Преминаване към основното съдържание
Microsoft 365
Абониране

Най-добри практики в Azure AD и ADFS: защита срещу атаки с „пръскане на пароли“

Здравейте, хора,

Откакто паролите съществуват, хората се опитват да ги отгатнат. В този блог ще поговорим за обичайна атака, която стана МНОГО по-честа напоследък, както и за някои най-добри практики за защита срещу нея. Тази атака често се нарича пръскане с пароли.

В атака с „пръскане на пароли“ лошите изпробват най-често използвани пароли в много различни акаунти и услуги, за да получат достъп до защитени с парола активи, които могат да открият. Обикновено това обхваща множество различни организации и доставчици на самоличност. Даден хакер например използва общодостъпни набори с инструменти, като Mailsniper, за изброяване на всички потребители в няколко организации и след това изпробва „P@$$w0rd“ и „Password1“ с всички тези акаунти. За да получите представа, атаката може да изглежда така:

Целеви потребител Целева парола
User1@org1.com Password1
User2@org1.com Password1
User1@org2.com Password1
User2@org2.com Password1
User1@org1.com P@$$w0rd
User2@org1.com P@$$w0rd
User1@org2.com P@$$w0rd
User2@org2.com P@$$w0rd

Този модел на атака се изплъзва от повечето техники за откриване, тъй като от гледната точка на отделен потребител или фирма, атаката изглежда просто като изолиран неуспешен опит за влизане.

За хакерите това е просто игра на числа: те знаят, че има някои пароли, които са много често срещани. Макар че тези най-често срещани пароли са валидни за едва 0,5 – 1,0% от акаунтите, хакерът ще постигне няколко успеха на всеки хиляда атакувани акаунта, а това е достатъчно ефективно.

Те използват акаунтите за получаване на данни от имейли, събиране на информация за контакти и изпращане на измамнически връзки или просто за разширяване на целевата група за пръскане с пароли. Хакерите не се интересуват много от това кои са тези първоначални цели, а само от това дали имат някакъв успех, който могат да използват.

Добрата новина е, че Microsoft има много инструменти, които вече са внедрени и достъпни, за притъпяване на тези атаки, а скоро се очакват още. Прочетете по-нататък, за да видите какво можете да направите сега и през идните месеци, за да спрете атаките с пръскане на пароли.

Четири лесни стъпки за прекъсване на атаки с пръскане на пароли

Стъпка 1: Използване на удостоверяване в облака

В облака наблюдаваме милиарди влизания в системите на Microsoft всеки ден. Нашите защитни алгоритми за откриване ни позволяват да откриваме и блокираме атаките, докато се случват. Тъй като това са системи за откриване и защита в реално време, поддържани от облака, те са достъпни само при извършване на удостоверяване на Azure AD в облака (включително транзитно удостоверяване).

Интелигентно блокиране

В облака използваме интелигентно блокиране, за да разграничим опитите за влизане, които изглеждат като от валидния потребител, и опитите за влизане от потенциални хакери. Можем да блокираме хакера, позволявайки на валидния потребител да продължи да използва акаунта си. Това предотвратява отказ на услугата за потребителя и спира прекалено усърдните атаки с пръскане на пароли. Прилага се към всички влизания в Azure AD, независимо от нивото на лиценза и за всички влизания с акаунт в Microsoft.

Клиенти, използващи услуги на Active Directory за улесняване на достъпа (ADFS), ще могат да използват интелигентното блокиране, вградено в ADFS, в Windows Server 2016 от началото на март 2018 г. – очаквайте тази възможност чрез Windows Update.

Блокиране на IP адреси

Блокирането на IP адреси работи, като анализира милиардите влизания, за да оцени качеството на трафика от всеки IP адрес, осъществяващ достъп до системите на Microsoft. С този анализ блокирането на IP адреси намира IP адреси, които действат злонамерено, и блокира влизанията през тях в реално време.

