أفضل الممارسات المتعلقة بـ Azure AD وADFS: التصدي لهجمات نشر كلمة المرور

مرحباً،

لطالما كانت لدينا كلمات مرور، حاول الأشخاص تخمينها. في هذه المدونة، نحن بصدد الحديث عن أحد الهجمات الشائعة التي أصبحت أكثر تكراراً في الآونة الأخيرة وبعض أفضل الممارسات للتصدي لها. يُعرف هذا الهجوم عادةً باسم نشر كلمة المرور.

في الهجوم بنشر كلمة المرور، يحاول المخترقون استخدام كلمات المرور الأكثر شيوعاً عبر العديد من الحسابات والخدمات المختلفة للوصول إلى أي أصول محمية بكلمة مرور يمكنهم العثور عليها. عادة ما تمتد هذه الهجمات للمؤسسات المختلفة وموفري الهوية. على سبيل المثال، سيقوم المخترق باستخدام مجموعة أدوات متوفرة بشكل شائع مثل Mailsniper لتعداد جميع المستخدمين في العديد من المؤسسات ثم محاولة إدخال “P@$$w0rd” و”كلمة المرور 1″ لاختراق كل هذه الحسابات. لتكون لديك فكرة، قد يبدو الهجوم كالتالي:

يتجنب نمط الهجوم هذا معظم تقنيات الكشف لأنه من وجهة نظر شركة أو مستخدم فردي، يبدو الهجوم كأنه مجرد محاولة تسجيل دخول فاشلة معزولة.

إنها لعبة أرقام بالنسبة للمخترقين: فهم يعرفون أن هناك بعض كلمات المرور الشائعة جداً. على الرغم من أن كلمات المرور الأكثر شيوعاً تمثل فقط 0.5-1.0% من الحسابات، فإن المخترق سيحقق بعض النجاحات لكل ألف حساب تمت مهاجمته، وهذا يكفي ليكون فعالاً.

فهم يستخدمون الحسابات للحصول على البيانات من رسائل البريد الإلكتروني وتجميع معلومات جهات الاتصال وإرسال ارتباطات التصيد الاحتيالي أو مجرد توسيع المجموعة المستهدفة لنشر كلمة المرور. لا يهتم المخترقون كثيراً بهوية هذه الأهداف الأولية، فكل ما يريدونه هو تحقيق بعض النجاح للاستفادة منه.

والأخبار السارة هي أن Microsoft لديها العديد من الأدوات التي تم تنفيذها بالفعل والمتوفرة لتفادي هذه الهجمات وسيتوفر المزيد قريباً. تابع القراءة لمعرفة ما يمكنك فعله الآن وفي الأشهر القادمة لإيقاف الهجمات بنشر كلمة المرور.

أربع خطوات سهلة لتعطيل الهجمات بنشر كلمة المرور

الخطوة 1: استخدام مصادقة السحابة

إننا نرى المليارات من عمليات تسجيل الدخول إلى أنظمة Microsoft كل يوم على السحابة. تسمح لنا خوارزميات الكشف الأمني لدينا بالكشف عن الهجمات وحظرها فور حدوثها. نظراً لتشغيل أنظمة الكشف والحماية هذه في التوقيت الحقيقي من قبل السحابة، فهي متوفرة فقط عند إجراء مصادقة Azure AD على السحابة (بما في ذلك مصادقة المرور).

التأمين الذكي

نستخدم “التأمين الذكي” في السحابة للتمييز بين محاولات تسجيل الدخول التي تبدو أنها من قبل المستخدم الصالح وعمليات تسجيل الدخول التي يمكن أن تكون من قبل أحد المخترقين. يمكننا أن نمنع وصول المخترق إلى الحساب في الوقت نفسه الذي نسمح فيه للمستخدم الصالح بمواصلة استخدام الحساب. وهذا يمنع الهجوم لقطع الخدمة عن المستخدم ويوقف الهجوم المفرط بنشر كلمة المرور. ينطبق هذا على جميع عمليات تسجيل الدخول إلى Azure AD بغض النظر عن مستوى الترخيص وعلى جميع عمليات تسجيل الدخول إلى حساب Microsoft.

