VMware 支援雙因素認證-進一步削弱勒索病毒威脅

前言：

對于任何一個IT人而言，平台安全都是不可忽視的話題。但是我們最近看到越來越多的企業被各種病毒攻擊，并造成不可挽回的損失。在和很多企業負責人溝通時，很多企業負責人忽略一個問題就是如何從平台角度考慮，如何建構安全的平台。更多是從單一攻擊手段角度去讨論如何防範某一種攻擊手段。其實大家更應該思考的是，正是因為你的安全從平台層面，從根本上就是具有漏洞的，是以才會被黑客發現和鎖定，這才是對于管理者來說，更核心需要考慮的問題。等保2.0中等保三級對于雲化環境的微分段能力規定絕對具有當下的現實意義，但是很多公司在做雲平台或者虛拟化平台過程中，忽略了微分段的重要性。

例如如下文章提到的：在許多環境中，網絡分段要麼設計不良，要麼根本不存在，導緻攻擊者可以輕松橫向移動以破壞 vCenter、ESXi和其他基礎架構。這個是平台建設中尤其是虛拟化平台建設中，大家都會忽略的東西向安全防護能力，但是卻是最基礎的平台安全能力！

注意：這也是你的公司被黑客盯上的基本前提，你的這個基本能力的缺失，才是黑客攻擊你的足夠條件和理由，相信我-黑客的每次攻擊都是精心準備的，就像如下文章提到的，你們公司的資料中心資訊可能已經在暗網被明碼标價了。

原文連結：https://www.altaro.com/vmware/two-factor-authentication-vcenter/

組織比以往任何時候都更需要關注其環境中的安全性。新的網絡安全威脅層出不窮，壞人不斷嘗試新的方法來入侵您的網絡、關鍵業務服務和應用程式。網絡犯罪分子破壞網絡和業務關鍵資料的最常見的古老方式之一是通過破壞憑據。

如果您考慮一下，如果攻擊者擁有特權使用者帳戶，那麼遊戲就結束了。他們無需找到隐蔽的漏洞或零日攻擊，隻需使用被盜憑據即可走進您的環境的前門。VMware vCenter 是VMware vSphere實施的核心。它是 vSphere 基礎架構的關鍵部分。如果受到攻擊，攻擊者基本上掌握了您的 vSphere 環境和工作負載的核心。

設定雙重身份驗證以保護使用者憑據，尤其是管理者帳戶，是增強使用者帳戶整體安全性的好方法。是否可以在 vCenter Server 上配置雙重身份驗證？這是如何實作的，需要考慮哪些因素？

僅密碼是不夠的

傳統的使用者名和密碼已經存在了幾十年。長期以來，使用者的使用者名通常是他們的名字和姓氏的組合，可以是截斷的名字，也可以是全名，中間有句點。密碼是一串字元，除使用者外，任何人都看不到或知道。

盡管經曆了數十年的安全演進以及更強大的應用程式和企業服務，但令人驚訝的是，經典的使用者名和密碼仍然是當今保護系統的主要方式。為什麼這令人擔憂？如前所述，洩露的憑據是當今攻擊者進入環境的最常見方式之一。

在IBM 的 2021 年資料洩露成本報告中，它記錄了以下有關憑證受損的統計資料：

• 洩露的憑據最初會導緻至少 20% 的違規行為
• 它代表最常見的初始攻擊向量
• 由被盜/洩露的憑據造成的破壞需要最長的天數才能識别
• 洩露的憑據洩露需要 250 天才能識别，91 天才能遏制

為什麼密碼如此容易被破解？這是由于許多不同的原因。但是，最終使用者通常傾向于選擇弱密碼或容易猜到的密碼。此外，許多使用者選擇他們容易記住的密碼，并且他們可能在任何地方都使用相同的密碼。

今天，這個問題被放大了，因為組織讓使用者建立了無數服務的登入名，無論是在本地還是在雲中。不幸的是，人性就是如此，使用者經常選擇一個密碼，他們可以在他們的數字工作空間中找到的服務中重複使用。

它會導緻與跨許多服務使用的關鍵業務資料相關聯的弱使用者登入。盡管與普通最終使用者相比，管理者更了解安全性為何如此重要，但他們也因選擇弱密碼并在包括VMware vCenter Server在内的環境中的特權帳戶中重複使用這些密碼而感到内疚。在許多環境中，網絡分段要麼設計不良，要麼根本不存在，導緻攻擊者可以輕松橫向移動以破壞 vCenter、ESXi和其他基礎架構。