Симулации на атаки

Наличен в момента за публичен предварителен преглед, Симулаторът на атаки, като част от Office 365 Threat Intelligence, позволява на клиентите да проведат симулирани атаки срещу собствените си потребители, да определят как потребителите се държат в случай на атака и да актуализират правилата, за да се уверят, че са разположени подходящи инструменти за защита, които предпазват организацията от заплахи, каквито са атаките с пръскане на пароли.

Неща, които ви препоръчваме да направите възможно най-скоро:

  1. Ако използвате удостоверяване в облака, всичко е наред
  2. Ако използвате ADFS или друг хибриден сценарий, очаквайте надстройка на ADFS през март 2018 г. за интелигентно блокиране
  3. Използвайте Симулатор на атаки, за да оцените проактивно състоянието си на защита и да извършите корекции

Стъпка 2: Използване на многофакторно удостоверяване

Паролата е ключът за достъп до акаунт, но при успешна атака с пръскане на пароли хакерът е отгатнал правилната парола. За да го спрем, трябва да използваме нещо повече от просто парола, за да разграничим собственика на акаунта от хакера. По-долу са описани трите начина за постигане на това.

Многофакторно удостоверяване, базирано на риска

Azure AD Identity Protection използва данните за влизане, споменати по-горе, и добавя усъвършенствано машинно обучение и алгоритмично откриване, за да оцени риска на всяко влизане, осъществявано в системата. Това позволява на корпоративните клиенти да създадат правила в Identity Protection, които подканят потребителя да се удостовери с втори фактор, ако и само ако бъде открит риск за потребителя или сесията. Това намалява бремето върху вашите потребители и поставя пречки пред лошите. Научете повече за Azure AD Identity Protection тук.

Винаги включено многофакторно удостоверяване

За още повече защита, можете да използвате Azure MFA, за да изисквате многофакторно удостоверяване от потребителите през цялото време както при удостоверяване в облака, така и в ADFS. Макар че това изисква от крайните потребители винаги да разполагат със своите устройства и да изпълняват по-често многофакторно удостоверяване, осигурената защита на вашето предприятие е най-висока. Това трябва да е разрешено за всеки администратор в организацията. Научете повече за многофакторното удостоверяване в Azure тук и как да конфигурирате Azure MFA за ADFS.

Azure MFA като основно удостоверяване

В ADFS 2016 имате възможност да използвате Azure MFA като основно удостоверяване без необходимост от парола. Това е страхотен инструмент срещу пръскането с пароли и атаки с кражба на пароли: ако няма парола, няма как да бъде отгатната. Това е работи чудесно за всички видове устройства с различни форм-фактори. Освен това сега можете да използвате парола като втори фактор само след като еднократната ви парола е потвърдена с Azure MFA. Научете повече за използването на парола като втори фактор тук.

Неща, които ви препоръчваме да направите възможно най-скоро:

  1. Силно ви препоръчваме да разрешите винаги включеното многофакторно удостоверяване за всички администратори в организацията, особено за собствениците на абонамента и администраторите на клиента. Сериозно, направете го още сега.
  2. За най-добра работа на останалите ви потребители препоръчваме базирано на риска многофакторно удостоверяване, налично с лицензи за Azure AD Premium P2.
  3. Иначе използвайте Azure MFA за удостоверяване в облака и ADFS.
  4. В ADFS надстройте до ADFS в Windows Server 2016, за да използвате Azure MFA като основно удостоверяване, особено за достъп извън мрежата ви.

Стъпка 3: По-добри пароли за всеки

Дори при наличие на всички изброени по-горе предпазни мерки, ключов компонент на защитата срещу пръскане с пароли е всички потребители да имат трудни за отгатване пароли. Често потребителите не знаят как да създадат трудни за отгатване пароли. Microsoft ви помага да им обясните с тези инструменти.

