通过自适应 MFA 提高 IT 安全性

什么是多重身份验证 (MFA)

多重身份验证 (MFA)为登录流程增加了一层保护。访问帐户或应用时，用户需要提供额外的身份验证，例如扫描指纹或输入手机收到的代码。

为什么自适应的身份验证重要

鉴于当今不断变化的 IT 威胁形势，多重身份验证（MFA）已成为一种熟悉的安全规范。虽然 MFA 是一种众所周知的方法，但这并不意味着所有组织都知道如何有效地应用它。仅仅拥有 MFA 解决方案是不够的;必须制定详细的策略以充分利用 MFA 设置，以使网络无法穿透。另一个挑战是实施 MFA 解决方案，以加强对 IT 资源的访问，但不影响用户的工作效率。

在这里插入图片描述

自适应身份验证的工作原理

自适应 MFA（也称为基于风险的 MFA）为用户提供身份验证因素，这些身份验证因素在用户每次登录时都会根据基于上下文信息计算出的风险级别进行调整，包括：

连续登录失败的次数。
请求访问的用户的物理位置（地理位置）。
设备的类型。
一周中的某一天和一天中的时间。
IP 地址。

向用户显示的身份验证因素基于使用上述上下文因素计算的风险级别。例如，假设用户在度假时尝试在不合时宜的时间登录其工作计算机。由于用户的地理位置和访问时间不同，因此会自动提示他们使用其他身份验证因素来证明其身份。

有时，当检查用户的登录条件且未检测到风险时，可以为用户绕过 MFA 过程。有时，如果用户的活动看起来可疑，也可以拒绝他们访问请求的资源。

ADSelfService Plus 满足您的所有 MFA 需求

多因素身份验证
活动目录多因素验证
基于条件的 MFA
无密码身份验证
多因素身份验证器

多因素身份验证

ADSelfService Plus中提供的各种身份验证技术

指纹/面容 ID 认证：

使用包含指纹或面容 ID 传感器的移动设备的用户可以使用此方法进行身份验证。注册是使用ADSelfService Plus移动应用程序进行的。管理员配置此方法后，注册步骤将显示在“注册”选项卡下。在多重身份验证期间，用户必须扫描其指纹或面部，然后单击“接受”以成功进行身份验证。

YubiKey身份验证器：

YubiKey是一种使用代码进行多因素身份验证的硬件设备。注册是通过将YubiKey设备插入工作站并按下其按钮（在ADSelfService Plus最终用户门户的情况下）或将其轻触移动设备（对于ADSelfService Plus移动应用程序）来完成的。完成此操作后，代码将在ADSelfService Plus中提供的字段中自动更新。在多重身份验证期间，用户必须按照相同的步骤验证其身份。

RSA SecurID：

RSA SecurID 是另一种使用密码进行多重身份验证的方法。对于注册，用户输入管理员提供的密码。然后，为了证明自己的身份，用户输入通过以下方式生成的一次性密码：

硬件令牌。
RSA SecurID 移动应用程序。
通过电子邮件或短信收到的令牌。

Duo 安全性：

Duo 安全性是一种身份验证解决方案，它使用以下方法：

基于短信的验证码。
基于电话呼叫的验证。
基于应用的验证码。
推送通知。

配置完成后，用户必须输入他们收到的代码或接受通知才能对自己进行身份验证。对于注册，用户需要提及他们将用于多重身份验证的方法。

Azure AD 多重身份验证：

已启用 Azure Active Directory 多重身份验证的组织可以使用现有配置，并允许用户通过 Azure Active Directory 中的预注册身份验证方法进行身份验证。支持的方法包括：

基于微软身份验证器的推送通知。
基于微软身份验证器的应用程序的验证码。
基于电话呼叫的验证。
基于短信的验证。
使用Yubico，DeepNet Security等的OATH硬件令牌。

RADIUS：

RADIUS使用密码进行多重身份验证。当管理员配置 RADIUS 身份验证时，将自动注册用户。对于多重身份验证，他们只需输入管理员提供的 RADIUS 密码。

谷歌身份验证器：

谷歌身份验证器是一个使用定时代码进行身份验证的应用程序。为了验证用户身份，应用会生成一个定时代码，用户必须输入该代码才能对自己进行身份验证。用户必须使用应用进行注册，以扫描 ADSelfService 最终用户门户中“注册”选项卡下显示的 QR 码。

微软身份验证器：

微软身份验证器应用程序生成一个定时代码，用户必须输入该代码才能对自己进行身份验证。对于注册，用户必须安装 Microsoft 身份验证器应用，并使用自助服务门户中“注册”选项卡下提供的条形码对其进行 ADSelfService Plus 配置。

