Ana içeriğe atla
Microsoft 365
Abone olun

Azure AD ve ADFS için en iyi yöntemler: Parola spreyi saldırılarına karşı korunma

Tarafından

Herkese merhaba,

İnsanlar parola kullanmaya başladığından beri başkaları da bu parolaları tahmin etmeye çalışmıştır. Bu blog yazısında son zamanlarda ÇOK daha yaygın bir hal alan, bilinen bir saldırı türünden ve bu saldırılara karşı korunmak için yararlanabileceğiniz en iyi yöntemlerden bahsedeceğiz. Bu saldırılar genellikle parola spreyi olarak bilinir.

Parola spreyi saldırılarında kötü amaçlı kişiler, en yaygın kullanılan parolaları birçok farklı hesap ve hizmette deneyerek bulabildikleri tüm parola korumalı varlıklara erişim elde etmeye çalışır. Bu saldırılar çoğu zaman birçok farklı kurumu ve kimlik sağlayıcısını kapsar. Örneğin, Mailsniper gibi kolayca bulunabilen bir araç setinden yararlanan bir saldırgan çeşitli kurumlarda yer alan tüm kullanıcıları sıralayıp bu hesaplarda “P@r01a” ve “Parola1” parolalarını deneyebilir. Bir fikir vermesi açısından, saldırı aşağıdaki gibi görünebilir:

Hedef Kullanıcı Hedef Parola
Kullanici1@kurulus1.com Parola1
Kullanici2@kurulus1.com Parola1
Kullanici1@kurulus2.com Parola1
Kullanici2@kurulus2.com Parola1
Kullanici1@kurulus1.com P@r01a
Kullanici2@kurulus1.com P@r01a
Kullanici1@kurulus2.com P@r01a
Kullanici2@kurulus2.com P@r01a

Bu saldırı kalıbı çoğu algılama tekniği tarafından tespit edilemez çünkü tek bir kullanıcı veya şirket açısından bakıldığında saldırı, başarısız olmuş tek başına bir oturum açma denemesine benzemektedir.

Saldırganlar için bu iş basit bir istatistik hesabıdır: Oldukça yaygın olarak kullanılan bazı parolalar olduğunun farkındadırlar. Bu en yaygın parolalar tüm hesapların ancak %0,5-1,0 gibi ufak bir bölümünde kullanılsa da saldırgan saldırdığı her binlerce hesapta birkaç tane başarı elde eder. Bu da etkili olması için yeterlidir.

Saldırganlar bu hesapları kullanarak e-postalardan veri edinir, kişilere ait iletişim bilgileri toplar, kimlik avı bağlantıları gönderir veya parola spreyi saldırısının hedef kitlesini büyütür. Bu ilk hedeflerin kim olduğu saldırganlar için çok da önemli değildir. Tek istedikleri saldırılarını ilerletmek için kullanabilecekleri bir miktar başarı elde etmektir.

Size verebileceğimiz iyi haber, Microsoft’un bu saldırıların önünü kesmek için uygulayıp kullanıma sunduğu çeşitli araçlar olduğu ve yakında bunlara yeni araçların ekleneceğidir. Parola spreyi saldırılarını durdurmak üzere şu anda ve önümüzdeki aylarda neler yapabileceğinizi öğrenmek için bu yazıyı okumaya devam edin.

Dört kolay adımda parola spreyi saldırılarının önünü kesme

1. Adım: Bulut kimlik doğrulaması kullanma

Bulutta her gün milyarlarca kez Microsoft sistemlerinde oturum açılıyor. Güvenlik algılaması algoritmalarımız saldırıları gerçek zamanlı olarak algılayıp engellememize olanak tanıyor. Bu gerçek zamanlı algılama ve koruma sistemleri buluttan çalıştırıldıkları için yalnızca bulutta Azure AD kimlik doğrulaması (Geçişli Kimlik Doğrulaması dahil) ile kullanılabilmektedir.