網絡釣魚和暴力攻擊

攻擊者非常狡猾，并使用複雜的方法來破壞憑據。最常見的密碼攻擊類型是：

• 網絡釣魚攻擊

盡管是較老的攻擊類型之一，但網絡釣魚攻擊仍然非常有效。攻擊者制作看起來非常合法的電子郵件，并将其僞裝成來自使用者熟悉的合法或已知供應商或企業。網絡釣魚電子郵件可能會要求使用者輸入其目前密碼以檢視其安全資訊。

一旦使用者輸入目前密碼，攻擊者現在就可以通路與組織相關的特定服務或解決方案的合法密碼。網絡釣魚攻擊可以輕松擷取組織使用的憑據，然後将其用于惡意目的。

如果您管理 Microsoft 365，專用的電子郵件安全服務對于公司提供最有效的安全級别至關重要。Hornetsecurity 是領先的雲電子郵件安全提供商，并提供對其産品範圍的免費試用。

• 蠻力攻擊

蠻力攻擊嘗試對使用者帳戶使用許多不同的密碼，以使用常見密碼、容易猜到的密碼，甚至破解密碼來破壞使用者帳戶。暗網上存在洩露的密碼清單，甚至來自包含在實際洩露事件中獲得的密碼的合法管道。

攻擊者知道，即使是不同的使用者也有相同的想法。是以，通常會針對其他使用者帳戶嘗試破解密碼以查找使用相同密碼的帳戶。如果掃描了足夠多的使用者帳戶，攻擊者通常會成功找到使用相同字元轉換、短語和字元串的其他使用者帳戶。

• 密碼噴塗

密碼噴灑是另一種形式的密碼攻擊，攻擊者選擇一些常用密碼并将這些密碼噴灑到多個帳戶，甚至跨不同組織。這些攻擊通常非常成功，并且不會觸發諸如 Active Directory 中的帳戶鎖定之類的安全機制，因為它們為每個使用者帳戶嘗試的密碼很少。

VMware vCenter Server Access 通常連結到 Active Directory

攻擊者通常以 Microsoft Active Directory 為目标，這是當今最流行的企業目錄服務。Microsoft Active Directory 通常包含在本地使用或聯合到雲環境的所有使用者名和密碼。将服務和解決方案連結到集中式身份目錄從管理角度和安全性方面具有許多優勢，例如集中式密碼政策等。

IT 管理者通常将vCenter Server 身份驗證與 Active Directory連接配接起來。此方法允許使用一組憑據，用于 Windows 登入和通路 vCenter Server 以及其他服務。但是，不利的一面是，如果攻擊者破壞了合法的 Active Directory 憑據，他們現在可以使用 Active Directory 身份驗證通路所有服務，包括 vCenter Server。

此外，管理者可以在 vCenter Server 中授予其域管理者帳戶管理者權限，而不是使用憑據僅具有 vSphere 所需通路權限的基于角色的通路權限。入侵同時擁有域管理者權限和 vSphere 管理者權限的帳戶的攻擊者擁有“通往王國的鑰匙”。Active Directory 使用者在 vSphere 中委派了進階權限，這為破壞其帳戶的攻擊者提供了便利。

将 vSphere 與 Active Directory 使用者帳戶本身連結起來并不一定是不好的做法。相反，這樣做時缺乏遵循其他最佳實踐。其中包括基于角色的通路、不在 vSphere 權限中使用域管理者使用者帳戶以及未能啟用多重身份驗證。

初始通路代理 (IAB) 和勒索軟體

暗網上一個極其令人擔憂的趨勢是一個新的險惡實體——初始通路代理（IAB）。它是什麼？Initial Access Broker 是一個新的犯罪實體，專門向勒索軟體團夥和其他希望發起勒索軟體攻擊的黑客出售合法和有效的憑證。

初始通路代理将“腿部工作”從尋找受損憑證或滲透到網絡中，并以艱難的方式做到這一點。相反，IAB 提供在暗網上銷售的憑證。提供的憑據可能包括以下憑據：

• 虛拟專用網絡 (VPN) 連接配接

• 遠端桌面服務 (RDS) 伺服器

• VMware Horizon 連接配接

• 思傑

• 雲服務

• VMware vSphere

IAB 将執行滲透網絡或使用網絡釣魚活動來擷取憑據的操作。然後，這些憑證将與報價一起線上釋出，說明通路類型和使用者的權限級别。IAB 營運商通常根據通路權限級别和公司收入來收取通路憑證的價格。

