MAIN MENU
Devolutions Blog

Ankündigungen, Aktualisierungen und Einsichten von Devolutions

Produkte
MFA at PAM checkout

MFA beim PAM-Check-out: Identität genau im richtigen Moment bestätigen

MFA beim PAM-Check-out fügt eine Identitätsprüfung genau in dem Moment hinzu, in dem ein privilegiertes Konto angefordert wird, nicht nur bei der ersten Anmeldung. Hier erfahren Sie, was das löst, wie Sie es in Devolutions Server und Devolutions Cloud aktivieren und was sich für Benutzer und Genehmiger ändert.

Privilegierte Konten werden nicht am Anmeldebildschirm kompromittiert. Sie werden nach der Anmeldung kompromittiert: wenn eine Sitzung gekapert wird, ein Gerät entsperrt liegen bleibt oder Anmeldedaten etwas zu unbekümmert geteilt werden. Genau diese Lücke schließt MFA beim PAM-Check-out: Statt jedem zu vertrauen, der sich bereits innerhalb des Perimeters befindet, überprüft Devolutions die Identität jetzt erneut – genau in dem Moment, in dem jemand Zugriff auf ein privilegiertes Konto anfordert.

Das Problem, das MFA beim Check-out löst

Die standardmäßige MFA bei der Anmeldung belegt, wer sich zu Beginn des Tages authentifiziert hat. Sie belegt nicht, wer eine Stunde später an der Tastatur sitzt, wenn eine privilegierte Check-out-Anfrage eingeht. Für sensible Konten – Domänenadministratoren, Dienstkonten, alles mit erhöhten Rechten – ist diese Lücke entscheidend. Eine erneute MFA-Abfrage genau im Moment des Check-outs schließt sie: Die Überprüfung folgt jetzt der Zugriffsanforderung selbst, nicht nur der ersten Anmeldung.

MFA für den Check-out aktivieren

In Devolutions Server:

  1. Stellen Sie sicher, dass die Benutzer eine MFA-Methode konfiguriert haben, entweder pro Benutzer (Administration – Benutzer – Multifaktor) oder global erzwungen über Administration – Konfiguration – Servereinstellungen – Sicherheit – Richtlinien für bedingten Zugriff (legen Sie das MFA-Ziel auf Erforderlich, Optional pro Benutzer oder Übersprungen fest).
  2. Öffnen Sie die Eigenschaften des PAM-Anbieters oder des Eintrags und wechseln Sie zur Registerkarte Check-out-Richtlinie.
  3. Aktivieren Sie die Option, die MFA beim Check-out erfordert.
  4. Speichern Sie. Die Anforderung gilt beim nächsten Check-out dieses Eintrags.

In Devolutions Cloud: Dieselbe Logik gilt über Administration – Konfiguration – Sicherheit – Authentifizierung, wo die MFA-Überprüfung für das Starten sensibler Einträge aktiviert werden kann. Zu den unterstützten Methoden gehören E-Mail und TOTP, wobei über die umfassenderen MFA-Optionen der Plattform weitere Identitätsanbieter abgedeckt werden (Yubikey, Duo, Radius und andere, je nach Konfiguration).

Was passiert, wenn ein Benutzer ein Konto auscheckt

Der Check-out-Ablauf selbst ändert sich an der Oberfläche nicht: Ein Benutzer wählt den Eintrag, legt eine Dauer fest und gibt bei Bedarf einen Grund oder eine Ticketnummer an. Das Neue passiert genau dort, noch bevor die Anfrage überhaupt irgendwohin gelangt. Wenn für diesen Eintrag MFA erforderlich ist, muss sich der Benutzer verifizieren – ein TOTP-Code, ein per E-Mail zugesandter Code oder SMS – als Teil der Übermittlung der Anfrage. Ohne gültige MFA erreicht die Anfrage den Genehmiger gar nicht erst: Die Identität wird an der Quelle bestätigt, nicht nachträglich angehängt.

Was der Genehmiger sieht

Genehmiger müssen nicht raten, ob die Identität bestätigt wurde. Wenn eine Check-out-Anfrage zur Prüfung bei ihnen eintrifft, hat die MFA-Überprüfung bereits stattgefunden – der Anforderer hätte die Anfrage sonst nicht übermitteln können. Der Genehmigungsbildschirm spiegelt dies wider, was dem Genehmiger eine Unbekannte weniger bei der Entscheidung lässt und einen zusätzlichen Datenpunkt im Prüfprotokoll liefert, falls dieser Check-out später jemals überprüft wird.

PAM-Check-out-Genehmigungsbildschirm in Devolutions Server, der zeigt, dass die MFA verifiziert wurde

Warum das wichtig ist

MFA beim Check-out ersetzt weder Genehmigungen noch Sitzungsaufzeichnung oder Ihre bestehenden Check-out-Richtlinien; sie ergänzt diese als zusätzlichen Kontrollpunkt – platziert genau dort, wo das Risiko am höchsten ist: im Moment, in dem jemand Zugriff auf ein privilegiertes Konto erhält. Für Teams, die Devolutions PAM bereits nutzen, ist es ein Richtlinienschalter, kein neues System, das bereitgestellt werden muss.

Wenn Sie Devolutions PAM einsetzen, lohnt es sich, diese Funktion zu aktivieren. Sehen Sie sich die untenstehende Dokumentation für die vollständige Einrichtung an und lassen Sie uns wissen, wie es für Ihr Team funktioniert.

Ressourcen:

More from Produkte

Read more articles