Как обезопасить администрирование AD с помощью MFA
Я оцениваю решение MFA, такое как Duo или Okta (у кого-нибудь есть мнение по этому поводу?). Добавление MFA к веб-входам просто, но я хочу добавить еще один уровень безопасности для нашего администрирования Active Directory. Какие-нибудь решения работают с соединениями powershell? (например, msol-connect Azure AD или локальный материал) Например, в Duo я могу поместить MFA в защищенную перемычку, и это добавит MFA для действий, выполняемых в этой системе. Я предполагаю, что мне нужно добавить ограничения, при которых на наших переключателях с поддержкой MFA могут выполняться только действия администратора AD (которые в настоящее время не применяются).
Советы для MFA+ стандартный доступ к серверу в целом? Должны ли мы слой MFA при входе на рабочую станцию? Я не хочу размещать агента на каждом сервере или ИТ-станции в домене, если смогу помочь. Хотите знать, что другие делают для решения этих проблем. Кажется, MFA не остановит большинство хакеров, так как они могут просто обойти защищенный RDP MFA, им нужно будет передать другие элементы управления.
Спасибо за любые мысли
1 ответ
Azure MFA теперь работает с подключениями PowerShell, такими как connect-msolservice для AAD ( https://blogs.technet.microsoft.com/ad/2015/10/20/azure-ad-powershell-public-preview-of-support-for-azure-mfa-new-device-management-commands)/
Для стандартного доступа к серверу с использованием MFA вы можете использовать шлюз RD в качестве Jumbox и активировать MFA на уровне шлюза RD. Затем вы ограничиваете доступ RDP серверов к Jumbox, который принудительно использует шлюз RD (с MFA).
В следующем документе описана пошаговая настройка шлюза удаленных рабочих столов с помощью Azure MFA: http://www.rdsgurus.com/uncategorized/step-by-step-using-windows-server-2012-r2-rd-gateway-with-azure-multifactor-authentication/
Это с Azure MFA, но должно быть почти то же самое с другими решениями MFA.