Azure AD und AD FS – Best Practices: Verteidigung gegen Kennwort-Spray-Angriffe

Hallo zusammen,

solange es Kennwörter gibt, solange werden sie ausgespäht. In diesem Blog befassen wir uns mit einer Angriffsart, die in der letzten Zeit DEUTLICH zugenommen hat, und einigen Best Practices, mit denen Sie sich dagegen verteidigen können. Eine solche Attacke wird allgemein als Kennwort-Spray-Angriff bezeichnet.

Bei einem Kennwort-Spray-Angriff versuchen Kriminelle, sich mit den meistverwendeten Kennwörtern bei vielen verschiedenen Konten und Diensten anzumelden, um Zugang zu kennwortgeschützten Ressourcen zu erhalten. Die Angriffe haben normalerweise unterschiedlichste Organisationen und Identitätsanbieter zum Ziel. Beispiel: Ein Angreifer nutzt ein allgemein erhältliches Toolkit wie MailSniper, um alle Benutzer in mehreren Organisationen aufzulisten und dann „K@ÑÑw0rt“ und „Kennwort1“ bei all diesen Konten auszuprobieren. Ein Angriff könnte wie folgt aussehen:

Bei diesem Angriffsmuster werden die meisten Erkennungsverfahren ausgetrickst, da der Angriff aus Sicht eines Einzelnutzers oder eines Unternehmens wie ein isolierter fehlgeschlagener Anmeldeversuch aussieht.

Für den Angreifer ist es ein reines Zahlenspiel: Er weiß, es gibt Kennwörter, die sehr beliebt sind. Obwohl die gängigsten Kennwörter nur für 0,5–1,0 % der Konten genutzt werden, erzielt der Angreifer alle tausend Konten ein paar Treffer, was ausreicht, um Wirkung zu zeigen.

Über die Konten werden Daten aus E-Mails ausgelesen, Kontaktinformationen gesammelt, Phishing-Links versendet oder einfach nur die Zielgruppe für Kennwort-Spray-Angriffe vergrößert. Die anfänglichen Ziele kümmern die Angreifer wenig. Es geht nur darum, erfolgreich einzudringen und diesen Vorteil auszunutzen.

Die gute Nachricht ist, dass Microsoft bereits zahlreiche Werkzeuge implementiert hat und anbietet, um solche Angriffe zu vereiteln. Weitere folgen in Kürze. Im weiteren Verlauf erfahren Sie, was Sie sofort und in den kommenden Monaten tun können, um Kennwort-Spray-Angriffen entgegenzuwirken.

Vier einfache Schritte zur Abwehr von Kennwort-Spray-Angriffen

Schritt 1: Cloudauthentifizierung

Die Cloud verzeichnet täglich Milliarden von Anmeldungen bei Microsoft-Systemen. Mithilfe unserer Algorithmen zur Erkennung von Sicherheitsverletzungen können wir Angriffe bereits im Vorfeld erkennen und abblocken. Die Systeme für Echtzeiterkennung und -schutz sind cloudgestützt und daher nur bei Verwendung der Azure AD-Authentifizierung in der Cloud (einschließlich der Pass-Through-Authentifizierung) verfügbar.

Smart Lockout

Wir nutzen Smart Lockout in der Cloud, um zwischen Anmeldeversuchen zu unterscheiden, die vom zulässigen Benutzer ausgeführt werden, und Anmeldeversuchen, die von einem Angreifer ausgehen könnten. Wir können den Angreifer aussperren und dem zulässigen Benutzer weiterhin die Verwendung des Kontos ermöglichen. So werden Denial-of-Service-Situationen für den Benutzer vermieden und maßlose Kennwort-Spray-Angriffe verhindert. Dies gilt für alle Azure AD-Anmeldungen unabhängig von der Lizenzebene und für alle Anmeldungen bei Microsoft-Konten.

