Privilegierte Konten werden nicht am Anmeldebildschirm kompromittiert. Sie werden nach der Anmeldung kompromittiert: wenn eine Sitzung gekapert wird, ein Gerät entsperrt liegen bleibt oder Anmeldedaten etwas zu unbekümmert geteilt werden. Genau diese Lücke schließt MFA beim PAM-Check-out: Statt jedem zu vertrauen, der sich bereits innerhalb des Perimeters befindet, überprüft Devolutions die Identität jetzt erneut – genau in dem Moment, in dem jemand Zugriff auf ein privilegiertes Konto anfordert.
Das Problem, das MFA beim Check-out löst
Die standardmäßige MFA bei der Anmeldung belegt, wer sich zu Beginn des Tages authentifiziert hat. Sie belegt nicht, wer eine Stunde später an der Tastatur sitzt, wenn eine privilegierte Check-out-Anfrage eingeht. Für sensible Konten – Domänenadministratoren, Dienstkonten, alles mit erhöhten Rechten – ist diese Lücke entscheidend. Eine erneute MFA-Abfrage genau im Moment des Check-outs schließt sie: Die Überprüfung folgt jetzt der Zugriffsanforderung selbst, nicht nur der ersten Anmeldung.
MFA für den Check-out aktivieren
In Devolutions Server:
- Stellen Sie sicher, dass die Benutzer eine MFA-Methode konfiguriert haben, entweder pro Benutzer (
Administration – Benutzer – Multifaktor) oder global erzwungen überAdministration – Konfiguration – Servereinstellungen – Sicherheit – Richtlinien für bedingten Zugriff(legen Sie das MFA-Ziel auf Erforderlich, Optional pro Benutzer oder Übersprungen fest). - Öffnen Sie die Eigenschaften des PAM-Anbieters oder des Eintrags und wechseln Sie zur Registerkarte Check-out-Richtlinie.
- Aktivieren Sie die Option, die MFA beim Check-out erfordert.
- Speichern Sie. Die Anforderung gilt beim nächsten Check-out dieses Eintrags.
In Devolutions Cloud: Dieselbe Logik gilt über Administration – Konfiguration – Sicherheit – Authentifizierung, wo die MFA-Überprüfung für das Starten sensibler Einträge aktiviert werden kann. Zu den unterstützten Methoden gehören E-Mail und TOTP, wobei über die umfassenderen MFA-Optionen der Plattform weitere Identitätsanbieter abgedeckt werden (Yubikey, Duo, Radius und andere, je nach Konfiguration).
Was passiert, wenn ein Benutzer ein Konto auscheckt
Der Check-out-Ablauf selbst ändert sich an der Oberfläche nicht: Ein Benutzer wählt den Eintrag, legt eine Dauer fest und gibt bei Bedarf einen Grund oder eine Ticketnummer an. Das Neue passiert genau dort, noch bevor die Anfrage überhaupt irgendwohin gelangt. Wenn für diesen Eintrag MFA erforderlich ist, muss sich der Benutzer verifizieren – ein TOTP-Code, ein per E-Mail zugesandter Code oder SMS – als Teil der Übermittlung der Anfrage. Ohne gültige MFA erreicht die Anfrage den Genehmiger gar nicht erst: Die Identität wird an der Quelle bestätigt, nicht nachträglich angehängt.
Was der Genehmiger sieht
Genehmiger müssen nicht raten, ob die Identität bestätigt wurde. Wenn eine Check-out-Anfrage zur Prüfung bei ihnen eintrifft, hat die MFA-Überprüfung bereits stattgefunden – der Anforderer hätte die Anfrage sonst nicht übermitteln können. Der Genehmigungsbildschirm spiegelt dies wider, was dem Genehmiger eine Unbekannte weniger bei der Entscheidung lässt und einen zusätzlichen Datenpunkt im Prüfprotokoll liefert, falls dieser Check-out später jemals überprüft wird.

Warum das wichtig ist
MFA beim Check-out ersetzt weder Genehmigungen noch Sitzungsaufzeichnung oder Ihre bestehenden Check-out-Richtlinien; sie ergänzt diese als zusätzlichen Kontrollpunkt – platziert genau dort, wo das Risiko am höchsten ist: im Moment, in dem jemand Zugriff auf ein privilegiertes Konto erhält. Für Teams, die Devolutions PAM bereits nutzen, ist es ein Richtlinienschalter, kein neues System, das bereitgestellt werden muss.
Wenn Sie Devolutions PAM einsetzen, lohnt es sich, diese Funktion zu aktivieren. Sehen Sie sich die untenstehende Dokumentation für die vollständige Einrichtung an und lassen Sie uns wissen, wie es für Ihr Team funktioniert.
Ressourcen:

Steven Lafortune

Adam Listek
Marc Beausejour