Управление рисками для уязвимых приложений с помощью дополнительной многофакторной аутентификации

В этом руководстве

Это руководство содержит следующую информацию:

Основные концепции — способы проверки подлинности в AD FS

Преимущества способов проверки подлинности в AD FS

службы федерации Active Directory (AD FS) (AD FS) в Windows Server 2012 R2 предоставляет ИТ-администраторам более широкий, более гибкий набор средств для проверки подлинности пользователей, желающих получить доступ к корпоративным ресурсам. Он предоставляет администраторам гибкий контроль над основными и дополнительными методами проверки подлинности, предоставляет широкий интерфейс управления для настройки полиции проверки подлинности (как через пользовательский интерфейс, так и Windows PowerShell), а также улучшает возможности для конечных пользователей, обращаюющихся к приложениям и службам, защищенным AD FS. Ниже приведены некоторые преимущества защиты приложений и служб с помощью AD FS в Windows Server 2012 R2:

  • Глобальная политика проверки подлинности — центральная возможность управления, из которой ИТ-администратор может выбрать, какие методы проверки подлинности используются для проверки подлинности пользователей в зависимости от сетевого расположения, из которого они получают доступ к защищенным ресурсам. Это позволяет администраторам выполнять следующие задачи:

    • Принудительно использовать более безопасные методы проверки подлинности для запросов на доступ из экстрасети.

    • Настраивать проверку подлинности устройств для комплексной двухфакторной проверки подлинности. Это связывает удостоверение пользователя с зарегистрированным устройством, которое используется для доступа к ресурсу, таким образом предлагая более безопасную проверку составных удостоверений перед доступом к защищенным ресурсам.

      Примечание.

      Дополнительные сведения об объекте устройства, службе регистрации устройств, присоединении к рабочему месту и устройстве как простой второй фактор проверки подлинности и единого входа см. в разделе "Присоединение к рабочему месту с любого устройства для единого входа" и простой второй фактор проверки подлинности в корпоративных приложениях.

    • Задайте требование MFA для доступа ко всем экстрасетям или условно на основе удостоверения пользователя, сетевого расположения или устройства, используемого для доступа к защищенным ресурсам.

  • Большую гибкость при настройке политик проверки подлинности: можно настроить пользовательские политики проверки подлинности для ресурсов, защищенных AD FS, с различными бизнес-значениями. Например, можно требовать принудительного применения многофакторной проверки подлинности для доступа к приложениям с высокой степенью важности для бизнеса.

  • Простота использования: простые и интуитивно понятные средства управления, такие как оснастка управления MMC на основе графического интерфейса AD FS и командлеты Windows PowerShell, позволяют ИТ-администраторам настраивать политики проверки подлинности с относительной легкостью. С помощью Windows PowerShell можно создать из решения сценарий для использования в масштабе предприятия и автоматизации повседневных задач администрирования.

  • Более высокий контроль над корпоративными ресурсами: так как администратор может использовать AD FS для настройки политики проверки подлинности, которая применяется к определенному ресурсу, у вас больше контроля над безопасностью корпоративных ресурсов. Приложения не могут отменить политики проверки подлинности, определенные ИТ-администраторами. Для уязвимых приложений и служб можно включить требование многофакторной проверки подлинности, проверки подлинности устройства и дополнительной проверки подлинности при каждом доступе к ресурсу.

  • Поддержка пользовательских поставщиков MFA: для организаций, использующих сторонние методы MFA, AD FS предлагает возможность легко включить и использовать эти методы проверки подлинности.

Область проверки подлинности

В AD FS в Windows Server 2012 R2 можно указать политику проверки подлинности в глобальной область, применимой ко всем приложениям и службам, защищенным AD FS. Вы также можете задать политики проверки подлинности для определенных приложений и служб (доверия проверяющей стороны), защищенных AD FS. Определение политики проверки подлинности для конкретного приложения (на основе отношения доверия с проверяющей стороной) не отменяет глобальную политику проверки подлинности. Если глобальная политика проверки подлинности или политика проверки подлинности на основе отношений доверия с проверяющей стороной требует многофакторной проверки подлинности, то при попытке пользователя пройти проверку подлинности на основе указанного отношения доверия с проверяющей стороной будет инициирована многофакторная проверка подлинности. Глобальная политика проверки подлинности представляет собой резервный вариант для политики на основе отношений доверия с проверяющей стороной (для приложений и служб), для которых не настроена определенная политика проверки подлинности.

Глобальная политика проверки подлинности применяется ко всем проверяющим сторонам, защищенным AD FS. При настройке глобальной политики проверки подлинности можно настроить следующие параметры:

Политики проверки подлинности на основе отношения доверия с проверяющей стороной применяются, в частности, при попытке доступа к этому отношению доверия с проверяющей стороной (приложению или службе). При настройке политики проверки подлинности на основе отношения доверия с проверяющей стороной можно настроить следующие параметры:

  • Будут ли запрашиваться учетные данные при каждом входе пользователя в систему

  • Параметры многофакторной проверки подлинности на основе учетной записи пользователя или группы, регистрации устройства и данных расположения, из которого запрашивается доступ к данным

Основные и дополнительные методы проверки подлинности

С помощью AD FS в Windows Server 2012 R2 в дополнение к основному механизму проверки подлинности администраторы могут настроить дополнительные методы проверки подлинности. Основные методы проверки подлинности являются встроенными и предназначены для проверки удостоверений пользователей. Вы можете настроить дополнительные факторы проверки подлинности, чтобы запросить дополнительные сведения о удостоверении пользователя и обеспечить более надежную проверку подлинности.

