Prejsť na hlavný obsah
Microsoft 365
Prihlásiť sa na odber

Najvhodnejšie postupy pre Azure AD a ADFS: Ochrana pred útokmi sprejovania hesla

Od

Dobrý deň, priatelia!

Odkedy existujú heslá, ľudia sa ich snažia uhádnuť. V tomto článku budeme hovoriť o bežnom útoku, ktorý je v poslednej dobe OVEĽA častejší a niekoľkých najvhodnejších postupoch, ako sa proti nemu brániť. Útok sa bežne nazýva sprejovanie hesla.

Pri útoku sprejovaním hesla narušitelia skúšajú najbežnejšie používané heslá na mnohých rôznych kontách a službách, aby získali prístup k akýmkoľvek položkám, ktoré sú chránené heslom. Zvyčajne sa zameriavajú na množstvo rôznorodých organizácií a poskytovateľov identity. Útočník napríklad použije bežne dostupný nástroj, ako Mailsniper, na vyšpecifikovanie všetkých používateľov v niekoľkých organizáciách, a potom skúsia heslo „P@$$w0rd“ a „Password1“ vo všetkých týchto kontách. Skúste si útok predstaviť asi takto:

Cieľový používateľ Cieľové heslo
Používateľ1@org1.com Heslo1
Používateľ2@org1.com Heslo1
Používateľ1@org2.com Heslo1
Používateľ2@org2.com Heslo1
Používateľ1@org1.com P@$$w0rd
Používateľ2@org1.com P@$$w0rd
Používateľ1@org2.com P@$$w0rd
Používateľ2@org2.com P@$$w0rd

Tento vzorec útokov si väčšina detekčných technológií nevšimne, pretože z hľadiska jednotlivého používateľa alebo spoločnosti vyzerá útok ako izolované neúspešné prihlásenie.

Pre útočníkov je to hra s číslami. Vedia, že existujú heslá, ktoré sú veľmi bežné. Hoci tieto najbežnejšie heslá sa nájdu len v 0,5 – 1,0 % kont, útočníci budú niekoľkokrát úspešní pri každej tisícke kont, na ktoré zaútočia. A to im stačí na to, aby boli efektívny.

Kontá používajú na to, aby získali údaje z e-mailov, zozbierali kontaktné informácie a odoslali prepojenia na neoprávnené získavanie údajov, alebo jednoducho na rozšírenie cieľovej skupiny na sprejovania hesla. Útočníkov nezaujíma, kto sú tieto úvodné cieľové obete. Ide im len o to, aby mali nejakú úspešnosť, ktorú môžu ďalej využiť.

Dobrou správou je, že spoločnosť Microsoft má už implementovaných a dostupných mnoho nástrojov na otupenie týchto útokov a ďalšie budú uvedené čoskoro. Čítajte ďalej a zistite, čo môžete urobiť teraz a v nasledujúcich mesiacoch, aby ste zastavili útoky so sprejovaním hesla.

Štyri jednoduché kroky ako prekaziť útoky so sprejovaním hesla

Krok 1: Používanie overenie pomocou cloudu

V cloude vidíme každý deň miliardy prihlásení do systémov spoločnosti Microsoft. Náš algoritmus detekcie zabezpečenia nám umožňuje zistiť a zablokovať útoky v čase, keď k nim dochádza. Keďže ide o zisťovanie v reálnom čase a ochranné systémy sú riadené z cloudu, sú k dispozícii, iba keď sa vykonáva overovanie služby Azure AD v cloud (vrátane prechodného overenie).

Inteligentné uzamknutie (Smart Lockout)

V cloude používame inteligentné uzamknutie na rozlišovanie medzi pokusmi o prihlásenie, ktoré vyzerajú, ako keby ich vykonával platný používateľ a prihláseniami od potenciálneho útočníka. Dokážeme vymknúť útočníka a súčasne povoliť platnému používateľovi pokračovať v používaní konta. Tým sa zamedzí odmietnutiu služby používateľovi a zastavia sa prehnané útoky sprejovania hesiel. Toto sa vzťahuje na všetky prihlásenia do služby Azure AD bez ohľadu na úroveň licencie a na všetky prihlásenia do konta Microsoft.

Nájomníci, ktorí používajú službu Active Directory Federation Services (ADFS), budú môcť používať funkciu Inteligentné uzamknutie (Smart Lockout) natívne v službe ADFS vo Windowse Server 2016 počnúc od marca 2018 – sledujte túto možnosť prostredníctvom Windows Update.

Uzamknutie IP adresy (IP Lockout)

Uzamknutie IP adresy funguje tak, že analyzuje tieto miliardy prihlásení a vyhodnocuje kvalitu návštevnosti z každej IP adresy, ktorá sa dostane do systémov spoločnosti Microsoft. Pomocou tejto analýzy zistí funkcia uzamknutia IP adresy také adresy, ktoré sa správajú škodlivo a zablokuje tieto prihlásenia v reálnom čase.

