Supportanfrage

SecurEnvoy SecurICE Bereitstellung von MFA in einem Notfall

von | 3.März 2020

Zuletzt aktualisiert am von ProSoft Redaktion

Beschreibung

Ausgangslage

Sie haben SecurEnvoy SecurAccess im Einsatz, um in Ihrem Unternehmen die Benutzeranmeldung mit einer Zwei-Faktor-Authentifizierung zusätzlich abzusichern.

Tritt jedoch ein betrieblicher Notfall ein, so ist ein weiterhin sicherer, sofortiger Zugriff zu Ihren Systemen entscheidend.

Ein solcher betrieblicher Notfall könnte z.B. sein :

  • Probleme im öffentlichen Nahverkehr
    (wie z.B: die überlasteten U-Bahnen in London während der Olympiade 2012)
  • Stomausfall
  • Hacker-Angriff
  • Vorsorgemassnahmen bzgl. Corona Virus
  • etc.

Innerhalb von SecurEnvoy SecurAccess bietet Ihnen die lizenzpflichtige Zusatzoption SecurICE diesen sicheren Zugriff, da diese Option speziell als Multi-Faktor-Authentifizierung für Geschäftskontinuität und Disaster-Recovery-Situationen konzipiert wurde.


  • Benachrichtigung der Mitarbeiter per SMS über Situationen, die einen Remote – Zugriff erfordern.
  • Bereitstellung von MFA zur Verbesserung der Sicherheit, wenn temporärer Zugang erforderlich ist.
  • Einrichtung von 1.000 Benutzer innerhalb von Minuten über automatische LDAP-Gruppeneinrichtung.
  • Einfache Authentifizierung traditioneller VPN- und Cloud-Anwendungen.
  • Zero Footprint Authenticator – Keine Software erforderlich (SMS).
  • Kostengünstige 30-Tage-Lizenz – Mehrfachnutzung.

    Lösung

    Welche Massnahmen müssen ergriffen werden?

    Welche Lösungsschritte stehen zur Verfügung?

    Welche Alternativen bieten sich?

    Der Hersteller SECURENVOY hat für die Version v9.3 einen Hotfix für SecurICE veröffentlich.
    Problem:
    Es wurde keine Benachrichtigung an die Benutzer mit zugeordneter ICE-Lizenzen verschickt.

    Bitte beachten Sie
    Es ist nur Version 9.3 betroffen

    Installieren Sie diesen Hotfix nicht für ältere Version, da hier alles korrekt funktioniert und die ICE Benachrichtigungen korrekt verschickt werden.

    Beachten Sie zur Installation die Hinweise der readme.txt in der ZIP-Datei


    Downloadbereich SecurEnvoy SecurAccess*
    SecurICE Hotfix v9.3*


    Um SecurEnvoy SecurICE zu aktivieren, gehen SIe bitte wie folgt vor:

    SecurEnvoy SecurICE Bereitstellung von MFA in einem Notfall 01
    Aktivieren Sie die automatische Gruppenbereitstellung über Config | Group Deployment, wählen Sie als Bereitstellungstyp ICE aus.
    Dadurch wird eine E-Mail zur Selbstregistrierung der Endbenutzer gesendet, wenn deren Mobiltelefonnummer nicht in Active Directory vorhanden ist.

    SecurEnvoy SecurICE Bereitstellung von MFA in einem Notfall 02
    Selektieren Sie Enable Emergency Access, um die ICE-Lizenz aufzurufen.
    Dadurch wird eine konfigurierbare SMS-Nachricht mit Informationen über die Situation zusammen mit dem ersten 6-stelligen One-Time-passcode (OTP) gesendet.

    SecurEnvoy SecurICE Bereitstellung von MFA in einem Notfall 03
    Der Benutzer erhält die erste SMS-Nachricht mit 6-stelligem OTP.

    SecurEnvoy SecurICE Bereitstellung von MFA in einem Notfall 04
    Selektieren Sie Disable Emergency Access, um die ICE-Lizenz zu stoppen.

    SecurEnvoy SecurICE Bereitstellung von MFA in einem Notfall 05
    Dadurch wird eine konfigurierbare SMS-Nachricht gesendet, die erklärt, dass der Fernzugriff deaktiviert wurde.
    Somit wird auch der SecurICE-Countdown gestoppt.
    Das heißt: wenn SecurICE für 10 Tage aktiviert wurde, bleiben 20 Tage Nutzung innerhalb des Subscription Zeitraumes verfügbar.

    SecurEnvoy SecurICE Bereitstellung von MFA in einem Notfall 06 SecurEnvoy SecurICE Bereitstellung von MFA in einem Notfall 07 SecurEnvoy SecurICE Bereitstellung von MFA in einem Notfall 08
    Der Benutzer kann sich jederzeit im “Manage My Token”-Portal anmelden, um von SMS auf eine alternative Methode des OTP zu wechseln, einschließlich Soft-Token auf Smartphones mit PUSH-Benachrichtigung.

    Hinweis

    Beachten Sie bitte folgende, ergänzende Informationen.

