Интеграция Azure MFA с Always On VPN для повышения безопасности

Как я уже упоминал во многих предыдущих статьях, моя работа в нашем бизнесе по разработке контента часто требует удаленного доступа к защищенным корпоративным сетям различных партнеров и поставщиков, поскольку я пишу для них технические документы или разрабатываю документацию, обучающие программы или другие необходимые им технические материалы. Наиболее распространенный метод, который я использовал для выполнения такой удаленной работы, — это использование решений для виртуальных частных сетей (VPN), которые используют или рекомендуют деловые партнеры, и решение Windows в этой области, называемое Always On VPN, становится фаворитом для многих из этих компаний с тех пор, как поддержка этих технологий на стороне клиента включена в операционную систему Windows 10. Известный эксперт по корпоративной инфраструктуре и безопасности Ричард Хикс ранее рассказал нам, как развернуть и настроить Always On VPN в Windows 10 здесь, в TechGenix.

Но развертывание VPN-решения само по себе не является единственным средством обеспечения безопасного доступа удаленных сотрудников или подрядчиков к вашей корпоративной сети. К счастью, многофакторная проверка подлинности или MFA могут помочь повысить безопасность вашего VPN-решения, затруднив злоумышленникам возможность выдавать себя за законных пользователей. Для компаний, использующих облачную платформу Microsoft Azure, есть Azure MFA, который Андерсон Патрисио, один из авторов нашей команды TechGenix, ранее помог нам настроить MFA для доступа к порталу Azure. Другой из наших авторов TechGenix, Лаванья Ратнам, также написал для нас это пошаговое руководство по использованию MFA для Office 365, которое является подмножеством Azure MFA, но не требует дополнительных затрат, и вы можете управлять им правильно. с портала Office 365.

Чтобы обеспечить безопасное выполнение удаленной работы при доступе к корпоративным ресурсам через VPN, я попросил Ричарда, опираясь на его предыдущее пошаговое руководство, пошагово показать нам, как Azure MFA можно интегрировать с Always On VPN в Windows 10. Ричард основатель и главный консультант Richard M. Hicks Consulting, специализирующийся на оказании помощи организациям во внедрении граничной безопасности, удаленного доступа и PKI-решений на платформах Microsoft и сторонних производителей. Он является самым ценным профессионалом Microsoft в категориях наград «Облако и центр обработки данных» и «Безопасность предприятия». Его можно найти в Твиттере по адресу @richardhicks.

«Критический риск безопасности»

Ричард начал с того, что с технологиями удаленного доступа связан «серьезный риск безопасности» из-за возможности потери или кражи учетных данных. «Если злоумышленник может получить действительные учетные данные с авторизацией для удаленного подключения, он может легко получить доступ к сети для кражи данных или дальнейшего захвата сети. Для устранения этого риска необходимо ввести дополнительные меры контроля», — сказал он. Я попросил его расширить этот вопрос и описать проблемы, связанные с интеграцией Azure MFA с Windows 10 Always On VPN, и он ответил следующим кратким списком:

• Аутентификация сертификата: рекомендуется использовать цифровые сертификаты для аутентификации удаленных пользователей вместо имен пользователей и паролей. Это снижает риск потери или кражи учетных данных, используемых для тайного доступа к сети. Используя сертификаты для аутентификации, злоумышленник не сможет удаленно подключиться к VPN, даже если он получил действительные учетные данные.
• Утерянные или украденные устройства. Хотя использование проверки подлинности с помощью клиентского сертификата снижает риск использования злоумышленником утерянных или украденных учетных данных для получения доступа к сети, это не поможет, если портативное устройство (ноутбук или планшет) будет утеряно или украдено. В этом сценарии злоумышленнику принадлежит физическое устройство, содержащее сертификат, что позволяет ему получить удаленный доступ к сети.
• Многофакторная проверка подлинности. Для обеспечения наивысшего уровня надежности следует развернуть решение многофакторной проверки подлинности (MFA), чтобы снизить риск компрометации учетных данных пользователя (украденных сертификатов) и потери или кражи устройств. При настройке MFA злоумышленник с действительными учетными данными и даже физическим устройством, включая сертификат, по-прежнему не сможет получить доступ без дополнительного доступа к маркеру MFA, назначенному пользователю (обычно это его мобильный телефон).
• Azure MFA: Microsoft Azure MFA — отличный выбор для добавления MFA в развертывание Always On VPN. Azure MFA интегрируется с существующими локальными серверами сетевых политик (NPS) и обеспечивает надежную проверку подлинности пользователей для удаленных сотрудников. Кроме того, Azure MFA имеет дополнительное преимущество поддержки MFA при использовании проверки подлинности EAP и клиентского сертификата.
• Требования. Чтобы использовать Azure MFA, необходимо иметь действующую подписку Azure и использовать Azure AD Premium. Кроме того, Azure AD Connect должен быть настроен для синхронизации локальных пользователей Active Directory с Azure AD, а у пользователей должно быть подготовлено приложение для проверки подлинности.

