將電子郵件保密聽(tīng)起來(lái)可能是一項簡(jiǎn)單的任務(wù)，但在當今的威脅形勢下，這遠非事實(shí)。這是因為網(wǎng)絡(luò )犯罪分子可以從攻擊您的電子郵件帳戶(hù)中獲益良多。這就是欺騙、網(wǎng)絡(luò )釣魚(yú)和社會(huì )工程等詐騙都旨在獲取訪(fǎng)問(wèn)權限的原因。貴公司的電子郵件數據很有價(jià)值；保護它應該是重中之重。

值得慶幸的是，多因素身份驗證 (MFA) 是保護自己免受與身份相關(guān)的網(wǎng)絡(luò )攻擊的最實(shí)惠但最有效的方法之一。它實(shí)際上消除了來(lái)自蠻力攻擊和其他利用被盜密碼的方法的未經(jīng)授權的訪(fǎng)問(wèn)?？紤]到據估計81%的數據泄露是由于密碼安全性差造成的，這是一項巨大的改進(jìn)。

如果這聽(tīng)起來(lái)好得令人難以置信，這里有一個(gè)警告：它只有在正確配置時(shí)才有效。當您在諸如電子郵件交換服務(wù)器之類(lèi)的東西上實(shí)現它時(shí)，這是一個(gè)棘手的挑戰。

我們是一家專(zhuān)注于安全的托管服務(wù)提供商 (MSP)，致力于幫助企業(yè)學(xué)習如何保護他們的數據。在本文中，我們將了解實(shí)施 MFA 可以采取的不同方法和步驟。

為 Exchange Online 實(shí)施 MFA

通過(guò) Microsoft 的 Azure Active Directory (AD)為所有基于云的應用程序實(shí)施MFA非常簡(jiǎn)單。您可以通過(guò) Azure 門(mén)戶(hù)手動(dòng)執行此操作，也可以通過(guò)啟用安全默認值對所有人強制執行此操作。這將迫使您網(wǎng)絡(luò )上的每個(gè)人都使用 MFA 并阻止舊式身份驗證，從而大大提高您的安全性。然而，它并不完美。

安全默認值將對您的網(wǎng)絡(luò )進(jìn)行大量配置更改，其中一些可能會(huì )導致整個(gè)系統出現問(wèn)題。例如，如果您仍在使用不支持現代身份驗證方法的舊應用程序，則在啟用安全默認值后使用它們可能會(huì )遇到問(wèn)題。

微軟已經(jīng)為所有人推出了安全默認設置。這意味著(zhù)如果您的系統是最新的，您應該已經(jīng)啟用或配置了您的系統。但是，如果您的系統較舊，您應該會(huì )收到來(lái)自 Microsoft 的通知，通知您安全默認值將自動(dòng)啟用，除非您明確拒絕它。

為本地 Exchange 服務(wù)器實(shí)施 MFA

這就是實(shí)施 MFA 可能會(huì )變得棘手的地方。您的舊 Exchange本地服務(wù)器不再與集成 Windows 身份驗證 (IWA) 和 Azure AD 兼容。這意味著(zhù)如果你想實(shí)施 MFA，你必須要有創(chuàng )造力。您可以通過(guò)將 Azure AD 與稱(chēng)為 Active Directory 聯(lián)合服務(wù) (ADFS) 的 Microsoft 單點(diǎn)登錄解決方案集成來(lái)做到這一點(diǎn)。

ADFS 最初設計用于在 Windows 生態(tài)系統和組織邊界之外的應用程序中對用戶(hù)進(jìn)行身份驗證。它允許在公司網(wǎng)絡(luò )之外安全地共享身份信息，以便您可以訪(fǎng)問(wèn)由您信任的組織托管的面向 Web 的資源。但是，它還允許您使用 ADFS 為 Azure MFA 注冊用戶(hù)。

但是，要做到這一點(diǎn)，您首先需要滿(mǎn)足以下要求：

• Windows Server 2016 AD FS 本地環(huán)境
• 帶有 Azure Active Directory 的 Azure 訂閱。
• Azure MFA 適配器

為本地服務(wù)器實(shí)施 MFA 的步驟：

1. 在每個(gè) ADFS 服務(wù)器上為 Azure MFA 生成證書(shū)

第一步是生成一個(gè)供 Azure MFA 使用的證書(shū)。為此，您可以打開(kāi) PowerShell 提示符，然后使用以下 cmdlet 生成新證書(shū)：$certbase64 = New-AdfsAzureMfaTenantCertificate -TenantID

請注意，TenantID 是 Azure AD 中目錄的名稱(chēng)。生成的證書(shū)可以在本地計算機證書(shū)存儲中找到，并標有主題名稱(chēng)以及 Azure AD 目錄的 TenantID。

2. 將新憑據添加到 Azure MFA 客戶(hù)端服務(wù)主體

要添加新憑據，請打開(kāi) PowerShell 并將證書(shū)設置為針對 Azure MFA 客戶(hù)端的新憑據，方法是鍵入：

New-MsolServicePrincipalCredential -AppPrincipalId 981f26a1-7f43-403b-a875-f8b09b8cd720 -類(lèi)型不對稱(chēng) -使用驗證 -值 $certBase64

將新憑據添加到 Azure MFA 客戶(hù)端的服務(wù)主體后，ADFS 服務(wù)器將能夠與其通信。

3. 將 Azure MFA 設置為 ADFS 服務(wù)器的主要身份驗證方法

在每臺 ADFS 服務(wù)器上完成上述步驟后，將 Azure MFA 設置為其主要身份驗證方法。您可以通過(guò)在 Powershell 上執行以下 cmdlet 來(lái)做到這一點(diǎn)：

Set-AdfsAzureMfaTenant -TenantId <租戶(hù) ID> -ClientId 981f26a1-7f43-403b-a875-f8b09b8cd720

之后，您將看到 Azure MFA 可用作 Intranet 和 Extranet 使用的主要身份驗證方法。

這可能看起來(lái)很簡(jiǎn)單，但有很多因素會(huì )使這個(gè)過(guò)程變得非常棘手。例如，某些 Windows Server 沒(méi)有最新的服務(wù)包，這意味著(zhù)前面的步驟可能無(wú)法配置您的 Azure 租戶(hù)。在這些情況下，您可能必須手動(dòng)創(chuàng )建注冊表項。

如果這看起來(lái)太多，請不要擔心?？煽康?IT 支持公司可以幫助您完成每一步，從而保護您的電子郵件交換服務(wù)器。尋求專(zhuān)家的幫助并沒(méi)有錯。

準備好為您的電子郵件交換服務(wù)器設置 MFA 了嗎？

在您的 Exchange 服務(wù)器上實(shí)施 MFA 是保護您的電子郵件的最有效且經(jīng)濟實(shí)惠的方法之一。但是請記住，它僅在正確配置時(shí)才有效。它可以是一個(gè)簡(jiǎn)單的過(guò)程，就像您為云應用程序實(shí)施它時(shí)一樣，或者像您為本地服務(wù)器實(shí)施它時(shí)一樣棘手。

希望通過(guò)上面的指南，您將能夠毫無(wú)問(wèn)題地實(shí)施 MFA。但是，如果事情進(jìn)展不順利，請不要猶豫，向 IT 支持公司尋求幫助?？煽康?MSP 擁有在第一時(shí)間完成工作的專(zhuān)業(yè)知識和經(jīng)驗。