Gå til hovedindholdet
Microsoft 365
Abonner

Bedste praksisser for Azure AD og ADFS: Forsvar mod password spray-angreb

Ved

Hej folkens.

Lige så længe vi har haft adgangskoder, har nogen forsøgt at gætte dem. I denne blog ser vi nærmere på et almindeligt angreb, som er blevet MEGET mere hyppigt på det seneste, og nogle bedste praksisser for at forsvare sig mod det. Dette angreb kaldes ofte for password spray.

I et password spray-angreb afprøver skurkene de mest almindelige adgangskoder på mange forskellige konti og tjenester for at få adgang til alt, hvad de kan finde af aktiver, der er beskyttet med adgangskode. Som regel spænder dette over mange forskellige organisationer og identitetsudbydere. Eksempelvis kan en hacker bruge et almindeligt tilgængeligt værktøj som MailSniper til at optælle alle brugerne i adskillige organisationer og så afprøve adgangskoder som “P@$$w0rd” og “Password1” på alle disse konti. For at give dig en idé om det kunne et angreb se sådan ud:

Målbruger Måladgangskode
Bruger1@org1.com Adgangskode1
Bruger2@org1.com Adgangskode1
Bruger1@org2.com Adgangskode1
Bruger2@org2.com Adgangskode1
Bruger1@org1.com P@$$w0rd
Bruger2@org1.com P@$$w0rd
Bruger1@org2.com P@$$w0rd
Bruger2@org2.com P@$$w0rd

Dette angrebsmønster undviger de fleste registreringsteknikker, fordi angrebet fra den enkelte brugers eller organisations synspunkt bare ligner et mislykket isoleret tilfælde af et mislykket forsøg på at logge på.

For hackerne er det tallotteri: De ved, at der er nogle adgangskoder derude, som er meget almindelige. Selvom disse mest almindelige adgangskoder kun udgør 0,5-1,0 % af alle konti, vil det for hver tusind konti, der angribes, lykkes for hackeren i nogle enkelte af tilfældene, og det er nok til, at det er effektivt.

De bruger disse konti til at hente data fra mails, høste kontaktoplysninger og sende phishinglinks eller bare udvide målgruppen for password spray-angrebet. Hackerne bekymrer sig ikke meget om, hvem disse indledende ofre er – så længe det lykkes i nogle af tilfældene, som de så kan bruge som løftestang.

Den gode nyhed er, at Microsoft allerede har mange værktøjer implementeret og parat til at dæmpe disse angreb, og der er flere på vej. Læs videre for at se, hvad du kan gøre nu og i de kommende måneder for at stoppe password spray-angreb.

Fire nemme trin til at bekæmpe password spray-angreb

Trin 1: Brug skygodkendelse

I skyen oplever vi milliarder logons på Microsoft-systemer hver dag. Vores sikkerhedsalgoritmer til registrering gør det muligt at registrere og blokere angreb, når de sker. Fordi systemer til registrering og beskyttelse kører i realtid og køres fra skyen, er de kun tilgængelige, når der udføres Azure AD-godkendelse i skyen (herunder Pass-Through-godkendelse).

Smart Lockout

I skyen bruger vi Smart Lockout til at skelne mellem forsøg på at logge på, der ser ud som om, de kommer fra en reel bruger, og forsøg på at logge på fra det, der muligvis er en hacker. Vi kan låse hackeren ude, mens vi lader den reelle bruger fortsætte med at bruge kontoen. Dette forhindrer denial-of-service på brugeren og stopper overdrevne password spray-angreb. Dette gælder for alle Azure AD-logons uanset licensniveau og for alle Microsoft-kontologons.

Lejere, der bruger Active Directory Federation Services (ADFS), vil kunne bruge Smart Lockout integreret i ADFS i Windows Server 2016 fra marts 2018 – hold øje med denne mulighed, som kommer via Windows Update.

IP-spærring

IP-spærring fungerer ved at analysere de milliardvis af logons for at vurdere kvaliteten af trafik fra hver IP-adresse, der rammer Microsofts systemer. Med denne analyse finder IP-spærringen IP-adresser, der synes at fungere med ond hensigt, og blokerer disse logons i realtid.

