MFA(Multi-FactorAuthentication)应用之Exchange ECP/OWA

标签：攻击   生成   dac   cal   方便   双因子   事件   user   follow   

在Office365中，很早就开始已经支持MFA了，所以，对于纯O365用户和混合部署的用户，都能方便的使用启用O365和MFA，或是Azure AD的MFA，但对于本地部署的Exchange邮件系统，如果需要，是否也可以使用MFA来保证邮件安全呢?
当然是可以的，但如果是完全本地部署（本地的AD、本地Exchange）会有些限制，因为Exchange OWA界面并不支持输入验证码等窗口，对于下面的四种验证方式，只支持电话呼叫的方式来实现，即：用户在输入用户名密码后，预留的手机上会收到一个来电，要求用户按#键确认，或是输入预先设置的PIN码（由管理员确定设置那一种）！
Azure AD支持的双重验证方法
电话呼叫 致电用户已注册的电话号码。 用户在必要时输入 PIN，再按 # 键。
短信 向用户的移动电话发送包含 6 位数验证码的短信。 用户在登录页上输入此验证码。
移动应用通知 向用户的智能手机发送验证请求。 用户在必要时输入 PIN，再在移动应用上选择“验证”。
移动应用验证码 在用户智能手机上运行的移动应用将显示验证码，每 30 秒更改一次。 找到最新验证码后，用户在登录页上输入验证码。
第三方 OATH 令牌 可以将 Azure 多重身份验证服务器配置为接受第三方验证方法。

下面来介绍下，如果在On-Premises的Ad、Exchange中实施双重验证方法！

1、 首必须有一个Azure订阅（可以不是你On-Premises相关的），在AD/MFA服务器、服务器设置，找到：下载MFA服务软件

2、 也可以直接从以下地址下载：
https://www.microsoft.com/en-us/download/details.aspx?id=55849&WT.mc_id=rss_alldownloads_all&download=mfa&clcid=0x4
3、 下载完成后，在Exchange服务器（OWA）上运行安装程序，提示需要先安装两个组件，安装


4、 完成后开始MFA Server安装，选择安装目录

5、 安装过程很简单，点下一步，即可安装完成！

6、 第一次开始时会提示输入Email/password，注意，这里并不是你的某个邮箱，而是在Azure订阅里面生成的一个用户激活的Azure邮箱和密码

7、 在Azure管理里，AD/MFA服务器、服务器设置，点生成，将生成出来的邮件地址和密码Copy到上图中MFA Server

8、 点激活

9、 激活选择一个存在的组，或是新建一个MFA组

10、 确认完成后的界面

11、 首先需要从AD导入用户，在User下，输入Import From AD

12、 选择需要导入的域、OU、用户等，可以按需求，可以导入整个AD的用户，也可以只某入导个OU

13、 选择好后，点Import，相应的用户即输入到MFA的User清单中

14、 接下来我们就要对需要的用户进行配置，注意电话号码和国家区号一定要正常，然后在Phone Call、启用

15、 选择IIS Authentication,添加OWA HTTP地址

16、 选择需要启用FMA的OWA目录，如果需要启用OEA/ECP，勾选这两项，然后勾选上面的Enable IIS Authentication

17、 到这里，配置即完成了！现在电脑开启OWA，输入用户名密码后，点登入

18、 并不会马上显示登录成功或是失败，需要等待电话确认，这里你在前面设置的手机会接到一个陌生号码拔过来的电话，如果你不接，或是挂断，OWA则会提示用户名密码不正确，登录失败！


19、 如果你正常接通，依语音提示按#键进行验证，

20、 验证通过后OWA即可正常登录！

21、 默认的语音提示为英文，你可以依用户修改为本地语言，如中文，这样用户听到的语音提示就会变为中文！

22、 如果使用选择PIN码验证的方式，用户在登录时，需要接通电话后，输入预先设定的PIN码才能完成验证！

总结：虽然没有O365的MFA功能那么强大，但能加一个电话验证的功能，相比单纯的密码还是要安全很多，在面对现阶段大家对密码意识不强的情况下，还是很有效果的！

MFA(Multi-FactorAuthentication)应用之Exchange ECP/OWA

标签：攻击   生成   dac   cal   方便   双因子   事件   user   follow   

原文地址：http://blog.51cto.com/hubuxcg/2068870