    Einige Anmerkungen zum Einsatz von SecurICE:

    • Vorteil: Es ist keine Bereitstellung zusätzlicher (teurer) Hardware in Form von Smartcards, Tokens, etc. notwendig, sondern es werden bereits vorhandenen Möglichkeiten genutzt.
    • Vorteil: Es fallen keine laufenden Kosten für die Bereitstellung bzw. Aufrechterhaltung der Betriebsfähigkeit dieser Hardware an (z.B: durch abgelaufene Zertifikate, leere Batterien, etc)
    • Es kann davon ausgegangen werden, dass heute jeder Mitarbeiter ein Smartphone bzw. ein Handy nutzt.
    • Da es sich um das persönliche Geräte des Mitarbeiters handelt, ist es im persönlichen Interesse der Mitarbeiter, dass er/sie das Smartphones/Handy auch immer dabei hat bzw. für Ersatz sorgt, sofern ein technisches Problem auftritt.
    • Es muss keine Software auf dem Smartphone bzw. dem Handy des Mitarbeiters installiert werden
    • Da der Versand des Passcode per SMS erfolgt, muss nicht auf Kompatibilität geachtet werden. Jedes Gerät, dass SMS empfangen kann, ist kompatibel.
    • Die private Telefonnummer des Mitarbeiters bleibt auch weiterhin privat, da diese verschlüsselt im AD gespeichert werden kann, wenn der Mitarbeiter dies wünscht

    • Der Mitarbeiter muss sich keinen PIN / kein Passwort “für den Notfall” merken, da diese Info im Notfall dann ohnehin meist schon wieder vergessen wurde
    • Der Schutz durch 2FA ist auch im Notfall gegeben und die unterschiedlichen Compliance-Regeln – welche eine 2FA Absicherung fordern – werden somit weiterhin erfüllt
    • Die Sicherheitsanforderungen im “Normalbetrieb” (welche 2FA erfordern) müssen in einer Notfallsituation nicht “aufgeweicht” werden

    • Die Umsetzung (oder Vorbereitung) dieser “Notfall 2FA” Maßnahme erfordert keinen weiteren Aufwand für den Administrator und kann über das integrierte Deploytool in SecurAccess innerhalb von Minuten für tausende von Mitarbeiter automatisiert durchgeführt werden
    • Hierbei werden ca. 200 eMails/Min. verschickt.
    • Der Mitarbeiter wird auf die Enrollment-Seite des SecurAccess Servers geführt und identifiziert sich hier mit seiner AD-Kennung (Benutzername/Passwort) und dem Passcode aus der Deploy-eMail
    • Der Mitarbeiter wird dann nach seiner Smartphone-/Handynummer gefragt (wird optional als “privat” in verschlüsselter Form abgespeichert)
    • Der Mitarbeiter erhält im Anschluss den ersten Passcode per SMS (Preload) und kann sich dann remote mit Benutzername/Passwort & PIN (=Passcode) an der Infrastruktur anmelden, welche die Firma bereitstellt (VPN, Remote Desktop, etc.)
    • Nach jeder Eingabe eines Passcodes wird automatisch der nächste Passcode per SMS an den Mitarbeiter verschickt
    • Es kann in SecurAccess konfiguriert werden, dass der Mitarbeiter nicht nur 1 Passcode, sondern 3 Passcodes per SMS als Preload erhält. Somit ist auch eine kurzfristige Überlastung bzw. ein Ausfall des Mobilfunknetz abgedeckt, da der Mitarbeiter Passcodes „auf Vorrat“ besitzt
    • Grundsätzlich stehen für SecurICE Lizenzen alle Methoden (SMS, Mail, Soft-Token) zur Verfügung, welche auch in SecurAccess zur Übermittlung des Passcode genutzt werden können

    • Tritt der Notfall ein, so aktiviert der Administrator in der SecurAccess Weboberfläche die Option „Enable Emergency Access“ in der Sektion SecurICE und verschickt eine SMS mit den Zugangsinformationen und dem ersten Passcode an alle betroffenen Mitarbeiter
    • Es wird über diese Methode an alle betroffene Mitarbeiter ein aktueller Passcode per SMS verschickt, so dass auch Mitarbeiter sich per 2FA authentifizieren können, welche die SMS (im Anschluss nach der Deploy eMail) bereits wieder gelöscht haben.
    • Ist der Notfall beendet, so aktiviert der Administrator in der SecurAccess Weboberfläche die Option „Disable Emergency Access“ in der Sektion SecurICE und deaktiviert somit den Zugang per Passcode (via SecurICE)
      In diesem Stadium gilt wieder die Konfiguration, welche vor dem Notfall aktiv war

    Beachten Sie auch unsere Videos zum Thema SecurICE

    Downloads

    Es stehen folgende Downloads zur Verfügung:

    Auf folgende Downloads wurde im Text mit ** verwiesen

    Seitenaufrufe

    Bitte bewerten Sie diesen Beitrag!
    [Gesamt: 0 | Durchschnitt: 0]