Mandanten, die Active Directory-Verbunddienste (AD FS) verwenden, können Smart Lockout ab März 2018 nativ in AD FS in Windows Server 2016 nutzen. Warten Sie, bis diese Funktion über Windows Update verfügbar wird.

IP-Lockout

IP-Lockout analysiert Milliarden von Anmeldungen, um die Qualität des Datenverkehrs zu beurteilen, der von jeder einzelnen IP-Adresse bei Microsoft-Systemen eingeht. Anhand der Analyse ermittelt IP-Lockout IP-Adressen, von denen arglistige Handlungen ausgehen, und blockiert die entsprechenden Anmeldeversuche in Echtzeit.

Angriffssimulationen

Der Angriffssimulator ist als Bestandteil von Office 365 Threat Intelligence jetzt in der Public Preview verfügbar. Damit können Kunden Angriffe auf eigene Endbenutzer simulieren, feststellen, wie sich Benutzer im Angriffsfall verhalten, Richtlinien aktualisieren und gewährleisten, dass die geeigneten Sicherheitsanwendungen verfügbar sind, um ihr Unternehmen vor Bedrohungen wie Kennwort-Spray-Angriffen zu schützen.

Empfohlene Sofortmaßnahmen:

1. Bei Verwendung der Cloudauthentifizierung sind Sie auf der sicheren Seite.
2. Bei Verwendung von AD FS oder eines anderen Hybridszenarios achten Sie im März 2018 auf ein AD FS-Upgrade mit Smart Lockout.
3. Nutzen Sie den Angriffssimulator, um Ihren Sicherheitsstatus proaktiv zu bewerten und Anpassungen vorzunehmen.

Schritt 2: Mehrstufige Authentifizierung

Ein Kennwort ist der Schlüssel für den Zugriff auf ein Konto. Bei einem erfolgreichen Kennwort-Spray-Angriff hat der Angreifer das richtige Kennwort jedoch erraten. Um das zu verhindern, benötigen wir mehr als nur ein Kennwort, um zwischen dem Kontoinhaber und dem Angreifer zu unterscheiden. Sie haben folgende drei Möglichkeiten:

Risikobasierte mehrstufige Authentifizierung

Azure AD Identity Protection nutzt die oben erwähnten Anmeldedaten und setzt zusätzlich auf erweitertes maschinelles Lernen und algorithmische Erkennung, um jede Anmeldung beim System einer Risikobewertung zu unterziehen. Dadurch können Unternehmenskunden in Identity Protection Richtlinien erstellen, durch die ein Benutzer aufgefordert wird, sich über eine zweite Stufe zu authentifizieren. Das ist allerdings nur dann erforderlich, wenn für den Benutzer oder die Sitzung Risiken erkannt wurden. Dies entlastet Benutzer und erschwert Angreifern ihr Vorhaben. Erfahren Sie hier mehr über Azure AD Identity Protection.

Mehrstufige Always On-Authentifizierung

Um die Sicherheit weiter zu erhöhen, können Sie Azure MFA verwenden. So müssen Benutzer immer die mehrstufige Authentifizierung verwenden – sowohl bei der Cloudauthentifizierung als auch in AD FS. Während Endbenutzer ihre Geräte immer zur Hand haben und häufiger eine mehrstufige Authentifizierung durchführen müssen, ist dies die sicherste Methode für Ihr Unternehmen. Sie sollte für jeden Administrator in einem Unternehmen aktiviert sein. Weitere Informationen zur Azure Multi-Factor Authentication finden Sie hier und zur Konfiguration von Azure MFA für AD FS finden Sie hier.

Azure MFA als primäre Authentifizierungsmethode

In AD FS 2016 können Sie Azure MFA als primäre Methode für die kennwortfreie Authentifizierung verwenden. Dies ist eine großartige Möglichkeit, Kennwort-Spray-Angriffen und Kennwortdiebstahl vorzubeugen, denn wenn es kein Kennwort gibt, kann es auch nicht ausgespäht werden. Diese Methode eignet sich sehr gut für die unterschiedlichsten Gerätetypen mit verschiedenen Formfaktoren. Darüber hinaus können Sie Kennwörter jetzt erst als zweite Authentifizierungsstufe verwenden, nachdem Ihr Einmalkennwort (OTP) mit Azure MFA überprüft wurde. Weitere Informationen zur Verwendung von Kennwörtern als zweite Authentifizierungsstufe finden Sie hier.

