SystoLOCK im Test: Ohne Passwörter mit Zwei-Faktor-Authentifizierung am Active Directory anmelden

    SystoLock MFA ohne PasswörterDas Active Directory bietet nur wenige Optionen zur Authen­tifizierung. In den meisten Unter­nehmen kommt daher bloß die Kombi­nation aus Benutzer­name und Pass­wort zum Einsatz. Die Ham­burger Systola GmbH ergänzt das AD um moderne Ver­fahren, ohne dass Anwender dafür einen Cloud-Service nutzen müssen.

    Die Schwächen der Authenti­fizierung über Username und Kennwort sind hinlänglich bekannt. Microsoft sieht alternativ die Anmeldung per Zertifikat vor, das in der Regel auf einer Smartcard gespeichert wird. Die Karte ("etwas besitzen") zusammen mit der PIN ("etwas wissen") realisiert zudem eine Zwei-Faktor-Authen­tifizierung.

    Aufwändige Verwaltung von Smartcards

    Obwohl Smartcards eine sichere Möglichkeit zur Anmeldung am AD darstellen, wird sie von vielen Unter­nehmen nicht genutzt. Der wichtigste Grund ist besonders für kleinere Firmen der damit einhergehende Verwaltungs­aufwand, etwa für das Verlängern der Zertifikate oder das Ersetzen verloren gegangener Smartcards.

    Wenn Unternehmen eine Multifaktor-Authentifizierung (MFA) ohne Smartcards realisieren möchten, dann verweist sie Microsoft auf Azure AD. Dessen MFA-Funktionen nutzen Anwender meist in einer hybriden Umgebung zusammen mit dem lokalen AD. Die Anmeldung lässt sich dann noch durch Conditional Access über zusätzliche Kriterien absichern.

    Moderne Authentifizierung ohne Cloud

    Einen anderen Ansatz verfolgt die in Hamburg ansässige Systola GmbH mit SystoLOCK. Sie ergänzt das Active Directory um alternative Anmelde­optionen, indem sie dem AD einen Service zur Verifizierung der Credentials vorschaltet.

    Die Authentifizierung erfolgt standardmäßig aus der Kombination von PIN und One Time Password (OTP). Die PIN speichert der SystoLOCK-Server verschlüsselt im Active Directory, wobei dafür keine Schema-Erweiterung erforderlich ist.

    SystoLock ändern den Anmeldebildschirm von Windows für die Eingabe von PIN und OTP.

    Würde die PIN kompromittiert, dann wäre sie daher zum Beispiel auf Server-Systemen, die weiterhin Benutzername und Passwort verwenden, wertlos. Dagegen hat der Diebstahl eines AD-Passworts in solchen Fällen meist unangenehme Folgen.

    Token-Management

    Die Anmeldung per PIN wird zudem über ein OTP abgesichert. SystoLOCK unterstützt dafür Hardware- und Software-Tokens. Im Fall von physischen Generatoren importiert der Admin die vom Geräte­hersteller bereitgestellte Liste mit den Keys in den SystoLock-Server.

    Für die Erzeugung von OTP mittels Software-Token stellt Systola eine Authenticator-App für iOS und Android bereit ("SystoLOCK Companion"), die nach dem gleichen Muster arbeitet wie die entsprechenden Anwendungen von Google oder Microsoft. Deren Apps lassen sich mit SystoLOCK ebenfalls einsetzen, was aber die Auswahl an OATH-Algorithmen zu OTP-Generierung verringert.

    Systola stellt eine eigene Authenticator-App zur Verfügung

    Token lassen sich über einen einfachen Befehl in der SystoLOCK-Konsole erzeugen und von dort einem Benutzerkonto zuweisen. Alternativ bietet der Hersteller mehrere PowerShell-Cmdlets für das Token-Management an, falls eine größere Zahl davon generiert, gelöscht, zugewiesen oder zurückgesetzt werden muss.