При первичной проверке подлинности в AD FS в Windows Server 2012 R2 доступны следующие параметры:

  • Для ресурсов, которые опубликованы для доступа из корпоративной сети, по умолчанию выбрана проверка подлинности на основе форм. Кроме того, можно включить проверку подлинности сертификата (другими словами, проверку подлинности с использованием смарт-карты или проверку подлинности сертификата клиента, которая работает с доменными службами Active Directory).

  • Для ресурсов интрасети по умолчанию выбрана проверка подлинности Windows. Дополнительно можно выбрать проверку подлинности на основе форм или проверку подлинности сертификата.

Выбирая более одного метода проверки подлинности, администратор предоставляет пользователям возможность выбора метода проверки подлинности на странице входа приложения или службы.

Можно также включить проверку подлинности устройств для комплексной двухфакторной проверки подлинности. Это связывает удостоверение пользователя с зарегистрированным устройством, которое используется для доступа к ресурсу, таким образом предлагая более безопасную проверку составных удостоверений перед доступом к защищенным ресурсам.

Примечание.

Дополнительные сведения об объекте устройства, службе регистрации устройств, присоединении к рабочему месту и устройстве как простой второй фактор проверки подлинности и единого входа см. в разделе "Присоединение к рабочему месту с любого устройства для единого входа" и простой второй фактор проверки подлинности в корпоративных приложениях.

При выборе для ресурсов интрасети метода проверки подлинности Windows (задан по умолчанию) проверка подлинности пройдет без проблем в браузерах, которые поддерживают проверку подлинности Windows.

Примечание.

Проверка подлинности Windows поддерживается не всеми браузерами. Механизм проверки подлинности в AD FS в Windows Server 2012 R2 обнаруживает агент пользователя браузера и использует настраиваемый параметр, чтобы определить, поддерживает ли этот агент проверку подлинности Windows. Администраторы могут добавлять элементы к этому списку агентов пользователя (с помощью команды Windows PowerShell Set-AdfsProperties -WIASupportedUserAgents), чтобы указать альтернативную строку агента пользователя для браузеров, которые поддерживают проверку подлинности Windows. Если агент пользователя клиента не поддерживает проверку подлинности Windows, по умолчанию используется резервный метод проверки подлинности форм.

Настройка многофакторной проверки подлинности

В Windows Server 2012 R2 можно настроить MFA в AD FS: указать условия, в которых требуется MFA, и выбрать дополнительный метод проверки подлинности. Дополнительные сведения о дополнительных методах проверки подлинности см. в разделе "Настройка дополнительных методов проверки подлинности для AD FS".

Параметры MFA

Для параметров многофакторной проверки подлинности доступны следующие варианты (условия, при которых обязательно применение многофакторной проверки подлинности):

  • Можно сделать многофакторную проверку подлинности обязательной для определенных пользователей и групп в домене Active Directory, к которому присоединен ваш сервер федерации.

  • Можно сделать многофакторную проверку подлинности обязательной для зарегистрированных (присоединенных к рабочему месту) или незарегистрированных (не присоединенных к рабочему месту) устройств.

    Windows Server 2012 R2 использует пользовательский подход к современным устройствам, где объекты устройств представляют связь между user@device и компанией. Объекты устройств — это новый класс в AD в Windows Server 2012 R2, который можно использовать для предоставления составного удостоверения при предоставлении доступа к приложениям и службам. Новый компонент AD FS — служба регистрации устройств (DRS) — предоставляет удостоверение устройства в Active Directory и настраивает сертификат для пользовательского устройства, который будет использоваться для представления удостоверения устройства. Затем это удостоверение устройства можно использовать для присоединения устройства к рабочему месту; иначе говоря, для подключения вашего личного устройства к Active Directory на вашем рабочем месте. После подключения личного устройства к вашему рабочему месту оно становится известным устройством и будет служить дополнительным фактором проверки подлинности для доступа к защищенным ресурсам и приложениям. Другими словами, после присоединения устройства к рабочему месту удостоверение пользователя привязано к этому устройству и может использоваться для простой проверки составных удостоверений перед доступом к защищенному ресурсу.

    Дополнительные сведения о присоединении к рабочему месту и выходе см. в разделе "Присоединение к рабочему месту с любого устройства" для единого входа и простой второй фактор проверки подлинности в корпоративных приложениях.

  • Многофакторную проверку подлинности можно сделать обязательной при запросе разрешения на доступ к защищенным ресурсам из экстрасети или интрасети.

Обзор сценария

В этом сценарии можно включить MFA на основе данных членства в группе пользователя для конкретного приложения. Иначе говоря, вы настроите политику проверки подлинности на сервере федерации таким образом, чтобы при получении запроса на доступ к определенному приложению, размещенному на веб-сервере, от пользователей, принадлежащих к определенной группе, обязательно применялась многофакторная проверка подлинности.

Более частная задача этого сценария заключается в настройке политики проверки подлинности для тестового приложения на основе утверждений claimapp, в соответствии с которой пользователь AD Роберт Хатли должен будет пройти многофакторную проверку подлинности, так как он принадлежит к группе AD Финансы.

Пошаговые инструкции по настройке и проверке этого сценария приведены в пошаговом руководстве по управлению рисками с помощью дополнительной многофакторной проверки подлинности для конфиденциальных приложений. Чтобы выполнить действия, описанные в этом пошаговом руководстве, необходимо настроить рабочую среду и выполнить действия, описанные в разделе "Настройка лабораторной среды для AD FS" в Windows Server 2012 R2.

К другим сценариям включения MFA в AD FS относятся следующие:

См. также

Пошаговое руководство. Управление рисками с помощью дополнительной многофакторной проверки подлинности для конфиденциальных приложений, настройка лабораторной среды для AD FS в Windows Server 2012 R2