Перейти к основному контенту
Microsoft 365
Подписаться

Лучшие рекомендации по Azure AD и ADFS: защита от атак путем распыления пароля

Около

Приветствую всех!

С тех пор как люди начали использовать пароли, злоумышленники не оставляют попыток их разгадать. В этой статье я хочу поговорить об одной распространенной атаке, которая в последнее время стала применяться ГОРАЗДО чаще, и о том, как от нее защититься. Я имею в виду атаку путем распыления пароля.

Что это такое? Во время такой атаки злоумышленники пробуют наиболее распространенные пароли, используя множество различных учетных записей и служб, чтобы получить доступ к какому-нибудь из защищенных ресурсов. Обычно такая атака затрагивает сразу много разных организаций и поставщиков удостоверений. Например, злоумышленник использует общедоступный инструментарий, такой как Mailsniper, чтобы составить список всех пользователей из интересующих его организаций, а затем пробует пароли P@$$w0rd и Password1 для каждой из этих учетных записей. Более наглядно эту атаку можно представить так:

Целевой пользователь Целевой пароль
Пользователь1@орг1.com Password1
Пользователь2@орг1.com Password1
Пользователь1@орг2.com Password1
Пользователь2@орг2.com Password1
Пользователь1@орг1.com P@$$w0rd
Пользователь2@орг1.com P@$$w0rd
Пользователь1@орг2.com P@$$w0rd
Пользователь2@орг2.com P@$$w0rd

Этот шаблон позволяет обойти большинство механизмов обнаружения, потому что с точки зрения отдельного пользователя или компании такая атака выглядит просто как отдельная неудачная попытка входа.

Для атакующих же это простая лотерея, ведь кто-то из сотрудников организаций наверняка использует самые распространенные пароли. Даже если уязвимыми оказываются всего 0,5–1 % учетных записей, нескольких успешных попыток из тысячи вполне достаточно, чтобы считать атаку эффективной.

Взломанные учетные записи используются для доступа к данным электронной почты, сбора информации о контактах, отправки фишинговых ссылок или просто для расширения целевой группы атаки путем распыления пароля. При этом практически не важно, на кого изначально была направлена атака. Ее цель — найти хотя бы одну лазейку, которой можно воспользоваться.

Однако есть и хорошие новости. Корпорация Майкрософт уже предлагает много инструментов для противодействия таким атакам и вскоре выпустит дополнительные средства. Давайте же разберемся, что можно сделать сейчас, чтобы предотвратить атаки путем распыления пароля, и какие еще полезные возможности мы получим в ближайшие месяцы.

Четыре простых шага для противодействия атакам путем распыления пароля

Шаг 1. Используйте проверку подлинности в облаке

Ежедневно в облаке регистрируются миллиарды попыток входа в системы Майкрософт. Алгоритмы обнаружения, реализованные в наших системах безопасности, позволяют выявлять и предотвращать атаки в режиме реального времени. Управление этими системами осуществляется из облака, поэтому для доступа к ним необходима аутентификация Azure AD в облаке (в том числе сквозная проверка подлинности).

Интеллектуальная блокировка

Мы используем интеллектуальную блокировку в облаке, чтобы отличить попытки входа со стороны действительных пользователей от возможных атак. И мы можем заблокировать злоумышленника, тогда как действительный пользователь будет по-прежнему спокойно пользоваться своей учетной записью. Это позволяет избегать отказов в обслуживании пользователей и сдерживать любителей атак путем распыления пароля. Эти функции работают при любых попытках входа в Azure AD независимо от уровня лицензии и при всех попытках входа в учетные записи Майкрософт.

С марта 2018 г. клиенты со службами федерации Active Directory (AD FS) смогут использовать интеллектуальную блокировку прямо в ADFS на базе Windows Server 2016. Эта возможность будет предоставляться через Центр обновления Windows.

Блокировка IP-адреса

Блокировка IP-адреса работает следующим образом: выполняется анализ миллиардов попыток входа и оценивается качество трафика от каждого IP-адреса, подключающегося к системам Майкрософт. Благодаря этому анализу обнаруживаются IP-адреса с подозрительной активностью, и попытки входа с них блокируются в режиме реального времени.