這些資訊對于尋找勒索軟體攻擊的下一個目标的攻擊者來說是必不可少的。此外，目标組織的規模和收入流将有助于确定勒索軟體攻擊成功後所需的贖金以及企業支付贖金的可能性。

IAB 提供攻擊者執行最終目标（勒索軟體攻擊）所需的憑據。随着攻擊的增加，勒索軟體對當今的企業來說是一種越來越危險的瘟疫，它們可能帶來的損害是前所未有的。

與 IAB 一樣，暗網上還有另一項發展有助于促進攻擊的增加。勒索軟體即服務 (RaaS)已将針對犯罪分子的勒索軟體商品化。過去，實施和操作成功的勒索軟體攻擊需要一定的技巧和能力，首先是開發惡意軟體，然後進行攻擊，最後收集贖金。

您可以想到勒索軟體即服務 (RaaS)，很像 Google Workspace 或 Microsoft 365。它是軟體即服務，但在 RaaS 的情況下，它是惡意軟體。不過，原理是一樣的。使用 RaaS，購買 RaaS 服務的攻擊者不必了解勒索軟體的内部工作原理或所有技術細節。這些由運作 RaaS 服務的勒索軟體組處理。相反，附屬攻擊者可以簡單地使用經過驗證的成熟勒索軟體進行攻擊。如果攻擊成功，勒索軟體組會收到一定比例的贖金。

暗網上的 IAB 和勒索軟體即服務 (RaaS) 開發都導緻了當今勒索軟體攻擊的激增和成功攻擊的增加。VMware vSphere 真的容易受到勒索軟體攻擊嗎？如何在 VMware vSphere 環境中進行勒索軟體攻擊？

攻擊 VMware vSphere 的勒索軟體

勒索軟體可以攻擊 VMware vSphere 環境不再隻是一種“理論”。毫無疑問，您可能已經開始在新聞、Reddit 和其他地方看到 vSphere 管理者已經開始看到攻擊 VMware vSphere 環境的第一手勒索軟體。

去年在 Reddit 上彈出的一個文章收到了來自相關 vSphere 管理者的無數觀點和評論，可在此處找到：

• 見證了我的第一個 ESXi 勒索軟體。在資料存儲級别加密虛拟機。: 系統管理者 (reddit.com)

可以在此處閱讀上述勒索軟體線程的驗屍報告：

• ESXi 勒索軟體事後分析。: 系統管理者 (reddit.com)

如果您通讀上述 ESXi 勒索軟體帳戶的事後分析，您會在攻擊事後的第 3 步中發現：

• 攻擊者獲得了對有權通路 ESXi 管理子網的主機的通路權限。他們已經擁有 AD 管理者權限。

在攻擊中，根據攻擊的執行方式，我們可以假設黑客擁有具有管理者級 vSphere 權限的管理者級域帳戶。Sophos最近還詳細介紹了針對 ESXi 伺服器的此類攻擊。在這次攻擊的細節中，Sophos 指出：

• 攻擊者使用受感染的 TeamViewer 帳戶闖入計算機

• 計算機在域管理者帳戶下運作

• 10 分鐘後，攻擊者使用 Advanced IP Scanner 掃描網絡尋找目标

• SSH shell 正在 ESXi 主機上運作

• 他們安裝了 Bitvise

• 然後，使用 Python 腳本，在資料存儲級别加密虛拟機磁盤檔案 (VMDK)

雖然提到的攻擊利用了對 ESXi 主機的直接通路，但 VMware vCenter Server 是一個完美的目标，因為通過 vCenter Server，如果 vCenter 受到攻擊，所有 ESXi 主機都容易受到攻擊。此外，它強調了在整個基礎架構環境中保護使用者帳戶的重要性。回到 Sophos 的文章，他們給出了以下安全建議：

“在其網絡上運作 ESXi 或其他虛拟機管理程式的管理者應遵循安全最佳實踐。這包括使用唯一的、難以暴力破解的密碼，并盡可能強制使用多因素身份驗證。”

多年來，vSphere 一直沒有受到勒索軟體組織的關注。然而，在過去一年左右的時間裡，vSphere 環境似乎在勒索軟體組織和一般攻擊者的雷達上迅速上升。它通常代表一個簡單的目标，密碼實踐不佳和其他因素在起作用。

