Siirry pääsisältöön
Microsoft 365
Tilaa

Azure AD:n ja ADFS:n parhaat käytännöt: Spray-salasanahyökkäyksiä vastaan puolustautuminen

Ohi

Tervehdys!

Niin kauan kuin salasanoja on ollut, on myös yritetty niiden arvaamista. Tässä blogikirjoituksessa aion puhua yleisestä ja viimeaikoina hurjasti yleistyneestä hyökkäystyypistä ja joistakin parhaista käytännöistä, joita voit hyödyntää hyökkäyksiä vastaan suojautumisessa. Hyökkäystä kutsutaan yleisesti spray-salasanahyökkäykseksi.

Spray-salasanahyökkäyksessä konnat kokeilevat yleisimpiä salasanoja moniin eri tileihin ja palveluihin päästäkseen käyttämään salasanan takana olevia asioita. Yleensä hyökkäykset kohdistuvat moniin eri organisaatioihin ja käyttäjätietopalveluihin. Hyökkääjä voi esimerkiksi käyttää yleisesti saatavilla olevaa työkalua kuten Mailsniperia listaamaan usean organisaation kaikki käyttäjät ja yrittää sitten kirjautumista kaikille tileille kokeilemalla salasanoja ”S@l@s@n@” ja ”Salasana1”. Hyökkäys voisi näyttää vaikka tältä:

Kohdekäyttäjä Kohdesalasana
Käyttäjä1@org1.com Salasana1
Käyttäjä2@org1.com Salasana1
Käyttäjä1@org2.com Salasana1
Käyttäjä2@org2.com Salasana1
Käyttäjä1@org1.com $@l@$@n@
Käyttäjä2@org1.com $@l@$@n@
Käyttäjä1@org2.com $@l@$@n@
Käyttäjä2@org2.com $@l@$@n@

Tämä hyökkäystapa jää usein huomaamatta, koska yksittäisen käyttäjän tai yrityksen näkökulmasta tällainen hyökkäys näyttää vain yksittäiseltä epäonnistuneelta sisäänkirjautumiselta.

Hyökkääjille kyse on todennäköisyyksistä: he tietävät, että käytössä on salasanoja, jotka ovat erittäin yleisiä. Vaikka näitä yleisimpiä salasanoja käyttää vain 0,5–1,0 % tileistä, hyökkääjä onnistuu pari kertaa jokaista tuhatta tiliä kohti, mikä on tarpeeksi ollakseen tehokasta.

Hyökkääjät käyttävät tilejä saadakseen tietoja sähköposteista, ottavat yhteystiedot talteen ja lähettävät sitten kalastelulinkkejä tai vain laajentavat spray-hyökkäyksen kohderyhmää. Hyökkääjät eivät juuri välitä siitä, ketkä ensimmäiset kohteet ovat vaan haluavat vain onnistumisia, joita voivat sitten hyödyntää.

Hyvä uutinen on, että Microsoftilla on jo käytössä ja saatavilla monia työkaluja, joilla hyökkäyksiä voi torjua, ja lisää on tulossa. Lue eteenpäin, jos haluat tietää, mitä voit nyt ja tulevina kuukausina tehdä estääksesi spray-salasanahyökkäykset.

Neljä helppoa vaihetta spray-salasanahyökkäysten torjuntaan

Vaihe 1: Käytä pilvitodennusta

Microsoftin järjestelmiin kirjaudutaan pilvessä miljardeja kertoja päivässä. Suojausalgoritmimme antavat meille mahdollisuuden huomata ja torjua hyökkäykset, kun ne tapahtuvat. Koska kyseessä ovat pilveen pohjautuvat reaaliaikaiset havaitsemis- ja suojausjärjestelmät, ne ovat saatavilla vain Azure AD -todennusta pilvessä suoritettaessa (mukaan lukien läpivientitodennus).