Akıllı Kilitleme

Akıllı Kilitleme, bulutta geçerli kullanıcıdan gibi görünen oturum açma denemeleri ile bir saldırgandan geliyor olabilecek oturum açma denemelerini birbirinden ayırt etmek için kullanılır. Geçerli kullanıcının hesabını kullanmasına izin verirken saldırganın hesaba erişimini kilitleyebiliriz. Böylece kullanıcının hizmet reddiyle karşılaşması önlenir ve çok agresif parola spreyi saldırıları durdurulur. Bu özellik, lisans düzeyi fark etmeksizin tüm Azure AD oturum açma işlemlerine ve tüm Microsoft hesabı oturum açma işlemlerine uygulanır.

Active Directory Federasyon Hizmetleri (ADFS) kullanan kiracılar Akıllı Kilitleme özelliğini Mart 2018’den itibaren Windows Server 2016’daki ADFS’de yerel olarak kullanabilir. Bu özellik Windows Update aracılığıyla sunulacaktır.

IP Kilitleme

IP kilitleme, milyarlarca oturum açma işlemini analiz ederek Microsoft’un sistemlerine her bir IP adresinden gelen trafiğin kalitesini değerlendirir. IP kilitleme özelliği bu analiz sonucunda kötü amaçlar doğrultusunda hareket eden IP adreslerini tespit eder ve bu adreslerden gelen oturum açma denemelerini gerçek zamanlı olarak engeller.

Saldırı Simülasyonları

Office 365 Tehdit Bilgileri’nin bir parçası olarak genel önizleme aşamasında sunulmuş olan Saldırı Simülatörü, müşterilerin kendi son kullanıcılarına yönelik saldırı simülasyonları yaparak kullanıcıların saldırı halinde nasıl davrandıklarını belirlemesine ve parola spreyi saldırıları gibi tehditlerden kurumlarını korumak için ilkelerini güncelleyip uygun güvenlik araçlarının kullanılmasını sağlamasına olanak tanır.

En kısa sürede yapmanızı önerdiklerimiz:

  1. Bulut kimlik doğrulaması kullanıyorsanız güvenliğiniz sağlanmıştır
  2. ADFS veya başka bir hibrit senaryo kullanıyorsanız Mart 2018’de Akıllı Kilitleme için sunulacak olan ADFS yükseltmesinden yararlanın
  3. Saldırı Simülatörü ile güvenlik duruşunuzu proaktif bir şekilde değerlendirip ayarlamalar yapın

2. Adım: Çok faktörlü kimlik doğrulaması kullanma

Bir hesaba ulaşmanın anahtarı paroladır, ancak başarılı bir parola spreyi saldırısı gerçekleştirildiğinde saldırgan doğru parolayı tahmin etmiş olur. Böyle saldırıları önlemek istiyorsak hesabın sahibi ile saldırganı birbirinden ayırmak için paroladan fazlasına ihtiyaç vardır. Bunu yapmanın üç yolu aşağıda sunulmuştur.

Risk tabanlı çok faktörlü kimlik doğrulaması

Azure AD Kimlik Koruması, yukarıda bahsedilen oturum açma verilerini kullanarak ve buna gelişmiş makine öğrenimi ve algoritmaya dayalı algılama tekniklerini ekleyerek sisteme gelen her oturum açma denemesine bir risk puanı verir. Böylece, kurumsal müşteriler Kimlik Koruması’nda sadece kullanıcı veya oturumla ilgili bir risk algılandığında kullanıcıdan ikinci bir faktör kullanarak kimliğini doğrulamasını isteyen ilkeler oluşturabilir. Bu sayede kullanıcılarınızın yükü azalır ve kötü amaçlı kişilerin önüne bir engel konur. Buradan Azure AD Kimlik Koruması hakkında daha fazla bilgi edinebilirsiniz.

Her zaman açık çok faktörlü kimlik doğrulaması

Daha da fazla güvenlik elde etmek için, Azure MFA’yı kullanarak kullanıcıların bulut kimlik doğrulamasında ve ADFS’de her zaman çok faktörlü kimlik doğrulaması yapmasını gerekli kılabilirsiniz. Bu yaklaşım, son kullanıcıların cihazlarını her zaman yanlarında bulundurmasını ve daha sık bir şekilde çok faktörlü kimlik doğrulaması yapmasını gerektirir, ancak kurumunuz açısından güvenliği en üst düzeye taşıyan seçenektir. Bu özellik kurumdaki tüm yöneticiler için etkin olmalıdır. Azure Multi-Factor Authentication ve Azure MFA’yı ADFS için yapılandırma hakkında daha fazla bilgi edinin.