Simulácie útoku

Simulátor útoku, ktorý je teraz k dispozícii vo verzii verejnej ukážky, je ako súčasť balíka Office 365 Threat Intelligence a umožňuje zákazníkom spustiť simulované útoky na svojich vlastných koncových používateľov, určiť, ako sa používatelia správajú v prípade útoku a aktualizovať politiky a zabezpečiť, že sú do praxe uvedené vhodné bezpečnostné nástroje, ktoré budú chrániť organizáciu pred hrozbami, ako sú napríklad útoky sprejovaním hesiel.

Toto odporúčame vykonať bezodkladne:

  1. Ak používate cloudové overovania, ste krytý
  2. Ak používate ADFS alebo iný hybridný scenár, vyhľadajte inováciu ADFS z marca 2018, kde nájdete Smart Lockout
  3. Použite Simulátor útoku a proaktívne vyhodnoťte svoj stav zabezpečenia a urobte úpravy

Krok 2: Používanie viacfaktorového overovania

Heslo je kľúčom na prístup ku kontu, ale v prípade úspešného útoku sprejovaním hesla sa útočníkovi podarilo uhádnuť správne heslo. Aby sme ich zastavili, musíme použiť niečo viac, než len heslo na rozlíšenie medzi vlastníkom konta a útočníkom. Tri spôsoby ako to urobiť, sú uvedené nižšie.

Viacfaktorové overovanie na základe rizika

Azure AD Identity Protection používa prihlasovacie údaje uvedené vyššie a pridáva pokročilú detekciu na báze strojového učenia a algoritmov a vyhodnotí riziko každého prihlásenia, ktoré príde do systému. To umožňuje podnikovým zákazníkom vytvárať politiky v službe Identity Protection, ktorá vyzve používateľa, aby sa overil aj pomocou druhého faktora iba vtedy, ak sa zistí riziko pre daného používateľa alebo reláciu. Tým sa znižuje zaťaženie vašich používateľov a vkladá sa bariéra do cesty ľuďom so zlými úmyslami. Ďalšie informácie o službe Azure AD Identity Protection nájdete tu.

Viacfaktorové overovanie, ktoré je nepretržite zapnuté

Na zaručenie ešte vyššej úrovne zabezpečenia môžete použiť Azure MFA a vyžadovať viacfaktorové overovanie pre vašich používateľov vždy, a to aj pri overovaní v cloude aj v ADFS. Hoci tento spôsob vyžaduje, aby koncoví používatelia mali vždy pri sebe svoje zariadenia a častejšie vykonávali viacfaktorové overovanie, poskytuje tento spôsob najvyššiu úroveň zabezpečenia pre váš podnik. Toto by malo byť povolené pre každého správcu v organizácii. Zistite viac o viacfaktorovom overovaní v službe Azure tu a o tom ako konfigurovať Azure MFA pre ADFS.

Azure MFA ako primárne overovanie

In ADFS 2016 máte možnosť používať Azure MFA ako primárne overovanie pre overovania bez hesla. Je to skvelý nástroj, ktorý chráni pres útokmi sprejovaním hesla a krádežou hesla: ak neexistuje heslo, nie je možné ho uhádnuť. Funguje to skvele pre všetky typy zariadení s rôznymi faktormi formulára. Okrem toho môžete teraz použiť heslo ako druhý faktor až potom, ako bolo overené vaše OTP pomocou Azure MFA. Ďalšie informácie o používaní hesla ako druhého faktora nájdete tu.

Toto odporúčame vykonať bezodkladne:

  1. Dôrazne odporúčame povoliť nepretržité viacfaktorové overovanie pre všetkých správcov vo vašej organizácii, najmä vlastníkov predplatného a správcov nájomníkov. Ale vážne, urobte to hneď teraz.
  2. Na dosiahnutie najlepších výsledkov pre ostatných používateľov odporúčame viacfaktorové overovanie na základe vyhodnotenia rizika, ktoré je k dispozícii s licenciami služby Azure AD Premium P2.
  3. V opačnom prípade použite Azure MFA pre cloudové overovanie a ADFS.
  4. V ADFS vykonajte inováciu na ADFS na Windows Server 2016 a používajte Azure MFA ako primárne overovanie, hlavne pre všetky extranetové prístupy.

Krok 3: Lepšie heslá pre všetkých používateľov

Aj keď sa použijú všetky vyššie uvedené kroky, kľúčovým prvkom ochrany pred útokmi so sprejovaním hesla je, aby všetci používatelia mali heslá, ktoré sa ťažko uhádnu. Pre používateľov je často náročné zistiť, ako si vytvoriť heslá, ktoré sa ťažko uhádnu. Microsoft vám v tom pomôže pomocou týchto nástrojov.