Smart Lockout -suojaus

Käytämme pilvessä Smart Lockout -suojausta, joka erottelee aidoilta käyttäjiltä vaikuttavien ja mahdollisien hyökkääjien kirjautumisyritykset. Voimme estää hyökkääjän ja antaa samalla oikean käyttäjän jatkaa tilin käyttämistä. Näin käyttäjän palvelunkäyttöä ei estetä, ja liian innokkaat spray-salasanahyökkäykset saadaan estettyä. Tämä pätee kaikkiin Azure AD -kirjautumisiin lisenssin tasosta riippumatta sekä kaikkiin Microsoft-tilien kirjautumisiin.

Active Directory Federation Services (ADFS) -palvelua käyttävät vuokraajat voivat käyttää Smart Lockoutia natiivisti Windows Server 2016:n ADFS:ssä maaliskuusta 2018 lähtien – ominaisuus tulee Windows Updateen.

IP Lockout -suojaus

IP-lukitus toimii analysoimalla miljardeja kirjautumisia ja arvioi jokaisen Microsoftin järjestelmiin saapuvan IP-osoitteen liikenteen laadun. Analyysin perusteella IP-lukitus tunnistaa haitalliset IP-osoitteet ja torjuu niiden kirjautumiset reaaliajassa.

Hyökkäyssimulaatiot

Nyt julkisessa esikatselussa oleva hyökkäyssimulaattori kuuluu Office 365 Threat Intelligence -työkaluihin ja antaa asiakkaille mahdollisuuden käynnistää simuloituja hyökkäyksiä omia loppukäyttäjiään kohtaan, määrittää, miten käyttäjät käyttäytyvät hyökkäyksen aikana, sekä päivittää käytännöt ja varmistaa, että käytössä on sopivia työkaluja, jotka suojaavat organisaatiota uhilta, kuten spray-salasanahyökkäyksiltä.

Suosittelemme, että teet seuraavat asiat mahdollisimman pian:

  1. Jos käytät pilvitodennusta, asiat ovat mallillaan
  2. Jos käytät ADFS:ää tai muuta hybridiskenaariota, etsi käsiisi Smart Lockoutin ADFS-päivitys
  3. Käytä hyökkäyssimulaattoria arvioimaan suojauksesi tilaa ennakolta ja tee tarvittavat muutokset

Vaihe 2: Käytä monimenetelmäistä todentamista

Salasana on avain tilin käyttöön, mutta onnistuneessa spray-hyökkäyksessä hyökkääjä onnistuu arvaamaan oikean salasanan. Hyökkäysten pysäyttämiseksi tarvitaan jotakin muuta kuin pelkkä salasana erottelemaan tilin omistaja ja hyökkääjä. Seuraavassa on esitelty kolme tapaa tehdä niin.

Riskiin perustuva monimenetelmäinen todentaminen

Azure AD -käyttäjätietojen suojaus hyödyntää yllä mainittuja kirjautumistietoja ja lisää suojaukseen kehittyneen koneoppimisen ja algoritmeille perustuvan havaitsemisen, joka pisteyttää jokaisen järjestelmään kirjautumisen riskitason. Tämä antaa yrityksen asiakkaille mahdollisuuden luoda käyttäjätietojen suojauksen käytäntöjä, jotka pyytävät käyttäjää tekemään todennuksen toisella menetelmällä, jos ja vain jos käyttäjän tai istunnon kohdalla havaitaan riski. Tämä kuormittaa käyttäjiä vähemmän ja torjuu hyökkääjiä. Saat lisätietoja Azure AD -käyttäjätietojen suojauksesta täältä.

Aina käytössä oleva monimenetelmäinen todentaminen

Suojausta voi lisätä entisestään käyttämällä Azuren monimenetelmäistä todentamista, jonka avulla voit vaatia käyttäjiltä monimenetelmäistä todentamista sekä pilvitodennuksessa että ADFS:ssä koko ajan . Vaikka tämä vaatii käyttäjiltä laitteiden jatkuvaa mukana kuljettamista ja monimenetelmäisen todentamisen tiheää käyttöä, se tarjoaa yrityksellesi parhaan suojan. Organisaation jokaisen järjestelmänvalvojan pitäisi ottaa tämä todentaminen käyttöön. Lue lisää Azuren monimenetelmäisestä todentamisesta täältä ja lue, miten Azuren monimenetelmäinen todentaminen määritetään ADFS:lle.