Empfohlene Sofortmaßnahmen:

1. Wir empfehlen dringend, die mehrstufige Always On-Authentifizierung für alle Administratoren in Ihrem Unternehmen zu aktivieren, insbesondere für Abonnementbesitzer und Mandantenadministratoren. Sie sollten wirklich sofort handeln.
2. Um den übrigen Benutzern eine optimale Erfahrung zu bieten, empfehlen wir die risikobasierte mehrstufige Authentifizierung, die bei Verwendung von Azure AD Premium P2-Lizenzen verfügbar ist.
3. Verwenden Sie andernfalls Azure MFA für die Cloudauthentifizierung und AD FS.
4. Führen Sie in AD FS ein Upgrade auf AD FS unter Windows Server 2016 aus, um Azure MFA als primäre Authentifizierungsmethode speziell für den gesamten Extranetzugriff zu verwenden.

Schritt 3: Bessere Kennwörter für alle

Trotz aller oben genannten Sicherheitsvorkehrungen besteht eine wichtige Voraussetzung für die wirksame Verteidigung gegen Kennwort-Spray-Angriffe darin, dass alle Benutzer über schwer zu ermittelnde Kennwörter verfügen. Häufig wissen Benutzer nicht genau, wie ein solches „starkes“ Kennwort aufgebaut sein muss. Microsoft unterstützt Sie dabei mit folgenden Lösungen:

Gesperrte Kennwörter

In Azure AD wird bei jeder Kennwortänderung und -zurücksetzung eine Prüfung auf gesperrte Kennwörter durchgeführt. Bei Angabe eines neuen Kennworts werden Fuzzyübereinstimmungen mit einer Liste von Wörtern gesucht, die niemand jemals in seinem Kennwort verwenden darf (und auch Leetspeak – das Ersetzen von Buchstaben durch ähnliche Zeichen – wird nicht akzeptiert). Bei einer Übereinstimmung wird das Kennwort abgelehnt, und der Benutzer muss ein Kennwort wählen, das schwieriger zu erraten ist. Wir ergänzen und aktualisieren die Liste häufig angegriffener Kennwörter in kurzen Abständen.

Angepasste gesperrte Kennwörter

Um das Konzept gesperrter Kennwörter weiter zu verbessern, haben Mandanten die Möglichkeit, ihre Listen gesperrter Kennwörter individuell anzupassen. So können Administratoren Begriffe wählen, die typisch für ihr Unternehmen sind – beispielsweise berühmte Mitarbeiter und Gründer, Produkte, Orte, regionale Gegebenheiten usw. – und verhindern, dass sie in Benutzerkennwörtern verwendet werden. Da diese Liste zusätzlich zur globalen Liste gilt, müssen Sie sich nicht für eine von beiden entscheiden. Die Funktion befindet sich in der eingeschränkten Vorschau und wird dieses Jahr eingeführt.

Gesperrte Kennwörter für Änderungen in der lokalen Umgebung

In diesem Frühjahr wird ein Werkzeug eingeführt, mit dem Unternehmensadministratoren Kennwörter in hybriden Azure AD-Active Directory-Umgebungen sperren können. Listen mit gesperrten Kennwörtern werden zwischen der Cloud und Ihren lokalen Umgebungen synchronisiert und mit dem Agent auf jedem Domänencontroller durchgesetzt. Das hilft Administratoren sicherzustellen, dass Benutzerkennwörter nicht so einfach ausgespäht werden können – ganz gleich, ob sie in der Cloud oder in der lokalen Umgebung geändert werden. Die Funktion wurde im Februar 2018 in der eingeschränkten privaten Vorschau eingeführt und soll dieses Jahr allgemein verfügbar werden.

