Gå til hovedinnhold
Microsoft 365
Abonner

Anbefalte fremgangsmåter for Azure AD and ADFS: Forsvar mot sprayangrep med passord

Ved

Hei!

Så lenge vi har hatt passord, har folk prøvd å gjette seg til dem. I denne bloggen skal vi snakke om en vanlig form for angrep som har blitt MYE vanligere i det siste, og noen anbefalte fremgangsmåter for å forsvare deg mot det. Denne angrepsformen kalles vanligvis sprayangrep med passord.

Under et sprayangrep med passord prøver angriperne de vanligste passordene på mange forskjellige kontoer og tjenester for å få tilgang til passordbeskyttede verdier. Vanligvis jobber de over mange forskjellige organisasjoner og identitetsleverandører. En angriper vil for eksempel bruke et lett tilgjengelig verktøysett som Mailsniper for å liste opp alle brukerne i flere organisasjoner og deretter prøve P@$$0rd and Passord1 på alle disse kontoene. Et angrep kan for eksempel se slik ut:

Målbruker Målpassord
Bruker1@org1.com Passord1
Bruker2@org1.com Passord1
Bruker1@org2.com Passord1
Bruker2@org2.com Passord1
Bruker1@org1.com P@$$0rd
Bruker2@org1.com P@$$0rd
Bruker1@org2.com P@$$0rd
Bruker2@org2.com P@$$0rd

Dette angrepsmønsteret er vanskelig å oppdage, fordi det fra en individuell brukers eller et selskaps ståsted bare ser ut som én enkel mislykket pålogging.

For angripere er det et lotteri med tall: de vet at det er noen passord der ute som er veldig vanlige. Selv om disse mest vanlige passordene bare gjelder 0,5–1,0 % av kontoer, vil angriperen få noen treff for hver tusen kontoer som blir angrepet, og det er nok til at det lønner seg.

De bruker kontoene til å skaffe seg data fra e-postmeldinger, sanke inn kontaktinformasjon og sende phishing-koblinger eller bare utvide målgruppen for sprayangrepet. Angriperne bryr seg ikke stort om hvem disse første målene er – bare at de har en viss suksess som de kan utnytte.

Den gode nyheten er at Microsoft har mange verktøy som allerede er iverksatt og klare til å motstå disse angrepene. Les videre for å se hva du kan gjøre nå og i månedene som kommer for å stanse sprayangrep med passord.

Fire enkle trinn for å avbryte sprayangrep med passord

Trinn 1: Bruk godkjenning i skyen

I skyen ser vi milliarder av pålogginger til Microsoft-systemer hver dag. Med sikkerhetsalgoritmene vi bruker, kan vi oppdage og blokkere angrep mens de utføres. Siden dette er systemer for gjenkjennelse og beskyttelse som kjøres i sanntid fra skyen, er de bare tilgjengelige ved Azure AD-godkjenning i skyen (inkludert direktegodkjenning).

Smart låsing

I skyen bruker vi smart låsing til å skille mellom påloggingsforsøk som ser ut som de er fra en gyldig bruker, og pålogginger fra en mulig angriper. Vi kan sperre angriperen mens vi lar den gyldige brukeren fortsette å bruke kontoen. Dette hindrer tjenestenekt for brukeren og stanser overivrige sprayangrep. Dette gjelder alle Azure AD-pålogginger uavhengig av lisensnivå og alle pålogginger til Microsoft-kontoer.

Tenanter som bruker Active Directory Federation Services (ADFS), vil kunne bruke Smart Lockout opprinnelig i ADFS i Windows Server 2016 fra mars 2018 – hold utkikk etter denne muligheten på Windows Update.

Låsing av IP-adresser

Låsing av IP-adresser fungerer ved at milliardene av pålogginger analyseres for vurdering av kvaliteten på trafikken fra hver IP-adresse som treffer Microsofts systemer. Gjennom denne analysen blir det funnet IP-adresser som opptrer mistenkelig, og disse påloggingene blir blokkert i sanntid.