Azuren monimenetelmäinen todentaminen ensisijaisena todentamistapana

ADFS 2016:ssa voit käyttää Azuren monimenetelmäistä todentamista ensisijaisena todentamistapana salasanattomassa todentamisessa. Tämä on hieno työkalu spray-salasanahyökkäyksiä ja salasanavarkauksia vastaan suojautumisessa: jos salasanaa ei ole, sitä ei voi myöskään arvata. Tämä toimii hienosti kaikentyyppisille laitteille, joilla on erilaisia laitemuotoja. Lisäksi voit nyt käyttää salasanaa toisena todentamismenetelmänä vasta, kun kertakäyttöinen salasanasi on vahvistettu Azuren monimenetelmäisen todentamisen avulla. Lue lisää salasanan käyttämisestä toisena todentamismenetelmänä täältä.

Suosittelemme, että teet seuraavat asiat mahdollisimman pian:

  1. Suosittelemme lämpimästi aina käytössä olevan monimenetelmäisen todentamisen käyttöönottoa organisaation kaikille hallinnoijille , erityisesti tilausten omistajille ja vuokralaisten järjestelmänvalvojille. Näin todella kannattaa tehdä.
  2. Jotta muiden käyttäjien käyttökokemus olisi paras mahdollinen, suosittelemme riskiin perustuvaa monimenetelmäistä todentamista, joka on saatavilla Azure AD Premium P2 -lisensseissä.
  3. Muussa tapauksessa käytä Azuren monimenetelmäistä todentamista ja ADFS:ää.
  4. ADFS:ssä päivitä Windows Server 2016:n ADFS:ään käyttääksesi Azuren monimenetelmäistä todentamista ensisijaisena todentamistapana, erityisesti kaikissa ekstranetin käyttöoikeuksissa.

Vaihe 3: Parempia salasanoja kaikille

Vaikka kaikki yllä mainittu olisi kunnossa, spray-salasanahyökkäyksiä vastaan suojautumisessa avaintekijänä on, että kaikilla käyttäjillä on vaikeasti arvattava salasana. Käyttäjien on usein vaikeaa tietää, miten vaikeasti arvattavan salasanan voi luoda. Nämä Microsoftin työkalut auttavat asiassa.

Kielletyt salasanat

Azure AD:ssa jokaisen salasanan vaihdon ja palauttamisen yhteydessä salasana tarkistetaan kiellettyjen salasanojen varalta. Kun uusi salasanan annetaan, sitä verrataan osittaisten vastaavuuksien varalta sanoihin, joita kenenkään ei koskaan pitäisi käyttää salasanana (kirjainten k0rv@@m1nen muilla merkeillä ei auta). Jos sana on luettelossa, salasana hylätään ja käyttäjää pyydetään valitsemaan vaikeammin arvattava salasana. Olemme laatineet luettelon salasanoista, joita vastaan hyökätään useimmin, ja päivitämme sitä usein.

Mukautetut kielletyt salasanat

Jotta kiellettyjen salasanojen luettelot olisivat entistäkin parempia, annamme vuoraajille mahdollisuuden muokata kiellettyjen salasanojen luetteloja. Järjestelmänvalvojat voivat valita organisaatiolleen tyypillisiä sanoja – kuuluisia työntekijöitä ja perustajia, tuotteita, paikallisia nähtävyyksiä jne. – ja estää niiden käytön käyttäjien salasanoissa. Luetteloa käytetään yleisen luettelon lisäksi, joten näiden kahden välillä ei tarvitse valita. Mukautetut kielletyt salasanat ovat tällä hetkellä rajoitetussa esikatselussa ja julkaistaan tänä vuonna.

Muutoksia paikallisissa kielletyissä salasanoissa

Tänä keväänä julkaisemme työkalun, joka auttaa yrityksen järjestelmänvalvojia kieltämään salasanoja Azure Active Directoryn hybridiympäristöissä. Kiellettyjen salasanojen luettelot synkronoidaan pilvestä paikallisiin ympäristöihin ja pakotetaan agentin kera jokaiseen toimialueen ohjauskoneeseen. Tämä auttaa järjestelmänvalvojia varmistamaan, että käyttäjien salasanat ovat vaikeita arvata riippumatta siitä, missä – pilvessä tai paikallisesti – käyttäjä muuttaa salasanansa. Tämä tuli rajoitettuun yksityiseen esikatseluun helmikuussa 2018 ja tulee yleisesti saataville myöhemmin tänä vuonna.