Zakázané heslá

V službe Azure AD prejde každá zmena a obnovenie hesla cez kontrolu zakázaných hesiel. Po odoslaní nového hesla sa vykoná jeho približné porovnanie so zoznamom slov, ktoré by nikto nikdy nemal mať vo svojom hesle (a nepomôže ani zápis ako l33t-sp3@k). Keď sa nájde zhoda, heslo sa zamietne a zobrazí sa výzva, aby používateľ vybral heslo, ktoré je ťažšie uhádnuť. Budujeme zoznam najčastejšie napadnutých hesiel a často ho aktualizujeme.

Vlastné zakázané heslá

Aby sme zakázané heslá ešte vylepšili, povolíme nájomníkom prispôsobiť si svoje zoznamy zakázaných hesiel. Správcovia môžu vybrať slová, ktoré sú bežné v ich organizácii, ako napríklad známi zamestnanci a zakladatelia, produkty, lokality, regionálne ikony atď, a zabrániť, aby ich používatelia používali vo svojich heslách. Tento zoznam sa bude vynucovať spolu s globálnym zoznamom, takže nebude potrebné vybrať jeden alebo druhý. Zatiaľ je to len v režime obmedzenej ukážky a bude sa nasadzovať tento rok.

Zakázané heslá pre lokálne zmeny

Túto jar spúšťame nástroj, ktorý umožní podnikovým správcom zakázať heslá v hybridných prostrediach služby Azure AD – Active Directory. Zoznamy zakázaných hesiel sa budú synchronizovať z cloudu do vášho lokálneho prostredia a budú sa vynucovať v každom radiči domény s agentom. To pomôže správcom zabezpečiť, že heslá používateľov bude ťažšie uhádnuť bez ohľadu na to, kde si používateľ zmení svoje heslo, či v cloude alebo lokálne. Toto bolo spustené v režime obmedzenej súkromnej ukážky vo februári 2018 do praxe to pôjde tento rok.

Zmena myslenia vo vzťahu k heslám

Mnoho bežných predstáv o tom, čo je dobré heslo, je nesprávnych. Zvyčajne niečo, čo by vám malo pomôcť matematicky, má v skutočnosti za následok predvídateľné správanie používateľa: napríklad, ak sa vyžadujú určité typy znakov a pravidelné zmeny hesla, výsledkom sú špecifické vzorce hesiel. Prečítajte si našu dokumentáciu o heslách, kde nájdete podstatne viac podrobností. Ak používate služby Active Directory s PTA alebo ADFS, aktualizujte svoje politiky týkajúce sa hesiel. Ak používate kontá spravované v cloude, zvážte nastavenie neobmedzenej platnosti hesla.

Toto odporúčame vykonať bezodkladne:

  1. Po vydaní si nainštalujte lokálne nástroj na zakázané heslá spoločnosti Microsoft, ktorý pomôže vašim používateľom vytvárať lepšie heslá.
  2. Skontrolujte svoje politiky vytvárania hesiel a zvážte nastavenie ich neobmedzenej platnosti, aby vaši používatelia nepoužívali sezónne vzory na vytváranie svojich hesiel.

Krok 4: Ďalšie skvelé funkcie v službe ADFS a Active Directory

Ak používate hybridné overovania s ADFS a Active Directory, existujú ďalšie kroky, ktoré môžete vykonať na zabezpečenie vášho prostredia pred útokmi sprejovania hesla.

Prvý krok: pre organizácie používajúce ADFS 2.0 alebo Windows Server 2012 naplánujte čo najskôr presun na službu ADFS v systéme Windows Server 2016. Najnovšia verzia sa bude rýchlejšie aktualizovať so širšou škálou možností, ako je napríklad extranetové uzamknutie. A nezabudnite: výrazne sme uľahčili inováciu z Windows Servera 2012R2 na 2016.

Blokovanie staršieho overovania z Extranetu

Staršie overovacie protokoly nemajú schopnosť vynucovať MFA (viacfaktorové overovanie), takže najlepším spôsobom je zablokovať ich z extranetu. Toto zabráni útočníkom, ktorí sa snažia vykonať útok sprejovaním hesla zneužiť neprítomnosť viacfaktorového overenia v týchto protokoloch.

Povolenie uzamknutia extranetu proxy webovej aplikácie ADFS

Ak nemáte zavedené uzamknutie extranetu na proxy serveri webovej aplikácie ADFS, mali by ste to čo najskôr povoliť, aby ste ochránili používateľov pred potenciálnym narušením hesla hrubou silou.

