Tipp

Authentifizierung bei Windows 8: Wie gut ist die neue Cloud-Option?

Unternehmen, die Cloud-basierte Dienste einrichten, merken schnell, wie kompliziert die Authentifizierung dafür sein kann. Jeder Cloud-Dienst erfordert eine andere Kombination aus Nutzername und Passwort, zusammen mit unterschiedlichen Optionen für sekundäre Authentifizierung wie Tokens oder Zertifikate. Diese Komplexität kann neue Sicherheitsrisiken schaffen, wenn die Nutzer hier zu den üblichen Hilfsmitteln wie Klebezetteln am Monitor oder unter der Tastatur greifen.

Erfreulicherweise haben sich Sicherheitstechnologien in Richtung vereinfachter Methoden für die Authentifizierung bei Cloud-Diensten weiterentwickelt. Die Security Assertion Markup Language (SAML), OAuth und OpenID gehören zu den führenden Standards, die ein Single Sign-On bei Cloud-basierten Anwendungen möglich machen. Google, Facebook und Microsoft etwa arbeiten sämtlich mit diesen offenen APIs, mit deren Hilfe andere Websites beispielsweise die Nutzer-Authentifizierung dieser großen Anbieter nutzen können. Derartige Systeme haben sehr erfolgreich einfache, vom Benutzer kontrollierte Authentifizierungen für Web-Anwendungen und -Dienste ermöglicht. Jedoch haben sie im Consumer-Bereich viel schneller Verbreitung gefunden als in Unternehmen.

Microsoft hat eine Zeitlang nur zugesehen, wie neue Methoden zur Authentifizierung in der Cloud über Google- oder Facebook-Konten entstanden sind. Ende Februar 2012 aber veröffentlichte das Unternehmen die zweite Preview seines neuen Betriebssystems Windows

Kostenlose Registrierung notwendig

  • Um diesen Artikel vollständig zu lesen, melden Sie sich bitte kostenlos an. Falls Sie schon ein Mitlgied sind, loggen Sie sich einfach oben links auf der Webseite an.

Mit dem Einreichen Ihrer Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Sie sich außerhalb der Vereinigten Staaten befinden, stimmen Sie hiermit zu, dass Ihre persönlichen Daten in die Vereinigten Staaten übertragen und dort verarbeitet werden. Datenschutz

8, das schon ein interessantes Feature zur Authentifizierung enthielt und Nutzer zurück in das Windows-Ökosystem holen soll. Weil sich aber alle Berichterstatter eher auf die neue Benutzer-Oberfläche Metro gestürzt haben, wird die neue Möglichkeit zur Authentifizierung bei Windows mittels einer Web-basierten Microsoft ID gern vergessen. Dabei ist die Fähigkeit, sich mit einem Hotmail-Account bei Windows 8 anzumelden, mindestens so revolutionär wie die umstrittenen Änderungen durch Metro.

Die Idee, den Zugang zu einem Web-basierten Dienst als Login für ein Gerät zu verwenden, ist nicht neu. Google authentifiziert auf diese Weise seine Chromebooks schon seit deren Markteinführung und Apple hat vor kurzem seine iCloud-Accounts so in OS X Lion integriert, dass damit sogar lokale Macintosh-Passwörter zurückgesetzt werden können. Der Ansatz von Microsoft ist jetzt sogar noch weitreichender, was sich durch die Kompatibilitätsanforderungen eines so riesigen Ökosystems wie Windows ergibt.

Seit Windows 2000 vermarktet und verkauft Microsoft seine auf Active Directory basierende Authentifizierung an Unternehmenskunden. Man darf wohl davon ausgehen, dass das Unternehmen seinen Marktanteil bei solchen firmeninternen privaten Clouds nicht gefährden möchte, während es in die Märkte für hybride und öffentliche Cloud expandiert. Der Erfolg von Windows 8 wird stark davon abhängen, wie gut Microsoft das alte Active-Directory-Modell mit dem neuen Cloud-basierten Modell zur Authentifizierung vereinen kann.

Schauen wir uns zunächst an, wie die neue Authentifizierung unter Windows 8 funktioniert, und welche Risiken Unternehmen dabei beachten müssen.

