Põhisisu juurde
Microsoft 365
Tellimine

Azure AD ja ADFS-i parimad tavad: kaitse paroolipihustusrünnete eest

Autor poolt

Hei, rahvas!

Nii kaua, kui oleme kasutanud paroole, on inimesed püüdnud neid ära arvata. Selles ajaveebipostituses räägime ühest üldlevinud rünnakust, mis on hiljuti muutunud palju sagedasemaks ja mõnest parimast tavast, kuidas kontosid selle vastu kaitsta. Seda rünnakut nimetatakse tavaliselt paroolipihustusründeks.

Paroolipihustusründe korral proovivad ründajad kõige tavalisemaid paroole, mida kasutatakse paljudes erinevates kontodes ja teenustes, et pääseda juurde mis tahes parooliga kaitstud varale. Tavaliselt hõlmavad need ründed paljusid erinevaid organisatsioone ja identiteedipakkujaid. Näiteks kasutab ründaja üldiselt kättesaadavat tööriistakomplekti (nagu Mailsniper), et loetleda kõik organisatsioonide kasutajad ning seejärel proovida siseneda nende kontodesse paroolidega „P@r00l” ja „Parool1”. Näiteks võib rünnak välja näha järgmine:

Sihtkasutaja Sihtkonto parool
Kasutaja1@org1.com Parool1
Kasutaja2@org1.com Parool1
Kasutaja1@org2.com Parool1
Kasutaja2@org2.com Parool1
Kasutaja1@org1.com P@r00l
Kasutaja2@org1.com P@r00l
Kasutaja1@org2.com P@r00l
Kasutaja2@org2.com P@r00l

Seda rünnakumustrit enamasti ei avastata, sest üksiku kasutaja või ettevõtte vaatepunktist näeb rünnak välja nagu isoleeritud ebaõnnestunud sisselogimine.

Ründajate jaoks on see numbrimäng: nad teavad, et teatud tüüpi paroolid on väga levinud. Kuigi neid kõige tavalisemaid paroole kasutatakse ainult 0,5 –1,0% kontodel, õnnestub ründaja plaan iga tuhande konto kohta, mida rünnatakse, ja see on piisav, et olla tõhus.

Nad kasutavad kontosid meilisõnumitest andmete hankimiseks, kontaktandmete kogumiseks ja andmepüügilinkide saatmiseks või lihtsalt paroolipihustusründe sihtrühma laiendamiseks. Ründajad ei hooli eriti sellest, kes need esialgsed sihtmärgid on, vaid lihtsalt sellest, et rünne vähemalt osaliselt õnnestuks.

Hea uudis on see, et Microsoftil on palju tööriistu, mis on juba kasutusele võetud ja saadaval nende rünnakute tuvastamiseks, ning varsti on tulemas veel rohkem lahendusi. Lugege edasi, et näha, mida saate teha nüüd ja lähikuudel paroolipihustusrünnete peatamiseks.

Neli lihtsat sammu paroolipihustusrünnete katkestamiseks

Toiming 1. Pilvepõhine autentimine

Pilvekeskkonnas näeme iga päev miljardeid Microsofti süsteemidesse sisselogimisi. Meie võrguturbe algoritmid võimaldavad meil avastada ja blokeerida rünnakuid nende toimumise ajal. Kuna need on reaalajas tuvastamis- ja kaitsesüsteemid, mis lähtuvad pilvest, on need saadaval ainult Azure AD autentimise korral pilves (sh Läbiv autentimine).

Smart Lockout

Pilves kasutame lukustamissüsteemi Smart Lockout, et eristada sisselogimise katseid, mis näevad välja, nagu neid teostavad kehtivad kasutajad, kuid on tegelikult ründaja sisselogimised. Me saame ründaja blokeerida, lastes samal ajal kehtival kasutajal konto kasutamist jätkata. See ei takista kasutajal teenuseid kasutada ja peatab aktiivsed paroolipihustusründed. See kehtib kõigi Azure AD sisselogimiste korral sõltumata litsentsitasemest ja kõigi Microsofti kontoga sisselogimiste korral.

Rentnikud, kes kasutavad Active Directory Federation Services’i (ADFS), said Smart Lockout’i kasutada ADFS-is serveri operatsioonisüsteemis Windows Server 2016 juba 2018. aasta märtsist alates – otsige seda võimalust Windows Update’ist.

IP Lockout

IP Lockout analüüsib miljardeid sisselogimisi, et hinnata Microsofti süsteemi iga IP-aadressiga seotud liikluse kvaliteeti. Selle analüüsiga leiab IP Lockout pahatahtlikud IP-aadressid ja blokeerib need reaalajas.

