Перейти к основному содержимому
Версия: ITDR 2.1

Типовые сценарии MFA

Запрос MFA при входе на рабочую станцию

Чтобы запрашивать MFA при входе пользователя на рабочую станцию, создайте правило политики контроля доступа со следующими параметрами:

  • Протокол: Kerberos
  • Ресурс: HOST/workstation.domain.local
  • Действие: Запросить MFA
  • Субъект: (рекомендуется указать) Учётная запись, группа безопасности или подразделение (OU), для которых действует правило. Если субъект не задан, правило будет применяться ко всем пользователям каталога.

Тикет с классом SPN HOST запрашивается каждый раз, когда пользователь выполняет вход на рабочую станцию. Такое поведение характерно как для ОС Windows, так и для интеграций Linux в домен через sssd или winbind.

Запрос MFA при доступе к общим папкам

Для запроса MFA при подключении к общей папке по протоколу SMB создайте правило со следующими параметрами:

  • Протокол: Kerberos
  • Ресурс: cifs/fileserver.domain.local
  • Действие: Запросить MFA
  • Субъект: (рекомендуется указать) Учётная запись, группа безопасности или подразделение (OU). Если не задан — правило применяется ко всем пользователям.

Тикет с классом SPN cifs запрашивается каждый раз при установке нового SMB-соединения и аутентификации на файловом сервере. SMB-клиент Windows кэширует установленное соединение, поэтому повторного подтверждения MFA в рамках одной сессии не потребуется.

Важно

Протокол Kerberos в этом сценарии используется только при обращении к общей папке по DNS-имени. При обращении к серверу по IP-адресу применяется протокол NTLM.

Поддержка протокола NTLM будет добавлена в следующих версиях Indeed ITDR.

Запрос MFA при использовании приложения, использующего LDAP-аутентификацию в домене

Чтобы запрашивать MFA при использовании приложения, интегрированного через LDAP bind, создайте правило со следующими параметрами:

  • Протокол: LDAP / LDAPS
  • Ресурс: <IP-адреса серверов, на которых развёрнуто приложение>
  • Действие: Запросить MFA
  • Субъект: (рекомендуется указать) Учётная запись, группа безопасности или подразделение (OU). Если не задан — правило применяется ко всем пользователям.

Запрос MFA при подключении к VPN через FreeRADIUS

Для запроса MFA при подключении пользователя к VPN, интегрированному с доменом через FreeRADIUS, создайте правило со следующими параметрами:

  • Протокол: LDAP
  • Ресурс: <IP-адреса серверов FreeRADIUS>
  • Действие: Запросить MFA
  • Субъект: (рекомендуется указать) Учётная запись, группа безопасности или подразделение (OU). Если не задан — правило применяется ко всем пользователям.

Запрос MFA при подключении к веб-приложению через ADFS

  • Протокол: Kerberos
  • Ресурс: HTTP/adfs.domain.local (SPN сервиса ADFS)
  • Действие: Запросить MFA
  • Субъект: (рекомендуется указать) Учётная запись, группа безопасности или подразделение (OU). Если не задан — правило применяется ко всем пользователям.

Изолирование и разграничение доступа для сервисных учётных записей, используемых в приложениях, интегрированных через протокол LDAP / LDAPS

При интеграции приложений или сервисов с доменом по протоколам LDAP / LDAPS часто используется сервисная учётная запись для чтения каталога пользователей.

1. Отключение неиспользуемых протоколов

Поскольку для работы сервисной учётной записи не требуется протокол Kerberos, рекомендуется применить запрещающее правило:

  • Протокол: Kerberos
  • Субъект: Учётная запись или группа безопасности, содержащая учётные записи, используемые для LDAP-интеграции
  • Действие: Запретить

Дополнительно:

  • Чтобы событие попытки использования неразрешённого протокола было наглядно выделено в интерфейсе, отметьте опцию «Выделить цветом на странице События».
  • Если интеграция выполняется исключительно по протоколу LDAPS, аналогичное запрещающее правило можно добавить и для протокола LDAP.

2. Ограничение IP-адресов для выполнения запросов LDAP / LDAPS

  • Протокол: LDAP / LDAPS
  • Субъект: Учётная запись или группа безопасности, содержащая учётные записи, используемые для LDAP-интеграции
  • Ресурс: <IP-адреса серверов, на которых приложение НЕ развёрнуто>
    (Допускается указание диапазонов IP-адресов, например: 10.10.10.0 - 10.10.10.65, или подсетей в формате CIDR: 10.10.10.0/24)
  • Действие: Запретить

Дополнительно:

  • Для визуального выделения попыток доступа с неразрешённых адресов отметьте опцию «Выделить цветом на странице События».
  • Данное правило работает как чёрный список: доступ будет разрешён со всех адресов, кроме явно указанных в ресурсе.