基于短信的验证码：

对于此方法，用户必须输入发送到其移动设备的一次性验证码以验证其身份。管理员可以从用户的 Active Directory 配置文件中选择手机号码，也可以让用户在注册时指定另一个号码。

基于电子邮件的验证码：

在此方法中，一次性验证码将发送到用户的电子邮件地址。管理员可以从用户的 Active Directory 配置文件中选择电子邮件地址，也可以让用户在注册时指定另一个电子邮件地址。

基于时间的一次性密码（TOTP）：

基于TOTP的身份验证也使用ADSelfService Plus移动应用程序执行。注册后，身份验证的执行方式与上述方法类似：用户每次必须证明自己的身份时都会收到一个 TOTP。他们必须在特定时间段内进入 TOTP 以验证自己。

自定义TOTP身份验证器：

组织使用的自定义TOTP应用程序也可以扩展为ADSelfService Plus的多因素身份验证功能的身份验证方法。注册过程将取决于应用的功能。要进行身份验证，用户必须在指定时间内在产品门户提供的字段中输入应用程序上显示的 TOTP。

推送通知：

推送通知通过安装在用户移动设备中的ADSelfService Plus移动应用程序接收。注册只能通过移动应用程序完成。管理员启用推送通知后，“注册”选项卡下会提到这些步骤。注册后，用户会收到一条通知，他们需要接受该通知以证明其身份。

基于二维码的身份验证：

启用此方法后，用户必须使用 ADSelfService Plus 移动应用程序扫描 ADSelfService Plus 最终用户门户中显示的二维码，然后选择“接受”以证明其身份。用户可以按照“注册”选项卡下显示的步骤使用应用进行注册。

SAML 身份验证：

已使用基于 SAML 的身份提供程序（IdP）应用程序（如 Okta 或 OneLogin）的组织可以使用 SAML 身份验证作为验证用户身份的方法。启用 SAML 身份验证后，仅当用户在 ADSelfService Plus 中执行自助密码重置或帐户解锁时，才会重定向到其 IdP 登录 URL 进行身份验证。此方法不需要注册。

智能卡身份验证：

此方法仅适用于产品门户登录和企业应用程序登录期间的多重身份验证。在 ADSelfService Plus 将用户计算机上的证书文件与 AD 中的证书文件进行比较后，将对用户进行身份验证。当用户首次进行身份验证时，将自动进行注册。

安全问题和答案：

此方法由一组预定义的个人问题组成，例如“您最喜欢的颜色是什么？这些问题可以由管理员或用户配置。用户可以通过定义自定义问题和答案或提供管理员定义问题的答案来注册。他们必须在身份验证期间提供这些问题的正确答案。

基于 AD 的安全问题：

在此方法中，管理员设置链接到现有或自定义 AD 属性（如社会保险号）的基于 AD 的问题。为了证明其身份，用户必须输入一个答案，然后将其与其用户帐户的 AD 中的属性值进行比较。如果它们匹配，则对用户进行身份验证。此方法不需要用户注册。

进行多因素身份验证的好处

全面的企业安全性：可以保护进入企业网络的多个远程和本地访问点免受基于凭据的攻击。
精细功能配置：可以为属于特定 OU、组和域的用户启用特定的身份验证方法。某些企业终结点还可以通过多重身份验证进行保护，具体取决于这些用户条件。
法规遵从性：多重身份验证有助于遵守 GDPR、HIPAA、NYCRR 和 FFIEC 等法规。
无密码身份验证：企业可以放弃Active Directory域密码，仅使用多重身份验证来验证用户身份。

在这里插入图片描述

活动目录多因素验证

活动目录用户身份的多重身份验证，多重身份验证（MFA）通过要求更高级别的标识保证来帮助减少攻击面并保护您的业务。可以为网络中的所有用户和所有系统（云和本地应用程序和终结点）启用它。

ADSelfService Plus 使 IT 管理员能够在用户启动端点登录、密码自助服务或 SSO 后触发预配置的身份验证工作流。使用此工作流，IT 管理员可以根据用户 OU、域和组成员身份为不同的用户集强制实施不同的身份验证器。利用 ADSelfService Plus 在您的组织中有效、轻松地部署 MFA 并保护您的业务：

用于计算机访问的 MFA：使用 MFA 安全访问计算机（Windows、macOS 和 Linux OS）登录。
适用于虚拟服务器的 MFA：允许用户在经过具有高级验证因素的严格身份验证流程后，通过 VPN 安全地访问 IT 资源。
OWA：通过在登录期间部署强身份验证因素，确保对 OWA 帐户的安全访问。
用于应用程序访问的 MFA：使用包括生物识别或 YubiKey 在内的高级身份验证器通过单点登录（SSO）规范企业应用程序访问。
适用于 SSPR 的 MFA：使用户能够在通过强制身份验证器证明其身份后执行自助密码重置（SSPR）和自助服务帐户解锁。