Ründesimulaator

Nüüd avaliku eelvaateversioonina saadaval olev ründesimulaator, mis on osa Office 365 ohuanalüüsist, võimaldab klientidel käivitada simuleeritud rünnakuid oma lõppkasutajatele, määrata, kuidas nende kasutajad rünnaku korral käituvad, ja värskendada poliitikaid ning tagada asjakohaste turbetööriistade olemasolu, et kaitsta teie ettevõtet paroolipihustusrünnete eest.

Toimingud, mida soovitame teha nii ruttu kui võimalik.

  1. Kui kasutate pilvepõhist autentimist, siis olete kaitstud
  2. Kui kasutate ADFS-i või mõnda muud hübriidstsenaariumi, otsige üles Smart Lockouti 2018. aasta märtsi ADFS-i täiendus
  3. Kasutage ründesimulaatorit, et oma turvalisust ennetavalt hinnata ja kohandusi teha

Toiming 2. Mitmikautentimine

Parool on konto avamise võti, kuid õnnestunud paroolipihustusründe korral on ründaja arvanud ära õige parooli. Nende peatamiseks peame kontoomaniku ja ründaja eristamiseks kasutama midagi enamat kui lihtsalt parooli. Kolm võimalust selleks on järgmised.

Riskipõhine mitmikautentimine

Azure AD identiteedikaitse kasutab eespool nimetatud sisselogimisandmeid ja lisab täiustatud masinõppe ja algoritmipõhise tuvastuse ning teostab riskihinnangu iga süsteemi sisselogimise korral. See võimaldab ettevõtte klientidel luua identiteedikaitses poliitikaid, mis paluvad kasutajal autentida teise teguriga, kui kasutaja või seansi jaoks on tuvastatud risk. See vähendab teie kasutajatele seatud piiranguid ja blokeerib ründajad. Lisateavet Azure AD identiteedikaitse kohta leiate siit.

Alati sees mitmikautentimine

Veelgi suurema turvalisuse saate tagada Azure MFA abil, et kasutajatel oleks võimalik kasutada mitmikautentimist kogu aeg nii pilvepõhise autentimise korral kui ka ADFS-is. Kuigi see nõuab lõppkasutajatelt alati oma seadmete olemasolu ja sagedasemat mitmikautentimist, kindlustab see teie ettevõtte turvalisuse kõige paremini. See peaks olema lubatud iga asutuse administraatori jaoks. Lisateavet Azure’i mitmikautentimise kohta leiate siit ja selle kohta, kuidas konfigureerida Azure’i mitmikautentimist ADFS-i jaoks.

Azure MFA esmase autentimismeetodina

ADFS 2016 korral on teil võimalus kasutada Azure MFA-d paroolita autentimise esmase autentimismeetodina. See on suurepärane vahend paroolipihustusrünnete ja paroolivargusete eest kaitsmiseks – kui parooli pole, siis ei saa seda ära arvata. See toimib suurepäraselt igat tüüpi seadmete korral, millel on erinevad vormitegurid. Lisaks saate nüüd kasutada parooli teise tegurina alles pärast seda, kui teie OTP on Azure MFA-ga kinnitatud. Siit leiate lisateavet selle kohta, kuidaskasutada parooli teise tegurina.

Toimingud, mida soovitame teha nii ruttu kui võimalik.

  1. Soovitame tungivalt määrata mitmikautentimise olekuks „Alati sees“ kõigi teie organisatsiooni administraatorite jaoks, eriti kordustellimuste omanikele ja rentnikuadministraatoritele. Tehke seda kohe.
  2. Parima kasutuskogemuse tagamiseks ülejäänud kasutajatele soovitame kasutada riskipõhist mitmikautentimist, mis on saadaval Azure AD Premium P2 litsentsidega.
  3. Muul juhul kasutage Azure MFA-d pilvepõhise autentimise ja ADFS-i jaoks.
  4. Täiendage ADFS-i serveri operatsioonisüsteemis Windows Server 2016 töötavale versioonile, et kasutada Azure MFA-d esmase autentimismeetodina, eriti kõigi oma ekstraneti juurdepääsude korral.

Toiming 3. Paremad paroolid kõigile

Isegi eeltoodu korral on paroolipihustusrünnete vastase kaitse olulisim tegur see, et kõigil kasutajatel oleksid paroolid, mida on raske ära arvata. Kasutajatel on sageli keeruline aimata, kuidas luua raskesti arvatavaid paroole. Microsoft aitab teil seda teha nende tööriistade abil.

