码迷,mamicode.com
首页 > 其他好文 > 详细

MFA(Multi-FactorAuthentication)应用之Exchange ECP/OWA

时间:2018-02-05 12:37:46      阅读:454      评论:0      收藏:0      [点我收藏+]

标签:攻击   生成   dac   cal   方便   双因子   事件   user   follow   

邮件在现在的商业应用中已经越来越重要,几个月前,某知名咨询机构遭遇了史上最严重的黑客攻击,黑客入侵了该公司全球电子邮件服务器的管理员账号(未启用双因子两步认证),让黑客成功获取了足够访问权限,超过500万封电子邮件和大量客户知识产权、敏感信息可能被泄露。这是继Equifax和美国证券交易委员会SEC黑客事件后,连续爆出的第三起足以影响全球经济的重大信息安全事故。为了保护电子的安全,很多机构都开始引入多因子认证(MFA,Multi-Factor Authentication)。

在Office365中,很早就开始已经支持MFA了,所以,对于纯O365用户和混合部署的用户,都能方便的使用启用O365和MFA,或是Azure AD的MFA,但对于本地部署的Exchange邮件系统,如果需要,是否也可以使用MFA来保证邮件安全呢?
当然是可以的,但如果是完全本地部署(本地的AD、本地Exchange)会有些限制,因为Exchange OWA界面并不支持输入验证码等窗口,对于下面的四种验证方式,只支持电话呼叫的方式来实现,即:用户在输入用户名密码后,预留的手机上会收到一个来电,要求用户按#键确认,或是输入预先设置的PIN码(由管理员确定设置那一种)!
Azure AD支持的双重验证方法
电话呼叫 致电用户已注册的电话号码。 用户在必要时输入 PIN,再按 # 键。
短信 向用户的移动电话发送包含 6 位数验证码的短信。 用户在登录页上输入此验证码。
移动应用通知 向用户的智能手机发送验证请求。 用户在必要时输入 PIN,再在移动应用上选择“验证”。
移动应用验证码 在用户智能手机上运行的移动应用将显示验证码,每 30 秒更改一次。 找到最新验证码后,用户在登录页上输入验证码。
第三方 OATH 令牌 可以将 Azure 多重身份验证服务器配置为接受第三方验证方法。

下面来介绍下,如果在On-Premises的Ad、Exchange中实施双重验证方法!

1、 首必须有一个Azure订阅(可以不是你On-Premises相关的),在AD/MFA服务器、服务器设置,找到:下载MFA服务软件
技术分享图片

2、 也可以直接从以下地址下载:
https://www.microsoft.com/en-us/download/details.aspx?id=55849&WT.mc_id=rss_alldownloads_all&download=mfa&clcid=0x4
3、 下载完成后,在Exchange服务器(OWA)上运行安装程序,提示需要先安装两个组件,安装
技术分享图片
技术分享图片
4、 完成后开始MFA Server安装,选择安装目录
技术分享图片
5、 安装过程很简单,点下一步,即可安装完成!
技术分享图片
6、 第一次开始时会提示输入Email/password,注意,这里并不是你的某个邮箱,而是在Azure订阅里面生成的一个用户激活的Azure邮箱和密码
技术分享图片
7、 在Azure管理里,AD/MFA服务器、服务器设置,点生成,将生成出来的邮件地址和密码Copy到上图中MFA Server
技术分享图片
8、 点激活
技术分享图片

9、 激活选择一个存在的组,或是新建一个MFA组
技术分享图片
10、 确认完成后的界面
技术分享图片
11、 首先需要从AD导入用户,在User下,输入Import From AD
技术分享图片
12、 选择需要导入的域、OU、用户等,可以按需求,可以导入整个AD的用户,也可以只某入导个OU
技术分享图片
13、 选择好后,点Import,相应的用户即输入到MFA的User清单中
技术分享图片
14、 接下来我们就要对需要的用户进行配置,注意电话号码和国家区号一定要正常,然后在Phone Call、启用
技术分享图片
15、 选择IIS Authentication,添加OWA HTTP地址
技术分享图片
16、 选择需要启用FMA的OWA目录,如果需要启用OEA/ECP,勾选这两项,然后勾选上面的Enable IIS Authentication
技术分享图片
17、 到这里,配置即完成了!现在电脑开启OWA,输入用户名密码后,点登入
技术分享图片
18、 并不会马上显示登录成功或是失败,需要等待电话确认,这里你在前面设置的手机会接到一个陌生号码拔过来的电话,如果你不接,或是挂断,OWA则会提示用户名密码不正确,登录失败!
技术分享图片
技术分享图片
19、 如果你正常接通,依语音提示按#键进行验证,
技术分享图片
20、 验证通过后OWA即可正常登录!
技术分享图片

21、 默认的语音提示为英文,你可以依用户修改为本地语言,如中文,这样用户听到的语音提示就会变为中文!
技术分享图片
22、 如果使用选择PIN码验证的方式,用户在登录时,需要接通电话后,输入预先设定的PIN码才能完成验证!
技术分享图片

总结:虽然没有O365的MFA功能那么强大,但能加一个电话验证的功能,相比单纯的密码还是要安全很多,在面对现阶段大家对密码意识不强的情况下,还是很有效果的!

MFA(Multi-FactorAuthentication)应用之Exchange ECP/OWA

标签:攻击   生成   dac   cal   方便   双因子   事件   user   follow   

原文地址:http://blog.51cto.com/hubuxcg/2068870

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!