Birincil kimlik doğrulaması olarak Azure MFA

ADFS 2016’da parolasız kimlik doğrulaması için Azure MFA’yı birincil kimlik doğrulama yöntemi olarak kullanma olanağı sunulmaktadır. Böyle bir yaklaşım parola spreyi ve parola hırsızlığı saldırılarına karşı mükemmel bir araçtır: Parolanız yoksa kimse parolanızı tahmin edemez. Farklı form faktörlerine sahip her tür cihazla da harika çalışır. Üstelik, parolayı ikinci faktör olarak kullanabilmek için artık önce OTP’nin Azure MFA’da doğrulanması gerekir. Buradan parolayı ikinci faktör olarak kullanma hakkında daha fazla bilgi edinebilirsiniz.

En kısa sürede yapmanızı önerdiklerimiz:

  1. Kurumunuzdaki tüm yöneticiler, özellikle abonelik sahipleri ve kiracı yöneticileri için her zaman açık çok faktörlü kimlik doğrulamasını etkinleştirmenizi önemle öneririz. Bunu gerçekten hemen yapmalısınız.
  2. Kullanıcılarınızın geri kalanına en iyi deneyimi sunmak için Azure AD Premium P2 lisansları ile kullanılabilen risk tabanlı çok faktörlü kimlik doğrulamasını öneririz.
  3. Aksi halde, bulut kimlik doğrulamasında ve ADFS’de Azure MFA’yı kullanın.
  4. ADFS için, Windows Server 2016’da ADFS’ye yükseltme yaparak Azure MFA’yı birincil kimlik doğrulaması olarak (özellikle extranet erişimi için) kullanın.

3. Adım: Herkes için daha iyi parolalar

Yukarıda bahsettiğimiz tüm yöntemlere rağmen, parola spreyi saldırılarına karşı korunmanın en önemli parçalarından biri tüm kullanıcıların tahmin edilmesi zor parolalar kullanmasıdır. Kullanıcılar genellikle tahmin edilmesi zor bir parolayı nasıl oluşturacaklarını bilmez. Microsoft, aşağıdaki araçlarla bu işi çözmenize yardımcı olur.

Yasaklı parolalar

Azure AD’de her parola değiştirme ve sıfırlama işlemi bir yasaklı parola denetleyicisinden geçer. Yeni bir parola gönderildiğinde bu parolaya hiç kimsenin asla parolasına koymaması gereken sözcüklerin listesiyle benzer öğe eşleştirmesi uygulanır (harf yerine sembol veya rakam kullanma gibi yöntemlerle bilerek yanlış yazılan sözcükler de tespit edilir). Bir eşleşme varsa parola reddedilir ve kullanıcıdan tahmin edilmesi daha zor bir parola seçmesi istenir. En çok saldırıya uğrayan parolaların bu listesini biz oluşturur ve sık sık güncelleriz.

Özel yasaklı parolalar

Yasaklı parolaları daha da etkili hale getirmek için kiracıların kendi yasaklı parola listelerini özelleştirmesine izin veriyoruz. Yöneticiler kurumlarında yaygın olarak kullanılan sözcükleri (ünlü çalışanlar ve kurucular, ürünler, konumlar, söz konusu bölgede ünlü kişiler vb.) seçebilir ve bu sözcüklerin kullanıcıların parolalarında kullanılmasını engelleyebilir. Bu liste, genel liste ile birlikte uygulanır, yani ikisinden birini seçmenize gerek yoktur. Şu anda sınırlı önizleme aşamasında olan bu özellik bu yıl kullanıma sunulacaktır.

Şirket içi değişiklikler için yasaklı parolalar

Bu ilkbahar kurumsal yöneticilerin hibrit Azure AD-Active Directory ortamlarında parola yasaklamasına olanak tanıyan yeni bir aracı kullanıma sunuyoruz. Yasaklı parola listeleri bulut ile şirket içi ortamlarınız arasında eşitlenecek ve aracı ile her etki alanı denetleyicisinde uygulanacak. Böylece kullanıcı parolasını ister bulutta ister şirket içinde değiştirsin, yönetici yeni parolanın tahmin edilmesi zor bir sözcük olmasını sağlayabilecek. Bu özellik, Şubat 2018’de sınırlı özel önizleme aşamasında sunuldu ve bu yıl genel kullanıma sunulacak.

