[KB3654] ESET Secure Authentication und Active Directory Schema Extensions

Einzelheiten

ESET Secure Authentication Übersicht

ESET Secure Authentication (ESA) fügt Zwei-Faktor-Authentifizierung (2FA) zu VPNs, RADIUS-Geräten, dem Remote Desktop Protokoll und verschiedenen Webanwendungen einschließlich Outlook Web Access hinzu. 2FA wird durch einmalige Passwörter (OTPs) erzwungen, die per SMS, einer mobilen Anwendung oder Hardware-Token (Hard Token) ausgeliefert werden können.

Da ESA direkt mit Standard Microsoft Active Directory-Tools wie ADUC und MMC verwaltet wird, können Administratoren Benutzer und Token einfach verwalten.

Lösung

Active Directory Schema Extension in ESET Secure Authentication

ESET Secure Authentication (ESA) erweitert das Active Directory-Schema. Während einige Bedenken geäußert worden sind, dass die Erweiterung des Active Directory (AD) Schemas Active Directory brechen oder andere Probleme verursachen kann, wurde ESA speziell entwickelt, um mit Microsoft Best Practices für die Erweiterung des AD Schemas einher zu gehen. Diese Best Practices wurden in dem folgenden Microsoft Developer Network Artikel dokumentiert:

Extending the Active Directory Schema

 

Folgende Microsoft Best Practices finden in ESA Anwendung:

  • Only define globally interesting, relatively static information in the schema
  • Objects defined in the schema should not be created very often or modified frequently
  • Objects should have a long life
  • Use twice the maximum replication frequency when determining longevity or frequency
  • Test the application in a private forest and with other applications before deploying
  • The schema upgrade must be separate from the application installation

ESA erfüllt alle oben genannten Microsoft-Empfehlungen.
 

Schema Extensions, die mit ESA ausgeliefert werden

Microsoft bietet eine Reihe zusätzlicher Richtlinien für Schema Extensions an, die mit Anwendungen (wie ESA) ausgeliefert werden. Die ESA ist darauf ausgelegt, diese Vorschläge zu beachten:The application and schema extensions were tested on a local network

  • A separate install has been created for ESA
  • The LDIF files for the schema installation are created
  • The application uses LDIFDE.exe to load the LDIF files
  • The application uses a registered prefix and base OID for each class and attribute
  • The application has a unique schemaIDGuid for each class and attribute

In Anbetracht der Tatsache, dass die ESA alle offiziellen Richtlinien, die von Microsoft veröffentlicht wurden, in Bezug auf die Erweiterung von Active Directory-Schemas verfolgt, besteht kein Grund zur Besorgnis in Bezug auf Sicherheit und Stabilität solcher Erweiterungen, die von ESA bei der Installation Anwendung finden.