什麼是兩因素身份驗證 (2FA)？

首先，我們需要了解什麼是雙因素身份驗證以及它為什麼有助于保護使用者帳戶。雙因素是多因素身份驗證 (MFA)的一種。多因素身份驗證 (MFA) 是指需要多個資訊因素來進行身份驗證的身份驗證方案。例如，密碼是用于驗證使用者身份的單一因素。

常見的密碼因素一般包括三種：

• 你知道的東西

• 你是什​麼

• 你有的東西

密碼是您知道的。指紋是你的東西。使用智能手機發送或生成的一次性密碼是您所擁有的。

單一因素的問題是它隻需要一條資訊來建立和驗證使用者身份。在使用者帳戶上啟用多因素身份驗證會使帳戶受損變得更加困難，因為它需要多個資訊元件來建立身份。

雙因素身份驗證 (2FA) 是最流行的多因素身份驗證形式，它通過結合兩個因素有效地增強帳戶安全性。雙重身份驗證需要您知道的東西（密碼）和您擁有的東西（一次性密碼）。使用雙重身份驗證時，除了正确的密碼外，您還需要一次性密碼才能成功進行身份驗證。

最常見的雙因素身份驗證明施涉及使用智能手機提供通過短信接收或使用身份驗證器應用程式生成的一次性密碼。使用雙因素身份驗證的主要好處是，破壞使用者帳戶密碼的攻擊者沒有完成成功身份驗證所需的所有因素。如果沒有成功進行身份驗證，攻擊者可以做的事情就會受到限制。

今天提供的任何詳細說明如何加強網絡安全的最佳實踐指南都将包括在您的使用者帳戶中實施雙因素身份驗證。啟用雙因素身份驗證後，成功進行勒索軟體攻擊的可能性會大大降低。雖然這不是為防範勒索軟體而需要采取的唯一網絡安全措施，但它是最重要的措施之一。

除了對組織的安全性産生積極影響外，合規性架構還需要多因素身份驗證。示例包括合規性架構，例如 PCI DSS 3.2 和 NIST 800-53 第 4 版。是以，組織有很多理由全面實施多因素身份驗證，包括 vCenter Server。

使用 2FA 保護 vCenter 登入

在 vSphere 7.0 之前，vCenter Server 包含一個内置的身份提供程式，VI 管理者已經知道并熟悉了多年（自 vSphere 6.0 起）。預設情況下，vCenter 使用“vsphere.local”域（可以更改）作為身份源。您還可以配置内置身份提供程式以連接配接到：

• 使用 LDAPS/S 的 Active Directory

• OpenLDAP/S

• 內建 Windows 身份驗證 (IWA)

組織可以使用此配置配置登入到具有 Active Directory 帳戶的 vCenter Server。在 vSphere 7 中，VMware 通過引入身份聯合使實施多因素身份驗證變得更加容易。身份聯合引入了将 vCenter Server 連接配接到外部身份提供程式的功能，這允許将 vCenter Server 的身份驗證過程與當今企業中使用的身份解決方案聯合。

以下是vCenter Server 7 中Single Sign On > Configuration > Identity Provider螢幕的螢幕截圖。

vCenter Server 7 身份提供程式配置

您可以單擊更改身份提供者連結來更改或檢視目前提供者。請注意在 vCenter Server 7 配置中配置的預設 Microsoft ADFS。

在 vSphere 7 vCenter Server 中檢視和配置身份提供程式

這一新功能有助于将 vCenter Server 身份驗證流程與當今企業中的身份聯合解決方案（如 Active Directory 聯合身份驗證服務 (ADFS)）集中在一起。更重要的是，随着圍繞多因素身份驗證的讨論，此功能開辟了多因素身份驗證等功能，包括雙因素身份驗證方法。

下面來自 VMware 的資訊圖顯示了 vCenter Server 中身份聯合過程的工作流。

vSphere 7 中的身份聯合工作流（由 VMware 提供）

1. vSphere Client 連接配接到身份提供程式
2. vSphere Client 将登入重定向到身份提供者的登入頁面
3. 最終使用者使用其普通使用者憑據登入
4. 如果已配置，将提示他們進行多因素身份驗證
5. 通過身份驗證後，身份提供者會将會話重定向回 vSphere Client
6. 會話将具有身份提供者提供的身份驗證令牌，該身份提供者授權通路
7. 使用者将在 vSphere Client 會話中正常進行，現已認證身份驗證

