Wenn’s irgendwo weh tut

Verfasst vonClick Coach - Approach the CoachVeröffentlicht inCloud Dienste, Identität, Multifaktor, Office 365, Passwort-Sicherheit, Phishing, Risiken absichernSchlagwörter:, , , , , , , ,

MFA ist wie Wallwurzsalbe. Es hilft in den meisten Fällen, aber nicht immer. Und es stinkt manchmal gewaltig.

Wie ist das gemeint? Wenn es für die Anmeldung einen zweiten Faktor (MFA) wie z.B. ein SMS Code oder eine Bestätigung durch eine App auf dem Telefon braucht, dann kann eine Person, die per Zufall oder mit Absicht an Dein Passwort gelangt ist (z.B. über eine hinterhältige Phishing Attacke) nichts damit anfangen. Nach Eingabe des geklauten Passwortes bleibt der Angreifer erfolglos weil er die Anmeldung nicht bestätigen kann. MFA hilft.

Ueberfluss führt zu Verdruss

Jetzt kann MFA aber auch mühsam sein. Stell Dir vor, Du müsstest Dich jeden morgen im Büro mit Wallwurzsalbe einstreichen bevor Du Dich am System anmelden darfst. Kein schöner Gedanke, zumindest für die meisten von uns. Mit der Zeit würdest Du Wallwurz-Salbe so richtig hassen und alles tun um die Prozedur zu umgehen. Sicherheit, die der Benutzer nicht akzeptiert weil zu umständlich ist falsche Sicherheit.

Hmmmm…. Wäre es denn nicht möglich den zweiten Faktor wegzulassen wenn ich mich von einem bekannten Ort anmelde? Gerade Büro-Standorte haben ja oft definierte IP Adressen, die sich nicht gross ändern. Die gute Nachricht: Es geht, zumindest mit Office 365. Das nennt sich ‚Trusted Locations‘.

Vo genau hier möchte ich mich sorgendrei anmelden, bitte!

Was sind die Voraussetzungen für MFA mit Trusted Locations?

  • Ich gehe davon aus, dass Du Adminrechte (Global Admin) auf Deinen eigenen M365 Account (Tenant) hast. Falls der Tenant nicht durch Dich verwaltet wird, kannst Du den Admin auf die Möglichkeit der ‚Trusted Locations‘ hinweisen und ihn bitten das einzurichten.
  • MFA kan pro User eingeschaltet werden oder für alle. Ich gehe im Beispiel vom ersten Fall aus.
  • Um ‚Trusted Locations‘ zu nutzen muss ich als erstes eine Liste der externen IP Adressen machen, die ich im Einsatz habe. Tipp: Wenn’s keine Dokumentation gibt helfen Websiten wie whatismyip.com weiter.

Wie gehe ich vor um MFA mit Trusted Locations einzurichten?

  • Ins Office 365 Admin Center einloggen (admin.microsoft.com)
  • Auf ‚Users‘ und dann ‚Active Users‘
  • Den User für den MFA eingeschaltet werden soll auswählen
  • Unten rechts bei den Eigenschaften auf ‚Manage Multi-Factor Authentication‘
  • Im nächsten Bildschirm, den User nochmals auswählen und falls MFA noch nicht aktiv ist ‚Enable‘
  • Der neu für MFA aktivierte User muss sich beim nächsten Anmelden einmalig für MFA registrieren. Das heisst er muss den zweiten Faktor einrichten, die Mobilnummer angeben etc.
  • Unter ‚Service Settings‘ kann auf der gleichen Seite für MFA im allgemeinen festgelegt werden was als zweiter Faktor zum Einsatz kommen kann. Möglich sind unter anderem:
    • Automatisierter Rückruf auf die registrierte Nummer
    • SMS Nachricht mit Code an die registrierte Nummer
    • Mobile App Bestätigung (mit der Microsoft Authenticator App)
    • Hardware Token
  • Ebenfalls auf dieser Seite findet sich die Einstellung ‚Trusted IPs‘ sowie die Option ‚Skip MFA for requests from…‘. Hier muss die externe IP Deines Standortes eingetragen sein, damit Du nicht jedes Mal Deine Anmeldung bestätigen musst.

Was ist der Effekt von Trusted Locations?

  • Auf Deinem Haupt-PC im Büro musst Du wie bisher nur Benutzername und Passwort eingeben. Evtl. nicht mal das, je nachdem wie die Anmeldung für M365 konfiguriert ist und welche Methode verwendet wird (SSO).
  • Auf allen anderen Geräten, im Internet-Café, auf dem Laptop in den Ferien, auf dem Hausboot wird ein zweiter Faktor verlangt und ohne kann nicht angemeldet werden.
  • Das beinhaltet dann auch den Hacker in Russland oder den Phishing Unhold aus Fernost. Mit Deinem Passwort kann er nichts anfangen.
Wenn’s irgendwo weh tut

Kann ich noch mehr tun?

  • Die beschriebene Methode ist ‚Quick and Dirty‘ und skaliert nicht wirklich. Hast Du mehrere Standorte oder komplexere Anforderungen gibt es die sogenannten ‚Conditional Access Policies‘ bei denen Du viel genauer festlegen kannst wann MFA zur Anwendung kommt. An welchen Standorten, mit welchen Geräten etc.
  • Zusätzlich lassen sich noch Sicherheitsoptionen nutzen, die zum Beispiel automatisch ein Neusetzen des Passwortes verlangen, wenn ein Loginversuch von einem nicht bekannten Ort festgestellt wird. Darüber ein andermal mehr.

Es bleibt mir euch eine geruhsame Weihnachszeit zu wünschen und vielleicht liegt ja beim einen oder anderen ein M365 Abo unter dem Baum. Auch eine Expresslieferung des bekannten und beliebten ClickCoach T-Shirts würde noch zum Festtag unter dem Baum liegen. Oder dann halt eine Tube Wallwurz-Salbe.

Weihnachten rollt an

Veröffentlicht von Click Coach - Approach the Coach

I’ve been working in IT for over 20 years, mainly within the Microsoft world. Over the years, I’ve come across the same questions and problems again and again. On my blog, I share tips and tricks on all kinds of IT topics. It’s not meant for IT pros — but they’re welcome to read along too! 😊

Hinterlasse einen Kommentar