    Neuen Token in der SystoLock-Konsole anlegen

    Bei der Erzeugung eines Tokens kann der Admin gleich eine PIN vergeben oder es dem User bei der Bereitstellung des Tokens überlassen, selbst eine solche einzugeben.

    Bei der Aktivierung der SystoLOCK-Authen­tifizierung wird standardmäßig die Passwort-Anmeldung deaktiviert. Im Dialog für die PIN-Eingabe kann man dies jedoch verhindern.

    PINs lassen sich durch den Admin oder User vergeben. Ein einzelnen Fällen kann man Passwörter als weitere Option beibehalten.

    Software-Token konfigurieren

    SystoLOCK sieht für die Bereitstellung der Tokens ein Self-Service-Verfahren vor, so dass der Admin diese nicht vorab anlegen muss. Zu diesem Zweck müssen die betreffenden Konten Mitglied einer AD-Gruppe namens SystoLOCK Self-Provisioning Users sein.

    Wenn die Benutzer ein Smartphone anstatt eines Hardware-Tokens verwenden, dann geht die Registrierung des Geräts wie bei den Authenticator Apps von Google oder Microsoft vonstatten. Die Übertragung des Schlüssels auf die Companion-App erfolgt, indem der Anwender einen QR-Code über die App erfasst.

    Benutzer sind anschließend nicht gezwungen, immer das OTP abzulesen und bei der Anmeldung einzutippen. Alternativ unterstützt SystoLOCK auch Push-Benachrichtigungen oder Login per QR-Code.

    Für weiteren Benutzer¬komfort sorgt die Option, die PIN in der App zu speichern. Voraussetzung dafür ist allerdings, dass der Companion auf dem Mobilgerät entsprechend abgesichert wird, etwa durch biometrische Verfahren wie Face-ID.

    Architektur und Komponenten

    Im Zentrum von SystoLOCK steht das Server-Modul, welches die Anmeldedaten verifiziert. Der Hersteller empfiehlt, pro Domain Controller eine Instanz davon einzurichten.

    Der SystoLOCK-Server benötigt Zugriff auf eine AD CS-Zertifizierungs­stelle, von der er für jede Anmeldung ein kurzlebiges Zertifikat (per Vorgabe 10 Minuten) anfordert. Bei der Installation legt er auf der CA mehrere eigene Vorlagen an.

    Die Installation von SystoLock-Server fügt der CA eigene Templates hinzu.

    Das Zertifikat leitet der Server an das Endgerät weiter, das sich damit gegenüber dem Active Directory authentifiziert.

    Grundsätzlich handelt es sich bei SystoLOCK also um eine Art Smartcard-Infrastruktur, die aber mit Hilfe ihres eigenen Servers dem AD moderne Methoden zur Authenti­fizierung vorschaltet. Außerdem entfällt dabei ein explizites Zertifikats-Management, der Vorgang ist vollständig automatisiert.

    Ablauf der Authentifizierung beim Einsatz von SystoLock (Quelle: Systola)

    Der zweite Baustein ist eine Client-Komponente, die sich die Logon-Infrastruktur von Windows einklinkt und den Anmeldedialog ersetzt. Dieser zeigt standardmäßig die Eingabefelder für Benutzername, PIN und OTP an, lässt sich aber dann für andere Verfahren wie QR-Code oder Push-Nachrichten konfigurieren.

    Wenn ein User seine PIN im Companion gespeichert hat, dann kann er sich beim Logon alternativ einen QR-Code anzeigen lassen, diesen einscannen und sich damit alleine sofort anmelden.

    Anmeldung durch Scannen des QR-Codes

    Zum Lieferumfang des Clients gehört ein Diagnose-Tool, das nicht nur bei der Fehlersuche hilft, sondern auch einige Einstellungen zur Konfiguration des Clients bietet.

    Optionale Einstellungen für den Client im Diagnostik-Tool. Sie lassen sich alternativ direkt über die Registry setzen.