目前，在撰寫本文時本機支援的唯一身份提供者是 Active Directory 聯合身份驗證服務 (ADFS)。但是，正如官方部落格文章中所述，VMware 無疑會擴充未來版本 vSphere 中原生支援的可用身份提供程式清單：

“vSphere 7 最初支援 ADFS，因為它代表了我們大部分客戶擁有并且可以輕松使用的功能。随着我們向 vSphere 教授更多身份驗證“語言”，将會有更多選項出現。

VMware 已根據标準協定建構了新的身份聯合功能，這非常棒，因為這将允許更廣泛的身份提供者。vSphere 7 身份聯合功能使用行業标準協定，包括 OAUTH2 和 OIDC。但是，在 vSphere 中內建各種身份提供程式仍需要時間，因為即使采用開放标準，它們每個都使用不同的身份“架構”。

vCenter 的可用選項 - 是否有免費選項？

如上所述，vCenter Server 7 身份聯合目前“包含”的選項是 Active Directory 聯合身份驗證服務 (ADFS)。此外，VMware 提到他們将 AFDS 作為第一個身份聯合選項，因為這是他們的大多數企業客戶目前正在使用的解決方案。

但是，可能不會在所有客戶環境中部署 Active Directory 聯合身份驗證服務 (ADFS)。此外，将 Active Directory 聯合身份驗證服務 (ADFS) 配置為為您的 vCenter Server 啟用 2FA 将涉及大量複雜性，僅在 vCenter 上啟用 2FA。ADFS 配置附帶額外的基礎架構要求及其自身的配置、故障排除和生命周期維護。

雖然 ADFS 本​​身沒有特定的許可，但 ADFS 伺服器需要 Windows 許可，并且需要額外的基礎架構資源來配置基礎架構。如果 ADFS 已經到位，那麼在 vCenter 中為 2FA 采用這條路線是一個很好的選擇。這通常用于聯合 Microsoft Office 365 和其他雲服務的使用者登入。

是否有可用于使用 vCenter Server 設定 2FA 的免費選項？您可以使用 vCenter Server 設定雙因素身份驗證，而無需使用 vSphere 7 中的新身份聯合功能。 Duo Security 提供了他們解決方案的免費版本，允許建立一個簡單的雙因素應用程式，該應用程式可以通過vSphere 用戶端。

雙重身份驗證會影響自動化嗎？

提出了一個問題，即雙因素身份驗證和自動化流程。兩者如何重合？這是一個很好的問題，在使用環境中運作的自動化流程實施兩因素身份驗證時需要考慮這一問題。

根據身份驗證令牌的維護時間，雙因素身份驗證可能會對自動化流程造成挑戰。每次流程運作時，自動化流程都可能需要重新驗證。一些雙因素身份驗證解決方案，如 Duo、OKTA 等，允許管理者根據特定條件繞過雙因素提示，如使用者、應用程式、源網絡等。

使用雙因素提示的這些特殊豁免可以在整個環境中明智地用于自動化任務和這些運作的使用者上下文。然而，這是一把雙刃劍。打開或繞過雙因素提示是雙因素身份驗證在環境中提供的盔甲中的漏洞。

然而，通常會有一個“最佳點”，包括豁免、繞過和其他可以實施的規則，這些規則仍然可以提供良好的平衡。考慮兩因素和自動化的一些最佳實踐包括：

• 永遠不要在正常的互動式使用者登入下運作自動化程序

• 使用專用服務或自動化帳戶

• 經常輪換自動化服務帳戶的密碼

• 将自動化任務與 Hashicorp Vault 之類的機密管理或其他解決方案相結合，以實時檢索憑據，而不是在自動化任務或流程中寫死

• 将自動化解決方案定位在自己的隔離網絡上，并且隻能使用特權通路工作站 (PAW) 通路

使用 vCenter Single Sign-On 和 SAML 進行 vSphere 身份驗證

企業中通過 vCenter Server 通路 vSphere 環境的另一種登入機制是 Sign Sign-On (SSO)。vSphere 是否支援使用單點登入 (SSO) 登入？是的，它确實。VMware vCenter Single Sign-On 通過允許 vSphere 元件使用安全令牌機制進行無縫通信來保護您的環境。這比要求使用者分别對每個元件進行身份驗證要安全得多。