Bewertung der Authentifizierung unter Windows 8

Am besten lässt sich der Fortschritt von Microsoft bei diesem neuen Modell der Authentifizierung direkt anhand von Windows 8 überprüfen. Diese Besprechung basiert noch auf der Consumer Preview Build 8250, so dass es bis zur endgültigen Veröffentlichung noch Änderungen geben könnte. Um die Interaktion mit Active Directory bewerten zu können, wurde der Test-PC für Windows 8 in eine Windows 2008R2-Domain eingebunden.

Nutzer-Authentifizierung

Beim ersten Start fragt Windows 8 im Rahmen der anfänglichen Nutzer-Identifizierung nach einer Windows ID; diese kann von jedem Konto jedes Microsoft-Onlinedienstes wie Hotmail oder Windows Live stammen. Erreicht hat Microsoft das, indem Hotmail- und andere Konten bei eigenen Diensten als das behandelt werden, was früher als lokales Benutzerkonto bezeichnet wurde. Sie werden automatisch der lokalen Administrator-Gruppe hinzugefügt, so dass sie volle Kontrolle über Hardware und Software der jeweiligen Maschine haben. Diese Art von Nutzer-Konto dürfte jedem erfahrenen Techniker für Windows-Desktops bekannt vorkommen. Und bis jetzt sieht es so aus, als habe Microsoft damit einen guten Kompromiss zwischen Sicherheit und Nutzbarkeit mit alter und neuer Authentifizierungsmethode zustande gebracht.

Active-Directory-Domain

Im nächsten Teil des Tests wurde der PC der 2008R2-Domain hinzugefügt und geprüft, wie gut die beiden unterschiedlichen Sicherheitsbereiche voneinander getrennt gehalten werden. Dieses Risiko werden Unternehmen sicherlich genau verstehen wollen: Kann ein Hotmail-Konto auf Unternehmensressourcen in einer Active-Directory-Domain zugreifen? Die eindeutige Antwort auf diese Frage ergibt sich aus der Tatsache, dass die Microsoft IDs wie lokale Benutzerkonten unter Windows gehandhabt werden: Sie können nicht auf Ressourcen von Active Directory zugreifen, also sind Netzwerk-basierte Unternehmenswerte sicher.

Risiken der Cloud-Authentifizierung mit Windows 8

Trotzdem bleibt es wichtig sich der entstehenden Risiken bewusst zu sein, wenn der lokale Account als Administrator für die lokale Maschine konfiguriert ist – denn dies ist immer noch die Voreinstellung. Damit kann die Microsoft ID auf Dateien zugreifen, die in den Verzeichnissen anderer Nutzer auf derselben Maschine liegen, sowie auf Offline-Hashes von Active-Directory-Konten, die dort gespeichert sind. Damit könnte man die Windows ID für unterschiedliche Angriffe zum Knacken der Passwörter dieser Konten verwenden. Dieses Risiko ist nicht neu, weil lokale Administratoren schon immer diese Möglichkeiten hatten. Mit der Microsoft ID kommt aber eine weitere Security-Variable hinzu, die Unternehmenskunden berücksichtigen sollten, wenn sie über den Einsatz von Windows 8 nachdenken.

Ein weiteres Risiko, das Unternehmen bedenken müssen, ist die Art und Weise, wie Einstellungen mit dem Konto einer Microsoft ID synchronisiert werden können. Active-Directory-Konten lassen sich mit einer Microsoft ID verknüpfen, so dass bestimmte Nutzer-Einstellungen unabhängig vom verwendeten Rechner erhalten bleiben. Dazu zählen zwar nur Desktop-Gestaltung, Browser-Einstellungen und andere Präferenzen, doch auch die Synchronisierung von Browser-Lesezeichen oder anderen Metadaten birgt die Gefahr, dass vertrauliche Daten in die falschen Hände geraten. Zudem ermöglicht die Microsoft Live ID Zugang zu Microsoft SkyDrive. Auch darüber können Mitarbeiter Unternehmensdaten nach außen geraten lassen, wenn der Dienst nicht über Richtlinien angemessen konfiguriert ist.

