Im Test: AD-Passwörter im Self Service zurücksetzen mit Specops uReset

    Specops uResetZu den Begleit­erscheinungen der Authen­tifi­zierung mit Pass­wörtern gehört, dass User diese ver­gessen. Um den Help­desk zu ent­lasten, kann man das Zurück­setzen der Kenn­wörter an die Benutzer delegieren. Specops uReset bietet einen solchen Self-Service und schützt dabei vor dem Diebstahl von Identitäten.

    Die wichtigste Anforderung an den Password-Reset besteht in der zweifels­freien Authen­tifizierung des Benutzers, bevor man ihm über ein neues Kennwort Zugang zu einem Account gewährt. Sind die dafür genutzten Verfahren zu schwach, beispielsweise nur Frage-Antwort-Paare, dann können sich Unbefugte den Zugang zu einem Konto erschleichen, indem sie das Umfeld der Person auskund­schaften.

    Der schwedische Hersteller Specops stellt einen Cloud-basierten Authen­tifi­zierungs­dienst bereit, der eine ganze Reihe von Identity Services unterstützt und zudem eine beliebige Kombination derselben erlaubt. Specops Authentication bedient neben uReset noch weitere Anwendungen, darunter zum Beispiel eine solche zum Abrufen eines Bitlocker-Keys aus dem Active Directory.

    Specops nutzt für uReset ein hybrides Modell aus Cloud-Service und On-Prem-Software.

    Einrichten des Cloud-Mandanten

    Die Installation von uReset beginnt damit, dass man einer vom Hersteller bereitgestellten URL folgt, über die man sich am Authentication-Service registriert. Das dafür genutzte Cloud-Konto bietet nur eingeschränkte Möglichkeiten wie das Anlegen weiterer solcher Accounts.

    Im Zusammenhang mit uReset besteht seine wichtigste Aufgabe darin, die Installations­datei für den so genannten Gatekeeper herunter­zuladen. Dabei handelt es sich um ein Gateway, das on-prem eingerichtet wird und über das der Cloud-Service Zugriff auf das Active Directory erhält. Diese Datei erzeugt Specops individuell für jeden Kunden, indem er ein eigenes Zertifikat darin einbettet.

    Für jeden Gatekeeper erzeugt Specops eine eigene Installationsdatei.

    Zusätzlich erhält man auf der Download-Seite einen Aktivierungs-Code, den man später bei der Installation eingeben muss. In größeren Organisationen lassen sich auch mehrere Gatekeeper parallel betreiben.

    Den beim Download erzeugten Code benötigt man nachher bei der Installation des Gatekeepers.

    Gatekeeper installieren

    Führt man das Setup für Gatekeeper aus, dann sieht es zuerst vor, die Admin Tools zu installieren, und von dort erfolgt dann die Einrichtung des Gateways. Diesem Zweck dient ein Wizard, in dem man zuerst festlegt, wo im AD der Gatekeeper seine Einstellungen speichern soll.

    Der Wizard will zuerst wissen, wo Specops Authentication seine Einstellungen im AD speichern soll.

    Danach wählt man aus, ob Benutzer der gesamten Domäne oder nur solche in bestimmten OUs ihre Passwörter über uReset zurücksetzen können. Anschließend legt man den Service-Account fest, unter dem die Software laufen soll.

    Auswahl der OUs oder der Domäne, deren Benutzer den Authentifizierungsdienst nutzen können.

    AD-Gruppen für uReset-Administratoren

    Im nächsten Schritt zeigt das Tool die Security Groups und ihren Pfad im Active Directory an, die Specops für das Management von uReset benötigt. Diese sind vorgegeben und werden angelegt, wenn sie noch nicht existieren:

    • Die künftigen Mitglieder der Admin Group sind Administratoren des Portals. Das Konto, unter dem man den Gatekeeper installiert, wird automatisch zu ihr hinzugefügt.
    • Die User Admin Group darf auf die Funktionen zur Benutzer­verwaltung des Cloud-basierten Authentifizierungs­dienstes zugreifen.
    • Die Mitglieder der Gatekeepers Group schließlich haben das Recht, die Benutzer­informationen zu lesen. Das Service-Konto für den Gatekeeper ist eines davon.