如前所述，Single Sign-On 域是 vSphere 6.0 及更高版本中的“内置”身份源，在安裝期間預設為 vsphere.local。您可以在“摘要”儀表闆下檢視登入到 VAMI（vCenter Server Appliance 管理界面）時配置的單點登入域。

在 VAMI 界面中檢視 vCenter Server Single Sign-On 域

vCenter Single Sign-On 解決方案結合使用：

• STS（安全令牌服務）

• SSL（安全通信）

• 用于使用者身份驗證的 Active Directory 或 OpenLDAP

您還可以使用外部 SAML 服務提供程式将 SAML 服務提供程式添加到 vCenter Single Sign-On 解決方案，或使用 VMware 原生 SAML 解決方案，例如 vRealize Automation 解決方案中的解決方案。

如何設定 vCenter Server 雙重身份驗證

讓我們看看為 vCenter Server 配置 ADFS 連接配接的過程。在 ADFS 管理控制台中，建立一個新的Application Group。使用“通路 Web API 的伺服器應用程式”模闆。

在 ADFS 中建立新的應用程式組

在下面的螢幕中，您需要輸入指向您的 vCenter Server的重定向 URI 。此外，複制用戶端辨別符以供以後使用。

添加 vSphere 重定向 URI

您從哪裡獲得重定向 URI？在身份提供者配置中，您可以單擊更改身份提供者連結旁邊的資訊按鈕并複制兩者以在 ADFS 配置中使用。

從 vCenter Server 收集重定向 URI

在Configure Application Credentials螢幕上，單擊Generate a shared secret旁邊的複選框。

生成共享密鑰

輸入您從伺服器應用程式螢幕複制的用戶端辨別符。

配置 WebAPI

在應用通路控制政策螢幕上，單擊允許所有人并要求 MFA選項。這是為您的 vCenter Server 登入啟用 MFA 的關鍵配置部分之一。

在 ADFS 中配置通路控制政策

確定選擇了allatclaims和openid選項。

配置應用程式權限

檢視在摘要螢幕上配置的選項，然後單擊下一步。

建立新應用程式組的摘要

新的應用程式組建立成功。

在 ADFS 中成功建立應用程式組

現在，我們需要向應用程式添加一些聲明規則。導航到我們剛剛建立的應用程式組的屬性。

檢視 ADFS 應用程式組的屬性 檢視 ADFS 應用程式組的屬性

導航到頒發轉換規則并選擇添加規則。

我們添加的三個将來自模闆Send LDAP Attributes as Claims。選擇 Active Directory 作為屬性存儲。LDAP 屬性和傳出聲明類型的第一組配置是：

• 令牌組 – 由長名稱限定

• 團體

為組建立新的聲明規則

下一對包括：

• 使用者主體名稱

• 姓名 ID

為名稱 ID 建立新的聲明規則

最後，映射以下内容：

• 使用者主體名稱

• UPN

為 UPN 建立新的聲明規則

您的 Web API 屬性應如下所示。

vCenter 2FA 的新 ADFS Web API 屬性

除了 open-id 配置 URL 之外，我們擁有填充 vCenter Server 身份提供程式配置所需的所有資訊。要擷取該 URL，請使用 cmdlet：

• 擷取AdfsEndpoint | 選擇完整網址 | 選擇字元串 openid 配置

確定隻選擇以 https:// 開頭的 URL，并且不要在輸出中包含最後的“}”。

從 ADFS 伺服器擷取 openid 配置

現在，讓我們回到身份提供者配置并選擇 ADFS 伺服器。我們現在可以填充所需的資訊，包括：

• 客戶辨別符

• 共享秘密

• OpenID 位址

如何在 VMware 中配置 vCenter 雙重身份驗證

現在，要使用 vSphere 7 中内置的 ADFS 功能在 VMware 中配置 vCenter 雙重身份驗證，我們隻需指向我們在上面的 ADFS 配置中為 MFA 配置的 ADFS 配置組應用程式。在 vSphere Client 中導航到Administration > Single Sign On > Configuration > Identity Provider > Identity Sources > Change Identity Provider。

