d1revolver - Fotolia
VMware Horizon View: 2-Faktor-Authentifizierung einrichten
Mit einer 2-Faktor-Authentifizierung kann man auch in VDI-Umgebungen zusätzliche Sicherheit gewährleisten. Bei Horizon View muss man da einige Punkte beachten.
IT-Abteilungen können mit einer 2-Faktor-Authentifizierung (2FA) eine zusätzliche Sicherheitsschicht in ihre VDI-Bereitstellung einziehen, über die sich Endanwender identifizieren lassen.
Der VDI-Ansatz erlaubt es IT-Abteilungen einerseits, den Zugriff auf sensible Daten relativ gut zu reglementieren und kontrollieren. Anderseits ist es Anwendern aber prinzipiell möglich, auf diese Daten von nahezu überall aus zuzugreifen. Je nach Konfiguration können jedoch mehr Daten dem Zugriff unterliegen, als unbedingt notwendig.
Die Zwei-Faktor-Authentifizierung in VMware Horizon View ist eine benutzerfreundliche Sicherheitsfunktion, die dazu beitragen kann, Sicherheitsverletzungen zu verhindern. Kommen Passwörter abhanden oder werden kompromittiert, sorgt die Zwei-Faktor-Authentifizierung dafür, dass sich ungebetene Gäste nicht einfach melden können. Der Angreifer kann zwar ein Passwort erbeuten, der zweite Faktor – etwa ein zeitkritischer Faktor wie ein Code – steht ihm nicht zur Verfügung.
Zwei-Faktor-Authentifizierung einrichten
VMware Horizon View unterstützt eine Reihe von 2FA-Systemen, als da unter anderem wären: RSA SecurID, Smart Cards und RADIUS.
Je nachdem, wie die IT-Abteilung das Authentifizierungssystem konfiguriert hat, kann die Zwei-Faktor-Authentifizierung von Horizon View unterschiedliche Systeme unterstützen, wie beispielsweise Google Authenticator. Dies erlaubt es IT-Abteilungen die Sicherheit der Infrastruktur zu verbessern, ohne unbedingt Security Token an die Mitarbeiter ausgeben zu müssen.
Die IT-Abteilungen kann die Zwei-Faktor-Authentifizierung auch über ein Portal für die Endanwender zur Verfügung stellen. Das mag unsicher klingen, hier kann die IT-Abteilung die Anmeldung aber einschränken, etwa auf bestimmte IP-Adressbereiche. Beispielsweise innerhalb des eigenen VPN mit vertrauenswürdigen IP-Adressen.
Es müssen auch nicht zwangsweise alle Anwender verpflichtet werden, die Zwei-Faktor-Authentifizierung zu verwenden. So kann das IT-Team die Benutzer gruppieren und entsprechend festlegen, welcher Zugriff auf die Umgebung eingeschränkt wird. Es kann zwischen vertrauenswürdigen und weniger vertrauenswürdigen Anwendern unterschieden werden. Dies reduziert einerseits möglicherweise anfallenden Lizenzkosten und vereinfacht auch die Verwaltung des 2FA-Systems und gegebenenfalls eingesetzter Security Tokens.
Im beschriebenen Portal-Szenario müssen sich Anwender, für die Zwei-Faktor-Authentifizierung verpflichtend ist, auf der entsprechenden 2FA-Website anmelden und erhalten dort den zweiten Faktor für die Nutzung ihrer VDI-Instanz.
Zwei-Faktor-Authentifizierung in Horizon View
Damit Zwei-Faktor-Authentifizierung unter Horizon View genutzt werden kann, muss es entsprechend aktivieren werden. Innerhalb von Horizon View ist die Einrichtung und Konfiguration äußerst einfach.
Administratoren sollten bei der Implementierung der Zwei-Faktor-Authentifizierung in ihrer VDI-Umgebung mit Bedacht vorgehen. Kommen Security Tokens zum Einsatz, so sollte sichergestellt sein, dass diese korrekt unter Windows funktionieren, bevor derlei Lösungen ausgerollt werden.
Aber auch bei Einmalpasswörtern (OTP, One-Time Password), die in einer bestimmten Zeitspanne ablaufen, kann es zu Problemen kommen. Manchmal sind die Zeitvorgaben hier zu stramm eingestellt, hier muss man bei Erfahrungswerten mit der eigenen Anwenderschaft unter Umständen nachjustieren.