    AD-Sicherheitsgruppen für das Management von uReset

    In einem weiteren Dialog bestimmt man, ob Administratoren ebenfalls über dieses Tool ihr Passwort zurücksetzen können. Diese Option ist per Voreinstellung deaktiviert und die meisten Kunden werden sie wohl auch so belassen.

    Privilegierte Konten können per Voreinstellung ihr Passwort nicht über uReset zurücksetzen.

    Zum Abschluss gibt man den Aktivierungscode ein, den man beim Download der Installations­datei erhalten hat. Anschließend sollte der Gatekeeper starten und im Admin-Tool den Status Connected aufweisen.

    Nach erfolgreicher Installation sollte der Gatekeeper mit dem Cloud-Service verbunden sein.

    Authentication Client

    Mit dem Cloud-basierten Authentication Service und dem AD-Gateway im eigenen Netzwerk ist die Infrastruktur für uReset aber noch nicht vollständig. Als weitere Komponente kommt der Authentication Client auf den Rechnern hinzu, auf denen Benutzer ihre Kennwörter zurücksetzen sollen. Alternativ bietet Specops eine Password Reset App für iOS und Android an.

    Der Windows-Client blendet auf der Anmeldeseite den Link Reset password ein, der einen Secure Browser im Kontext des SYSTEM-Kontos öffnet. Der Client erzwingt dann, dass sich der User so authentifiziert, wie vom Administrator festgelegt. Nur wenn dieser Vorgang erfolgreich abgeschlossen wurde, erhält der Gatekeeper den Auftrag, das Kennwort zurückzusetzen.

    Link für den Passwort-Reset auf dem Anmeldebildschirm von Windows

    Da sich Benutzer gegenüber einem Cloud-Service ausweisen müssen, können sie dies auch tun, wenn sie unterwegs sind und keinen Zugriff auf das Firmen­netzwerk und somit auf das Active Directory haben. Der Client ist dann auch in der Lage, die auf dem Rechner zwischen­gespeicherten AD-Credentials zu ändern.

    Die Installation des Clients richtet zudem im Startmenü zwei Icons ein, die Web-Seiten für das Ändern des Passworts (das bisherige ist dem User bekannt) und das Registrieren des Benutzers beim Authentifizierungs­dienst von SpecOps öffnen.

    Registrieren der Benutzer

    Grundsätzlich könnten Benutzer nun am Windows-Logon den Secure Browser für den Passwort-Reset starten. Zu diesem Zeitpunkt fehlen ihnen aber noch einige Voraussetzungen. So erfordern die meisten Authentifizierungs­verfahren, dass die User vorab Informationen im System hinterlegen.

    Das gilt zum Beispiel für geheime Antworten auf vorgegebene Fragen, aber auch für das Generieren eines Token über eine Authenticator-App. Aus diesem Grund müssen Administratoren die Benutzer zwingen, sich beim Specops-Service einzuschreiben.

    Der Admin kann sich dann über die Reporting-Funktion in der Web-Konsole jederzeit einen Überblick verschaffen, welche Benutzer noch nicht registriert sind. Unter der Registerkarte Audit lassen sich zudem alle Enrollments und Änderungen an der Konfiguration nachvollziehen.

    Überblick über die Benutzer, die sich noch nicht registriert haben.

    Um User zur Registrierung zu überreden, sieht der Hersteller verschiedene Optionen vor. Diese reichen vom Anzeigen einer Benachrichtigung über das automatische Öffnen der betreffenden Web-Seite bis zur Ausführung des Browsers im Vollbildmodus ohne Möglichkeit, diesen zu schließen. Darüber hinaus lassen sich Intervalle festlegen, nach denen das System den Benutzer zum Enrollment auffordert.

