ADFS — важный компонент корпоративной инфраструктуры аутентификации на базе Microsoft Active Directory. Через него пользователи получают доступ к внутренним и внешним приложениям, корпоративным порталам и системам, включая критичные рабочие сервисы с чувствительной информацией. При этом компрометация учетной записи в домене напрямую влияет на безопасность всей IT-среды. В этой статье разберем, что такое ADFS, как выполняется настройка двухфакторной аутентификации в ADFS и какие аспекты особенно важны с точки зрения информационной безопасности.
Что такое ADFS и зачем он используется в корпоративной инфраструктуре
ADFS (Active Directory Federation Services) — это служба федерации Active Directory, инструмент Microsoft, который используется для централизованной аутентификации пользователей и управления доступом к приложениям и системам. Простыми словами, ADFS — это сервер, который подтверждает личность пользователя и сообщает приложениям, можно ли давать ему доступ.
В отличие от классической AD-авторизации, где проверка логина и пароля происходит непосредственно внутри домена, ADFS выносит процесс аутентификации в отдельную службу. Это позволяет:
- реализовать single sign-on для нескольких applications;
- подключать внешние и облачные systems;
- централизованно управлять доступом пользователей;
- применять дополнительные меры безопасности поверх Active Directory.
На практике ADFS используется для:
- корпоративных порталов;
- web-приложений;
- сервисов самообслуживания пользователей, включая порталы смены пароля.
ADFS как критическая точка с точки зрения информационной безопасности
С точки зрения информационной безопасности ADFS является одной из самых чувствительных точек инфраструктуры. Причина в том, что через него проходят запросы на доступ сразу к нескольким системам, а иногда — ко всем корпоративным приложениям.
Основные ИБ-риски, связанные с ADFS:
| Риск | Почему это критично |
|---|---|
|
Компрометация пароля |
Дает доступ сразу ко всем связанным приложениям |
|
Централизация |
Одна ошибка может повлиять на всю инфраструктуру |
|
Доверие приложений |
Приложения полностью доверяют ADFS |
Если злоумышленник получает доступ к учетной записи пользователя, ADFS фактически открывает ему доступ ко всем системам, к которым у этого пользователя есть права.
Информационная безопасность бизнеса
Контур.Эгида — сервисы информационной безопасности: уменьшение рисков внутренних угроз и утечек конфиденциальных данных, предотвращение атак злоумышленников.
Именно поэтому настройка ADFS должна рассматриваться не как формальная установка компонента Windows Server, а как элемент построения системы защиты доступа.
Базовые этапы настройки ADFS
Процесс настройки ADFS включает несколько ключевых шагов, каждый из которых важен с точки зрения информационной безопасности:
- Развертывание ADFS на Windows Server.
- Настройка службы федерации и сертификатов.
- Интеграция с Active Directory.
- Подключение приложений и систем.
- Настройка политик доступа и журналирования.
Ошибки на любом из этих этапов могут привести к:
- обходу аутентификации;
- неконтролируемому доступу пользователей;
- отсутствию аудита событий входа.
Почему стандартной настройки ADFS может быть недостаточно
По умолчанию ADFS как служба Microsoft использует классическую схему: логин и пароль домена. С точки зрения информационной безопасности этого уже недостаточно, потому что:
- пароли могут быть украдены через фишинг;
- пользователи повторно используют пароли;
- утечки из сторонних сервисов затрагивают доменные учетные записи.
В результате один скомпрометированный пароль может дать злоумышленнику доступ к нескольким критичным системам. Именно на этом этапе становится очевидной необходимость двухфакторной аутентификации в ADFS.
ID для 2ФА в ADFS
ADFS часто становится единой точкой входа в корпоративные системы — и одновременно одной из самых уязвимых.
Установка адаптера 2ФА для ADFS
Чтобы реализовать двухфакторную аутентификацию в ADFS, используется специальный адаптер аутентификации. Он встраивается в стандартный процесс проверки подлинности и добавляет дополнительный уровень защиты поверх AD-авторизации.
ID может использоваться как адаптер второго фактора для Microsoft ADFS. Он интегрируется в существующую инфраструктуру и не требует изменения логики доменной авторизации.
Чтобы настроить ID как адаптер, выполните следующие шаги:
- Перейдите на Windows Server с настроенным AD FS.
- Скачайте адаптер ID из кабинета администратора на Windows Server.
- Запустите файл «installScript.ps1».
После установки в AD FS станет доступен новый способ проверки двухфакторной аутентификации.
Выбор способа проверки 2ФА в ADFS
- Перейдите в «Server Manager» и нажмите «Tools» → «AD FS Management».
- В меню выберите «Service» → «Authentication Methods» и нажмите «Edit Multi-factor Authentication Methods...».
- На вкладке «Addditional» выберите «Kontur.ID ADFS adapter».
- Нажмите «Apply» → «OK»
Выбор приложения
- В левом меню выберите «Service» → «Relying Party Trusts».
- Выберите приложение для настройки двухфакторной аутентификации в открывшемся окне.
- В правом окне нажмите «Edit Access Control Policy» или правой кнопкой мыши по приложению.
- Выберите вариант, предполагающий запрос «MFA».Как правило, достаточно выбрать «Permit everyone and require MFA». Нажмите «Apply» → «OK».
Настройка двухфакторной аутентификации завершена.
Обновление ADFS
ADFS является компонентом Windows Server и напрямую зависит от обновлений Microsoft. При этом обновление ADFS часто воспринимается как второстепенная задача, к которой может применяться подход: «если работает — не трогать». С точки зрения информационной безопасности такой подход опасен.
ADFS обрабатывает аутентификацию пользователей и выдает токены доступа для приложений и систем. Любая уязвимость в этой цепочке может привести к компрометации доменных учетных записей или обходу механизмов защиты.
Регулярное обновление ADFS необходимо, потому что с помощью обновлений:
- закрываются уязвимости в службе;
- устраняются ошибки, влияющие на корректность аутентификации;
- повышается устойчивость к атакам;
- обеспечивается совместимость с современными механизмами защиты.
При обновлении ADFS важно обновить и адаптер:
- Перед началом обновления сделайте резервную копию текущих настроек. Это обеспечит возможность быстро вернуться к исходным параметрам при необходимости.
- В кабинете администратора скачайте актуальный адаптер. Это может быть новая конфигурация или существующая, которую вы хотите обновить.
- Проверьте технические требования. Перед обновлением адаптера убедитесь, что установлены следующие компоненты:
- Версия Exchange Server 2013 и выше.
- Microsoft.NET Framework 4.8 и выше.
- Остановите службу адаптера, чтобы избежать конфликтов при обновлении.
- Замените файлы. Для этого распакуйте скачанный архив и замените все файлы в директории адаптера новыми, кроме файла appsettings.json, который содержит ваши текущие настройки.
- После замены файлов запустите службу адаптера.
Таким образом, вы обновите ADFS и при этом сохраните текущие настройки.
Заключение
ADFS играет центральную роль в доменной авторизации и управлении доступом пользователей к корпоративным приложениям. Использование только логина и пароля больше не соответствует современным требованиям информационной безопасности. Двухфакторная аутентификация ADFS позволяет снизить риски компрометации учетных записей и усилить защиту домена. Контур.ID дает возможность реализовать этот подход на практике — централизованно, удобно и с учетом реальных ИБ-сценариев.