سيتمكن المستأجرون الذين يستخدمون خدمات الأمان المشترك لـ Active Directory من استخدام “التأمين الذكي” بشكل أساسي في ADFS في نظام Windows Server 2016 بداية من شهر مارس 2018، يمكنك البحث عن توفر هذه الإمكانية عبر Windows Update.

تأمين IP

يعمل تأمين IP عن طريق تحليل المليارات من عمليات تسجيل الدخول لتقييم جودة نسبة استخدام الشبكة من كل عنوان IP يمكنه الوصول إلى أنظمة Microsoft. بفضل هذا التحليل، يمكن لتأمين IP العثور على عناوين IP التي تعمل بشكل ضار وحظر عمليات تسجيل الدخول هذه في التوقيت الحقيقي.

عمليات محاكاة الهجوم

متوفر الآن في المعاينة العامة، يمكّن “محاكي الهجوم” كجزء من التحليل الذكي للمخاطر في Office 365 العملاء من تشغيل الهجمات التي تمت محاكاتها على المستخدمين وتحديد كيفية تصرف المستخدمين في حالة حدوث هجوم وتحديث النُهج والتأكد من وجود أدوات الأمان المناسبة في مكانها لحماية مؤسستك من المخاطر مثل الهجمات بنشر كلمة المرور.

الأشياء التي نوصيك بالقيام بها في أقرب وقت ممكن:

1. إذا كنت تستخدم المصادقة السحابية، فأنت بأمان
2. إذا كنت تستخدم ADFS أو أي سيناريوهات مختلطة، فابحث عن ترقية ADFS في شهر مارس 2018 الخاصة “بالتأمين الذكي”
3. يمكنك استخدام محاكي الهجوم لتقييم حالة الأمان بشكل استباقي وإجراء التعديلات

الخطوة 2: استخدام المصادقة متعددة العوامل

تعتبر كلمة المرور مفتاح الوصول إلى حساب، ولكن في الهجوم الناجح بنشر كلمة المرور، يقوم المخترق بتخمين كلمة المرور الصحيحة. لكي يتم التصدي لهم، نحتاج إلى استخدام شيء أكثر من مجرد كلمة مرور للتمييز بين مالك الحساب والشخص المخترق. الطرق الثلاث للقيام بذلك موضحة أدناه.

المصادقة متعددة العوامل المستندة إلى المخاطر

تستخدم خدمة Azure AD Identity Protection بيانات تسجيل الدخول المذكورة أعلاه وتضيف إلى التعلم الآلي المتقدم والكشف الخوارزمي لدرجات المخاطر في كل عملية تسجيل دخول إلى النظام. يمكّن هذا عملاء المؤسسات من إنشاء نُهج في Identity Protection تطالب أي مستخدم بالمصادقة مع عامل ثانٍ إلا إذا تم اكتشاف مخاطر تتعلق بالمستخدم أو جلسة العمل. وهذا يقلل العبء على المستخدمين لديك ويضع الحواجز أمام المخترقين. تعرّف على المزيد حول Azure AD Identity Protection هنا.

تشغيل المصادقة متعددة العوامل دائماً

لمزيد من الأمان، يمكنك استخدام Azure MFA لطلب مصادقة متعددة العوامل للمستخدمين طوال الوقت في كل من المصادقة السحابية وADFS. على الرغم من أن هذا يتطلب من المستخدمين أن تكون أجهزتهم بحوزتهم دائماً وإجراء المصادقة متعددة العوامل بشكل متكرر، إلا أنه يوفر أقصى درجات الأمان لمؤسستك. ويجب تمكين هذا لكل مسؤول في مؤسسة. تعرّف على المزيد حول Azure Multi-Factor Authentication هنا وكيفية تكوين Azure MFA لـ ADFS .