    Erinnerung über den automatischen Start des Web-Browsers

    Die Zuordnung dieser Enrollment-Policies zu den Benutzern erfolgt über Gruppen­richtlinien. Dazu legt man leere GPOs in der Gruppen­richtlinien­verwaltung an und verknüpft sie mit den gewünschten OUs. Anschließend wählt man die GPOs im Admin-Tool von Specops aus und konfiguriert ihre Einstellungen dort.

    Einstellungen, mit denen Admins die User zum Registrieren an Specops Authentication zwingen können.

    Anforderungen an die Authentifizierung konfigurieren

    Wenn sich Benutzer für den Service einschreiben, dann authentifizieren sie sich mit ihrem Windows-Passwort und sind dann gehalten, die vom Admin vorgegebenen Verfahren zu konfigurieren. Dazu zählen etwa das Hinterlegen von Antworten auf Sicherheits­fragen oder die Nummer des Mobiltelefons, um ein Token über SMS zu erhalten.

    In der Regel müssen User nicht alle angezeigten Identitäts­dienste auswählen, sondern nur so viele, um die erforderliche Anzahl an Sternen zu erhalten.

    Der User muss mehrere vom Admin vorgegebene Methoden zur Authentifizierung konfigurieren.

    Nach dem gleichen Muster funktioniert dann später die Authentifizierung für den Passwort-Reset. Der Administrator gewichtet jede Methode, indem er ihr eine bestimmte Zahl an Sternen zuweist. Darüber hinaus legt er fest, wie viele Sterne ein User sammeln muss, um seine Identität nach­zuweisen.

    Dieser wählt dann aus den registrierten Verfahren jene aus, die in der gegebenen Situation für ihn am besten passen. Specops nennt dieses Konzept Dynamic MFA.

    Die bei der Registrierung verfügbaren Identitätsquellen, ihre Gewichtung als auch die Zahl der Sterne, die Benutzer beim Enrollment und der Authentifizierung erreichen müssen, legt der Admin über die Web-Konsole fest.

    Der Admin wählt die zulässigen Methoden zur Authentifizierung aus und gewichtet sie nach ihrer Stärke.

    Wenn er für alle Konten die gleichen Anforderungen definieren möchte, dann entscheidet er sich für die Option Cloud. Alternativ kann er wieder leere GPOs erstellen, den vorgesehenen OUs zuordnen, sie im Admin-Tool auswählen und dann ihre Einstellungen in der Web-Konsole konfigurieren.

    Zuweisen der Konfiguration für die Authentifizierung per GPO

    Fazit

    Die an sich triviale Aufgabe eines Passwort-Reset erfordert einigen Aufwand, wenn man sie an Benutzer delegieren möchte. Es muss dann nämlich sichergestellt werden, dass sich niemand bei dieser Gelegenheit den Zugang zu fremden Konten erschleichen kann.

    Das gilt selbst dann, wenn Benutzer für das Zurücksetzen des Kennworts den Helpdesk kontaktieren. In größeren Unternehmen sind sie der IT-Abteilung meist nicht persönlich bekannt. Daher braucht es auch hier eine verlässliche Authentifizierung. uReset bietet aktuell rudimentäre Funktionen für den Helpdesk, diese sollen aber demnächst in ein separates Produkt ausgelagert werden.

    Die von Specops vorgesehene Infrastruktur für das Zurücksetzen von Passwörtern ist insgesamt nichts, was ein Admin zwischendurch schnell installieren kann. Wahrscheinlicher ist eher, dass man mit einem solchen Projekt einen Partner des Herstellers beauftragen wird.

    Angesichts dieses Aufwands werden Unternehmen überlegen, ob er sich für einen Password-Reset alleine lohnt. Vielmehr liegt es dann nahe, weitere Anwendungen zu nutzen, die Specops an seinen Authentifizierungs­dienst anflanscht.

    Eine Testversion der Lösung kann über die Website des Herstellers angefordert werden.

    Keine Kommentare