SystoLOCK im Test: Ohne Passwörter mit Zwei-Faktor-Authentifizierung am Active Directory anmelden

Obwohl Smartcards eine sichere Möglichkeit zur Anmeldung am AD darstellen, wird sie von vielen Unter­nehmen nicht genutzt. Der wichtigste Grund ist besonders für kleinere Firmen der damit einhergehende Verwaltungs­aufwand, etwa für das Verlängern der Zertifikate oder das Ersetzen verloren gegangener Smartcards.

Wenn Unternehmen eine Multifaktor-Authentifizierung (MFA) ohne Smartcards realisieren möchten, dann verweist sie Microsoft auf Azure AD. Dessen MFA-Funktionen nutzen Anwender meist in einer hybriden Umgebung zusammen mit dem lokalen AD. Die Anmeldung lässt sich dann noch durch Conditional Access über zusätzliche Kriterien absichern.

Moderne Authentifizierung ohne Cloud

Einen anderen Ansatz verfolgt die in Hamburg ansässige Systola GmbH mit SystoLOCK. Sie ergänzt das Active Directory um alternative Anmelde­optionen, indem sie dem AD einen Service zur Verifizierung der Credentials vorschaltet.

Die Authentifizierung erfolgt standardmäßig aus der Kombination von PIN und One Time Password (OTP). Die PIN speichert der SystoLOCK-Server verschlüsselt im Active Directory, wobei dafür keine Schema-Erweiterung erforderlich ist.

Würde die PIN kompromittiert, dann wäre sie daher zum Beispiel auf Server-Systemen, die weiterhin Benutzername und Passwort verwenden, wertlos. Dagegen hat der Diebstahl eines AD-Passworts in solchen Fällen meist unangenehme Folgen.

Token-Management

Die Anmeldung per PIN wird zudem über ein OTP abgesichert. SystoLOCK unterstützt dafür Hardware- und Software-Tokens. Im Fall von physischen Generatoren importiert der Admin die vom Geräte­hersteller bereitgestellte Liste mit den Keys in den SystoLock-Server.

Für die Erzeugung von OTP mittels Software-Token stellt Systola eine Authenticator-App für iOS und Android bereit ("SystoLOCK Companion"), die nach dem gleichen Muster arbeitet wie die entsprechenden Anwendungen von Google oder Microsoft. Deren Apps lassen sich mit SystoLOCK ebenfalls einsetzen, was aber die Auswahl an OATH-Algorithmen zu OTP-Generierung verringert.

Token lassen sich über einen einfachen Befehl in der SystoLOCK-Konsole erzeugen und von dort einem Benutzerkonto zuweisen. Alternativ bietet der Hersteller mehrere PowerShell-Cmdlets für das Token-Management an, falls eine größere Zahl davon generiert, gelöscht, zugewiesen oder zurückgesetzt werden muss.

Bei der Erzeugung eines Tokens kann der Admin gleich eine PIN vergeben oder es dem User bei der Bereitstellung des Tokens überlassen, selbst eine solche einzugeben.

Bei der Aktivierung der SystoLOCK-Authen­tifizierung wird standardmäßig die Passwort-Anmeldung deaktiviert. Im Dialog für die PIN-Eingabe kann man dies jedoch verhindern.

Software-Token konfigurieren

SystoLOCK sieht für die Bereitstellung der Tokens ein Self-Service-Verfahren vor, so dass der Admin diese nicht vorab anlegen muss. Zu diesem Zweck müssen die betreffenden Konten Mitglied einer AD-Gruppe namens SystoLOCK Self-Provisioning Users sein.

Wenn die Benutzer ein Smartphone anstatt eines Hardware-Tokens verwenden, dann geht die Registrierung des Geräts wie bei den Authenticator Apps von Google oder Microsoft vonstatten. Die Übertragung des Schlüssels auf die Companion-App erfolgt, indem der Anwender einen QR-Code über die App erfasst.

Benutzer sind anschließend nicht gezwungen, immer das OTP abzulesen und bei der Anmeldung einzutippen. Alternativ unterstützt SystoLOCK auch Push-Benachrichtigungen oder Login per QR-Code.

Für weiteren Benutzer¬komfort sorgt die Option, die PIN in der App zu speichern. Voraussetzung dafür ist allerdings, dass der Companion auf dem Mobilgerät entsprechend abgesichert wird, etwa durch biometrische Verfahren wie Face-ID.

Architektur und Komponenten

Im Zentrum von SystoLOCK steht das Server-Modul, welches die Anmeldedaten verifiziert. Der Hersteller empfiehlt, pro Domain Controller eine Instanz davon einzurichten.