Angrepssimulator

Med Angrepssimulator, som nå er tilgjengelig i offentlig forhåndsversjon som en del av Office 365 Threat Intelligence, kan brukere kjøre simulerte angrep på sine egne sluttbrukere, fastslå hvordan brukerne opptrer under angrep, oppdatere policyer og sørge for at de riktige sikkerhetsverktøyene er på plass for å beskytte organisasjonen mot trusler som sprayangrep med passord.

Dette anbefaler vi at du gjør så fort som mulig:

  1. Hvis du bruker godkjenning i skyen, er du trygg
  2. Hvis du bruker ADFS eller en annen hybridløsning, kan du se etter en ADFS-oppgradering i mars 2018 for smart låsing
  3. Bruk Angrepssimulator til å vurdere sikkerhetsstatusen og foreta endringer

Trinn 2: Bruk godkjenning med flere faktorer

Et passord er nøkkelen til en konto, men i et vellykket sprayangrep har angriperen gjettet det riktige passordet. For å stanse dem må vi bruke noe mer enn bare et passord til å skille mellom kontoeieren og angriperen. Nedenfor finner du de tre måtene å gjøre dette på.

Risikobasert godkjenning med flere faktorer

Identitetsbeskyttelse for Azure Active Directory bruker påloggingsdataene som er beskrevet ovenfor, og legger til avansert maskinlæring og algoritmebasert gjenkjenning for å risikovurdere alle påloggingene som kommer inn i systemet. Dette gjør at bedriftskunder kan opprette policyer i Identitetsbeskyttelse som ber en bruker om å godkjenne med en faktor til bare hvis det er oppdaget en risiko for brukeren eller for økten. Dette letter byrden for brukerne og gjør det vanskeligere for angriperne. Finn ut mer om Identitetsbeskyttelse for Azure AD her.

Godkjenning med flere faktorer som alltid er på

Hvis du vil ha enda større sikkerhet, kan du bruke Azure MFA til å kreve godkjenning med flere faktorer for brukerne dine hele tiden, både i godkjenning i skyen og ADFS. Mens dette krever at sluttbrukerne alltid må ha enhetene sine og utføre godkjenning med flere faktorer oftere, gir det den beste sikkerheten for organisasjonen. Dette burde aktiveres for alle administratorene i organisasjonen. Finn ut mer om Azure Multi-Factor Authentication her og hvordan du konfigurerer Azure MFA for ADFS.

Azure MFA som primær godkjenning

I ADFS 2016 har du muligheten til å bruke Azure MFA som primær godkjenning for godkjenning uten passord. Dette er en flott måte å verne mot sprayangrep med passord og passordtyveriangrep på: hvis det ikke finnes noe passord, kan det ikke bli gjettet. Dette fungerer godt for alle slags enheter med forskjellige formfaktorer. I tillegg kan du nå bruke passord som den andre faktoren bare etter at engangspassordet er godkjent av Azure MFA. Finn ut mer om å bruke passord som den andre faktoren her.

Dette anbefaler vi at du gjør så fort som mulig:

  1. Vi anbefaler på det sterkeste at du bruker godkjenning med flere faktorer som alltid er på, for alle administratorer i organisasjonen, særlig abonnementseiere og tenantadministratorer. Jeg mener det, gjør dette nå.
  2. Hvis du vil gjøre det best mulig for brukerne dine, anbefaler vi risikobasert godkjenning med flere faktorer, som er tilgjengelig med Azure AD Premium P2-lisenser.
  3. Alternativt kan du bruke Azure MFA for godkjenning i skyen og ADFS.
  4. I ADFS kan du oppgradere til ADFS på Windows Server 2016 for å bruke Azure MFA som primær godkjenning, særlig for tilgang til ekstranettet.

Trinn 3: Bedre passord for alle

Selv med alt som er beskrevet ovenfor, er en viktig del av forsvaret mot sprayangrep med passord at alle brukere har passord som er vanskelige å gjette. Det er ofte ikke så lett for brukere å vite hvordan de skal opprette passord som er vanskelige å gjette. Microsoft kan hjelpe deg med dette med disse verktøyene.

