Best practices voor Azure AD en ADFS: Verdediging tegen wachtwoordsprayaanvallen
Beste mensen,
Zo lang er wachtwoorden bestaan, hebben mensen geprobeerd ze te raden. In deze blogpost gaan we het hebben over een veelvoorkomende aanval die de laatste tijd VEEL vaker voorkomt, en een aantal best practices om je ertegen te verdedigen. Deze aanval wordt wachtwoordspray genoemd.
Bij een wachtwoordsprayaanval proberen de slechteriken de meestvoorkomende wachtwoorden uit op veel verschillende accounts en services om toegang te krijgen tot alle met een wachtwoord beveiligde items die ze kunnen vinden. Deze aanvallen betreffen gewoonlijk veel verschillende organisaties en identiteitsproviders. Een aanvaller kan bijvoorbeeld een algemeen beschikbare toolkit zoals Mailsniper gebruiken om alle gebruikers in een aantal organisaties op te sommen en vervolgens “W@chtw00rd” en “Wachtwoord1” uit te proberen op al die accounts. Om je een idee te geven: een aanval zou er zo uit kunnen zien:
Gebruiker | Wachtwoord |
Gebruiker1@organisatie1.com | Wachtwoord1 |
Gebruiker2@organisatie1.com | Wachtwoord1 |
Gebruiker1@organisatie2.com | Wachtwoord1 |
Gebruiker2@organisatie2.com | Wachtwoord1 |
… | … |
Gebruiker1@organisatie1.com | W@chtw00rd |
Gebruiker2@organisatie1.com | W@chtw00rd |
Gebruiker1@organisatie2.com | W@chtw00rd |
Gebruiker2@organisatie2.com | W@chtw00rd |
Dit aanvalspatroon ontsnapt aan de meeste detectietechnieken, omdat vanuit het gezichtspunt van een individuele gebruiker of bedrijf de aanval er net uitziet als een eenmalige mislukte aanmelding.
Voor aanvallers is het kwestie van aantallen: ze weten dat er wachtwoorden zijn die erg vaak voorkomen. Hoewel deze meest voorkomende wachtwoorden slechts 0,5–1,0% van de accounts uitmaken, krijgt de aanvaller een paar successen voor elke duizend aangevallen accounts, en dat is genoeg om effectief te zijn.
Ze gebruiken de accounts om gegevens uit e-mails te halen, contactgegevens te verzamelen en phishing-links te verzenden of om de doelgroep voor de wachtwoordspray uit te breiden. De aanvallers geven er niet om wie de eerste doelen zijn – alleen dat ze een beetje succes hebben waarop ze kunnen voortbouwen.
Het goede nieuws is dat Microsoft veel tools heeft die al geïmplementeerd en beschikbaar zijn om deze aanvallen te ontkrachten, en er komen er binnenkort nog meer. Lees verder om te zien wat je nu en in de komende maanden kunt doen om aanvallen met wachtwoordsprays te stoppen.
Vier gemakkelijke stappen om wachtwoordsprayaanvallen te verstoren
Stap 1: Cloudverificatie gebruiken
In de cloud zien we elke dag miljarden aanmeldingen bij Microsoft-systemen. Met onze beveiligingsdetectiealgoritmen kunnen we aanvallen detecteren en blokkeren terwijl ze plaatsvinden. Omdat dit realtime detectie- en beveiligingssystemen zijn die vanuit de cloud worden aangestuurd, zijn ze alleen beschikbaar wanneer Azure AD-verificatie in de cloud wordt uitgevoerd (inclusief Pass Through-verificatie).
Smart Lockout
In de cloud gebruiken we Smart Lockout (slimmer vergrendeling) om onderscheid te maken tussen inlogpogingen die eruitzien alsof ze afkomstig zijn van de geldige gebruiker en aanmeldingen van mogelijke aanvallers. We kunnen de aanvaller buitensluiten terwijl de geldige gebruiker het account blijft gebruiken. Dit voorkomt denial-of-service voor de gebruiker en stopt overijverige wachtwoordsprayaanvallen. Dit is van toepassing op alle Azure AD-aanmeldingen, ongeacht het licentieniveau, en op alle aanmeldingen bij Microsoft-accounts.
Tenants die Active Directory Federation Services (ADFS) kunnen Smart Lockout vanaf maart 2018 standaard in ADFS in Windows Server 2016 gebruiken. Kijk uit naar de introductie van deze mogelijkheid via Windows Update.