Credential Manager

Ein neues Feature von Windows 8 könnte dabei helfen, Login-Daten für andere Cloud-Dienste zu konsolidieren und damit die Sicherheit zu stärken: Der Credential Manager befindet sich in der Systemsteuerung und gibt Nutzern die Möglichkeit, ihre externen Nutzernamen und Passwörter zu speichern, darunter auch unterschiedliche Windows-Zugangsdaten und -Zertifikate. Dieses Feature ähnelt der Schlüsselbund-Funktion bei Max OS X und wäre gegenüber der verbreiteten Klebezettel-Lösung ein riesiger Fortschritt. Der Credential Manager hat somit Potenzial, Windows 8 zum bevorzugten Betriebssystem für den Zugriff auf Cloud-basierte Anwendungen zu machen.

Schwierigkeiten bei der Authentifizierung mit Windows 8

Dass Microsoft versucht, das alte Modell der Windows-Authentifizierung beizubehalten und zusammen mit dem Cloud-basierten anzubieten, hat jedoch auch einen Nachteil: Beide Systeme zu konfigurieren und zu warten ist enorm komplex. In Windows 8 gibt es mehrere Orte, an denen die sich überlappenden Konfigurationsoptionen für beide Modelle der Authentifizierung zu finden sind. Durch diese Komplexität kann es zu Fehlkonfigurationen kommen, durch die das Sicherheitsniveau von Nutzern oder Geräten nicht mehr ausreichend ist. Offensichtlich wird die Komplexität bei einem Vergleich von Windows 8 mit den neueren Authentifizierungsmodellen von Apple oder Google.

So oder so aber hat dieser Test mit Windows 8 gezeigt, dass die Zukunft der Authentifizierung in der Cloud liegt. Durch die Integration von Cloud-basierter Authentifizierung in sein Flaggschiff-Produkt Windows hat Microsoft versucht, die Konkurrenz zu überspringen. Bis Unternehmen vollständig zu Cloud-basierter Authentifizierung übergehen können, werden aber noch mehr Werkzeuge für Steuerung und Management gebraucht. Microsoft ist hier in der einzigartigen Lage, derartige Werkzeuge anbieten zu können. Ebenso könnte das Unternehmen ein Gateway entwickeln, mit dem Nutzer leicht zu Cloud-Diensten von Microsoft wie Windows Azure oder Office 365 migrieren können.

Noch befindet sich Windows 8 in einem frühen Stadium – Gerüchte sprechen von einer endgültigen Version im Oktober. Ob Microsoft damit die Führung bei Cloud-basierter Authentifizierung übernehmen, wird sich dann zeigen.

Über den Autor:

Jeseph Granneman, CISSP, hat mehr als 20 Jahre Erfahrung mit IT und Sicherheit in den Branchen Gesundheit und Finanzen. Er war beteiligt an der Health Information Security and Pricacy Working Group des US-Bundesstaates Illinois und an der Arbeitsgruppe Sicherheit der Certification Commission for Health Information Technologie (CCHIT) und ist aktives Mitglied von InfraGard.

Artikel wurde zuletzt im April 2012 aktualisiert

Ihre Meinung zum Artikel Kommentar

Teilen
Kommentare

    Ergebnisse

    Tragen Sie zu dem Gespräch bei

    Alle Felder sind erforderlich. Kommentare werden unterhalb des Artikels erscheinen.

    Haftungsausschluss: Unser Tipp-Austausch ist ein Forum, in welchem Sie technische Beratung und Fachkenntnisse mit Ihrem Peers teilen können, sowie auch von anderen IT-Profis lernen können. TechTarget bietet die Infrastruktur, um dieses Teilen von Informationen zu erleichtern. Wie auch immer, wir können nicht die Genauigkeit oder die Gültigkeit des vorgelegten Materials garantieren. Sie stimmen zu, dass Ihre Benutzung von dem „Fragen Sie den Experten“ Service, sowie auch Ihr Vertrauen von jeglichen Fragen, Antworten, Informationen oder anderen empfangenen Materialien von dieser Webseite auf Ihre eigenes Risiko läuft.