多因素身份驗證 (MFA) 早已成為標準的安全實踐。由于人們對其抵御 99% 以上的帳戶接管攻擊的能力達成廣泛共識，難怪安全架構(gòu)師將其視為環(huán)境中的必備工具。然而，似乎鮮為人知的是傳統(tǒng) MFA 解決方案固有的覆蓋范圍限制。雖然與 RDP 連接和本地桌面登錄兼容，但它們不為 PsExec、Remote PowerShell 等遠程命令行訪問工具提供保護。

實際上，這意味著盡管擁有功能齊全的 MFA 解決方案，工作站和服務(wù)器仍然容易受到橫向移動、勒索軟件傳播和其他身份威脅的影響。對于對手來說，只需采用命令行路徑而不是 RDP 即可登錄，就好像根本沒有安裝保護一樣。在本文中，我們將探討這個盲點，了解其根本原因和影響，并查看安全團隊可以克服它以維護其環(huán)境受保護的不同選項。

MFA 的核心目的：防止對手使用受損憑證訪問您的資源#

MFA 最有效的安全措施再次帳戶接管。我們首先擁有 MFA 的原因是為了防止對手使用受損的憑據(jù)訪問我們的資源。因此，即使攻擊者能夠獲取我們的用戶名和密碼（這很可能發(fā)生），它仍然無法利用它們代表我們進行惡意訪問。因此，這是抵御憑證泄露的最終最后一道防線，旨在使這種妥協(xié)無效。

盲點：Active Directory 環(huán)境中的命令行訪問工具不支持 MFA#

雖然 MFA 可以完全涵蓋對 SaaS 和 Web 應(yīng)用程序的訪問，但在涉及 Active Directory 托管環(huán)境時，它的局限性要大得多。這是因為在此環(huán)境中使用的密鑰身份驗證協(xié)議 NTLM 和 Kerberos 是在 MFA 存在之前編寫的，并且本身不支持它。這意味著無法使用 MFA 保護實現(xiàn)這些協(xié)議的每種身份驗證方法。這包括所有基于 CMD 和 PowerShell 的遠程訪問工具，其中最著名的是 PsExec 和 Remote PowerShell。這些是管理員用于遠程連接到用戶機器以進行故障排除和維護的默認工具，因此幾乎可以在任何 AD 環(huán)境中找到。

網(wǎng)絡(luò)安全影響：橫向移動和勒索軟件攻擊沒有遇到抵抗。#

根據(jù)定義，這種主流遠程連接路徑不受憑證泄露情況的保護，因此被用于大多數(shù)橫向移動和勒索軟件傳播攻擊。有一個 MFA 解決方案可以保護 RDP 連接并防止它們被濫用并不重要。對于攻擊者來說，使用 PsExec 或 Remote PowerShell 從零號患者機器轉(zhuǎn)移到環(huán)境中的其他工作站與使用 RDP 一樣容易。這只是使用一扇門而不是另一扇門的問題。

嚴酷的事實：部分 MFA 保護根本就沒有保護#

因此，如果您經(jīng)歷過在所有關(guān)鍵服務(wù)器和工作站上安裝 MFA 代理的痛苦，那么很可能您在保護它們免受身份威脅方面實際上收效甚微。這是你不能半途而廢的情況之一。要么你受到保護，要么你沒有。當船底有一個洞時，其余部分都是實木沒什么區(qū)別。同樣，如果攻擊者可以通過向命令行訪問工具提供受損憑據(jù)在您的環(huán)境中橫向移動，那么您是否擁有針對 RDP 和桌面登錄的 MFA 保護就不再重要了。

本地環(huán)境中的 MFA 限制也會使您的云資源面臨風險#

盡管轉(zhuǎn)向了云，但超過 90% 的組織仍然使用 AD 管理的工作站和服務(wù)器以及 SaaS 應(yīng)用程序和云工作負載來維護混合身份基礎(chǔ)架構(gòu)。因此，由于缺乏 MFA 保護，不僅遺留應(yīng)用程序和文件共享等核心本地資源會暴露在使用受損憑據(jù)的情況下，SaaS 應(yīng)用程序也是如此。

今天的常見做法是在所有這些資源之間同步密碼，因此使用相同的用戶名和密碼來訪問本地文件服務(wù)器和組織 SaaS 應(yīng)用程序。這意味著任何包括泄露和使用用戶憑證在內(nèi)的本地攻擊都可以輕松地轉(zhuǎn)向直接從受攻擊的機器訪問 SaaS 資源。

范式轉(zhuǎn)變：從傳統(tǒng) MFA 到統(tǒng)一身份保護#

我們所描述的差距源于傳統(tǒng) MFA 的設(shè)計和實施方式。關(guān)鍵的限制是今天的 MFA 解決方案插入到每個單獨資源的身份驗證過程中，因此如果執(zhí)行此身份驗證的軟件不支持 MFA（如在 AD 命令行訪問工具中），則不會有保護點空白。

然而，今天有一種新方法將重點從將 MFA 放在每個單獨的資源上轉(zhuǎn)移到目錄上，從而完全克服了障礙。

Silverfort 開創(chuàng)了第一個統(tǒng)一身份保護平臺，該平臺可以將 MFA 擴展到任何資源，無論它本身是否支持 MFA。利用無代理和無代理技術(shù)，Silverfort 直接與 AD 集成。通過這種集成，每當 AD 收到訪問請求時，它都會等待它的裁決并將其轉(zhuǎn)發(fā)給 Silverfort。然后，Silverfort 分析訪問請求，并在需要時向用戶提出 MFA 挑戰(zhàn)。根據(jù)用戶的響應(yīng)，Silverfort 確定是否信任用戶，并將判決傳遞給分別授予或拒絕訪問權(quán)限的 AD。

這種方法的創(chuàng)新之處在于，無論此訪問請求是通過 RDP 還是命令行發(fā)出的，以及它是否支持 MFA，都不再重要。只要是發(fā)給AD的，AD就可以傳給Silverfort。因此，通過從資源級別的 MFA 保護轉(zhuǎn)移到目錄級別的 MFA 保護，攻擊者濫用多年的盲點終于得到解決和保護。