Muuta suhtautumistasi salasanoihin

Monet yleisesti vallalla olevat ajatukset siitä, millainen hyvä salasana on, ovat vääriä. Usein jonkin, jonka matemaattisesti pitäisi auttaa, saa käyttäjän todellisuudessa käyttäytymään ennustettavasti: esimerkiksi tiettyjen merkkityyppien tai salasanojen ajoittaisen muuttamisen vaatiminen molemmat johtavat tiettyjen salasanamallien käyttöön. Lue julkaisumme salasanojen hallinnasta saadaksesi lisätietoja. Jos käytät Active Directorya, jossa on PTA tai ADFS, päivitä salasanakäytäntösi. Jos käytät pilvessä hallittavia tilejä, harkitse asetusta, jossa salasana ei vanhene.

Suosittelemme, että teet seuraavat asiat mahdollisimman pian:

  1. Asenna Microsoftin kiellettyjen salasanojen työkalu paikallisesti heti, kun se julkaistaan, auttaaksesi käyttäjiäsi luomaan parempia salasanoja.
  2. Tarkista salasanakäytäntösi ja harkitse asetusta, jossa salasanat eivät vanhene, niin että käyttäjäsi eivät sorru käyttämään toistuvia rakenteita salasanojen luomisessa.

Vaihe 4: Lisää mahtavia ominaisuuksia ADFS:ssä ja Active Directoryssa

Jos käytät ADFS:ssä ja Active Directoryssa hybriditodentamista, voit suojata ympäristöäsi spray-salasanahyökkäyksiä vastaan aiempaa paremmin.

Ensimmäinen askel: jos organisaatiosi käyttää ADFS 2.0:aa tai Windows Server 2012:ta, ala suunnitella siirtymistä Windows Server 2016:n ADFS:ään mahdollisimman pian. Uusin versio päivittyy nopeammin ja siinä on suurempi ominaisuuksia, kuten ekstranetin lukitus. Muista myös että olemme tehneet Windows Server 2012R2:sta 2016:een siirtymisestä erittäin helppoa.

Estä ekstranetistä tulevat vanhat todennukset

Vanhoilla todentamisprotokollilla ei ole kykyä pakottaa monimenetelmäistä todentamista, joten paras lähestymistapa on estää niiden tuleminen ekstranetistä. Tämä estää spray-salasanahyökkääjiä hyödyntämästä monimenetelmäisen todentamisen puuttumista näiden protokollien kohdalla.

Ota käyttöön ADFS:n verkkosovelluksen välityspalvelimen ekstranet-lukitus

Jos sinulla ei vielä ole käytössä ekstranetlukitusta ADFS:n verkkosovelluksen välityspalvelimella, sinun tulisi ottaa se käyttöön niin pian kuin mahdollista, jotta voit suojata käyttäjiäsi mahdolliselta salasanojen väsytyshyökkäysuhalta.

ADFS:n Azure AD Connect Healthin käyttöönotto

Azure AD Connect Health sieppaa ADFS-lokien virheellisiksi kirjattujen käyttäjänimi/salasana-pyyntöjen IP-osoitteet, antaa lisäraportteja erilaisista skenaarioista ja tarjoaa lisätietoa, jotka auttavat insinöörejä tukipalveluissa.

Käyttöönotto tapahtuu lataamalla Azure AD Connect Health Agent for ADFS:n uusin versio kaikille ADFS-palvelimille (2.6.491.0). ADFS-palvelimien tulee käyttää Windows Server 2012 R2:ta, johon on asennettu KB 3134222, tai Windows Server 2016:ta.