ADSelfService Plus如何验证Active Directory用户身份和相关帐户

让我们考虑尝试登录到Windows，macOS或Linux机器的用户。他们最初输入其AD凭据，并在验证后通过ADSelfService Plus管理员配置的MFA过程进行：

ADSelfService Plus 检查适用于用户的注册状态和策略设置，并从 19 个不同的受支持的 MFA 身份验证器列表中向用户提供相关的 MFA 身份验证器。
身份验证成功后，用户将登录到其计算机。
下面的流程图描述了自助密码重置操作的 MFA，其中用户在完成 MFA 后会看到密码重置屏幕。
重置密码后，ADSelfService Plus会使用新密码更新Active Directory。然后通过电子邮件、短信或推送通知通知用户密码重置操作的状态。

基于条件的 MFA

条件访问实现一组规则，用于分析各种风险因素（如 IP 地址、访问时间、设备和用户的地理位置），以强制实施自动访问控制决策。这些决策是根据用户风险因素实时实施的，以避免在无风险场景中实施不必要的严格安全措施。这可确保在不影响安全性的情况下增强用户体验。

可以使用条件访问应用的一些常见方案和相应的安全措施包括：

强制特权用户进行多重验证。
强制所有员工对业务关键型应用程序的异地访问 MFA。
阻止对高风险操作的访问，例如来自不受信任的 IP 或未知设备的密码重置请求。

条件访问策略的工作原理是什么

条件：这包括可能决定或破坏组织安全性的因素列表。ADSelfService Plus使您能够根据以下风险因素配置条件：
- IP 地址（受信任和不受信任）
- 设备（设备类型和平台）
- 营业时间（营业时间和非营业时间）
- 地理位置（基于请求来源）
标准：配置条件后，可以使用 AND、OR 或 NOT 等运算符设计条件。正是此标准与访问策略相关联。
访问策略：该条件与预配置的访问策略相关联，在 ADSelfService Plus 中称为自助服务策略。IT
管理员可以创建自助服务策略，并为属于特定域、组织单位（OU）和组的用户启用特定功能。

生成条件访问规则后，将发生以下情况：

用户尝试登录到其计算机，或者在登录后尝试访问应用程序或 ADSelfService Plus 中的自助服务功能之一。
根据预定义的条件，分析用户 IP 地址、访问时间和地理位置等风险因素。
如果数据满足条件，则会将用户分配到启用以下操作之一的自助服务策略：
- 对域帐户和功能的完全访问权限
- 使用 MFA 进行安全访问
- 对某些功能的访问受限
- 对特定功能的访问受限
如果用户不满足任何配置的条件访问规则，将根据用户的组或 OU 应用自助服务策略。

无密码身份验证

在无密码身份验证期间，不会要求用户输入密码来验证其身份。相反，它们由其他一些身份验证因素（例如生物识别或 TOTP）进行身份验证，这更安全，因为这些因素不容易被盗。

ADSelfService Plus 是一种具有自适应 MFA 和 SSO 功能的身份安全解决方案。使用 ADSelfService Plus，您可以为以下各项启用无密码身份验证：

通过 SSO 登录云和本地企业应用程序。
自助服务门户登录。

无密码身份验证的优点

改善用户体验：减轻用户每次想要访问受保护的 IT 资源时记住和输入密码的负担。
削减成本：彻底消除与密码重置票证、密码管理和合规性要求相关的成本。
增强安全性：获得对各种基于密码的攻击的绝对免疫力。

自适应 MFA 的优势

适用于整个网络的 MFA：为登录到端点的用户实施基于上下文的 MFA;云和本地应用程序;虚拟专用网络;和OWA 。
不用担心密码泄露：使用辅助身份验证因素使泄露的密码无能为力。启用无密码身份验证并立即摆脱所有密码管理麻烦。
易于采用：部署利用现有身份验证源（如面容 ID、Google 身份验证器或 Azure AD MFA）的MFA解决方案，使用户采用变得简单。
简化合规性：使您的组织符合各种合规性标准，包括NIST SP 800-63B、PCI DSS和HIPAA。

ADSelfService Plus 是一种身份安全解决方案，可以结束许多网络攻击，节省 IT 成本，并开启您的零信任之旅。借助 ADSelfService Plus，您可以保护多种 IT 资源，包括身份、计算机和 VPN，减轻 IT 帮助台的负担，为用户提供自助服务功能，并获得对分布在本地、云和混合环境中身份的可见性和控制。