Интеграция NPS ключ

Затем Ричард сказал, что интеграция NPS была ключевым шагом в настройке Azure MFA с Windows 10 Always On VPN. «Azure MFA легко интегрируется с развертываниями Always On VPN путем установки расширения на существующие серверы NPS, — сказал он. Затем он описал следующее, как установить и настроить расширение NPS для Azure MFA. Во-первых, вы должны загрузить и установить расширение NPS следующим образом:

1. Загрузите расширение NPS для Azure MFA здесь.
2. Дважды щелкните NpsExtnForAzureMfaInstaller.exe.
3. Согласитесь с условиями лицензии и нажмите «Установить»:

После завершения установки нажмите «Закрыть»:

Далее необходимо настроить сертификаты расширения NPS. Расширение NPS для Azure MFA использует сертификаты для защиты связи между сервером NPS и Azure. Прежде чем начать, скопируйте свой идентификатор клиента Azure Active Directory, так как он понадобится позже. Идентификатор арендатора можно найти, открыв консоль управления Azure AD и щелкнув Свойства:

После завершения вернитесь на сервер NPS и выполните следующие действия, чтобы завершить настройку.

1. Откройте Диспетчер серверов и щелкните Локальный сервер на панели навигации.
2. Щелкните ссылку Вкл. рядом с Конфигурация усиленной безопасности IE.
3. Выберите «Выкл.» как для администраторов, так и для пользователей.
4. Нажмите ОК:

1. Откройте командное окно PowerShell с повышенными привилегиями и перейдите в папку C:Program FilesMicrosoftAzureMfaConfig.
2. Введите.AzureMfaNpsExtnConfigSetup.ps1 и нажмите Enter.
3. Введите Y, чтобы установить поставщика NuGet.
4. Войдите, используя свои учетные данные администратора Azure AD.
5. Введите идентификатор клиента Azure.
6. Нажмите Enter, чтобы завершить настройку.

Чтобы убедиться, что все работает правильно, Ричард рекомендует провести проверочное тестирование на этом этапе процесса. «С установленным расширением NPS для Azure MFA, — говорит Ричард, — для клиентских подключений VPN теперь потребуется, чтобы пользователь принял приглашение MFA в своем приложении для проверки подлинности».

Интеграция Azure MFA с Always On VPN: последние мысли

Ричард завершил наше совместное времяпрепровождение, предоставив дополнительную информацию, которую важно учитывать при интеграции Azure MFA с Always On VPN.

• Обязательно установите расширение NPS для Azure MFA на всех серверах NPS, аутентифицирующих запросы VPN-клиентов.
• После установки расширения NPS для Azure MFA на сервере NPS запросов проверки подлинности, обрабатываемых сервером NPS, потребуется MFA. Рекомендуется настроить отдельные серверы политики сети с расширением и выделить их для запросов проверки подлинности VPN-клиентов, чтобы избежать конфликтов с другими службами.
• MFA работает только с пользовательским туннелем Windows 10 Always On VPN. Принудительное использование MFA для туннеля устройства не поддерживается.
• После установки расширения NPS для Azure MFA администратор может столкнуться с неудачными попытками VPN-подключения. Это может быть вызвано отключением клиента многофакторной идентификации Azure и корпоративных приложений соединителя многофакторной идентификации Azure. Нажмите здесь для получения более подробной информации.