„Azure AD“ ir ADFS geriausia praktika: apsisaugokite nuo vieno slaptažodžio bandymo atakų
Sveiki.
Nuo pat slaptažodžių atsiradimo žmonės bandė juos atspėti. Šiame tinklaraščio įraše aptariame dažną atakos tipą, kuris pastaruoju metu naudojamas DAUG dažniau, ir pateikiame geriausią praktiką, kaip nuo jų apsisaugoti. Ši ataka įprastai vadinama vieno slaptažodžio bandymo ataka.
Vykdydami vieno slaptažodžio bandymo atakas, nusikaltėliai bando dažniausiai naudojamus slaptažodžius daugybėje skirtingų paskyrų ir tarnybų, siekdami gauti prieigą prie bet kokių slaptažodžiu apsaugotų išteklių, kuriuos jiems pavyksta rasti. Paprastai tai apima daugybę skirtingų organizacijų ir tapatybės valdymo sprendimų teikėjų. Pavyzdžiui, įsilaužėlis gali naudoti visuotinai prieinamą įrankių rinkinį, tokį kaip „Mailsniper“, kad gautų visų vartotojų skirtingose organizacijose sąrašą, o tada bandydamas patekti į visas šias paskyras bando slaptažodžius „Sl@ptaz0d1$“ ir „Slaptazodis1“. Kad jums būtų kiek aiškiau, tokia ataka gali atrodyti taip:
| Tikslinis vartotojo vardas | Tikslinis slaptažodis |
| 1vartotojas@1organizacija.com | 1slaptažodis |
| 2vartotojas@1organizacija.com | 1slaptažodis |
| 1vartotojas@2organizacija.com | 1slaptažodis |
| 2vartotojas@2organizacija.com | 1slaptažodis |
| … | … |
| 1vartotojas@1organizacija.com | Sl@ptaz0d1$ |
| 2vartotojas@1organizacija.com | Sl@ptaz0d1$ |
| 1vartotojas@2organizacija.com | Sl@ptaz0d1$ |
| 2vartotojas@2organizacija.com | Sl@ptaz0d1$ |
Šis atakos modelis apeina daugumą aptikimo metodų, nes žvelgiant iš atskiro vartotojo ar įmonės požiūrio taško, tokia ataka atrodo, kaip tik pavienis nepavykęs prisijungimas.
Įsilaužėliams tai yra skaičių žaidimas: jie žino, kad kažkas naudoja slaptažodį, kuris yra labai paplitęs. Nors tie dažniausiai naudojami slaptažodžiai sudaro viso labo 0,5–1,0 proc. paskyrose naudojamų slaptažodžių, pabandęs įsilaužti į kelis tūkstančius paskyrų įsilaužėliui kelis kartus pavyks, o tai jau veiksminga.
Jie naudoja paskyra, kad gautų duomenis iš el. laiškų, surinktų kontaktinę informaciją ir siųstų apsimestinius saitus arba tiesiog išplėstų vieno slaptažodžio bandymo atakų tikslinę grupę. Įsilaužėliams nelabai rūpi, kas yra tie pirminiai taikiniai – jiems svarbu sėkmė, kurią jie gali išnaudoti.
Gera žinia yra ta, kad „Microsoft“ jau dabar yra įdiegusi daugybę priemonių, kurios sumažina tokių atakų efektyvumą, ir ketina pristatyti dar daug. Skaitykite toliau ir sužinokite, ką galite padaryti dabar ir per ateinančius mėnesius, kad sustabdytumėte vieno slaptažodžio bandymo atakas.
Keturi paprasti veiksmai siekiant sužlugdyti vieno slaptažodžio bandymo atakas
1 veiksmas: naudokite debesies autentifikavimą
Debesyje kiekvieną dieną vyksta milijardai prisijungimų prie „Microsoft“ sistemų. Mūsų apsauginiai aptikimo algoritmai leidžia aptikti ir užblokuoti atakas iškart joms prasidėjus. Kadangi tai yra tikralaikio aptikimo ir apsaugos sistemos, veikiančios debesyje, jos galimos tik atliekant „Azure AD“ autentifikavimą debesyje (įskaitant tiesioginį autentifikavimą).
