自适应MFA保护端点安全

ManageEngine卓豪

于 2023-05-26 16:01:52 发布

阅读量61

点赞数

分类专栏：企业安全文章标签： MFA 身份验证端点安全

本文链接：https://blog.csdn.net/ITmoster/article/details/130887413

版权

企业安全专栏收录该内容

27 篇文章 1 订阅

订阅专栏

什么是端点安全

终结点安全性是保护组织中的终结点免受攻击或漏洞的做法。企业端点可以包括服务器、工作站、移动设备、笔记本电脑和台式机，攻击者通常将这些视为进入网络的入口点。即使是保护不力的最终用户工作站也可能成为武器，因为威胁用户声称非法访问资源并用恶意软件渗透网络。这就是为什么加强组织的端点安全性很重要的原因，最好的方法是使用端点安全工具。部署高效的端点安全解决方案可以抵御针对端点的普遍网络攻击，并简化组织的安全管理。

自适应MFA重要吗

鉴于当今不断变化的 IT 威胁形势，多重身份验证（MFA）已成为一种熟悉的安全规范。虽然 MFA 是一种众所周知的方法，但这并不意味着所有组织都知道如何有效地应用它。仅仅拥有 MFA 解决方案是不够的;必须制定详细的策略以充分利用 MFA 设置，以使网络无法穿透。另一个挑战是实施 MFA 解决方案，以加强对 IT 资源的访问，但不影响用户的工作效率。

自适应身份验证的工作原理

自适应 MFA（也称为基于风险的 MFA）为用户提供身份验证因素，这些身份验证因素在用户每次登录时都会根据基于上下文信息计算出的风险级别进行调整，包括：

连续登录失败的次数。
请求访问的用户的物理位置（地理位置）。
设备的类型。
星期几和一天中的时间。
IP 地址。

向用户显示的身份验证因素基于使用上述上下文因素计算的风险级别。例如，假设用户在度假时尝试在不合时宜的时间登录其工作计算机，由于用户的地理位置和访问时间不同，因此会自动提示他们使用其他身份验证因素来证明其身份。

基于用户的 Windows 登录 MFA 的工作原理

登录到 Windows 计算机的用户首先使用其 AD 域凭据证明其身份。
接下来，他们使用通过短信或电子邮件、生物识别或通过第三方身份验证提供商发送的时间敏感身份验证代码对自己进行身份验证。
根据管理员的配置，他们可能需要通过一种或多种方法对自己进行身份验证。
最后，用户在成功进行身份验证后登录到他们的 Windows 计算机。

受 MFA 保护的端点

使用自适应 MFA 保护组织终结点，例如计算机、VPN、OWA、RDP 以及任何基于 RADIUS 或 IIS 的网络终结点。
从 19 种不同的身份验证方法中进行选择，供用户验证其身份。
使用用户的位置、IP 地址、访问时间和所用设备等条件启用条件访问。
根据用户的 OU、组和域成员身份为用户配置不同的 MFA 流。

端点 MFA 的特点

用于计算机登录的 MFA：使用自适应 MFA（在登录期间根据用户帐户触发）保护对 Windows、Mac 和 Linux 工作站和服务器的登录。
基于设备的 MFA：使用自适应 MFA 保护对关键计算机的登录，该 MFA 根据设备的策略设置触发，而不考虑用户登录到计算机。
离线 MFA：通过为脱机 Windows 登录启用 MFA，保护脱机远程用户。
适用于虚拟服务器的 MFA：加强与组织网络和其他使用 RADIUS 和自适应 MFA 的网络终结点的 VPN 连接。
OWA的 MFA：使用自适应 MFA 保护 OWA、Exchange 管理中心（EAC）和其他 IIS Web 应用程序登录。
适用于 RDP 的 MFA：使用自适应 MFA 保护远程登录到 Windows、Mac 和 Linux 计算机。
UAC 的 MFA：使用 Windows 用户帐户控制（UAC）凭据提示的自适应 MFA 保护特权系统活动。