    Die Client-Software wird als MSI geliefert und lässt sich über die üblichen Mechanismen verteilen.

    Die Installation des Clients kann entweder interaktiv oder über die Verteilung des MSI (via GPO) erfolgen.

    Der Verwaltung von SystoLOCK erfolgt über eine GUI, die als MMC-Snap-in konzipiert ist und in die man daher gleich Bordmittel wie Active Directory-Benutzer und Computer oder das Zertifikats-Management mit einbinden kann.

    Die SystoLOCK-Konsole basiert auf der MMC und erlaubt daher die Integration weiterer Snapins.

    Alternativ bietet Systola ein PowerShell-Modul an, mit dem sich praktisch alle Aufgaben automa­tisieren lassen.

    VPN, Remotedesktop, Office 365

    Neben der klassischen Anmeldung am Firmen-PC muss eine Lösung wie SystoLOCK auch für andere Szenarien gerüstet sein. Dazu gehört etwa, dass Benutzer remote via RDP oder VPN auf IT-Ressourcen zugreifen.

    Der Hersteller unterstützt aktuell die Anmeldung über RD Web, ein Modul für RD Gateway ist in Vorbereitung. Ähnlich verhält es sich bei VPNs, wo SystoLOCK mit dem Windows-eigenen Client zurechtkommt und in Kürze eine Erweiterung für den Cisco-Client erhält.

    Bei der Nutzung über VPN hat SystoLOCK gegenüber der Anmeldung mittels Passwort den Vorteil, dass sich User nicht aussperren können, nur weil das Kennwort abgelaufen ist und sich daher keine Verbindung mehr aufbauen lässt.

    Systola bietet zudem einen Adapter für AD FS an, wenn Unternehmen eine föderierte Authentifizierung etwa für Office 365, Salesforce oder andere SaaS-Anwendungen nutzen.

    Zusammenfassung

    SystoLOCK erweitert das Active Directory um moderne Verfahren zur Authentifizierung, ohne dass man dafür eine hybride Konfiguration mit Azure AD benötigt. Es verzichtet vollständig auf Passwörter und erhöht so nicht nur die Sicherheit, sondern im Zusammenspiel mit der Companion-App auch den Benutzerkomfort.

    Die Infrastruktur ist von einigen Systemdiensten abhängig, allen voran von Zertifizierungs­stellen. Das Setup übernimmt aber einen großen Teil der Konfiguration, etwa das Installieren von Zertifikats­vorlagen oder das Anpassen ihrer Berechtigungen.

    Obwohl es eine zentrale sicherheits­relevante Aufgabe übernimmt, gräbt sich SystoLOCK nicht tief in die Umgebung ein, so dass keine dauerhafte Abhängigkeit entsteht. Nach dem Entfernen des Clients könnten Anwender wieder zur integrierten Anmeldung mittels Kennwort zurückkehren.

    Der ideale Kontext für SystoLOCK ist der stationäre Firmen-PC, aber es deckt auch andere Szenarien ab. Der Hersteller bietet dafür etwa ein Plugin für das RD-Gateway oder die Unterstützung des in Windows integrierten VPN-Clients. In einigen Situationen hilft der Support für AD FS weiter, wie etwa beim Remote-Zugriff mittels Citrix oder VMware Horizon. Allerdings dürften Firmen bei mobilen Nutzern am ehesten an die Grenzen von SystoLOCK stoßen.

    Weitergehende Informationen zu der Software finden sich auf der Produktseite des Herstellers. Dort kann man auch eine Online-Demo anfordern. Auf seinem Youtube-Channel zeigt Systola zudem in mehreren Kurz-Videos die Funktionsweise von SystoLOCK.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    1 Kommentar

    chip sagt:
    1. Juli 2021 - 18:47

    Dank eurem Artikel hat SystoLock bald einen Großkunden mehr hehe.