Angrebssimulationer

Nu tilgængelig i offentlig prøveversion: Angrebssimulator som en del af Office 365 Threat Intelligence giver kunderne mulighed for at starte simulerede angreb på deres egne slutbrugere, finde ud af, hvordan deres brugere agerer i tilfælde af et angreb, og opdatere politikker og sikre, at de har de rette sikkerhedsværktøjer på plads til at beskytte organisationen mod trusler som password spray-angreb.

Ting, vi anbefaler dig at gøre hurtigst muligt:

  1. Hvis du bruger skygodkendelse, er du dækket
  2. Hvis du bruger ADFS eller et andet hybridscenarie, skal du se efter en ADFS-opgradering i marts 2018 for at få Smart Lockout
  3. Brug Angrebssimulator til proaktivt at evaluere din sikkerhedsmæssige stilling og foretage justeringer

Trin 2: Brug multifaktorgodkendelse

En adgangskode er nøglen til at få adgang til en konto, men i et vellykket password spray-angreb har hackeren gættet den rigtige adgangskode. For at stoppe angrebet skal vi bruge noget mere end blot en adgangskode for at kunne skelne mellem kontoens ejer og hackeren. Nedenfor finder du de tre måder at gøre dette på.

Risikobaseret multifaktorgodkendelse

Azure AD Identity Protection anvender de ovennævnte logondata og benytter derudover avanceret maskinel indlæring og algoritmisk registrering for at risikovurdere ethvert logon, der kommer ind i systemet. Dette giver virksomhedskunder mulighed for at oprette politikker i Identity Protection, der beder en bruger om at godkende med en anden faktor, hvis, og kun hvis, der registreres risiko for brugeren eller for sessionen. Dette mindsker byrden på dine brugere og sætter afspærringer i vejen for skurkene. Få mere at vide om Azure AD Identity Protection her.

Multifaktorgodkendelse, som altid er aktiveret

For at opnå endnu højere sikkerhed kan du bruge Azure MFA til at kræve multifaktorgodkendelse af dine brugere hele tiden, både til skygodkendelse og ADFS. Selvom dette kræver, at slutbrugerne altid har deres enheder ved hånden, og at de oftere skal udføre multifaktorgodkendelse, så giver det også din virksomhed den største sikkerhed. Dette bør aktiveres for alle administratorer i en organisation. Få mere at vide om Azure Multi-Factor Authentication her, samt hvordan du konfigurerer Azure MFA til ADFS.

Azure Multi-Factor Authentication som primær godkendelse

I ADFS 2016 har du mulighed for at bruge Azure Multi-Factor Authentication som primær godkendelse uden brug af adgangskode. Dette er et fremragende værktøj til at beskytte mod password spray-angreb og tyveri af adgangskode: Hvis der ikke er nogen adgangskode, er det ikke muligt at gætte den. Dette fungerer glimrende på alle typer enheder med forskellige formfaktorer. Derudover kan du nu kun bruge adgangskode som den anden faktor, efter at din OTP er blevet valideret med Azure Multi-Factor Authentication. Få mere at vide om at bruge adgangskoder som den anden faktor her.

Ting, vi anbefaler dig at gøre hurtigst muligt:

  1. Vi anbefaler på det kraftigste at bruge multifaktorgodkendelse, som altid er aktiveret, til alle administratorer i organisationen, særligt abonnementsejere og lejeradministratorer. Det er virkelig noget, du bør gøre med det samme.
  2. For at sikre den bedste oplevelse for resten af dine brugere anbefaler vi risikobaseret multifaktorgodkendelse, som fås med Azure AD Premium P2-licenser.
  3. Ellers kan du bruge Azure Multi-Factor Authentication til skygodkendelse og ADFS.
  4. I ADFS skal du opgradere til ADFS på Windows Server 2016 for at bruge Azure Multi-Factor Authentication som den primære godkendelse, særligt til al ekstranetadgang.

Trin 3: Bedre adgangskoder til alle

Selv med alt det ovenstående er en afgørende komponent i forsvaret mod password spray-angreb, at alle brugere har adgangskoder, der er svære at gætte. Det er ofte svært for brugerne at vide, hvordan man vælger en adgangskode, som er svær at gætte. Microsoft hjælper dig med dette med disse værktøjer.