استخدام Azure MFA كمصادقة أساسية

في ADFS 2016، تتوفر لك إمكانية استخدام Azure MFA كمصادقة أساسية للمصادقة بدون كلمة مرور. إنها أداة رائعة للحماية من هجمات سرقة كلمة المرور والهجمات بنشر كلمة المرور: إذا لم تكن هناك كلمة مرور، فلا يمكن تخمينها. يعمل هذا بشكل رائع على جميع أنواع الأجهزة التي تحتوي على عوامل تصميم متعددة. بالإضافة إلى ذلك، يمكنك الآن استخدام كلمة المرور كعامل ثانٍ فقط بعد التحقق من صحة كلمة المرور لمرة واحدة (OTP) باستخدام Azure MFA. تعرّف على المزيد حول استخدام كلمة المرور كعامل ثانٍ هنا.

الأشياء التي نوصيك بالقيام بها في أقرب وقت ممكن:

1. نوصي بشدة بتمكين التشغيل الدائم للمصادقة متعددة العوامل لجميع المسؤولين داخل مؤسستك، وبخاصة مالكي الاشتراكات ومسؤولي المستأجرين. جدياً، عليك القيام بهذا الآن.
2. للحصول على تجربة مثالية لبقية المستخدمين لديك، نوصي بالمصادقة متعدد العوامل المستندة إلى المخاطر، والمتوفرة مع تراخيص Azure AD Premium P2.
3. بخلاف ذلك، يمكنك استخدام Azure MFA للمصادقة السحابية وADFS.
4. في ADFS، قم بالترقية إلى ADFS على نظام التشغيل Windows Server 2016 لاستخدام Azure MFA كمصادقة أساسية، وبخاصة للوصول إلى جميع امتدادات إكسترانت.

الخطوة 3: كلمات مرور أفضل للجميع

حتى مع كل ما سبق ذكره، فإن المكون الرئيسي للدفاع ضد الهجمات بنشر كلمة المرور هو أن يكون لدى جميع المستخدمين كلمات مرور يصعب تخمينها. غالباً ما يكون من الصعب على المستخدمين معرفة كيفية إنشاء كلمات مرور يصعب تخمينها. تساعدك Microsoft على تحقيق ذلك من خلال هذه الأدوات.

كلمات المرور المحظورة

في Azure AD، يتم تغيير كل كلمة مرور وإعادة تعينها عبر مدقق كلمة المرور المحظورة. عند إرسال كلمة مرور جديدة، فإنها تتشابه مع قائمة من الكلمات التي لا يفترض لأحد مطلقاً استخدامها ضمن كلمة المرور الخاصة به (ولا يساعد التدقيق الإملائي في هذا l33t-sp3@k). في حالة مطابقتها، يتم رفضها، ويُطلب من المستخدم اختيار كلمة مرور يصعب تخمينها. نقوم بإنشاء قائمة بكلمات المرور الأكثر شيوعاً للهجوم ونقوم بتحديثها باستمرار.

قائمة كلمات المرور المحظورة المخصصة

لجعل كلمات المرور المحظورة أفضل، سنسمح للمستأجرين بـ تخصيص قوائم بكلمات المرور المحظورة الخاصة بهم. يمكن للمسؤولين اختيار الكلمات الشائعة لمؤسستهم، المؤسسين والموظفين المشهورين والمنتجات والمواقع والرموز الإقليمية وما إلى ذلك، ومنع استخدامها في كلمات مرور المستخدمين. سيتم فرض هذه القائمة بالإضافة إلى القائمة العمومية، وبالتالي لن تضطر إلى اختيار واحدة أو أخرى منها. هذه القائمة في معاينة محدودة الآن وسيتم طرحها هذا العام.

كلمات المرور المحظورة الخاصة بالتغييرات المحلية

نقوم هذا الربيع بإطلاق أداة تتيح لمسؤولي المؤسسة إمكانية حظر كلمات المرور في بيئات Azure AD-Active Directory المختلطة. ستتم مزامنة قوائم كلمات المرور المحظورة من السحابة إلى البيئات المحلية الخاصة بك وسيتم فرضها على كل وحدة تحكم بالمجال مع الوكيل. وهذا يساعد المسؤولين على ضمان صعوبة تخمين كلمات مرور المستخدمين بغض النظر عن المكان الذي يتم فيه تغيير كلمة مرورك سواء على السحابة أو محلياً. تم إطلاق ذلك للمعاينة الخاصة المحدودة في شهر فبراير 2018 وسيتم عرضه للتوفر العام هذا العام.