Der SystoLOCK-Server benötigt Zugriff auf eine AD CS-Zertifizierungs­stelle, von der er für jede Anmeldung ein kurzlebiges Zertifikat (per Vorgabe 10 Minuten) anfordert. Bei der Installation legt er auf der CA mehrere eigene Vorlagen an.

Das Zertifikat leitet der Server an das Endgerät weiter, das sich damit gegenüber dem Active Directory authentifiziert.

Grundsätzlich handelt es sich bei SystoLOCK also um eine Art Smartcard-Infrastruktur, die aber mit Hilfe ihres eigenen Servers dem AD moderne Methoden zur Authenti­fizierung vorschaltet. Außerdem entfällt dabei ein explizites Zertifikats-Management, der Vorgang ist vollständig automatisiert.

Der zweite Baustein ist eine Client-Komponente, die sich die Logon-Infrastruktur von Windows einklinkt und den Anmeldedialog ersetzt. Dieser zeigt standardmäßig die Eingabefelder für Benutzername, PIN und OTP an, lässt sich aber dann für andere Verfahren wie QR-Code oder Push-Nachrichten konfigurieren.

Wenn ein User seine PIN im Companion gespeichert hat, dann kann er sich beim Logon alternativ einen QR-Code anzeigen lassen, diesen einscannen und sich damit alleine sofort anmelden.

Zum Lieferumfang des Clients gehört ein Diagnose-Tool, das nicht nur bei der Fehlersuche hilft, sondern auch einige Einstellungen zur Konfiguration des Clients bietet.

Die Client-Software wird als MSI geliefert und lässt sich über die üblichen Mechanismen verteilen.

Der Verwaltung von SystoLOCK erfolgt über eine GUI, die als MMC-Snap-in konzipiert ist und in die man daher gleich Bordmittel wie Active Directory-Benutzer und Computer oder das Zertifikats-Management mit einbinden kann.

Alternativ bietet Systola ein PowerShell-Modul an, mit dem sich praktisch alle Aufgaben automa­tisieren lassen.

VPN, Remotedesktop, Office 365

Neben der klassischen Anmeldung am Firmen-PC muss eine Lösung wie SystoLOCK auch für andere Szenarien gerüstet sein. Dazu gehört etwa, dass Benutzer remote via RDP oder VPN auf IT-Ressourcen zugreifen.

Der Hersteller unterstützt aktuell die Anmeldung über RD Web, ein Modul für RD Gateway ist in Vorbereitung. Ähnlich verhält es sich bei VPNs, wo SystoLOCK mit dem Windows-eigenen Client zurechtkommt und in Kürze eine Erweiterung für den Cisco-Client erhält.

Bei der Nutzung über VPN hat SystoLOCK gegenüber der Anmeldung mittels Passwort den Vorteil, dass sich User nicht aussperren können, nur weil das Kennwort abgelaufen ist und sich daher keine Verbindung mehr aufbauen lässt.

Systola bietet zudem einen Adapter für AD FS an, wenn Unternehmen eine föderierte Authentifizierung etwa für Office 365, Salesforce oder andere SaaS-Anwendungen nutzen.

Zusammenfassung

SystoLOCK erweitert das Active Directory um moderne Verfahren zur Authentifizierung, ohne dass man dafür eine hybride Konfiguration mit Azure AD benötigt. Es verzichtet vollständig auf Passwörter und erhöht so nicht nur die Sicherheit, sondern im Zusammenspiel mit der Companion-App auch den Benutzerkomfort.

Die Infrastruktur ist von einigen Systemdiensten abhängig, allen voran von Zertifizierungs­stellen. Das Setup übernimmt aber einen großen Teil der Konfiguration, etwa das Installieren von Zertifikats­vorlagen oder das Anpassen ihrer Berechtigungen.

Obwohl es eine zentrale sicherheits­relevante Aufgabe übernimmt, gräbt sich SystoLOCK nicht tief in die Umgebung ein, so dass keine dauerhafte Abhängigkeit entsteht. Nach dem Entfernen des Clients könnten Anwender wieder zur integrierten Anmeldung mittels Kennwort zurückkehren.

Der ideale Kontext für SystoLOCK ist der stationäre Firmen-PC, aber es deckt auch andere Szenarien ab. Der Hersteller bietet dafür etwa ein Plugin für das RD-Gateway oder die Unterstützung des in Windows integrierten VPN-Clients. In einigen Situationen hilft der Support für AD FS weiter, wie etwa beim Remote-Zugriff mittels Citrix oder VMware Horizon. Allerdings dürften Firmen bei mobilen Nutzern am ehesten an die Grenzen von SystoLOCK stoßen.

Weitergehende Informationen zu der Software finden sich auf der Produktseite des Herstellers. Dort kann man auch eine Online-Demo anfordern. Auf seinem Youtube-Channel zeigt Systola zudem in mehreren Kurz-Videos die Funktionsweise von SystoLOCK.