Išmanusis blokavimas
Debesyje naudojame išmanųjį blokavimą, kad atskirtume prisijungimo bandymus, kurie atrodo kaip tikrojo vartotojo, nuo prisijungimų, kuriuos gali vykdyti įsilaužėlis. Galime užblokuoti įsilaužėlį ir tuo pačiu metu leisti tikrajam vartotojui naudotis paskyra. Tai neleidžia įvykti vartotojo aptarnavimo perkrovai ir sustabdo pernelyg aktyvias vieno slaptažodžio bandymo atakas. Funkcija taikoma visiems „Azure AD“ prisijungimams, neatsižvelgiant į licencijos lygį, ir visiems prisijungimams prie „Microsoft“ paskyrų.
Nuomotojai, naudojantys „Active Directory“ susiejimo tarnybą (ADFS), galės naudoti išmaniojo užrakinimo funkciją ADFS tarnyboje „Windows Server 2016“ operacinėje sistemoje nuo 2018 m. kovo – ieškokite šios funkcijos „Windows Update“ naujinime.
IP blokavimas
IP blokavimas veikia analizuojant tuos milijardus prisijungimų, kad būtų įvertinta kiekvieno IP adreso, pasiekiančio „Microsoft“ sistemas, srauto kokybė. Atlikdama šią analizę, IP blokavimo funkcija randa IP adresus, kurie veikia piktavališkai, ir realiuoju laiku užblokuoja šiuos bandymus prisijungti.
Atakų simuliavimas
Atakų simuliatorius, jau pasiekiamas viešosios peržiūros režimu, yra dalis „Office 365“ grėsmių analizės ir leidžia klientams vykdyti imitacines savo galutinių vartotojų atakas, suprasti, kaip vartotojai elgiasi atakos metu, naujinti strategijas ir užtikrinti, kad būtų parengti tinkami saugos įrankiai, kurie apsaugos organizaciją nuo grėsmių, pvz., vieno slaptažodžio bandymo atakų.
Dalykai, kuriuos jums rekomenduojame atlikti kuo greičiau:
- Jei naudojate debesies autentifikavimą, jūs apsaugoti
- Jei naudojate ADFS ar kitą hibridinį scenarijų, laukite išmaniajam blokavimui skirto ADFS naujinimo 2018 m. kovą
- Naudokite atakų imitavimo priemonę, kad aktyviai vertintumėte savo saugos padėtį ir atliktumėte keitimus
2 veiksmas: naudokite kelių dalių autentifikavimą
Slaptažodis yra raktas paskyrai pasiekti, bet įvykdžius sėkmingą vieno slaptažodžio bandymo ataką, įsilaužėlis atspėjo teisingą slaptažodį. Norėdami sustabdyti įsilaužėlius, turime naudoti kažką daugiau nei tik slaptažodį, kad atskirtume paskyros savininką nuo įsilaužėlio. Toliau pateikiami trys būdai tai padaryti.
Rizika pagrįstas kelių dalių autentifikavimas
„Azure AD Identity Protection“ naudoja pirmiau minėtus prisijungimo duomenis ir įtraukia patobulintą mašininį mokymą bei algoritminį aptikimą, kad kiekvienam sistemą pasiekusiam prisijungimo bandymui priskirtų rizikos įvertinimą. Tai leidžia verslo klientams kurti strategijas tarnyboje „Identity Protection“, kurios paragina vartotoją patvirtinti tapatybę naudojant antrą veiksnį tuo atveju, jei būtų aptikta su vartotoju ar seansu susijusi rizika. Tai sumažina naštą vartotojams ir sudaro kliūčių nusikaltėliams. Sužinokite daugiau apie „Azure AD Identity Protection“ čia.
Visada įjungtas kelių dalių autentifikavimas
Siekdami didesnio saugumo, galite nustatyti, kad „Azure“ MFA vartotojų visada reikalautų kelių dalių autentifikavimo, tiek naudojant debesies autentifikavimą, tiek ir ADFS. Nors šis metodas reikalauja, kad galutiniai vartotojai visada turėtų savo įrenginius ir dažniau atliktų kelių dalių autentifikavimą, jis užtikrina didžiausią įmonės apsaugą. Šis metodas turėtų būti įjungtas kiekvienam administratoriui organizacijoje. Sužinokite daugiau apie „Azure“ kelių dalių autentifikavimą čia ir kaip sukonfigūruoti „Azure“ MFA, skirtą ADFS.