Эмуляторы атак

Эмулятор атак, который сейчас предоставляется в виде общедоступной предварительной версии, входит в состав Office 365 Threat Intelligence и позволяет организациям имитировать атаки на собственных конечных пользователей. Это дает возможность изучить поведение пользователей при атаке, обновить политики и убедиться, что используются надлежащие средства безопасности, действительно способные защитить организацию от таких угроз, как атаки путем распыления пароля.

Рекомендации на ближайшее будущее

  1. Если вы используете проверку подлинности в облаке, то вы защищены.
  2. Если вы пользуетесь ADFS или другим гибридным сценарием, примените обновление ADFS, выпущенное в марте 2018 г., чтобы добавить функцию интеллектуальной блокировки.
  3. Используйте эмулятор атак, чтобы заблаговременно оценить надежность вашей системы безопасности и внести необходимые корректировки.

Шаг 2. Применяйте многофакторную проверку подлинности

Пароль открывает доступ к учетной записи, и успех атаки путем распыления пароля зависит от того, удастся ли взломщикам его подобрать. Чтобы их остановить и отличить истинного владельца учетной записи от злоумышленника, требуется нечто большее, чем просто пароль, поэтому мы предлагаем следующие три способа.

Многофакторная проверка подлинности на базе оценки риска

Защита идентификации Azure AD использует упомянутые выше данные входа в сочетании с передовыми функциями машинного обучения и обнаружения на базе алгоритмов, чтобы оценить степень риска для каждой попытки входа в систему. Благодаря этому корпоративные клиенты могут создать в службе «Защита идентификации» свои политики, чтобы предлагать пользователю пройти проверку по второму фактору, но только в том случае, если система обнаружила риск для пользователя или сеанса. Это позволяет не беспокоить пользователей по пустякам и вместе с тем ставит барьер на пути злоумышленников. Ознакомьтесь с подробными сведениями о Защите идентификации Azure AD.

Постоянная многофакторная проверка подлинности

Для усиления безопасности можно использовать Azure MFA, чтобы вынуждать пользователей постоянно проходить многофакторную аутентификацию как в облаке, так и при использовании ADFS. Поскольку из-за этого сотрудникам придется всегда пользоваться своими устройствами и чаще проходить многофакторную проверку подлинности, предприятию будет обеспечен самый высокий уровень безопасности. Эта система мер должна быть реализована для каждого администратора в организации. См. подробные сведения о Многофакторной идентификации Azure и о настройке Azure MFA для ADFS.

Azure MFA как основное средство проверки подлинности

В ADFS 2016 можно использовать Azure MFA как основное средство проверки пользователя без пароля. Это отличное средство защиты от атак, нацеленных на распыление или кражу паролей: если нет пароля, то и угадывать нечего. Эта система хорошо зарекомендовала себя для всех типов устройств различных форм-факторов. Кроме того, теперь пароли можно использовать в качестве второго фактора проверки подлинности и только после того, как одноразовый пароль прошел проверку Azure MFA. См. подробные сведения об использовании паролей в качестве второго фактора проверки подлинности.

Рекомендации на ближайшее будущее

  1. Настоятельно рекомендуем включить постоянную многофакторную проверку подлинности для всех администраторов организации, особенно для владельцев подписок и администраторов клиентов. И сделать это нужно прямо сейчас.
  2. Для удобства остальных ваших пользователей рекомендуем внедрить многофакторную проверку подлинности на базе оценки рисков. Она доступна в рамках лицензий Azure AD Premium (план 2).
  3. В противном случае используйте Azure MFA для проверки подлинности в облаке и ADFS.
  4. В ADFS: выполните обновление до ADFS на базе Windows Server 2016, чтобы использовать Azure MFA как основное средство проверки подлинности, особенно для всех пользователей из экстрасети, которым нужен доступ к вашей системе.

Шаг 3. Повысьте надежность паролей пользователей

Даже если вы выполните все приведенные выше рекомендации, вам все еще нужен будет ключевой компонент защиты от атак путем распыления пароля: буквально все ваши пользователи должны иметь пароли, которые практически невозможно угадать. Чаще всего пользователям трудно придумывать сложные пароли, поэтому рекомендуем воспользоваться следующими средствами Майкрософт.