IP-blokkering
IP-blokkering werkt door het analyseren van die miljarden aanmeldingen om de kwaliteit van het verkeer van elk IP-adres dat op Microsoft-systemen terechtkomt, te beoordelen. Door die analyse vindt IP-blokkering IP-adressen die kwaadaardig werken en blokkeert het deze aanmeldingen in realtime.
Aanvalssimulatie
Met Attack Simulator, dat nu beschikbaar is in openbare preview als onderdeel van Office 365 Threat Intelligence, kunnen klanten gesimuleerde aanvallen doen op hun eigen eindgebruikers, bepalen hoe hun gebruikers zich gedragen in geval van een aanval en hun beleid bijwerken om ervoor te zorgen dat er geschikte beveiligingstools aanwezig zijn om de organisatie te beschermen tegen bedreigingen zoals wachtwoordsprayaanvallen.
We raden je aan zo snel mogelijk het volgende te doen:
- Als je cloudverificatie gebruikt, zit je goed
- Als je ADFS of een andere hybride scenario gebruikt, kijk dan uit naar een ADFS-upgrade voor Smart Lockout in maart 2018
- Gebruik Attack Simulator om je beveiliging procactief te evalueren en eventueel aan te passen
Stap 2: Meervoudige verificatie gebruiken
Een wachtwoord is de toegangssleutel tot een account, maar bij een geslaagde wachtwoordsprayaanval heeft de aanvaller het juiste wachtwoord geraden. Om ze te stoppen, moeten we iets anders dan alleen een wachtwoord gebruiken om onderscheid te maken tussen de accounteigenaar en de aanvaller. Hieronder staan de drie manieren om dit te doen.
Meervoudige verificatie op basis van risico
Azure AD Identity Protection maakt gebruik van de hierboven genoemde aanmeldingsgegevens en voegt geavanceerde machine learning en algoritmische detectie toe waarmee een risicoscore wordt toegewezen aan elke aanmelding die binnenkomt bij het systeem. Hierdoor kunnen zakelijke klanten in Identity Protection beleidsregels maken waardoor een gebruiker alleen wordt gevraagd zich met een tweede factor te legitimeren als er risico’s zijn gedetecteerd voor de gebruiker of voor de sessie, en anders niet. Dit vermindert de belasting voor je gebruikers en legt de slechteriken blokkades in de weg. Meer informatie over Azure AD Identity Protection hier.
Altijd meervoudige verificatie gebruiken
Voor nog meer beveiliging kun je Azure MFA gebruiken om altijd meervoudige verificatie voor je gebruikers te vragen, zowel bij cloudverificatie als in ADFS. Hoewel dit vereist dat eindgebruikers altijd hun apparaten bij de hand moeten hebben en vaker meervoudige verificatie moeten uitvoeren, biedt dit de meeste beveiliging voor je onderneming. Dit moet worden ingeschakeld voor elke beheerder in een organisatie. Meer informatie over Azure Multi-Factor Authentication hier en Azure MFA configureren voor ADFS.
Azure MFA als primaire verificatie
In ADFS 2016 kun je Azure MFA gebruiken als primaire verificatie voor verificatie zonder wachtwoord. Dit is een geweldig hulpmiddel om te waken tegen wachtwoordspray- en wachtwoorddiefstalaanvallen: als er geen wachtwoord is, kan het ook niet worden geraden. Dit werkt uitstekend voor alle apparaten van alle soorten en maten. Bovendien kun je nu wachtwoorden gebruiken als de tweede factor, nadat de OTP is gevalideerd met Azure MFA. Meer informatie over het gebruiken van wachtwoorden als de tweede factor hier.
We raden je aan zo snel mogelijk het volgende te doen:
- We raden sterk aan om altijd meervoudige verificatie te vereisen voor alle beheerders in je organisatie, speciaal voor abonnementeigenaars en tenantbeheerders. Maar serieus, schakel dit nu meteen in.
- Voor de beste ervaring voor de rest van je gebruikers, raden we meervoudige verificatie op basis van risico aan, wat beschikbaar is met Azure AD Premium P2-licenties.
- Gebruik anders Azure MFA voor cloudverificatie en ADFS.
- Upgrade in ADFS naar ADFS op Windows Server 2016 om Azure MFA te gebruiken als primaire verificatie, met name voor al je extranettoegang.
Stap 3: Betere wachtwoorden voor iedereen
Zelfs met al het bovenstaande is een belangrijk onderdeel van de verdediging tegen wachtwoordsprays dat alle gebruikers een wachtwoord hebben dat moeilijk te raden is. Het is vaak moeilijk voor gebruikers om te weten hoe ze moeilijk te raden wachtwoorden kunnen maken. Microsoft helpt je hierbij met deze tools.
