Am 25. Oktober 2022 kündigte Microsoft die allgemeine Verfügbarkeit der neuen Microsoft Authenticator Sicherheitsfunktionen an, um Ihr Unternehmen noch sicherer zu machen. Doch was hat sich in Microsoft Authenticator wirklich geändert und wie kann man dies konfigurieren? In den nächsten Abschnitten erfahren Sie mehr dazu.
Dieser Artikel wurde von Adrian Dolder für doudi.ch verfasst.
Angriffe auf MFA/2FA (Multi-Faktor-Authentifizierung/2-Faktor-Authentifizierung) haben in den letzten Monaten zugenommen. Immer häufiger ist es den Angreifern auch gelungen, eine MFA zu umgehen. Nicht selten war dies nur durch MFA-Ermüdungsangriffe möglich.
Doch was genau sind MFA-Ermüdungsangriffe?
Der erste Schritt, um Ihre Identitäten sicher zu machen, besteht darin, einen zweiten Faktor zu aktivieren. Die Benutzeranmeldung erfordert dann neben dem Benutzernamen und dem Passwort einen zusätzlichen Faktor wie beispielsweise SMS, Einmalcode oder Ähnliches. Um diese Funktion für den Nutzer so einfach wie möglich zu gestalten, haben verschiedene Hersteller entsprechende Smartphone-Apps entwickelt. Microsoft hat zum Beispiel den Microsoft Authenticator entwickelt ( Google Play Store und Apple App Store).
Mit diesen Smartphone-Apps ist es möglich, den zweiten Faktor mit einem Klick auf «approve» zu bestätigen (oder mit einem Klick auf «decline» abzubrechen) und keinen Code eingeben zu müssen, sondern gegebenenfalls mittels Fingerabdrucks oder Gesichtserkennung das Telefon zu entsperren und so eine hohe Sicherheit zu garantieren.
Durch die Einstellung der Sicherheit auf «Zero Trust» (wird empfohlen) muss der Nutzer seinen zweiten Faktor mehrmals in verschiedenen Anwendungen eingeben, was dazu führt, dass er nicht mehr genau prüft, ob er die Anfrage in der Smartphone-App wirklich ausgelöst hat oder nicht – und die Anfrage einfach bestätigt. Man spricht hier von versehentlichen Genehmigungen, da der Nutzer den zweiten Faktor einfach ungeprüft bestätigt und damit einem Angreifer den Zugriff auf seine Daten oder die seines Unternehmens ermöglicht.
Neue Funktionen für Administratoren verfügbar
Um solchen MFA-Müdigkeitsattacken entgegenzuwirken und Identitäten weiter zu schützen, hat Microsoft am 25. Oktober 2022 neue Sicherheitsfunktionen allgemein verfügbar gemacht:
- Admins können jetzt versehentliche Genehmigungen in Microsoft Authenticator mit Nummernabgleich, Standortkontext und Anwendungskontext verhindern.
- Admins können die Microsoft Authenticator-App jetzt mit einer neuen Admin-UX und Admin-APIs besser verwalten.
Nummernabgleich in Microsoft Authenticator MFA-Erfahrung
Um versehentliche Genehmigungen zu verhindern und MFA-Angriffe abzuwehren, können Administratoren Benutzende auffordern, die auf dem Anmeldebildschirm angezeigte Nummer einzugeben, wenn sie eine MFA-Anfrage in Authenticator genehmigen.
Zusätzlicher Kontext in Microsoft Authenticator-Genehmigungsanfragen
Eine weitere Möglichkeit, versehentliche Genehmigungen zu reduzieren, besteht darin, Benutzern zusätzlichen Kontext in Authenticator-Benachrichtigungen anzuzeigen. Admins können selektiv die folgenden Optionen aktivieren:
- Anwendungskontext: Zeigt dem Benutzer an, bei welcher Anwendung er sich anmeldet.
- Standort-Kontext: Zeigt den Benutzern ihren Anmeldeort basierend auf der IP-Adresse des Geräts, bei dem sie sich anmelden.
Anleitung zur Konfiguration
In diesem Abschnitt erkläre ich Ihnen, wie Sie die verschiedenen neuen Funktionen auf Ihrem Tenant konfigurieren können und warum bestimmte Optionen absolut sinnvoll sind.
Die Konfiguration findet im Azure Active Directory Portal statt.
| Im Azure Active Directory Portal klicken Sie auf Security (unter Manage)... | 
|
| ... dann klicken Sie auf Authentifizierungsmethoden... |
|
| ... und öffnen den Microsoft Authenticator. |  |
| In den Einstellungen von Microsoft Authenticator aktivieren Sie die Hauptfunktion für alle Benutzer (empfohlen) oder für eine bestimmte Benutzergruppe. |
|
Im Menu «Konfigurieren» können die einzelnen in diesem Blogbeitrag beschriebenen Funktionen angepasst werden. Diese werden im Folgenden einzeln erläutert.
|
Wenn der Nummernabgleich aktiviert ist, wird einem Benutzer bei der Anmeldung bei einem Microsoft 365 Cloud-Dienst eine Nummer angezeigt, die er bei der Bestätigung mit Microsoft Authenticator eingeben muss. *Diese Funktion wird von Microsoft im Februar 2023 standardmäßig für alle aktiven Cloud-Dienste aktiviert. |
|
| «Anwendungsname anzeigen» wird verwendet, um dem Benutzer die entsprechende Anwendung/den entsprechenden Dienst anzuzeigen, wenn er sich bei einem Microsoft 365 Cloud-Dienst im Microsoft Authenticator anmeldet. Dadurch kann der Benutzer überprüfen, ob der zweite Faktor für die Genehmigung der richtigen Anwendung verwendet wird. | 
|
| Der geografische Standort hilft dem Benutzer, die Anmeldung so zu identifizieren, dass sie wirklich von seinem Standort aus erfolgt. Dies wird im Microsoft Authenticator wie im vorherigen Abschnitt angezeigt. | 
|
Nach dem Speichern werden die Einstellungen jeweils innerhalb weniger Minuten aktiv.
Wenn Sie den Status der Funktion auf «Microsoft-verwaltet» setzen, wird sie von Microsoft zu einem geeigneten Zeitpunkt nach der Vorschau aktiviert. Wir empfehlen deshalb, die Funktion zu aktivieren oder zu deaktivieren und nicht den Status «von Microsoft verwaltet» zu verwenden.
Empfehlung des GARAIO Security Experten
Ende Februar 2023 wird Microsoft den Nummernabgleich für alle Authenticator-Nutzer standardmäßig aktivieren. Wir empfehlen, alle Funktionen nach einer kurzen Testphase zu aktivieren.
Wenn Sie die Funktionen bereits getestet haben, teilen Sie doch Ihre Erfahrungen damit in den Kommentaren.