Forbudte passord

Hvert eneste passord som endres og tilbakestilles, kjøres gjennom en kontroll av forbudte passord i Azure AD. Når et nytt passord sendes inn, blir det kontrollert mot en liste over ord som ingen noensinne burde ha i passordet sitt (og staving ved hjelp av l33t-sp3@k hjelper ikke). Hvis det samsvarer, blir det avvist, og brukeren blir bedt om å velge et passord som er vanskeligere å gjette. Vi bygger listen over de vanligste passordene som blir angrepet, og oppdaterer den jevnlig.

Egendefinerte forbudte passord

Vi vil gjøre listen over forbudte passord enda bedre ved at tenanter kan tilpasse listen over forbudte passord. Administratorer kan velge ord som er vanlige i organisasjonen deres – berømte ansatte og grunnleggere, produkter, steder, lokale ikoner og så videre – og forhindre dem fra å bli brukt i brukernes passord. Listen blir lagt til den globale listen, slik at du ikke trenger å velge den ene eller den andre. Den er i begrenset forhåndsversjon nå og blir rullet ut i år.

Forbudte passord for lokale endringer

I vår lanserer vi et verktøy som lar organisasjonsadministratorer forby passord i hybride Azure AD-Active Directory-miljøer. Listen over forbudte passord blir synkronisert fra skyen til de lokale miljøene dine og håndhevet på hver domenekontroller med agenten. På denne måten kan administratorene sikre at brukernes passord er vanskeligere å gjette uansett hvor brukeren endrer passordet – enten det er i skyen eller lokalt. Dette ble lansert i begrenset forhåndsversjon i februar 2018 og blir generelt tilgjengelig i år.

Endre hvordan du tenker om passord

Mange vanlige oppfatninger av hva som utgjør et godt passord, er feil. Noe som matematisk sett burde hjelpe, resulterer faktisk i forutsigbar brukeratferd, for eksempel resulterer både krav om bestemte karaktertyper og periodiske passordendringer i bestemte passordmønstre. Les hvitboken med passordveiledning for mye mer informasjon. Hvis du bruker Active Directory med PTA eller ADFS, må du oppdatere passordpolicyene. Hvis du bruker skyadministrerte kontoer, bør du vurdere å sette passordene til aldri å utløpe.

Dette anbefaler vi at du gjør så fort som mulig:

  1. Når det er utgitt, bør du installere Microsoft-verktøyet for forbudte passord lokalt for å hjelpe brukerne med å opprette bedre passord.
  2. Se gjennom passordpolicyene, og vurder å sette dem til aldri å utløpe, slik at brukerne dine ikke bruker sesongbaserte mønstre til å opprette passordene.

Trinn 4: Flere fantastiske funksjoner i ADFS og Active Directory

Hvis du bruker hybrid godkjenning med ADFS og Active Directory, er det flere trinn du kan ta for å sikre miljøet mot sprayangrep med passord.

Det første trinnet: organisasjoner som kjører ADFS 2.0 eller Windows Server 2012, bør planlegge å kjøre til ADFS in Windows Server 2016 så snart som mulig. Den siste versjonen blir oppdatert raskere med mer rikholdig sett med funksjoner, for eksempel låsing av ekstranettet. Og husk: Vi har gjort det enkelt å oppgradere fra Windows Server 2012R2 til 2016.

Blokker eldre godkjenning fra ekstranettet

Eldre godkjenningsprotokoller kan ikke håndheve godkjenning med flere faktorer, så det er best å blokkere dem fra ekstranettet. Dette vil forhindre de som står bak sprayangrep med passord, i å utnytte mangelen på godkjenning med flere faktorer på disse protokollene.

Aktiver låsing av ekstranettet i proxyen for ADFS-nettprogrammet

Hvis du ikke har låsing av ekstranettet på plass i proxyen for ADFS-nettprogrammet, burde du aktivere dette så snart som mulig for å beskytte brukerne mot å utsettes for potensielle passordangrep med rå kraft.

