MFA 盲点：当部分保护为零保护时

多因素身份验证 (MFA) 早已成为标准的点当安全实践。由于人们对其抵御 99% 以上的部分保护保护帐户接管攻击的能力达成广泛共识 ，难怪安全架构师将其视为环境中的为零必备工具 。然而，点当似乎鲜为人知的部分保护保护是传统 MFA 解决方案固有的覆盖范围限制。虽然与 RDP 连接和本地桌面登录兼容，为零但它们不为 PsExec、点当Remote PowerShell 等远程命令行访问工具提供保护 
。部分保护保护

实际上，为零这意味着尽管拥有功能齐全的高防服务器点当 MFA 解决方案，工作站和服务器仍然容易受到横向移动、部分保护保护勒索软件传播和其他身份威胁的为零影响。对于对手来说，点当只需采用命令行路径而不是部分保护保护 RDP 即可登录，就好像根本没有安装保护一样 。为零在本文中
，我们将探讨这个盲点 ，了解其根本原因和影响，并查看安全团队可以克服它以维护其环境受保护的不同选项 。

MFA 的核心目的：防止对手使用受损凭证访问您的源码下载资源#

MFA 最有效的安全措施再次帐户接管。我们首先拥有 MFA 的原因是为了防止对手使用受损的凭据访问我们的资源 。因此，即使攻击者能够获取我们的用户名和密码（这很可能发生），它仍然无法利用它们代表我们进行恶意访问 。因此，这是抵御凭证泄露的最终最后一道防线 ，旨在使这种妥协无效。服务器租用

盲点
：Active Directory 环境中的命令行访问工具不支持 MFA#

虽然 MFA 可以完全涵盖对 SaaS 和 Web 应用程序的访问 ，但在涉及 Active Directory 托管环境时
，它的局限性要大得多 。这是因为在此环境中使用的密钥身份验证协议 NTLM 和 Kerberos 是在 MFA 存在之前编写的
，并且本身不支持它。这意味着无法使用 MFA 保护实现这些协议的每种身份验证方法。这包括所有基于 CMD 和 PowerShell 的远程访问工具 ，源码库其中最著名的是 PsExec 和 Remote PowerShell
。这些是管理员用于远程连接到用户机器以进行故障排除和维护的默认工具 ，因此几乎可以在任何 AD 环境中找到 。

网络安全影响 ：横向移动和勒索软件攻击没有遇到抵抗。#

根据定义，这种主流远程连接路径不受凭证泄露情况的保护，因此被用于大多数横向移动和勒索软件传播攻击 。有一个 MFA 解决方案可以保护 RDP 连接并防止它们被滥用并不重要。对于攻击者来说，使用 PsExec 或 Remote PowerShell 从零号患者机器转移到环境中的其他工作站与使用 RDP 一样容易 。免费模板这只是使用一扇门而不是另一扇门的问题
。

严酷的事实：部分 MFA 保护根本就没有保护#

因此 ，如果您经历过在所有关键服务器和工作站上安装 MFA 代理的痛苦，那么很可能您在保护它们免受身份威胁方面实际上收效甚微 。这是你不能半途而废的情况之一 
。要么你受到保护，要么你没有。当船底有一个洞时 ，其余部分都是亿华云实木没什么区别 。同样，如果攻击者可以通过向命令行访问工具提供受损凭据在您的环境中横向移动 ，那么您是否拥有针对 RDP 和桌面登录的 MFA 保护就不再重要了 。

本地环境中的 MFA 限制也会使您的云资源面临风险#

尽管转向了云 ，但超过 90% 的组织仍然使用 AD 管理的工作站和服务器以及 SaaS 应用程序和云工作负载来维护混合身份基础架构 。因此 ，由于缺乏 MFA 保护，不仅遗留应用程序和文件共享等核心本地资源会暴露在使用受损凭据的情况下，SaaS 应用程序也是如此。

今天的常见做法是在所有这些资源之间同步密码，因此使用相同的用户名和密码来访问本地文件服务器和组织 SaaS 应用程序 。这意味着任何包括泄露和使用用户凭证在内的本地攻击都可以轻松地转向直接从受攻击的机器访问 SaaS 资源 。

范式转变 ：从传统 MFA 到统一身份保护#

我们所描述的差距源于传统 MFA 的设计和实施方式。关键的限制是今天的 MFA 解决方案插入到每个单独资源的身份验证过程中，因此如果执行此身份验证的软件不支持 MFA（如在 AD 命令行访问工具中）  ，则不会有保护点空白。

然而，今天有一种新方法将重点从将 MFA 放在每个单独的资源上转移到目录上，从而完全克服了障碍。

Silverfort 开创了第一个统一身份保护平台
，该平台可以将 MFA 扩展到任何资源 ，无论它本身是否支持 MFA。利用无代理和无代理技术，Silverfort 直接与 AD 集成 
。通过这种集成  ，每当 AD 收到访问请求时，它都会等待它的裁决并将其转发给 Silverfort
。然后，Silverfort 分析访问请求 ，并在需要时向用户提出 MFA 挑战 。根据用户的响应，Silverfort 确定是否信任用户 ，并将判决传递给分别授予或拒绝访问权限的 AD 。

这种方法的创新之处在于，无论此访问请求是通过 RDP 还是命令行发出的
，以及它是否支持 MFA ，都不再重要。只要是发给AD的 ，AD就可以传给Silverfort。因此，通过从资源级别的 MFA 保护转移到目录级别的 MFA 保护，攻击者滥用多年的盲点终于得到解决和保护。