Keelatud paroolid

Azure AD-s toimub iga parooli muutmine ja lähtestamine keelatud paroolide kontrollija kaudu. Kui esitatakse uus parool, sobitatakse seda sõnadega, mida keegi ei tohiks oma paroolis kasutada (ja tähtede asendamine märkidega ei peta süsteemi ära). Kui esitatud parool ühtib, siis see lükatakse tagasi ning kasutajal palutakse valida muu parool, mida on raskem ära arvata. Me koostame enimrünnatud paroolide loendit ja värskendame seda sageli.

Keelatud paroolide loendi kohandamine

Keelatud paroolide loendi veelgi paremaks muutmiseks lubame rentnikel oma keelatud paroolide loendeid kohandada. Administraatorid saavad valida oma organisatsiooniga seotud sõnu (nt tuntud töötajad ja asutajad, tooted, asukohad, piirkondlikud sümbolid jne) ning takistada nende kasutamist kasutajate paroolides. See loend jõustatakse lisaks globaalsele loendile. See on nüüd piiratud eelvaateversioonina saadaval ja tuuakse turule sel aastal.

Asutusesisesed keelatud paroolid

Sel kevadel avalikustame tööriista, mis võimaldab ettevõtete administraatoritel keelata paroolid Azure AD hübriidkeskkondades. Keelatud paroolide loendid sünkroonitakse pilvekeskkonnast teie asutusesisestesse keskkondadesse ja jõustatakse kõigis agendiga domeenikontrollerites. See aitab administraatoritel tagada, et kasutajate paroole on raskem ära arvata, olenemata sellest, kus (pilve- või asutusesisene keskkond) kasutaja oma parooli muudab. See käivitus piiratud privaatse eelvaateversioonina 2018. aasta veebruaris ja muutub sel aastal üldiselt kättesaadavaks.

Paroolide kohta arvamuse muutmine

Paljud levinud arusaamad selle kohta, milline on hea parool, on valed. Tavaliselt see, mis peaks matemaatiliselt aitama, hõlbustab tegelikult kasutaja käitumise ära arvamist, näiteks teatud märgitüüpide ja perioodiliste paroolimuutuste nõudmine tingib kindlate paroolimustrite kasutamise. Lisateabe saamiseks lugege meie parooli valimise soovitusi. Kui kasutate Active Directoryt koos PTA või ADFS-iga, värskendage oma paroolipoliitikaid. Kui kasutate pilvekeskkonnas hallatavaid kontosid, määrake paroolid mitte aeguma.

Toimingud, mida soovitame teha nii ruttu kui võimalik.

  1. Kui Microsofti keelatud paroolide tööriist on välja antud, installige see oma ettevõtte jaoks, et aidata kasutajatel luua paremaid paroole.
  2. Vaadake üle oma paroolipoliitikad ja määrake paroolid mitte aeguma, nii et kasutajad ei kasutaks paroolide loomiseks hooajalisi mustreid.

Toiming 4. Veel vägevaid funktsioone ADFS-is ja Active Directorys

Kui kasutate ADFS-is ja Active Directorys hübriidautentimist, saate teha veel rohkem toiminguid, et kaitsta oma keskkonda paroolipihustusrünnete eest.

Esimene etapp: organisatsioonid, kes kasutavad ADFS 2.0 või Windows Server 2012 peaksid võimalikult kiiresti minema üle ADFS-ile serveri operatsioonisüsteemis Windows Server 2016. Uusimat versiooni värskendatakse kiiremini, kasutades rikkalikumaid võimalusi (nt ekstraneti lukustus). Pange tähele, et oleme teinud versioonilt Windows Server 2012R2 täiendamise versiooniks Windows Server 2016 väga lihtsaks.

Pärandkonto autentimise blokeerimine ekstranetis

Pärandkonto autentimise protokollid ei suuda MFA-d jõustada, seega on parim viis need ekstranetis blokeerida. See takistab paroolipihustusrünnete läbiviijatel kasutada ära MFA puudumist nendes protokollides.

ADFS-i veebirakenduse puhverserveri ekstraneti lukustamise lubamine

Kui teil pole ADFS-i veebirakenduse puhverserveris ekstraneti lukustust, peaksite selle lubama nii kiiresti kui võimalik, et kaitsta kasutajaid potentsiaalse paroolimurdmise jõuründe eest.