تغيير طريقة تفكيرك حول كلمات المرور

هناك الكثير من المفاهيم الشائعة حول ما يجعل كلمة مرور جيدة خاطئة. عادة ما يؤدي الأمر الذي من شأنه المساعدة رياضياً إلى التنبؤ بسلوك المستخدم فعلياً: على سبيل المثال، يؤدي طلب أنواع معينة من الأحرف وتغييرات كلمة المرور الدورية إلى ظهور أنماط كلمة مرور معينة. اطلع على المستند التقني لإرشادات كلمة المرور الخاص بنا للحصول على المزيد من التفاصيل. إذا كنت تستخدم Active Directory مع مصادقة المرور (PTA) أو ADFS، يمكنك تحديث نٌهج كلمة المرور. إذا كنت تستخدم حسابات مُدارة في السحابة، ففكر في تعيين كلمات المرور الخاصة بك بحيث لا تنتهي صلاحيتها أبداً.

الأشياء التي نوصيك بالقيام بها في أقرب وقت ممكن:

1. قم بتثبيت أداة كلمة المرور المحظورة من Microsoft محلياً فور إصدارها لمساعدة المستخدمين لديك على إنشاء كلمات مرور أفضل.
2. راجع النُهج الخاصة بكلمة مرورك وفكر في تعيينها بحيث لا تنتهي صلاحيتها أبداً حتى لا يستخدم المستخدمون الأنماط الموسمية لإنشاء كلمات مرورهم.

الخطوة 4: المزيد من الميزات الرائعة في ADFS وActive Directory

إذا كنت تستخدم المصادقة المختلطة مع ADFS وActive Directory، فهناك المزيد من الخطوات التي يمكنك اتخاذها لتأمين بيئتك من الهجمات بنشر كلمة المرور.

الخطوة الأولى: بالنسبة للمؤسسات التي تقوم بتشغيل ADFS 2.0 أو Windows Server 2012، خطّط للانتقال إلى ADFS في نظام Windows Server 2016 في أقرب وقت ممكن. سيتم تحديث الإصدار الأخير بسرعة أكبر مع مجموعة أغنى من الإمكانات مثل تأمين إكسترانت. وتذكّر: لقد سهلنا بالفعل الترقية من نظام Windows Server 2012R2 إلى 2016.

حظر المصادقة القديمة من إكسترانت

لا تملك بروتوكولات المصادقة القديمة إمكانية فرض المصادقة متعددة العوامل (MFA)، وبالتالي فإن أفضل نهج هو حظرها من إكسترانت. هذا سيمنع المخترقين بنشر كلمة المرور من استغلال عدم وجود المصادقة متعددة العوامل (MFA) على تلك البروتوكولات.

تمكين تأمين إكسترانت الخاص بوكيل تطبيقات ADFS على الويب

إذا لم يكن لديك تأمين إكسترانت يعمل على وكيل تطبيقات ADFS على الويب، فيجب عليك تمكينه في أقرب وقت ممكن لحماية المستخدمين لديك من الخرق المحتمل بقوة غاشمة بكلمة مرور.

استخدام Azure AD Connect Health لـ ADFS

تلتقط Azure AD Connect Health عناوين IP المسجلة في سجلات ADFS لطلبات اسم المستخدم/كلمة المرور السيئة وتقدم لك تقارير إضافية حول صفيف من السيناريوهات، كما توفر تفاصيل إضافية لدعم المهندسين عند فتح حالات الدعم المساعدة.

للاستخدام، قم بتنزيل الإصدار الأخير من وكيل Azure AD Connect Health لـ ADFS على جميع خوادم ADFS (2.6.491.0). يجب أن تعمل خوادم ADFS بنظام Windows Server 2012 R2 مع قاعدة المعارف 3134222 المثبتة أو نظام التشغيل Windows Server 2016.

