Я оцениваю решение MFA, такое как Duo или Okta (у кого-нибудь есть мнение по этому поводу?). Добавить MFA в веб-входы просто, но я хочу добавить еще один уровень безопасности в наше администрирование Active Directory. Какие-нибудь решения работают с соединениями PowerShell? (например, msol-connect Azure AD или локальные вещи) С помощью Duo, например, я могу поместить MFA в безопасный переход, и это добавит MFA для действий, выполняемых в этой системе. Я предполагаю, что мне нужно добавить ограничения, в соответствии с которыми только действия администратора AD могут выполняться на наших JumpBox с поддержкой MFA (которые мы в настоящее время не применяем).
Совет по стандартному доступу к серверу MFA + вообще? Должны ли мы накладывать MFA на вход на рабочую станцию? Я не хочу ставить агента на каждый сервер или ИТ-рабочую станцию в домене, если могу. Интересно, что делают другие для решения этих проблем. Похоже, что MFA не остановит большинство хакеров, поскольку они могут просто обойти защищенный MFA RDP, и им потребуется использовать другие средства управления.
Спасибо за любые мысли
Azure MFA теперь работает с подключениями PowerShell, такими как connect-msolservice для AAD (https://blogs.technet.microsoft.com/ad/2015/10/20/azure-ad-powershell-public-preview-of-support-for-azure-mfa-new-device-management-commands)/
Для стандартного доступа к серверу с использованием MFA вы можете использовать шлюз удаленных рабочих столов в качестве Jumbox и активировать MFA на уровне шлюза удаленных рабочих столов. Затем вы ограничиваете доступ серверов RDP к Jumbox, что приведет к принудительному использованию шлюза удаленных рабочих столов (с MFA).
Следующий документ, как шаг за шагом настроить шлюз удаленных рабочих столов с Azure MFA: http://www.rdsgurus.com/uncategorized/step-by-step-using-windows-server-2012-r2-rd-gateway-with-azure-multifactor-authentication/
Это с Azure MFA, но должно быть почти так же с другими решениями MFA.