Azure AD Connect Healthi juurutamine ADFS-i jaoks

Azure AD Connect Health hõivab ADFS-i logides halbade kasutajanime/parooli taotlustega seotud salvestatud IP-aadressid, annab teile täiendavat teavet kõikvõimalike stsenaariumide kohta ja annab täiendavat teavet inseneridele toejuhtumite loomisel.

Juurutamiseks laadige alla ADFS-i jaoks mõeldud Azure AD Connect Healthi agendi uusim versioon kõigis ADFS-i serverites (2.6.491.0). Teie ADFS-i serverid peavad töötama serveri operatsioonisüsteemis Windows Server 2012 R2, kuhu on installitud KB 3134222, või serveri operatsioonisüsteemis Windows Server 2016.

Paroolil mittepõhinevate juurdepääsumeetodite kasutamine

Kui pole parooli, ei saa ka häkkerid seda ära arvata. Need paroolil mittepõhinevad autentimismeetodid on saadaval ADFS-i ja veebirakenduse puhverserveri jaoks.

  1. Serdipõhine autentimine võimaldab kasutajanime/parooli lõpp-punktid tulemüüris täielikult blokeerida. Lugege lisateavet serdipõhise autentimise kohta ADFS-is
  2. Nagu eespool mainisin, võib Azure MFA-d kasutada teise tegurina pilvepõhise autentimise korral ning ADFS 2012 R2 ja 2016 puhul. Kuid seda saab kasutada ka ADFS 2016 esmase tegurina, et peatada täielikult paroolipihustuse võimalus. Lisateavet selle kohta, kuidas Azure MFA-d ADFS-iga konfigureerida leiate siit
  3. Windows Hello äriklientidele, mis on saadaval opsüsteemis Windows 10 ja mida toetab ADFS serveri operatsioonisüsteemis Windows Server 2016, võimaldab täielikku paroolivaba juurdepääsu (sh ekstranetis), mis põhineb nii kasutaja kui ka seadmega seotud tugevatel krüptograafilistel võtmetel. See on saadaval nii ettevõtte hallatavate seadmete jaoks, mis on liidetud Azure AD või Hybrid Azure AD-ga, kui ka isiklike seadmete jaoks rakendusesätete toimingu „Lisa töö- või koolikonto” kaudu. Lugege lisateavet äriklientidele mõeldud Windows Hello kohta.

Toimingud, mida soovitame teha nii ruttu kui võimalik.

  1. Värskenduste kiiremaks saamiseks minge üle versioonile ADFS 2016
  2. Blokeerige pärandkonto autentimine ekstranetis.
  3. Juurutage ADFS-i jaoks Azure AD Connect Healthi agendid kõigis ADFS-i serverites.
  4. Kaaluge paroolita esmase autentimismeetodi (nt Azure MFA, serdid või Windows Hello äriklientidele) kasutamist.

Lisa: Microsofti kontode kaitsmine

Kui olete Microsofti konto kasutaja.

  • Hea uudis, te olete juba kaitstud! Microsofti kontodel on samuti Smart Lockout, IP Lockout, riskipõhine kaheastmeline kontrollimine, keelatud paroolid ja palju muud.
  • Minge Microsofti konto lehele Turvalisus ja valige käsk „Värskenda turbeteavet”, et vaadata üle oma turbeteave, mida kasutatakse riskipõhiseks kaheastmeliseks kontrollimiseks
  • Määrake kaheastmelise kontrollimise funktsiooni olekuks „Alati sees“siit, et tagada oma konto parim turvalisus.

Parim võimalik kaitse on selle postituse soovituste järgimine

Paroolipihustus on tõsine oht igale Interneti-teenusele, mis kasutab paroole, kuid rakendades selles postituses nimetatud toiminguid, olete nende ründevektorite eest maksimaalselt kaitstud. Ja kuna paljudel rünnakutel on sarnased tunnused, on need lihtsalt head soovitused, et end veebis kaitsta. Teie turvalisus on alati meie kõige tähtsam prioriteet ja me töötame pidevalt, et arendada uusi, täiustatud kaitsemeetmeid paroolipihustusrünnete ja kõigi teiste rünnakute vastu. Järgige täna antud soovitusi, ja kontrollige sageli ajaveebi, et olla kursis kõikide värskendustega ning kaitsta ennast internetikeskkonna rünnakute eest.

Loodan, et saite sellest postitusest abi. Soovime saada teie tagasisidet või soovitusi.

Parimate soovidega

Alex Simons (Twitter: @Alex_A_Simons)

Programmijuhtimise osakonna juht

Microsoft Identity Division

Seotud postitused