在身份提供者中更改身份提供者

選擇 Microsoft ADFS 選項。

選擇 Microsoft ADFS 選項

接下來，輸入之前建立的新 ADFS 組應用程式中的相關 ADFS 資訊。

使用 ADFS 資訊填充 vCenter Server 身份提供程式

在“使用者群組”螢幕上，使用有權搜尋 Active Directory 的使用者填充所需資訊。

配置您的使用者群組以搜尋 Active Directory

單擊完成以完成 Active Directory 聯合身份驗證服務的身份提供程式的配置。

檢視并确認 ADFS 身份提供程式

為確定您的 ADFS 配置适合多因素，您可以在此處遵循 Microsoft 文檔：

• 配置 AD FS 2016 和 Azure MFA | 微軟文檔

如何管理 VMware 的雙重身份驗證

雙重身份驗證本身的管理将在 ADFS 層和/或 Azure MFA 處理。基本上，一旦身份提供程式配置到位，vCenter 将身份驗證移交給 ADFS，指向 ADFS。在 vSphere 中配置和驗證身份驗證後，您可以使用“Windows 管理工具”下的官方 Active Directory 聯合身份驗證服務 (ADFS) 管理控制台管理 ADFS 實施：

• Microsoft.IdentityServer.msc

Azure MFA 內建将使用您的 Azure 門戶進行管理：

• https://portal.azure.com

vCenter Server 中的 2FA 故障排除

由于新的 vCenter Server 7.0 身份提供程式 2FA 解決方案的關鍵是 ADFS，vCenter Server 中的 2FA 故障排除将圍繞 ADFS 故障排除進行。可在 Microsoft 官方文檔站點上找到用于解決 ADFS 登入問題（包括 MFA）的良好資源：

• ADFS SSO 故障排除 - Windows 伺服器 | 微軟文檔

您可能會遇到哪些常見的 ADFS 錯誤：

• ADFS 錯誤 180 和端點丢失

• ADFS 2.0 證書錯誤

• ADFS 2.0 錯誤 401

• ADFS 2.0 錯誤：無法顯示此頁面

• ADFS 2.0 服務無法啟動

可以在此處找到有關 Azure 多重身份驗證故障排除的特定文檔：

• 解決 Azure 多重身份驗證問題 – Active Directory | 微軟文檔

為了保護您的 VMware 環境，Altaro 提供了終極的服務，以快速保護備份并複制您的虛拟機。我們一直在努力讓我們的客戶對他們的備份政策充滿信心。

此外，您可以通路我們的，了解有關 VMware 的最新文章和新聞。

那麼，2FA 有多重要？

大量網絡安全證據、研究和最佳實踐文檔表明，啟用多因素身份驗證是大幅降低遭受網絡攻擊的可能性的好方法。例如，勒索軟體攻擊通常始于被盜、洩露或洩露的憑據。結果，壞人可以輕松地進入網絡，而無需使用其他方法來侵入網絡。

多因素身份驗證 (MFA) 是一種身份驗證形式，要求使用者使用多個資訊“因素”來證明其身份。這些包括你知道的東西、你是的東西和你擁有的東西。雙因素身份驗證是兩種資訊因素的流行組合，通常是您知道的資訊（密碼）和您擁有的資訊（接收或生成一次性密碼的電話）。

勒索軟體會影響 VMware vSphere 嗎？不幸的是，是的，它可以。勒索軟體組明确針對 vSphere 環境，使用惡意 Python 腳本在資料存儲級别加密虛拟機。是以，許多安全公司看到企業中對 ESXi 的攻擊數量驚人地增加。

在某種程度上，幾乎所有對 vSphere 的勒索軟體攻擊都是從憑據受損開始的。許多環境中糟糕的網絡安全衛生、vSphere 中缺乏基于角色的權限以及添加到 vSphere 管理者權限中的域管理者憑據導緻容易成為 vSphere 目标。

vSphere 管理者增強其 vSphere 環境安全性的一個好方法是在環境中實施安全最佳實踐。它包括保護 vSphere 管理網絡、關閉 SSH 通路、在 ESXi 中使用鎖定模式以及實施雙因素身份驗證。

VMware vSphere 7 允許 VI 管理者添加外部身份源來處理身份驗證請求。這一新功能使得将 vSphere 環境連接配接到已經可以執行 MFA 的現有身份驗證提供程式成為可能。如本文的演練所示，VI 管理者現在可以與現有的身份驗證提供程式內建，例如 Active Directory 聯合身份驗證服務 (ADFS)。VMware 計劃在未來添加額外的身份提供者，以便為外部身份提供者提供更多選項。

但是，如果沒有新功能，客戶可以向 vSphere 添加雙重身份驗證，而無需外部身份提供程式配置，這為使用免費工具在 vCenter Server 中提供 2FA 提供了機會。