自远程办公普及以来,身份盗用和数据窃取愈演愈烈,企业的信息安全受到严重威胁。对于管理员来说,双因子身份认证(MFA)是企业保护用户身份的必要解决方案,也很有可能成为保障远程办公和云环境安全的核心工具。
以往的双因子身份认证常用于网页应用,除此之外这一安全工具还可以保护VPN、云桌面(虚拟化桌面)、工作台、服务器、本地应用等任何需要额外验证层的IT资源。其核心是确保登录的用户其身份真实可靠。
由于大多数企业都会采用微软本地目录服务ActiveDirectory(AD)作为核心身份源,双因子身份认证也被认为是所有AD方案的标配。但事实并非如此。下面四个问题是很多管理员在考虑为AD环境部署双因子身份认证时经常遇到的。需要注意的是,在AzureActiveDirectory(AAD)中添加双因子身份认证功能时,问题可能更加复杂。
1.双因子身份认证真的有必要吗?
无论什么规模的企业都需要维护IT安全。而在企业数字化的趋势下,信息安全更加成为企业IT安全的重点。要防范的首要风险是身份窃取。在没有双因子身份认证的情况下使用核心用户账号确实会将隐私数据暴露在风险中。
另一方面,网络攻击的手段层出不穷。对于瞄准用户凭证的网络钓鱼和勒索软件等网络攻击,仅仅使用简单的用户名密码验证是远远不够的,特别是CEO、财务总监等特权账号重复使用简单密码的情况下,窃取风险只增不减。因此,管理员应尽可能实施双因子身份认证工具(MFA),安装简单、使用方便。
2.如何配置AD启用MFA?
通过微软AD将双因子身份认证工具无缝集成到IT资源中并不容易,且不说Mac和Linux设备,即便是Windows设备,集成的过程也很复杂。
双因子认证(MFA)并不是AD的原生功能,需要安装额外的应用程序或服务进行集成。部署完成后,在Windows设备登录时会启动验证流程。Windows设备作为访问AD域内资源的入口,可以设置为强制执行双因子认证。但AD本身不支持该设置,因此管理员需要采用附加解决方案。
3.Azure或Microsoft订阅方案中是否包含MFA?
从AD切换到AzureAD或Microsoft账号,都可以启用双因子身份认证,但配置过程比较复杂。这完全取决于订阅的AzureAD或Microsoft方案,有些方案可在设置栏中点击启用,另一些可能需要升级后才能启用。
1)AzureAD
企业如果选择按用户或按验证次数计费模型,可以在AzureAD免费版或基础版中使用双因子身份认证。这两种方案可以说是启用该功能所需的最低配置。但需要注意的是,Azure中的双因子身份认证仅能扩展到部分Web应用程序,无法管理所有Windows终端、本地应用程序、文件服务器或网络。当使用AD登录到域时,它并不能完全替代真正的双因子认证工具。
在AzureAD中的全局管理员账号可以免费激活AzureMFA,但仅针对工作或学校账号。
2)Microsoft
用于Microsoft账号登录的双因子身份认证现在已经囊括在Microsoft教育版和免费版中,无需额外购买或订阅。不过,除了这些少数账号之外,企业要使用MFA必须订阅AzureADP1方案。虽然每个Microsoft订阅方案都附赠AzureAD免费版,但该方案下的双因子身份认证功能很少,要获得完整体验必须付费升级。如果订阅AzureADP1方案,企业就能为访问Azure资源的用户执行条件访问策略,至于如何让条件访问策略同时应用于其他IT资源还需要另找办法。
4.在没有Azure或Microsoft的情况下如何将MFA添加到AD?
当然,每个管理员都想快速轻松地为AD启用双因子身份认证,又不想应付AAD的麻烦配置,这时可以考虑身份目录即服务(DirectoryasaService,DaaS)平台,混合环境中也能部署双因子身份认证,不受平台、协议、厂商或用户位置的限制。
DaaS是中小企业理想的统一身份和访问管理平台,它重构了AD的角色,提供类似于AD中组策略对象(GPO)的用户管理,管理员可以用双因子身份认证等策略进行全局管理,具体包括:
用户和用户组Mac/Windows/Linux系统本地应用和云应用本地应用和文件服务器网络和VPN、云桌面、堡垒机云基础设施
(本文来源于宁盾,仅供学习和参考,未经授权禁止转载和复制。如欲了解身份认证更多内容,可前往宁盾