Distribuer Azure AD Connect Health for ADFS

Azure AD Connect Health fanger opp IP-adresser som er registrert i ADFS-loggene for feil brukernavn / passordforespørsler, gir deg ekstra rapportering fra en rekke scenarioer og gir ekstra innsikt til støtteteknikere som åpner saker med assistert støtte.

Du distribuerer ved å laste ned siste versjon av Azure AD Connect Health-agenten for ADFS på alle ADFS-servere (2.6.491.0). ADFS-servere må kjøre Windows Server 2012 R2 med KB 3134222 installert, eller Windows Server 2016.

Bruk tilgangsmetoder som ikke er passordbasert

Uten et passord er det ikke noe passord å gjette. Disse godkjenningsmetodene som ikke er passordbaserte, er tilgjengelige for ADFS og nettprogram-proxyen:

  1. Sertifikatbasert godkjenning innebærer at brukernavn/passord-endepunkter kan blokkeres helt ved brannmuren. Finn ut mer om sertifikatbasert godkjenning i ADFS
  2. Azure MFA, som nevnt ovenfor, kan brukes som den andre faktoren i godkjenning i skyen og ADFS 2012 R2 og 2016. Men den kan også brukes som primær faktor i ADFS 2016 for helt å fjerne muligheten for sprayangrep med passord. Finn ut hvordan du konfigurerer Azure MFA med ADFS her
  3. Windows Hello for bedrifter, som er tilgjengelig i Windows 10 og støttet av ADFS i Windows Server 2016, gjør det mulig med tilgang helt uten passord, inkludert fra ekstranettet, basert på sterke kryptografiske nøkler som er forbundet med både brukeren og enheten. Dette er tilgjengelig for selskapsadministrerte enheter som er Azure AD-tilknyttet eller hybrid Azure AD-tilknyttet, i tillegg til personlige enheter via «Legg til jobb- eller skolekonto» fra Innstillinger-appen. Få mer informasjon om Hello for bedrifter.

Dette anbefaler vi at du gjør så fort som mulig:

  1. Oppgrader til ADFS 2016 for raskere oppdateringer
  2. Blokker eldre godkjenning fra ekstranettet.
  3. Distribuer Azure AD Connect Health-agenter for ADFS på alle ADFS-serverne.
  4. Vurder å bruke en primær godkjenningsmetode uten passord, for eksempel Azure MFA, sertifikater eller Windows Hello for bedrifter.

Bonus: Beskytte Microsoft-kontoene

Hvis du er en Microsoft-kontobruker:

  • Flott, du er allerede beskyttet! Microsoft-kontoer har også smart låsing, låsing av IP-adresser, risikobasert totrinnskontroll, forbudte passord og mer.
  • Men bruk to minutter på å gå til Microsoft-kontoens sikkerhetsside og velge Oppdater sikkerhetsinformasjon for å gå gjennom sikkerhetsinformasjonen som brukes for risikobasert totrinnskontroll.
  • Vurder å slå på totrinnskontroll som alltid er på, her, for å gjøre kontoen din så sikker som mulig.

Det beste forsvaret er … å følge anbefalingene i denne bloggen

Sprayangrep med passord er en alvorlig trussel mot alle tjenestene på Internett som bruker passord, men hvis du følger trinnene i denne bloggen, får du maksimal beskyttelse mot denne angrepsvektoren. Og siden det er mange slags angrep som bruker lignende metoder, er dette gode forslag til generell beskyttelse. Din sikkerhet er alltid det viktigeste for oss, og vi jobber hele tiden med å utvikle ny, avanserte beskyttelse mot sprayangrep og alle andre typer angrep der ute. Benytt deg av forslagene over i dag, og kom jevnlig tilbake for å høre om nye verktøy som kan brukes i forsvar mot skurkene der ute på Internett.

Jeg håper denne informasjonen var nyttig for deg. Som alltid tar vi gjerne imot tilbakemeldinger eller forslag du måtte ha.

Vennlig hilsen

Alex Simons (Twitter: @Alex_A_Simons)

Direktør for programstyring

Microsoft Identity Division

Relaterte innlegg