Ändern Sie Ihre Sichtweise auf Kennwörter

Viele Annahmen über gute Kennwörter sind falsch. Eine rechnerische Herangehensweise, die normalerweise hilfreich sein sollte, führt in unserem Fall zu einem vorhersagbaren Benutzerverhalten: Wenn man beispielsweise bestimmte Zeichentypen und regelmäßige Kennwortänderungen vorschreibt, entstehen bestimmte Kennwortmuster. Lesen Sie unser Whitepaper mit Kennwortanleitungen, um mehr zu erfahren. Wenn Sie Active Directory mit PTA oder AD FS verwenden, aktualisieren Sie Ihre Kennwortrichtlinien. Bei Verwendung cloudverwalteter Konten sollten Sie erwägen, Kennwörter festzulegen, die niemals ablaufen.

Empfohlene Sofortmaßnahmen:

1. Sobald das Werkzeug für gesperrte Kennwörter von Microsoft veröffentlicht wird, sollten Sie es lokal installieren, um Benutzern zu helfen, bessere Kennwörter zu erstellen.
2. Überprüfen Sie Ihre Kennwortrichtlinien, und erwägen Sie, niemals ablaufende Kennwörter zu verwenden. So verhindern Sie, dass Benutzer bei der Kennworterstellung saisonale Muster verwenden.

Schritt 4: Weitere großartige Funktionen in AD FS und Active Directory

Wenn Sie mit AD FS und Active Directory die Hybridauthentifizierung verwenden, haben Sie weitere Möglichkeiten, um Ihre Umgebung vor Kennwort-Spray-Angriffen zu schützen.

Der erste Schritt: Unternehmen, die AD FS 2.0 oder Windows Server 2012 nutzen, sollten möglichst bald den Wechsel zu AD FS in Windows Server 2016 planen. Die aktuelle Version wird schneller mit einer umfangreicheren Funktionspalette aktualisiert, darunter beispielsweise die Extranetsperre. Außerdem haben wir das Upgrade von Windows Server 2012R2 auf 2016 wesentlich vereinfacht.

Legacyauthentifizierung aus dem Extranet sperren

Da ältere Authentifizierungsprotokolle keine MFA erzwingen können, besteht der beste Ansatz darin, die Protokolle aus dem Extranet zu sperren. Dies hindert Kennwort-Spray-Angreifer daran, das Fehlen der MFA in diesen Protokollen auszunutzen.

Extranetsperre für AD FS-Webanwendungsproxy aktivieren

Wenn für den AD FS-Webanwendungsproxy keine Extranetsperre aktiviert ist, sollten Sie das so bald wie möglich nachholen, um Benutzer vor potenziellen Brute-Force-Angriffen auf ihre Kennwörter zu schützen.

Azure AD Connect Health für AD FS implementieren

Azure AD Connect Health erfasst IP-Adressen, die aufgrund fehlerhafter Benutzername-Kennwort-Anforderungen in den AD FS-Protokollen aufgezeichnet wurden, bietet zusätzliche Berichtsfunktionen für eine Reihe von Szenarien und liefert Supporttechnikern zusätzliche Informationen, wenn sie sich mit Supportfällen näher beschäftigen.

Laden Sie die aktuelle Version von Azure AD Connect Health Agent für AD FS auf alle AD FS-Server (2.6.491.0) herunter, und stellen Sie sie bereit. Auf AD FS-Servern muss Windows Server 2012 R2 mit installiertem KB 3134222 oder Windows Server 2016 ausgeführt werden.