Verboden wachtwoorden
In Azure AD wordt elk gewijzigd of opnieuw ingesteld wachtwoord door een controle op verboden wachtwoorden gehaald. Wanneer een nieuw wachtwoord wordt ingediend, wordt het bij benadering vergeleken met een lijst met woorden die niemand ooit in zijn wachtwoord zou moeten hebben (en l33t-sp3@k-spelling helpt niet). Als er een overeenkomst wordt gevonden, wordt het wachtwoord geweigerd en wordt de gebruiker gevraagd een wachtwoord te kiezen dat moeilijker te raden is. We hebben een lijst opgebouwd met de meest aangevallen wachtwoorden en werken deze vaak bij.
Aangepaste verboden wachtwoorden
Om verbannen wachtwoorden nog beter te maken, gaan we tenants de mogelijkheid geven hun lijst met verboden wachtwoorden aan te passen. Beheerders kunnen woorden kiezen die veel voorkomen in hun organisatie – beroemde werknemers en oprichters, producten, locaties, regionale iconen, enzovoort – en voorkomen dat die worden gebruikt in de wachtwoorden van hun gebruikers. Deze lijst wordt afgedwongen in aanvulling op de algemene lijst, zodat je niet de ene of de andere hoeft te kiezen. Dit is nu in beperkte preview en zal dit jaar worden uitgerold.
Verboden wachtwoorden voor on-premises wijzigingen
Dit voorjaar lanceren we een tool waarmee beheerders in een onderneming wachtwoorden kunnen verbieden in hybride Azure AD-Active Directory-omgevingen. De lijsten met geblokkeerde wachtwoorden worden vanuit de cloud naar je on-premises omgevingen gesynchroniseerd, en op elke domeincontroller met de agent afgedwongen. Dit helpt beheerders ervoor te zorgen dat wachtwoorden van gebruikers moeilijker te raden zijn, ongeacht waar – in de cloud of on-premises – de gebruiker een wachtwoord wijzigt. Dit is in februari 2018 gelanceerd naar beperkte privé-preview, en komt dit jaar algemeen beschikbaar.
Ga anders denken over wachtwoorden
Veel algemene opvattingen over wat een goed wachtwoord is, zijn verkeerd. Gewoonlijk zorgt iets dat wiskundig gezien zou moeten helpen, eigenlijk voor voorspelbaar gebruikersgedrag. Zo resulteren het vereisen van bepaalde tekensoorten en periodieke wachtwoordwijzigingen beide in specifieke wachtwoordpatronen. Lees ons technische document over wachtwoordrichtlijnen voor veel meer details. Als je Active Directory gebruikt met PTA of ADFS, werk je wachtwoordbeleid dan bij. Als je cloudbeheerde accounts gebruikt, overweeg dan om je wachtwoorden zo in te stellen dat ze nooit verlopen.
We raden je aan zo snel mogelijk het volgende te doen:
- Installeer het Microsoft-hulpprogramma voor verboden wachtwoorden zodra het uitkomt on-premises, om je gebruikers te helpen betere wachtwoorden te maken.
- Bekijk je wachtwoordbeleid en denk erover om ze zo in te stellen dat ze nooit verlopen, zodat je gebruikers geen seizoenspatronen gebruiken om hun wachtwoorden te maken.
Stap 4: Meer fantastische functies in ADFS en Active Directory
Als je hybride verificatie gebruikt met ADFS en Active Directory, zijn er meer stappen die je kunt zetten om je omgeving te beveiligen tegen wachtwoordsprayaanvallen.
De eerste stap voor organisaties met ADFS 2.0 of Windows Server 2012: maak plannen om zo snel mogelijk over te stappen op ADFS in Windows Server 2016. De nieuwste versie wordt sneller bijgewerkt, met een uitgebreidere set mogelijkheden, zoals extranetblokkering. En vergeet niet: we hebben het heel eenvoudig gemaakt om een upgrade uit te voeren van Windows Server 2012R2 naar 2016.
Verouderde verificatie van het extranet weren
Verouderde-verificatieprotocollen kunnen MFA niet afdwingen, dus het is het beste deze te weren van het extranet. Hierdoor kunnen wachtwoordsprayaanvallers niet profiteren van het gebrek aan MFA van die protocollen.