Запрещенные пароли

Все процедуры изменения и сброса пароля в Azure AD отслеживает средство проверки запрещенных паролей. Введенный пользователем новый пароль проверяется на частичное соответствие записям из списка слов, которые никто и никогда не должен использовать в качестве пароля (замена символов по принципу l33t-sp3@k вместо leet-speak тоже не сработает). Если обнаруживается соответствие, пароль отклоняется и пользователю предлагается ввести более надежный пароль. Мы составили список паролей, которые чаще всего проверяются при вредоносных атаках, и регулярно его обновляем.

Собственные запрещенные пароли

Чтобы система проверки запрещенных паролей работала еще лучше, мы позволяем клиентам настраивать свои списки запрещенных паролей. Администраторы могут подобрать список слов, которые часто используются в их организации (фамилии известных сотрудников и основателей компании, названия продуктов, географические наименования, имена местных знаменитостей и т. п.) и запретить использовать их в паролях. Этот список будет применяться в дополнение к глобальному перечню, так что выбирать один из них не потребуется. Сейчас эта возможность доступна в виде ограниченной предварительной версии, и мы будем предоставлять доступ к ней постепенно в течение этого года.

Запрещенные пароли при настройке паролей в локальной среде

Этой весной мы запускаем средство, которое позволит администраторам предприятий запрещать определенные пароли в гибридных средах Azure AD — Active Directory. Списки паролей, запрещенных в облаке, будут синхронизироваться с локальной средой и с помощью агента применяться в каждом контроллере домена. Это поможет администраторам повысить надежность паролей независимо от того, в какой среде пользователь их меняет: в облачной или локальной. Эта функция выйдет в виде ограниченной закрытой предварительной версии в феврале 2018 г. и в течение этого года станет общедоступной.

Изменение взгляда на пароли

Многие распространенные представления о действительно надежном пароле в корне ошибочны. Применение методов, которые теоретически должны усилить защиту, нередко приводит к тому, что действия пользователей становятся более предсказуемыми: принудительное использование определенных символов и периодическая смена паролей формируют определенный поведенческий шаблон. Подробные сведения см. в нашем руководстве по паролям. Если вы используете Active Directory с PTA или ADFS, обновите политики паролей. Если вы используете учетные записи, управляемые из облака, рассмотрите возможность сделать срок действия паролей неограниченным.

Рекомендации на ближайшее будущее

  1. Установите в своей локальной среде средство Майкрософт для проверки запрещенных паролей, как только оно появится. Это поможет вашим пользователям создавать более надежные пароли.
  2. Проанализируйте политики паролей и рассмотрите возможность сделать срок действия паролей неограниченным, чтобы сотрудники не пользовались привычными шаблонами при их создании.

Шаг 4. Воспользуйтесь другими отличными возможностями в ADFS и Active Directory

Если вы используете гибридную проверку подлинности с ADFS и Active Directory, то можете сделать еще кое-что, чтобы обезопасить свою среду от атак путем распыления пароля.

Прежде всего, если в организации используется ADFS 2.0 или Windows Server 2012, как можно быстрее спланируйте переход на ADFS на базе Windows Server 2016. Последняя версия будет обновляться быстрее, и вы получите более широкий набор возможностей, включая блокировку экстрасети. И помните: в переходе с Windows Server 2012 R2 на 2016 нет абсолютно ничего сложного.

Блокировка устаревших протоколов проверки подлинности для экстрасети

Устаревшие протоколы проверки подлинности не рассчитаны на применение MFA, поэтому лучше всего заблокировать их для экстрасети. Это не позволит злоумышленникам, которые проводят атаку путем распыления пароля, воспользоваться отсутствием MFA в этих протоколах.

Активация блокировки экстрасети через прокси-службу веб-приложения ADFS

Если вы еще не пользуетесь блокировкой экстрасети в прокси-службе веб-приложения ADFS, рекомендуем включить ее как можно быстрее, чтобы защитить пользователей от потенциальной компрометации паролей методом подбора.