Nicht auf Kennwörtern basierte Zugriffsmethoden verwenden

Wenn kein Kennwort vorhanden ist, kann es auch nicht ausgespäht werden. Authentifizierungsmethoden, die nicht auf Kennwörtern basieren, sind für AD FS und den Webanwendungsproxy verfügbar:

1. Bei der zertifikatbasierten Authentifizierung können Benutzername-Kennwort-Endpunkte an der Firewall vollständig gesperrt werden. Weitere Informationen zur zertifikatbasierten Authentifizierung in AD FS
2. Die Azure MFA kann, wie oben erwähnt, als zweite Stufe bei der Cloudauthentifizierung und in AD FS 2012 R2 und 2016 verwendet werden. Sie kann in AD FS 2016 aber auch als erste Stufe verwendet werden, um mögliche Kennwort-Spray-Angriffe vollständig zu unterbinden. Erfahren Sie hier, wie Azure MFA mit AD FS konfiguriert wird.
3. Windows Hello for Business ist in Windows 10 verfügbar und wird von AD FS in Windows Server 2016 unterstützt. Die Funktion ermöglicht den Zugriff völlig ohne Kennwörter, beispielsweise auch aus dem Extranet, und basiert auf starken kryptografischen Schlüsseln, die sowohl an den Benutzer als auch an das Gerät gebunden sind. Die Lösung ist für Geräte verfügbar, die in Azure AD oder Azure AD Hybrid eingebunden sind und vom Unternehmen verwaltet werden, und kann über die Einstellungs-App und die Option „Geschäfts-, Schul- oder Unikonto hinzufügen“ auch für persönliche Geräte genutzt werden. Weitere Informationen zu Hello for Business

Empfohlene Sofortmaßnahmen:

1. Aktualisieren Sie auf AD FS 2016, um schneller Updates zu erhalten.
2. Sperren Sie die Legacyauthentifizierung aus dem Extranet.
3. Stellen Sie Azure AD Connect Health-Agents für AD FS auf allen AD FS-Servern bereit.
4. Ziehen Sie die Verwendung einer kennwortfreien primären Authentifizierungsmethode wie Azure MFA, Zertifikate oder Windows Hello for Business in Betracht.

Extra: Schutz Ihrer Microsoft-Konten

Wenn Sie ein Microsoft-Konto verwenden:

• Können Sie sich freuen, weil Ihr Konto bereits geschützt ist! Für Microsoft-Konten sind zudem Funktionen wie Smart Lockout, IP-Lockout, risikobasierte zweistufige Überprüfung, gesperrte Kennwörter und mehr verfügbar.
• Nehmen Sie sich zwei Minuten, rufen Sie die Sicherheitsseite Ihres Microsoft-Kontos auf, und wählen Sie „Aktualisieren Sie Ihre Sicherheitsinformationen“, um die für die risikobasierte zweistufige Überprüfung verwendeten Sicherheitsinformationen zu überprüfen.
• Sie sollten die mehrstufige Always On-Überprüfung hier aktivieren, um Ihr Konto bestmöglich zu schützen.

Die beste Verteidigung besteht darin, die Empfehlungen in diesem Blog zu befolgen.

Kennwort-Spray-Angriffe sind eine ernsthafte Bedrohung für jeden kennwortbasierten Dienst im Internet. Mit den Maßnahmen in diesem Blog sind Sie jedoch optimal vor dieser Angriffsmethode geschützt. Und da viele Angriffsarten ähnlich gelagert sind, haben Sie hier erfahren, wie Sie sich im Allgemeinen gut vor Bedrohungen schützen können. Ihre Sicherheit hat bei uns höchste Priorität. Wir arbeiten ständig daran, neue, fortschrittliche Verteidigungsmaßnahmen gegen Kennwort-Spray-Attacken und andere Angriffsarten zu entwickeln, die da draußen lauern könnten. Nutzen Sie für heute unsere Empfehlungen, und schauen Sie bald wieder vorbei, um unsere neuesten Entwicklungen für den Schutz vor kriminellen Energien im Internet kennenzulernen.

Ich hoffe, diese Informationen waren hilfreich. Wie immer freuen wir uns auf Ihr Feedback und Ihre Anregungen.

Beste Grüße,

Alex Simons (Twitter: @Alex_A_Simons)

Director of Program Management

Microsoft Identity Division