„Azure“ MFA kaip pirminis autentifikavimas
Tarnyboje ADFS 2016 turite galimybę naudoti „Azure“ MFA kaip pirminį autentifikavimą, skirtą autentifikavimui be slaptažodžio. Tai puiki priemonė apsisaugoti nuo vieno slaptažodžio bandymo atakų ir slaptažodžio vagystės atakų: jei nėra slaptažodžio, jo neįmanoma atspėti. Tai puikiai veikia visų tipų ir įvairių formos koeficientų įrenginiuose. Be to, dabar galite naudoti slaptažodį kaip antrąjį veiksnį tik kai OTP buvo patvirtintas naudojant „Azure“ MFA. Sužinokite daugiau apie slaptažodžio kaip antrojo veiksnio naudojimą čia.
Dalykai, kuriuos jums rekomenduojame atlikti kuo greičiau:
- Labai rekomenduojame įgalinti visada įjungtą kelių dalių autentifikavimą visiems organizacijos administratoriams, ypač prenumeratų savininkams ir nuomotojų administratoriams. Tikrai, padarykite tai dabar.
- Kad likusiems vartotojams būtų patogiausia, rekomenduojame naudoti rizika pagrįstą kelių dalių autentifikavimą, kuris galimas turint „Azure AD Premium P2“ licencijas.
- Priešingu atveju naudokite „Azure“ MFA debesies autentifikavimui ir ADFS.
- ADFS tarnyboje atnaujinkite į ADFS operacinėje sistemoje „Windows Server 2016“, kad galėtumėte naudoti „Azure“ MFA kaip pirminį autentifikavimą, ypač bet kokiai ekstraneto prieigai.
3 veiksmas: geresni visų vartotojų slaptažodžiai
Net ir taikant visas išvardytas priemones, svarbiausias dalykas norint apsisaugoti nuo vieno slaptažodžio bandymo atakų yra visiems vartotojams turėti sunkiai atspėjamus slaptažodžius. Vartotojai dažnai nežino, kaip sukurti sunkiai atspėjamą slaptažodį. Teikdama šiuos įrankius „Microsoft“ padeda tai padaryti.
Uždrausti slaptažodžiai
„Azure AD“ sistemoje atliekant kiekvieną slaptažodžio pakeitimą ir nustatymą iš naujo, slaptažodį patikrina uždraustų slaptažodžių tikrintuvas. Pateikus naują slaptažodį, jis apytiksliai palyginamas su sąrašu žodžių, kurių niekada negali būtų niekieno slaptažodyje (l33t-sp3@k rašyba nepadeda). Jei slaptažodis atitinka sąrašo įrašą, jis atmetamas ir vartotojo prašoma pasirinkti slaptažodį, kurį būtų sunkiau atspėti. Mes sudarome dažniausiai atakuojamų slaptažodžių sąrašą ir dažnai jį naujiname.
Pasirinktiniai uždrausti slaptažodžiai
Kad draudžiamų slaptažodžių funkcija būtų dar veiksmingesnė, ketiname leisti klientams tinkinti savo uždraustų slaptažodžių sąrašus. Administratoriai gali pasirinkti žodžius, susijusius su savo organizacija – įžymūs darbuotojai ir įkūrėjai, produktai, vietos, regioninius simbolius ir t. t. – ir neleisti jų naudoti vartotojų slaptažodžiuose. Šis sąrašas bus įgalintas kartu su visuotiniu sąrašu, todėl nereikės rinktis tik vieno iš jų. Šiuo metu funkcija veikia peržiūros režimu ir bus išleidžiama šiemet.
Uždrausti slaptažodžiai keičiant vietinėje sistemoje
Šį pavasarį išleisime įrankį, leisiantį įmonių administratoriams uždrausti slaptažodžius hibridinėse „Azure AD“–„Active Directory“ aplinkose. Debesyje saugomas uždraustų slaptažodžių sąrašas bus sinchronizuojamas su jūsų vietine aplinka ir naudojant agentą įgalintas kiekviename domeno valdiklyje. Tai administratoriams leidžia užtikrinti, kad vartotojų slaptažodžiai būtų sunkiau atspėjami, nesvarbu, ar vartotojas pakeičia savo slaptažodį debesyje ar vietinėje aplinkoje. 2018 m. sausį išleista funkcijos privačios peržiūros versija ir šiemet bus išleista bendrojo prieinamumo versija.