在这里插入图片描述

如何使用 MFA 保护端点安全

如何为计算机登录启用 MFA
如何为计算机启用基于设备的 MFA
如何为 OWA 启用 MFA
如何为 RDP 启用 MFA
如何为 UAC 启用 MFA

如何为计算机登录启用 MFA

要为计算机登录启用 MFA，需要为 Windows、macOS 和 Linux 安装 ADSelfService Plus 的登录代理。

可以通过两种方式将 MFA 应用于 Windows、macOS 和 Linux 计算机：

基于用户的 MFA：保护台式机或笔记本电脑登录，包括对特定用户组使用 MFA 进行的远程桌面登录。
基于计算机的 MFA：将 MFA 专门应用于计算机，而不考虑访问它的用户、其注册状态和 ADSelfService Plus 连接。在基于计算机的 MFA 过程中，将提示在基于用户的 MFA 下配置的身份验证器。用户帐户控制（UAC）提示、RDP 客户端和服务器身份验证以及系统解锁也可以通过基于计算机的 MFA 进行保护。

可以通过两种方式保护 MFA 保护 Windows 计算机：

Online MFA：ADSelfService Plus 中的默认或联机 MFA 流程使用 ADSelfService Plus 服务器和用户计算机之间的网络连接，根据在 ADSelfService Plus 服务器中注册的身份验证器数据验证用户的身份。
脱机 MFA：为了确保身份安全，即使没有与 ADSelfService Plus 服务器的正确网络连接或通信，脱机 MFA 也会使用 Windows 登录代理安全存储在用户计算机中的身份验证器数据来验证用户身份。脱机 MFA 可用于保护交互式登录、RDP 服务器身份验证和 UAC 提示。

如何为计算机启用基于设备的 MFA

基于设备或基于计算机的 MFA 通过为登录到设备的每个用户强制实施 MFA 来保护业务关键型计算机。

基于计算机的 MFA 如何工作

对特定计算机强制实施基于计算机的 MFA 时，尝试访问计算机的任何用户都必须使用 MFA 证明其身份才能成功登录。提示中的 MFA 身份验证器将基于在计算机登录的 MFA 部分中为用户配置的身份验证器。

在以下情况下，将不允许用户登录到强制执行基于计算机的 MFA 的计算机：

无法访问 ADSelfService Plus 服务器。
用户帐户在ADSelfService Plus中受到限制。
用户不属于配置了用于计算机登录的 MFA 的任何策略。
用户尚未注册在计算机登录 MFA（联机和脱机 MFA）部分中配置的任何身份验证器，无论为用户策略启用了强制注册选项。
已超出用户许可证使用限制或尚未购买端点 MFA 加载项。

如何为 OWA 启用 MFA

使用此设置，可以启用 MFA 网页版（OWA）和 Exchange 管理中心登录名，以向 Exchange 环境添加额外的安全层。让我们看看如何使用 ADSelfService Plus 启用 MFA：

用户尝试登录到 OWA 或 Exchange 管理中心。
系统会要求他们在 OWA 中完成主要身份验证。
如果此操作成功，OWA 会将请求传递给 ADSelfService Plus MFA 连接器，该连接器通知 ADSelfService Plus 继续执行其余身份验证因素。
如果用户成功完成所有必需的身份验证因素，他们将登录到 OWA 或 Exchange 管理中心。

如何为 RDP 启用 MFA

ADSelfService Plus允许以两种方式配置RDP MFA，即RDP服务器身份验证和RDP客户端身份验证。

RDP 服务器身份验证：启用此设置后，与安装了 ADSelfService Plus 登录代理的 Windows 计算机的所有传入远程桌面连接都将使用 MFA 进行身份验证和保护。
RDP 客户端身份验证：可以启用此设置，以要求在安装了 ADSelfService Plus 登录代理的计算机上通过 Windows 远程桌面应用程序（mstsc.exe）对所有传出远程桌面连接进行 MFA。ADSelfService Plus Windows 登录代理版本 5.10 及更高版本支持此设置。此设置适用于 Windows 7 及更高版本和 Windows Server 2008 及更高版本。

若要为 RDP 客户端身份验证启用 MFA，需要满足以下先决条件：

需要启用网络级身份验证。可以通过组策略启用网络级身份验证，方法是导航到 Windows 组件>远程桌面服务>远程桌面会话主机>安全性。
若要要求对多林 AD 环境中的远程桌面连接进行 MFA，两个域之间必须存在信任关系。可以通过林信任（林级别的信任关系）或通过外部信任（域级别的信任关系）在林之间添加域信任。

如何为 UAC 启用 MFA

启用此设置后，所有用户帐户控制（UAC）凭据提示都需要 MFA，并且用户只有在身份验证成功后才能执行所需的操作。此设置与 Windows 7 及更高版本以及 Windows Server 2008 及更高版本兼容。ADSelfService Plus Windows 登录代理版本 5.10 及更高版本支持此设置。UAC 的 MFA 可以通过 ADSelfService Plus 通过几个简单的步骤启用。