Забранени пароли

В Azure AD всяко променяне или нулиране на парола преминава през проверка за забранени пароли. При подаване на нова парола тя се съпоставя със списък от думи, които никой никога не трябва да има в паролата си (и правописът l33t-sp3@k не помага). Ако бъде открито съвпадение, паролата се отхвърля и потребителят се подканва да избере парола, която е по-трудна за отгатване. Изграждаме списъка на най-често атакуваните пароли и да го актуализираме често.

Забранени пароли по избор

За да подобрим още повече функцията за забранени пароли, ще позволим на клиентите да персонализират своите списъци със забранени пароли. Администраторите могат да изберат думи, които са обичайни за тяхната организация – известни служители и основатели, продукти, места, регионални символи и т.н., и да предотвратят използването им в паролите на потребителите. Този списък ще бъде прилаган в допълнение към глобалния списък, така че няма да е необходимо да изберете единия или другия. В момента тази функция е в ограничен предварителен преглед и ще бъде пусната тази година.

Забранени пароли за локални промени

Тази пролет пускаме инструмент, позволяващ на корпоративните администратори да забраняват пароли в хибридни среди на Azure AD – Active Directory. Списъците със забранени пароли ще се синхронизират от облака с вашите локални среди и ще се прилагат към всеки домейнов контролер с агента. Това помага на администраторите да гарантират, че паролите на потребителите са по-трудни за отгатване, независимо къде потребителят променя паролата си – в облака или локално. Функцията беше пусната за ограничен частен предварителен преглед през февруари 2018 г. и ще стане налична за всички тази година.

Промяна на начина ви на мислене за паролите

Много от общите разбирания за това какво прави една парола добра, са погрешни. Обикновено нещо, което би трябвало да помогне математически, всъщност води до предвидимо поведение на потребителите: например изискванията за определени типове знаци или периодични промени на паролите водят еднакво до определени модели на пароли. За повече подробности прочетете нашата техническа документация с указания за паролите. Ако използвате Active Directory с PTA или ADFS, актуализирайте вашите правила за пароли. Ако използвате управлявани в облака акаунти, помислете дали да не зададете пароли без срок на изтичане.

Неща, които ви препоръчваме да направите възможно най-скоро:

  1. Когато бъде издаден, инсталирайте инструмента за забранени пароли на Microsoft локално, за да помогнете на потребителите си да създават по-добри пароли.
  2. Прегледайте вашите правила за пароли и помислете дали да не ги зададете без срок на изтичане, така че потребителите ви да не използват сезонни модели за създаване на паролите си.

Стъпка 4: Още страхотни функции в ADFS и Active Directory

Ако използвате хибридно удостоверяване с ADFS и Active Directory, има още стъпки, които можете да предприемете, за да защитите вашата среда срещу атаки с пръскане на пароли.

Първата стъпка: за организации, работещи с ADFS 2.0 или Windows Server 2012, планирайте да преминете към ADFS в Windows Server 2016 възможно най-скоро. Най-новата версия ще се актуализира по-бързо с по-богат набор от възможности, като например екстранет блокиране. И не забравяйте: направихме надстройването от Windows Server 2012R2 до 2016 наистина лесно.

Блокиране на остаряло удостоверяване от екстранет

Остарелите протоколи за удостоверяване не са в състояние да приложат MFA, така че най-добрият подход е да ги блокирате от екстранет. Това ще попречи на хакерите, използващи пръскане на пароли, да се възползват от липсата на MFA в тези протоколи.

Разрешаване на екстранет блокиране в прокси сървъра на уеб приложението ADFS

Ако все още не разполагате с екстранет блокиране в прокси сървъра на уеб приложението ADFS, трябва да го разрешите възможно най-скоро, за да защитите потребителите си от потенциално компрометиране на паролите с груба сила.