Развертывание Azure AD Connect Health для ADFS

Azure AD Connect Health регистрирует IP-адреса, записанные в журналах ADFS с пометкой «неверное имя пользователя или пароль», и предоставляет дополнительные отчеты о массиве сценариев, а также расширенные данные в помощь инженерам, которые работают с запросами клиентов на поддержку.

Чтобы развернуть это расширение, скачайте последнюю версию агента Azure AD Connect Health для ADFS на все серверы ADFS (2.6.491.0). На серверах ADFS должна работать ОС Windows Server 2012 R2 с установленным обновлением KB 3134222 или Windows Server 2016.

Использование методов доступа без пароля

Если пароля нет, то и угадывать нечего. Для ADFS и прокси-службы веб-приложения доступны следующие методы проверки подлинности без пароля:

  1. Проверка подлинности на основе сертификатов позволяет полностью блокировать конечные точки, с которых вводятся имя пользователя и пароль, на уровне брандмауэра. См. подробные сведения о проверке подлинности на основе сертификатов в ADFS.
  2. Azure MFA, как упоминалось выше, можно использовать в качестве второго фактора при проверке подлинности в облаке или в ADFS 2012 R2 и 2016. Но эту службу также можно использовать в качестве первого фактора в ADFS 2016, чтобы гарантировано предотвратить любую возможность распыления пароля. Прочитайте о том, как настроить Azure MFA с ADFS.
  3. Функция Windows Hello для бизнеса, которая доступна в Windows 10 и поддерживается в ADFS на базе Windows Server 2016, обеспечивает доступ без паролей, в том числе из экстрасети, который основывается на надежных криптографических ключах, связанных как с пользователем, так и с устройством. Эта возможность доступна для устройств, которыми управляет организация, присоединенных к Azure AD или гибридной среде Azure AD, а также для личных устройств (в приложении «Параметры» нужно выбрать «Добавить рабочую или учебную учетную запись»). Ознакомьтесь с подробными сведениями о Windows Hello для бизнеса.

Рекомендации на ближайшее будущее

  1. Выполните обновление до ADFS 2016, чтобы быстрее получать обновления.
  2. Заблокируйте устаревшие протоколы проверки подлинности для экстрасети.
  3. Разверните агенты Azure AD Connect Health для ADFS на всех серверах ADFS.
  4. Выберите в качестве основного метода проверку подлинности без паролей, например Azure MFA, сертификаты или Windows Hello для бизнеса.

Полезное дополнение: защита учетных записей Майкрософт

Если вы используете учетную запись Майкрософт:

  • У меня есть отличная новость: вы уже защищены. Для учетных записей Майкрософт также действуют интеллектуальная блокировка, блокировка IP-адресов, двухфакторная проверка подлинности на основе оценки рисков, запрещенные пароли и многое другое.
  • Не пожалейте двух минут и зайдите на страницу Безопасность своей учетной записи Майкрософт. В разделе «Обновление сведений о безопасности» выберите «Обновить данные», чтобы проверить сведения, которые используются для двухфакторной проверки подлинности на базе оценки рисков.
  • Подумайте, возможно, вам имеет смысл включить постоянную двухфакторную проверку подлинности здесь, чтобы сделать свою учетную запись как можно более защищенной.

Лучшая защита — это выполнение рекомендаций из нашего блога

Атака путем распыления пароля — серьезная угроза для любой Интернет-службы, которая использует пароли, но если вы последуете нашим рекомендациям, то сможете обеспечить себе максимальную защиту от таких атак. А если учесть, что многие виды атак имеют схожие черты, то эти рекомендации положительно скажутся на вашей безопасности в целом. Ваша безопасность — наш неизменный и важнейший приоритет, мы усердно работаем над новыми, прогрессивными средствами защиты от атак путем распыления пароля и прочих видов угроз. Используйте рекомендации из этой статьи уже сегодня и почаще заглядывайте в блог, чтобы узнавать о новых средствах защиты от злоумышленников, которые подстерегают вас в Интернете.

Надеюсь, эта статья будет вам полезна. Как всегда, мы будем рады вашим отзывам и предложениям.

С наилучшими пожеланиями,

Алекс Саймонс (Alex Simons), Twitter:@Alex_A_Simons

Директор по управлению программами

Подразделение идентификации Майкрософт

Публикации по теме