思科AnyConnect VPN的MFA

思科AnyConnect VPN MFA

Cisco AnyConnect是一种流行的基于RADIUS的VPN解决方案，被许多组织使用，为其远程员工提供访问其域网络上托管的资源。这使他们能够在生产力上没有任何问题的情况下执行企业任务。这些内部托管的资源和应用程序通常包含关键的敏感数据，黑客可能会试图渗透解决方案，试图敲诈它。影响使用没有MFA的思科VPN的企业的Akira勒索软件危机就是这样一个例子。虽然Cisco AnyConnect确实维护了一个强大的身份验证流程来挫败此类尝试，但额外的强化总是有益的。

ManageEngine ADSelfService Plus是一个整体的MFA解决方案，是保护Cisco AnyConnect VPN登录的答案。该解决方案提供高级身份验证方法、有条件访问策略以及自定义配置和审计功能，以确保您的远程员工免受多种形式的网络攻击。ADSelfService Plus还帮助组织遵守NIST SP 800-63B、GDPR、HIPAA、NYCRR、FFIEC和PCI DSS等法规和任务。

为Cisco ASA AnyConnect VPN使用高级身份验证器

ADSelfService Plus支持Cisco ASA AnyConnnect VPN MFA的以下身份验证器：

生物识别和TOTP分别是占有和固有身份验证方法，被认为比基于知识的因素更安全。使用它们创建您的MFA策略可以确保免受字典攻击、网络钓鱼、密钥记录和其他形式的恶意攻击。

如何为Cisco ASA AnyConnect VPN启用MFA？

ADSelfService Plus的直观管理员门户优先考虑精细和全面的VPN MFA策略配置。可以创建并应用多样化的MFA策略，并应用于属于特定域组织单位和组的Cisco AnyConnect用户。管理员可以配置首选身份验证器，并为适当的MFA策略启用它们。通过这种方式，用户必须经历反映其企业权限和特权的MFA流程。

1. 用户打开Cisco ASA AnyConnect VPN客户端。
2. 用户使用其AD域凭据完成第一阶段的身份验证。
3. 如果成功，ADSelfService Plus 会启动 MFA 流程，最多涉及三个身份验证阶段。
4. 一旦用户完成MFA流程，他们就会登录Cisco AnyConnect VPN。

ADSelfService Plus VPN MFA 流程还适用于可能决定访问和授权的供应商特定 RADIUS 属性。该解决方案使用NPS扩展，将RADIUS请求从Cisco AnyConnect VPN服务器中继到ADSelfService Plus，并在成功MFA时将RADIUS接受状态转回VPN服务器。此响应还可以包括在RADIUS请求期间传递的任何自定义Cisco AnyConnect属性信息的响应属性。这包括群组成员资格、资源权限和授权等信息。

ADSelfService Plus的VPN MFA的好处：

• 有条件访问：ADSelfService Plus的有条件访问功能通过应用特定的身份验证策略来增强VPN MFA，这些策略在授予访问之前评估IP地址、地理位置、设备类型和访问时间等条件。例如，只有当用户从受信任的网络登录并在工作时间使用兼容设备时，MFA 才会被减少。这种方法确保只有安全、经过验证的访问尝试才能成功，从而降低未经授权的访问风险，同时提高安全态势。
• 实时审计：ADSelfService Plus提供详细的内置报表，用于审核用户的MFA尝试，并记录关键信息，包括MFA尝试时间、设备类型、IP地址和使用的身份验证器。这些日志也可以发送到SIEM解决方案，以便进一步分析和可操作的响应。
• 整体端点保护：ADSelfService Plus不仅仅保护VPN登录。该解决方案的扩展MFA功能可以强化企业中的所有关键端点，包括机器、企业应用程序、Microsoft OWA和IIS应用程序。这有助于企业制定全面且针对每个部门量身定制的全企业身份安全战略。

支持的VPN提供商：

ADSelfService Plus的VPN MFA功能建立在标准RADIUS协议之上，并支持所有基于RADIUS的VPN提供商，包括：

您也可以启用MFA来保护非VPN RADIUS端点，如Citrix Gateway、Microsoft Remote Desktop Gateway和VMware Horizon View。