Nasadenie služby Azure AD Connect Health pre ADFS

Azure AD Connect Health zaznamenáva IP adresy, ktoré sú zaznamenané v denníkoch ADFS pre požiadavky nesprávneho mena používateľa a hesla, poskytuje ďalšie správy o širokej škále scenárov a poskytuje ďalšie podrobné prehľady na podporu inžinierov pri otváraní prípadov technickej podpory s asistenciou.

Ak chcete túto službu nasadiť, stiahnite si najnovšiu verziu služby Azure AD Connect Health Agent pre ADFS na všetkých serveroch ADFS (2.6.491.0). Na serveroch ADFS musí byť spustený Windows Server 2012 R2 s nainštalovanou bázou znalostí KB 3134222 alebo Windows Server 2016.

Používanie metód prístupu, ktoré nie sú založené na heslách

Ak heslo neexistuje, nie je možné ho uhádnuť. Tieto metódy overovania, ktoré nie sú založené na heslách, sú k dispozícii pre ADFS a Proxy webovej aplikácie:

  1. Overenie na základe certifikátu umožňuje, aby sa koncové body používateľského mena a hesla úplne zablokovali na úrovni brány firewall. Ďalšie informácie o overovaní na základe certifikátu v ADFS
  2. Službu Azure MFA, ako bolo uvedené vyššie, je možné použiť ako druhý faktor v overovaní v cloude a v ADFS 2012 R2 a 2016. Môže sa tiež použiť ako primárny faktor v ADFS 2016 na úplné zastavenie možnosti sprejovania hesiel. Ďalšie informácie ako nakonfigurovať A MFA s ADFS nájdete tu
  3. Funkcia Windows Hello for Business, ktorá je k dispozícii vo Windowse 10 a podporovaná v ADFS vo Windows Server 2016, umožňuje prístup úplne bez hesla, vrátane extranetového prístupu, na základe silných kryptografických kľúčov, ktoré sú viazané na používateľa aj na zariadenie. Je k dispozícii pre zariadenia spravované korporáciou, ktoré sú pripojené k Azure AD alebo k Hybrid Azure AD, ako aj pre osobné zariadenia cez funkciu „Pridať pracovné alebo školské konto“ z aplikácie Nastavenia. Získajte ďalšie informácie o funkcii Hello for Business.

Toto odporúčame vykonať bezodkladne:

  1. Inovácia na ADFS 2016 pre rýchlejšie aktualizácie
  2. Blokovanie staršieho overovania z extranetu.
  3. Nasaďte agentov služby Azure AD Connect Health pre ADFS na všetkých serveroch ADFS.
  4. Zvážte použitie primárny spôsob overovania, ktorý nevyžaduje heslo, ako sú napríklad certifikáty Azure MFA alebo Windows Hello for Business.

Bonus: Ochrana kont Microsoft

Ak ste používateľ konta Microsoft:

  • Skvelá správa. Už ste chránení! Kontá Microsoft majú tiež funkciu Smart Lockout (inteligentné uzamknutie), uzamknutie IP, dvojstupňové overenie na základe rizika, zakázané heslá a iné funkcie.
  • Vyhraďte si však dve minúty a prejdite na stránku Zabezpečenie konta Microsoft a vyberte položku „Aktualizovať bezpečnostné informácie“, kde si môžete skontrolovať informácie o zabezpečení použité pre dvojstupňové overenie na základe rizika
  • Zvážte zapnutie nepretržitého dvojstupňového overenia tu, čo zaručí vášmu kontu najvyššie možné zabezpečenie.

Najlepšou ochranu je… dodržiavať odporúčania na tomto blogu

Sprejovanie hesla je veľká hrozba pre každú službu na internete, ktorá používa heslá, ale pomocou krokov v tomto blogu získate maximálnu ochranu pred týmto spôsobom útoku. A keďže mnohé typy útokov majú podobné znaky, toto sú jednoducho dobré ochranné opatrenia. Bodka. Vaša bezpečnosť je vždy našou najvyššou prioritou a neustále usilovne pracujeme na vytvorení novej a pokročilej ochrany proti sprejovaniu hesiel a proti akýmkoľvek iným typom útokov, ktoré sa môžu vyskytnúť. Odporúčania uvedené vyššie použite ešte dnes a často sa sem vracajte, pretože tu nájdete nové nástroje na ochranu pred narušiteľmi, ktorí číhajú na internete.

Dúfam, že tieto informácie budú pre vás užitočné. Ako vždy platí, že sa budeme tešiť na všetky vaše pripomienky alebo návrhy.

S pozdravom

Alex Simons (Twitter: @Alex_A_Simons)

Riaditeľ pre spravovanie programov

Divízia identity spoločnosti Microsoft

Súvisiace príspevky