我正在评估 MFA 解决方案,例如 Duo 或 Okta(有人对此有意见吗?)。将 MFA 添加到 Web 登录很简单,但我想为我们的 Active Directory 管理添加另一层安全性。是否有任何解决方案适用于 powershell 连接?(例如 msol-connect Azure AD 或本地内容)例如,使用 Duo,我可以在安全跳转箱上放置 MFA,这将为在该系统上执行的操作添加 MFA。我认为我需要添加限制,即只能在启用 MFA 的跳转箱上执行 AD 管理员操作(我们目前不强制执行)。
一般情况下,对 MFA+标准服务器访问有什么建议?我们应该在工作站登录时分层 MFA 吗?如果可以的话,我不想在域中的每个服务器或 IT 工作站上都放置代理。想知道其他人会怎么做来解决这些问题。似乎 MFA 无法阻止大多数黑客,因为他们可以绕过 MFA 保护的 RDP,需要依靠其他控件。
感谢您的任何想法
答案1
Azure MFA 现可与 PowerShell 连接(例如用于 AAD 的 connect-msolservice)配合使用(https://blogs.technet.microsoft.com/ad/2015/10/20/azure-ad-powershell-public-preview-of-support-for-azure-mfa-new-device-management-commands)/
对于使用 MFA 的标准服务器访问,您可以使用 RD 网关作为 Jumbox,并在 RD 网关级别激活 MFA。然后,您将服务器 RDP 访问限制到将强制使用 RD 网关(使用 MFA)的 Jumbox。
以下文档介绍如何使用 Azure MFA 逐步设置 RD 网关:http://www.rdsgurus.com/uncategorized/step-by-step-using-windows-server-2012-r2-rd-gateway-with-azure-multifactor-authentication/
这是 Azure MFA,但它应该与其他 MFA 解决方案几乎相同。