ADFS Web Application Proxy-extranetvergrendeling activeren
Als je geen extranetvergrendeling hebt geïnstalleerd op de ADFS-web toepassingsproxy, moet je deze zo snel mogelijk inschakelen om je gebruikers te beschermen tegen wachtwoordaanvallen.
Azure AD Connect Health voor ADFS implementeren
Azure AD Connect Health legt IP-adressen vast die in de ADFS-logboeken voor onjuiste gebruikersnaam/wachtwoordaanvragen worden geregistreerd, geeft je aanvullende rapportage over een reeks scenario’s en biedt extra inzicht om engineers te ondersteunen bij het openen van ondersteuningsaanvragen.
Download de nieuwste versie van Azure AD Connect Health Agent voor ADFS op alle ADFS-servers (2.6.491.0). ADFS-servers moeten gebruikmaken van Windows Server 2012 R2 met KB 3134222 geïnstalleerd of Windows Server 2016.
Toegangsmethoden zonder wachtwoord gebruiken
Zonder een wachtwoord kan een wachtwoord niet worden geraden. Deze verificatiemethoden zonder wachtwoord zijn beschikbaar voor ADFS en de Web Application Proxy:
- Met verificatie op basis van certificaten kunnen gebruikersnaam/wachtwoord-eindpunten volledig worden geblokkeerd bij de firewall. Meer informatie over verificatie op basis van certificaten in ADFS
- Zoals hierboven gezegd, kan Azure MFA worden gebruikt als tweede factor bij cloudverificatie en ADFS 2012 R2 en 2016. Maar in ADFS 2016 kan het ook worden gebruikt als primaire factor om de mogelijkheid van wachtwoordsprays volledig te stoppen. Leer hier Azure MFA configureren met ADFS
- Windows Hello voor Bedrijven, beschikbaar in Windows 10 en ondersteund door ADFS in Windows Server 2016, maakt volledig wachtwoordvrije toegang mogelijk, ook vanaf het extranet, op basis van sterke cryptografiesleutels die zijn gekoppeld aan zowel de gebruiker als het apparaat. Dit is beschikbaar voor door bedrijven beheerde apparaten die zijn gekoppeld via Azure AD of Hybride Azure AD, en voor persoonlijke apparaten via ‘Werk- of schoolaccount toevoegen’ met de app Instellingen. Meer informatie over Hello voor Bedrijven.
We raden je aan zo snel mogelijk het volgende te doen:
- Upgraden naar ADFS 2016 voor snellere updates
- Verouderde verificatie van het extranet weren.
- Deploy Azure AD Connect Health-agents voor ADFS implementeren op al je ADFS-servers.
- Overwegen een wachtwoordloze primaire verificatiemethode te gebruiken, zoals Azure MFA, certificaten of Windows Hello voor Bedrijven.
Bonus: je Microsoft-accounts beschermen
Als je een gebruiker met een Microsoft-account bent:
- Goed nieuws: je bent al beschermd! Microsoft-accounts maken ook gebruik van Smart Lockout, IP-blokkering, verificatie in twee stappen op basis van risico, verboden wachtwoorden, en meer.
- Maar neem toch even twee minuten de tijd om naar de Beveiligingspagina van je Microsoft-account te gaan en de optie te kiezen om je beveiligingsgegevens bij te werken, die worden gebruikt voor verificatie in twee stappen op basis van risico
- Je kunt ook hier inschakelen dat je altijd verificatie in twee stappen wilt gebruiken, om je account te voorzien van de best mogelijke beveiliging.
De beste verdediging is… het volgen van de aanbevelingen in deze blogpost
Wachtwoordspray is een serieuze bedreiging voor elke service op het internet die gebruikmaakt van wachtwoorden, maar het nemen van de stappen in deze blogpost geeft je maximale bescherming tegen deze aanvalsvector. En omdat veel soorten aanvallen vergelijkbare kenmerken hebben, zijn dit sowieso goede suggesties om je te beschermen. Jouw veiligheid is altijd onze hoogste prioriteit, en we werken er voortdurend aan nieuwe, geavanceerde beveiligingen tegen wachtwoordspray en alle andere soorten aanvallen te ontwikkelen. Gebruik de hierboven genoemde aanbevelingen vandaag nog, en kom regelmatig terug voor nieuwe tools om je te verdedigen tegen de slechteriken op internet.
Hopelijk heb je wat aan deze informatie. Zoals altijd willen we graag feedback of suggesties ontvangen.
Met vriendelijke groet,
Alex Simons (Twitter: @Alex_A_Simons)
Directeur Programmabeheer
Microsoft Identity Division