Forbudte adgangskoder

I Azure AD køres hver eneste ændring og nulstilling af en adgangskode gennem en kontrol for forbudte adgangskoder. Når der indsendes en ny adgangskode, køres den op imod en liste med ord, som ingen nogensinde bør have i deres adgangskode (og @dg@ng5k0d3-stavning hjælper ikke). Hvis der er et match, afvises den, og brugeren bliver bedt om at vælge en adgangskode, som er sværere at gætte. Vi opbygger listen over de oftest angrebne adgangskoder og opdaterer den jævnligt.

Brugerdefinerede forbudte adgangskoder

For at gøre forbudte adgangskoder endnu bedre lader vi lejere tilpasse deres liste med forbudte adgangskoder. Administratorer kan vælge ord, som er almindelige i deres organisation – kendte medarbejdere og grundlæggere, produkter, steder, lokale ikoner osv. – og forhindre, at de bliver brugt i deres brugeres adgangskoder. Denne liste håndhæves sammen med den overordnede liste, så du behøver ikke at vælge enten den ene eller den anden. Funktionen findes som begrænset prøveversion nu og rulles ud senere i år.

Forbudte adgangskoder til ændringer i det lokale miljø

Til foråret lancerer vi et værktøj, hvormed virksomhedsadministratorer kan forbyde adgangskoder i Azure AD-Active Directory-hybridmiljøer. Listerne med forbudte adgangskoder synkroniseres fra skyen til dine lokale miljøer og håndhæves på alle domænecontrollere med agenten. Dette hjælper administratorer med at sikre, at adgangskoden er sværere at gætte, uanset hvor – i skyen eller det lokale miljø – brugeren ændrer sin adgangskode. Dette blev lanceret i begrænset prøveversion i februar 2018 og bliver generelt tilgængeligt i år.

Begynd at tænke på adgangskoder på en ny måde

Mange almindelige opfattelser af, hvad der er en god adgangskode, er forkerte. Som regel vil noget, som rent matematisk burde hjælpe, faktisk medføre forudsigelig brugeradfærd: f.eks. medfører det at kræve bestemte tegntyper og periodisk ændring af adgangskoder bestemte adgangskodemønstre. Læs vores whitepaper med vejledning om adgangskoder for at få mere at vide. Hvis du bruger Active Directory med PTA eller ADFS, skal du opdatere dine adgangskodepolitikker. Hvis du bruger skyadministrerede konti, kan du overveje at indstille dine adgangskoder til aldrig at udløbe.

Ting, vi anbefaler dig at gøre hurtigst muligt:

  1. Installér Microsofts værktøj til forbudte adgangskoder i det lokale miljø, når det bliver frigivet, for at hjælpe brugerne med at vælge bedre adgangskoder.
  2. Gennemgå jeres adgangskodepolitikker, og overvej at indstille dem til aldrig at udløbe, så dine brugere ikke bruger sæsonmønstre i oprettelsen af deres adgangskoder.

Trin 4: Flere fremragende funktioner i ADFS og Active Directory

Hvis du bruger hybridgodkendelse med ADFS og Active Directory, er der flere ting, du kan gøre for at sikre dit miljø mod password spray-angreb.

Det første skridt: Organisationer, der kører ADFS 2.0 eller Windows Server 2012, skal planlægge at flytte til ADFS i Windows Server 2016 så snart som muligt. Den nyeste version opdateres hurtigere med et mere omfattende sæt funktionaliteter såsom ekstranetspærring. Og husk: Vi har gjort det virkelig nemt at opgradere fra Windows Server 2012R2 til 2016.

Bloker forældet godkendelse fra ekstranet

Ældre godkendelsesprotokoller kan ikke håndhæve multifaktorgodkendelse, så den bedste metode er at blokere dem fra ekstranettet. Dette forhindrer password spray-angribere i at udnytte manglen på multifaktorgodkendelse på disse protokoller.

Aktivér ekstranetspærring for ADFS-webprogramproxy

Hvis du ikke har etableret ekstranetspærring i ADFS-webprogramproxyen, bør du aktivere det hurtigst muligt for at beskytte dine brugere mod potentielle brute force-angreb på adgangskoder.