Разполагане на Azure AD Connect Health за ADFS

Azure AD Connect Health улавя IP адресите, записани в регистрационните файлове на ADFS за лоши заявки за потребителско име/парола, дава ви допълнително отчитане за набор от сценарии и предоставя допълнителни идеи за подпомагане на инженерите в отварянето на случаи за подпомогната поддръжка.

За да извършите разполагане, изтеглете най-новата версия на агента на Azure AD Connect Health за ADFS на всички сървъри на ADFS (2.6.491.0). Сървърите на ADFS трябва да работят с Windows Server 2012 R2 с инсталирана БЗ 3134222 или Windows Server 2016.

Използване на методи за достъп, които не са базирани на парола

Ако няма парола, тя не може да бъде отгатната. Тези методи за удостоверяване, които не са базирани на парола, са налични за ADFS и прокси сървъра на уеб приложението:

  1. Удостоверяването на базата на сертификат позволява пълно блокиране на крайни точки на потребителско име/парола в защитната стена. Научете повече за удостоверяването на базата на сертификат в ADFS
  2. Azure MFA, както беше споменато по-горе, може да се използва като втори фактор при удостоверяване в облака и ADFS 2012 R2 и 2016. Но може да се използва и като основен фактор в ADFS 2016 за пълно предотвратяване на възможността за пръскане с пароли. Научете как да конфигурирате Azure MFA с ADFS тук
  3. Windows Hello за бизнеса, наличен в Windows 10 и поддържан от ADFS в Windows Server 2016, позволява достъп напълно без парола, включително от екстранет, въз основа на силни криптографски ключове, свързани с потребителя и устройството. Това е на налично за корпоративно управлявани устройства, които са присъединени към Azure AD или хибридно разполагане на Azure AD, както и за лични устройства през „Добавяне на служебен или учебен акаунт“ от приложението за настройки. Вижте повече информация относно Hello за бизнеса.

Неща, които ви препоръчваме да направите възможно най-скоро:

  1. Надстройване до ADFS 2016 за по-бързи актуализации
  2. Блокиране на остаряло удостоверяване от екстранет.
  3. Разполагане на агенти на Azure AD Connect Health за ADFS на всички сървъри на ADFS.
  4. Обмислете използването на основен метод за удостоверяване без парола, като например Azure MFA, сертификати или Windows Hello за бизнеса.

Бонус: Защита на вашите акаунти в Microsoft

Ако сте потребител на акаунт в Microsoft:

  • Новините са чудесни – вече сте защитени! Акаунтите в Microsoft също разполагат с интелигентно блокиране, блокиране на IP адреси, базирано на риска потвърждаване в две стъпки, забранени пароли и др.
  • Но отделете две минути, за да посетите страницата за защита на акаунтите в Microsoft, и изберете „Актуализиране на информацията за защита“, за да прегледате вашата информация за защита за базирано на риска потвърждаване в две стъпки
  • Помислете дали да не активирате винаги включеното потвърждаване в две стъпки тук, за да осигурите на акаунта си възможно най-голяма защита.

Най-добрата защита е… следването на препоръките в този блог

Пръскането с пароли е сериозна заплаха за всяка услуга в интернет, която използва пароли, но извършването на стъпките в този блог ще ви осигури максимална защита срещу такива атаки. И понеже много видове атаки споделят подобни черти, това са просто добри предложения за защита, и толкова. Вашата защита винаги е наш най-висок приоритет и работим неуморно по разработването на нови, усъвършенствани защити срещу пръскане с пароли и всякакви други съществуващи видове атаки. Използвайте посочените по-горе още днес и често проверявайте за нови инструменти за защита срещу лошите, които бродят из интернет.

Надявам се, че тази информация ще ви бъде полезна. Както винаги, ще се радваме да чуем обратна връзка или предложения от вас.

С уважение,

Алекс Саймънс (@Twitter: @Alex_A_Simons)

Директор по управление на програми

Отдел по удостоверяване на самоличността на Microsoft