Pakeiskite savo požiūrį į slaptažodžius
Esama daug klaidingų nuostatų apie tai, kas yra geras slaptažodis. Paprastai tai, kas padėtų matematiškai, iš tiesų yra nuspėjamas vartotojo elgesys: pavyzdžiui, reikalaujant tam tikrų simbolių tipų ir periodinio slaptažodžio pakeitimo atsiranda konkretūs slaptažodžių sudarymo modeliai. Daug išsamesnės informacijos gausite perskaitę mūsų slaptažodžio rekomendacijų dokumentą. Jei naudojate „Active Directory“ su PTA arba ADFS, atnaujinkite savo slaptažodžių strategijas. Jei naudojate debesies valdomas paskyras, galite nustatyti, kad slaptažodžiai būtų neriboto galiojimo laiko.
Dalykai, kuriuos jums rekomenduojame atlikti kuo greičiau:
- kai bus išleistas „Microsoft“ uždraustų slaptažodžių įrankis, įdiekite jį vietinėje aplinkoje, kad padėtumėte vartotojams sukurti geresnius slaptažodžius.
- Peržiūrėkite savo slaptažodžių strategijas ir apsvarstykite galimybę nustatyti, kad jie būtų neriboto galiojimo laiko, kad vartotojai nenaudotų sezoninių modelių kurdami slaptažodžius.
4 veiksmas: daugiau nuostabių ADFS ir „Active Directory“ funkcijų
Jei naudojate hibridinį ADFS ir „Active Directory“ autentifikavimą, yra daugiau veiksmų, kurių galite imtis, kad apsaugotumėte savo aplinką nuo vieno slaptažodžio bandymo atakų.
Pirmasis veiksmas: jei naudojate ADFS 2.0 arba „Windows Server 2012“, kuo greičiau pereikite prie ADFS sistemoje „Windows Server 2016“. Naujausia versija bus naujinama sparčiau ir turės daugiau funkcijų, pvz., ekstraneto blokavimas. Ir atminkite: tapo labai paprasta atnaujinti „Windows Server 2012R2“ į „Windows Server 2016“.
Užblokuokite senstelėjusį autentifikavimą iš ekstraneto
Senstelėję autentifikavimo protokolai neturi galimybės taikyti MFA, todėl geriausias pasirinkimas yra užblokuoti juos iš ekstraneto. Tai neleis vieno slaptažodžio bandymo atakas vykdantiems nusikaltėliams išnaudoti šių protokolų MFA nebuvimą.
Įgalinkite ADFS žiniatinklio programų tarpinio serverio ekstraneto blokavimą
Jei ADFS žiniatinklio programų tarpiniame serveryje nėra ekstraneto blokavimo, turėtumėte kuo greičiau jį įgalinti, kad apsaugotumėte savo vartotojus nuo potencialios slaptažodžio grubios jėgos atakos.
Įdiekite „Azure AD Connect Health“ ADFS tarnyboje
„Azure Active Directory Connect Health“ užfiksuoja IP adresus, įrašytus ADFS blogo vartotojo vardo / slaptažodžio žurnaluose, suteikia papildomos informacijos apie įvairius scenarijus ir suteikia papildomų įžvalgų, kurios padės inžinieriams atidarant pagalbos atvejus.
Norėdami įdiegti, atsisiųskite naujausią „Azure AD Connect Health“ agento, skirto ADFS, versiją ir įdiekite visuose ADFS serveriuose (2.6.491.0). ADFS serveriuose turi veikti arba „Windows Server 2012 R2“ su įdiegtu KB 3134222, arba „Windows Server 2016“.