استخدام طرق الوصول غير المستندة إلى وجود كلمة المرور

بدون وجود كلمة مرور، فلا يمكن تخمين كلمة المرور. تتوفر طرق المصادقة غير المستندة إلى وجود كلمة المرور لـ ADFS ووكيل التطبيقات على الويب فيما يلي:

1. تتيح المصادقة المستندة إلى الشهادة إمكانية حظر نقاط نهاية اسم المستخدم/كلمة المرور تماماً على جدار الحماية. تعرّف على المزيد حول مصادقة تستند إلى شهادة في ADFS
2. يمكن استخدام Azure MFA، كما ذكر أعلاه، كعامل ثانٍ في المصادقة السحابية وADFS 2012 R2 و2016. ولكن، يمكن استخدامه أيضاً كعامل أساسي في ADFS 2016 لإيقاف إمكانية نشر كلمة المرور تماماً. تعرّف على كيفية تكوين Azure MFA مع ADFS هنا
3. يتيح لك Windows Hello للأعمال، المتوفر في Windows 10 والمدعم بواسطة ADFS في Windows Server 2016، إمكانية الوصول بالكامل دون الحاجة إلى كلمة المرور، بما في ذلك الوصول من إكسترانت بناءً على مفاتيح تشفير قوية مرتبطة بكل من المستخدم والجهاز. يتوفر هذا للأجهزة التي تديرها الشركات التي انضم إليها Azure AD أو الأجهزة التي انضم إليها Hybrid Azure AD بالإضافة إلى الأجهزة الشخصية عبر “إضافة حساب العمل أو المؤسسة التعليمية” من تطبيق الإعدادات. الحصول على المزيد من المعلومات حول ميزة Hello للأعمال.

الأشياء التي نوصيك بالقيام بها في أقرب وقت ممكن:

1. الترقية إلى ADFS 2016 للحصول على تحديثات أسرع
2. قم بحظر المصادقة القديمة من إكسترانت.
3. استخدم وكلاء Azure AD Connect Health لـ ADFS على جميع خوادم ADFS الخاصة بك.
4. فكر في استخدام طريقة المصادقة الأساسية بدون كلمة مرور مثل Azure MFA أو الشهادات أو ميزة Windows Hello للأعمال.

المكافأة هي: حماية حساباتك في Microsoft

إذا كنت مستخدماً لحساب Microsoft:

• فإليك الخبر السار، أنت محمي بالفعل! تحتوي حسابات Microsoft أيضاً على “التأمين الذكي” وتأمين IP والتحقق على خطوتين المستند إلى المخاطر وكلمات المرور المحظورة والمزيد.
• ولكن، يمكنك أخذ دقيقتين للانتقال إلى صفحة أمان حساب Microsoft واختيار “تحديث معلومات الأمان” لمراجعة معلومات الأمان الخاصة بك المستخدمة في التحقق على خطوتين المستند إلى المخاطر
• فكّر في تشغيل التحقق على خطوتين دائماً هنا لتوفير أكبر قدر ممكن من الأمان لحسابك.

أفضل دفاع هو… اتباع التوصيات الواردة في هذه المدوّنة

يمثل نشر كلمة المرور تهديداً خطيراً لكل خدمة على الإنترنت تستخدم كلمات المرور ولكن اتخاذ الخطوات الواردة في هذه المدوّنة سوف يوفر لك أقصى درجات الحماية من هذا الهجوم الموجه. ولأن أنواع كثيرة من الهجمات تشترك في سمات مماثلة، فهذه مجرد اقتراحات جيدة للحماية. إن أمانك هو دائماً أولويتنا القصوى، ونحن نواصل العمل الجاد لتطوير وسائل حماية جديدة ومتقدمة ضد نشر كلمة المرور وكل أنواع الهجمات الأخرى المستمرة. يمكنك استخدام الأدوات المذكورة أعلاه اليوم والتحقق مرة أخرى بحثاً عن أدوات جديدة للدفاع ضد المخترقين الموجودين على الإنترنت.

آمل أن تكون هذه المعلومات مفيدة لك. وكما هو الحال دائماً، فإننا نوّد تلقي أي ملاحظات أو اقتراحات لديك.

مع أطيب التحيات،

أليكس سيمونز (Twitter: @Alex_A_Simons)

مدير إدارة البرامج

قسم الهوية في Microsoft