VPN登录多因素身份验证

保护VPN访问的必要性

VPN允许用户在办公室外通过安全隧道访问各种资源。虽然这促进了远程员工不间断的工作流程，但它也使组织的网络面临新的网络安全问题。

当VPN与组织的AD环境同步时，用户通常仅使用其域用户名和密码进行身份验证——这种方法已被证明不再安全。Verizon报表称，81%的数据泄露可能与被盗密码有关。暴露VPN凭据可能会使您的整个网络面临数据暴露的风险。通过MFA实施额外的安全层是防止凭证暴露的可怕后果的有效方法。

使用ADSelfService Plus保护您的VPN访问

ManageEngine ADSelfService Plus是一个身份安全解决方案，使您能够使用自适应MFA增强与组织网络的VPN连接。除了传统的用户名和密码外，这还涉及在VPN登录期间实现生物识别身份验证和一次性密码（OTP）等身份验证方法。由于仅凭密码不足以登录网络，ADSelfService Plus使暴露的凭据对未经授权的VPN访问毫无用处。

支持的VPN提供商

ADSelfService Plus允许管理员使用MFA保护所有RADIUS支持的VPN提供商，包括：

VPN的MFA如何运作

要使用MFA保护您的VPN，VPN服务器需要使用Windows网络策略服务器（NPS）来配置RADIUS身份验证，并且必须在NPS中安装ADSelfService Plus NPS扩展。此扩展在NPS和ADSelfService Plus之间进行中介，以便在VPN连接期间启用MFA。一旦满足这些要求，如下所示的过程将在VPN登录期间进行：

1. 用户尝试通过向VPN服务器提供用户名和密码来建立VPN连接。
2. VPN服务器将身份验证请求发送到安装ADSelfService Plus的NPS扩展的NPS。
3. 如果用户名和密码组合正确，NPS扩展将联系ADSelfService Plus服务器，并提出第二个身份验证因素的请求。
4. 用户通过管理员配置的方法执行身份验证。身份验证结果将发送到NPS中的NPS扩展。
5. 如果身份验证成功，NPS会将其传达给VPN服务器。

现在允许用户访问VPN服务器，并与内部网络建立加密隧道。

支持的VPN身份验证方法

IT管理员可以根据其组织的要求配置上述任何方法。ADSelfService Plus通过以下方式实现对功能的轻松配置和管理：

• 粒度配置：为属于特定域、OU和组的用户启用特定的身份验证方法。
• 实时审计报表：查看有关VPN登录尝试的详细报表，其中包含登录时间和身份验证失败等信息。

将VPN MFA与ADSelfService Plus一起使用的好处