Käyttötavat, jotka eivät perustu salasanalle

Jos salasanaa ei ole, sitä ei voi arvata. ADFS:lle ja verkkosovelluksen välityspalvelimelle on saatavilla todentamistapoja, jotka eivät perustu salasanalle:

  1. Varmennepohjainen todentaminen sallii käyttäjänimen/salasanan päätepisteiden täydellisen eston palomuurilla. Lue lisää ADFS:n varmennepohjaisesta todentamisesta
  2. Azuren monimenetelmäistä todentamista voi, kuten yllä mainittiin, käyttää toisena menetelmänä pilvitodennuksissa ja ADFS 2012 R2:ssa ja 2016:ssa. Sitä voi kuitenkin käyttää myös ensisijaisena menetelmänä ADFS 2016:ssa, jos halutaan estää spray-salasanahyökkäykset täydellisesti. Lue lisää Azuren monimenetelmäisen todentamisen määrittämisestä ADFS:llä täältä
  3. Windows 10:ssä saatavilla oleva ja ADFS:n Windows Server 2016:ssa tukema Windows Hello yrityksille antaa mahdollisuuden täysin salasanattomaan käyttöön (myös ekstranetistä), joka perustuu vahvoille sekä käyttäjään että laitteeseen sidotuille kryptografisille avaimille. Tämä on saatavilla yrityksen hallinnoimiin laitteisiin, jotka on yhdistetty Azure AD:hen tai Azure AD -hybridiympäristöön, sekä henkilökohtaisiin laitteisiin Settings-sovelluksen kohdasta ”Lisää työpaikan tai oppilaitoksen tili”. Lue lisätietoja Hello yrityksille -ominaisuudesta.

Suosittelemme, että teet seuraavat asiat mahdollisimman pian:

  1. Nopeat päivitykset ADFS 2016:een päivittämällä
  2. Estä vanhojen todennusten pääsy ekstranetistä.
  3. Ota käyttöön Azure AD Connect Health -agentit ADFS:lle kaikissa ADFS-palvelimissasi.
  4. Harkitse käyttäväsi salasanatonta ensisijaista todentamistapaa, kuten Azuren monimenetelmäistä todennusta, varmenteita tai Windows Hello yrityksille -ominaisuutta.

Bonus: Microsoft-tilien suojaus

Jos olet Microsoft-tilin käyttäjä:

  • Hyviä uutisia, suojauksesi on kunnossa! Microsoft-tileissä on Smart Lockout- ja IP Lockout -suojaus, riskiin perustuva kaksivaiheinen todennus, kielletyt salasanat ynnä muita.
  • Käytä kuitenkin pari minuuttia siihen, että käyt Microsoft-tilisi Tietoturva-sivulla ja valitset kohdan ”Päivitä suojaustietosi” tarkastellaksesi suojaustietoja, joita käytetään riskiin perustuvaan kaksivaiheiseen todentamiseen.
  • Harkitse aina käytössä olevan kaksivaiheisen todentamisen käyttöönottoa täällä, niin voit tarjota tilillesi parhaan suojan.

Paras puolustus ei suinkaan ole hyökkäys vaan tämän kirjoituksen suosituksien seuraaminen

Spray-salasanahyökkäykset ovat vakava uhka kaikille Internetin salasanoja käyttäville palveluille, mutta tässä kirjoituksissa esitetyt toimenpiteet antavat sinulle parhaimman suojan tätä hyökkäysvektoria vastaan. Ja koska samanlaisia piirteitä on monenlaisissa hyökkäyksissä, esitetyt neuvot ovat yksinkertaisesti toimivia, piste. Suojaamisesi on meille äärimmäisen tärkeää ja kehittelemme jatkuvasti uusia ja kehittyneitä suojauksia spray-salasanahyökkäyksiä ja kaikenlaisia muita hyökkäyksiä vastaan. Ota yllä mainitut suojaukset käyttöön jo tänään ja palaa usein katsomaan uusia Internetin hyökkääjiä vastaan suunniteltuja suojatyökaluja.

Toivottavasti kirjoitus oli sinusta mielenkiintoinen. Kuten aina, otamme mielellämme vastaan kaikenlaista palautetta ja ehdotuksia.

Ystävällisin terveisin,

Alex Simons (Twitter: @Alex_A_Simons)

Johtaja – ohjelman hallinta

Microsoftin käyttäjätietojen osasto

Liittyvät julkaisut