Nenaudokite ne slaptažodžiais pagrįstus prieigos metodus
Nenaudojant slaptažodžio, slaptažodžio neįmanoma atspėti. Šie ne slaptažodžiais pagrįsti prieigos metodai galimi ADFS ir žiniatinklio programų tarpiniam serveriui:
- Sertifikatais pagrįstas autentifikavimas leidžia užkardoje visiškai užblokuoti vartotojo vardo / slaptažodžio galinius punktus. Sužinokite daugiau apie sertifikatais pagrįstą ADFS autentifikavimą
- Kaip jau minėta, „Azure“ MFA galima naudoti kaip antrą debesies bei ADFS 2012 R2 ir 2016 autentifikavimo veiksnį. Tačiau jį taip pat galima naudoti kaip pirminį veiksnį ADFS 2016 tarnyboje, siekiant visiškai panaikinti vieno slaptažodžio bandymo atakų galimybę. Čia sužinokite, kaip konfigūruoti „Azure“ MFA naudojant ADFS čia
- „Windows Hello“ verslui, kuri galima „Windows 10“ sistemoje ir kurią palaiko ADFS sistemoje „Windows Server 2016“, įgalina prieigą, įskaitant prieigą iš ekstraneto, visiškai nenaudojant slaptažodžio, kuri paremta sudėtingais kriptografiniais raktais, susieitais tiek su vartotoju, tiek su įrenginiu. Funkcija galima įmonės valdomuose įrenginiuose, kurie prijungti prie „Azure AD“ ar hibridinio „Azure AD“, bei asmeniniuose įrenginiuose naudojant „Įtraukti darbo ar mokymo įstaigos paskyrą“ parametrų programoje. Gaukite daugiau informacijos apie „Hello“ verslui.
Dalykai, kuriuos jums rekomenduojame atlikti kuo greičiau:
- Atnaujinkite versiją į ADFS 2016, kad greičiau gautumėte naujinimus
- Užblokuokite senstelėjusį autentifikavimą iš ekstraneto.
- Įdiekite „Azure AD Connect Health“, skirtą ADFS, visuose savo ADFS serveriuose.
- Apsvarstykite galimybę naudoti pirminio autentifikavimo be slaptažodžio metodą, pvz., „Azure“ MFA, sertifikatus ar „Windows Hello“ verslui.
Papildomi veiksmai: „Microsoft“ paskyrų apsauga
Jei esate „Microsoft“ paskyros naudotojas:
- gera žinia, jūs jau apsaugoti! „Microsoft“ paskyros taip pat turi išmaniojo blokavimo, IP blokavimo, rizika pagrįsto patvirtinimo dviem veiksmais, uždraustų slaptažodžių ir kt. funkcijas.
- Tačiau skirkite dvi minutes ir nuėję į „Microsoft“ paskyros saugos puslapį pasirinkite „Atnaujinti saugos informaciją, kad peržiūrėtumėte savo saugos informaciją, kurią naudoja rizika pagrįsto patvirtinimo dviem veiksmais funkcija
- Siekdami užtikrinti didžiausią įmanomą paskyros saugą, galite įgalinti visada įjungtą patvirtinimą dviem veiksmais čia.
Geriausia apsauga yra… vadovautis šiame straipsnyje pateiktomis rekomendacijomis
Vieno slaptažodžio bandymo atakos yra rimta grėsmė kiekvienai tarnybai internete, kuri naudoja slaptažodžius, bet šiame straipsnyje pateikti veiksmai padės užtikrinti maksimalią apsaugą nuo tokių atakų. Kadangi daugelio tipų atakas sieja panašūs bruožai, tai apskritai yra geri apsaugos patarimai. Jūsų sauga visada yra mūsų didžiausias prioritetas ir mes be perstojo sunkiai dirbame siekdami sukurti naujas, pažangias apsaugos nuo vieno slaptažodžio bandymo atakų ir visų kitų tipų atakų priemones. Naudokite šiandien išvardytas priemones ir reguliariai tikrinkite, ar yra naujų įrankių, skirtų apsisaugoti nuo internete veikiančių nusikaltėlių.
Tikiuosi, kad ši informacija jums bus naudinga. Kaip visada, labai norėtume išgirsti jūsų atsiliepimų ar pasiūlymų.
Pagarbiai
Alex Simons („Twitter“: @Alex_A_Simons)
Programų valdymo direktorius
„Microsoft“ tapatybių valdymo skyrius