Installér Azure AD Connect Health til ADFS

Azure AD Connect Health registrerer IP-adresser, som optages i ADFS-loggene ved brug af forkert brugernavn/adgangskode, giver dig yderligere rapportering om en række forskellige scenarier og giver yderligere indsigt til supportteknikere, når der åbnes sager om assisteret support.

For at installere skal du downloade den nyeste version af Azure AD Connect Health-agenten til ADFS på alle ADFS-servere (2.6.491.0). ADFS-servere skal køre Windows Server 2012 R2 med KB 3134222 installeret eller Windows Server 2016.

Brug adgangsmetoder, som ikke er baseret på adgangskoder

Hvis der ikke er en adgangskode, er det ikke muligt at gætte en adgangskode. Disse godkendelsesmetoder, som ikke baserer sig på adgangskoder, findes til ADFS og webprogramproxyen:

  1. Certifikatbaseret godkendelse tillader, at brugernavn/adgangskode-slutpunkter blokeres fuldstændigt ved en firewall. Få mere at vide om certifikatbaseret godkendelse i ADFS
  2. Azure Multi-Factor Authentication kan, som nævnt ovenfor, bruges som en anden faktor i skygodkendelse og ADFS 2012 R2 og 2016. Men det kan også bruges som primær faktor i ADFS 2016 til helt at stoppe muligheden for et password spray-angreb. Se, hvordan du konfigurerer Azure Multi-Factor Authentication med ADFS her
  3. Windows Hello til virksomheder, som fås i Windows 10 og understøttes af ADFS i Windows Server 2016, giver mulighed for adgang helt uden adgangskoder, herunder fra ekstranettet, baseret på stærke kryptografiske nøgler, som er tilknyttet både brugeren og enheden. Dette fås til virksomhedsadministrerede enheder, der er Azure AD-forbundne eller Hybrid Azure AD-forbundne, samt personlige enheder via “Tilføj en arbejds- eller skolekonto” fra appen Indstillinger. Få flere oplysninger om Hello til virksomheder.

Ting, vi anbefaler dig at gøre hurtigst muligt:

  1. Opgrader til ADFS 2016 for at få hurtigere opdateringer
  2. Bloker forældet godkendelse fra ekstranet.
  3. Installér Azure AD Connect Health-agenter til ADFS på alle dine ADFS-servere.
  4. Overvej at bruge en primær godkendelsesmetode uden adgangskode, f.eks. Azure Multi-Factor Authentication, certifikater eller Windows Hello til virksomheder.

Bonus: Beskyt jeres Microsoft-konti

Hvis du er Microsoft-kontobruger:

  • Gode nyheder: du er allerede beskyttet! Microsoft-konti har også Smart Lockout, IP-spærring, risikobaseret totrinsbekræftelse, forbudte adgangskoder med mere.
  • Men brug alligevel et par minutter på at gå til Microsoft-kontoens sikkerhedsside, og vælg “Opdater dine sikkerhedsoplysninger” for at gennemse de sikkerhedsoplysninger, der bruges til risikobaseret totrinsbekræftelse
  • Overvej at slå totrinsbekræftelse, der altid er aktiveret, til her for at give din konto størst mulig sikkerhed.

Det bedste forsvar er … at følge anbefalingerne i denne blog

Password spray-angreb er en alvorlig trussel mod enhver tjeneste på internettet, der anvender adgangskoder, men ved at følge anbefalingerne i denne blog får du maksimal beskyttelse mod denne angrebsvektor. Og fordi mange angreb har nogle af de samme karaktertræk, er disse ganske enkelt bare gode forslag til beskyttelse. Din sikkerhed er altid vores højeste prioritet, og vi arbejder hele tiden hårdt på at udvikle ny, avanceret beskyttelse mod password spray-angreb og andre af de typer angreb, der florerer derude. Benyt dig af en af ovenstående allerede i dag, og hold jævnligt øje med nye værktøjer, der kan forsvare dig mod alle skurkene ude på internettet.

Jeg håber, at du kan bruge disse oplysninger til noget. Som altid vil vi gerne høre den feedback eller de forslag, du måtte have.

Med venlig hilsen

Alex Simons (Twitter: @Alex_A_Simons)

Director of Program Management

Microsoft Identity Division

Relaterede indlæg