unterstützt FIDO2 biometrische Methoden wie Apples Fingerabdruckerkennung Touch ID und Gesichtserkennung Face ID ebenso wie Microsofts Windows Hello, mit dem sich Windows 10-Anwender per Fingerabdruck, Iris-Scan oder Gesichtserkennung bei Geräten, Anwendungen, Online-Diensten und Netzwerken authentisieren können.