Parolalar hakkında düşünme şeklinizi değiştirme

Bir parolayı iyi yapan faktörlerin ne olduğu hakkındaki yaygın kanıların çoğu yanlıştır. Çoğu zaman teorik olarak işe yaraması gereken bir önlem, aksine kullanıcı davranışlarının tahmin edilmesini kolaylaştırır. Örneğin, belirli karakter türlerinin ve düzenli parola değişikliklerinin gerekli kılınması belirli parola kalıplarının kullanılmasına yol açar. Çok daha ayrıntılı bilgi almak için parola rehberliği teknik incelememizi okuyun. ADFS veya PTA ile Active Directory kullanıyorsanız parola ilkelerinizi güncelleştirin. Bulut yönetimli hesaplar kullanıyorsanız parolalarınızın süresinin hiç dolmamasını ayarlayabilirsiniz.

En kısa sürede yapmanızı önerdiklerimiz:

  1. Kullanıma sunulunca Microsoft yasaklı parola aracını şirket içinde yükleyerek kullanıcılarınızın daha iyi parolalar oluşturmasına yardımcı olun.
  2. Parola ilkelerinizi gözden geçirin ve kullanıcılarınızın parola oluştururken dönemsel kalıplara düşmesini önlemek için, uygun bulursanız parola süresinin hiç dolmamasını ayarlayın.

4. Adım: ADFS ve Active Directory’deki diğer harika özellikler

ADFS ve Active Directory ile hibrit kimlik doğrulaması kullanıyorsanız ortamınızı parola spreyi saldırılarına karşı korumak için atabileceğiniz başka adımlar da vardır.

İlk adım: ADFS 2.0 veya Windows Server 2012 çalıştıran kurumlar en kısa sürede Windows Server 2016’da ADFS’ye geçmeyi planlamalıdır. En son sürüm, extranet kilitleme gibi daha zengin bir grup özellikle daha hızlı bir şekilde güncelleştirilecektir. Üstelik unutmayın: Windows Server 2012 R2’den 2016’ya yükseltme yapmayı son derece kolaylaştırdık.

Extranet üzerinden eski yöntemli kimlik doğrulama işlemlerini engelleme

Eski kimlik doğrulama protokolleri çok faktörlü kimlik doğrulamasını zorlayamaz. Bu nedenle, en iyi hareket bunları extranetten engellemektir. Böylece, parola spreyi yöntemini kullanan saldırganların bu protokollerdeki çok faktörlü kimlik doğrulaması eksikliğinden yararlanmasının önüne geçmiş olursunuz.

ADFS Web Uygulaması Ara Sunucusu Extranet Kilitlemeyi etkinleştirme

ADFS Web Uygulaması ara sunucunuzda extranet kilitleme özelliği yoksa kullanıcılarınızı parolalarına yönelik olası deneme yanılma saldırılarından korumak için bu özelliği en kısa sürede etkinleştirin.

ADFS için Azure AD Connect Health’i dağıtma

Azure AD Connect Health, ADFS günlüklerinde kötü kullanıcı adı/parola isteklerine ilişkin olarak kaydedilen IP adreslerini yakalar, farklı senaryolara ait ek raporlama sağlar ve yardımlı destek servis taleplerini açan destek mühendislerine ek içgörüler sunar.

Dağıtım için tüm ADFS sunucularında ADFS için Azure AD Connect Health Aracısı‘nın en son sürümünü indirin (2.6.491.0). ADFS sunucuları, 3134222 numaralı KB’nin yüklü olduğu Windows Server 2012 R2 veya Windows Server 2016 çalıştırıyor olmalıdır.

Parolaya dayalı olmayan erişim yöntemleri kullanma

Bir parolanız yoksa hiç kimse parolanızı tahmin edemez. ADFS ve Web Uygulaması Ara Sunucusu için aşağıdaki parolaya dayalı olmayan kimlik doğrulama yöntemleri vardır:

  1. Sertifikaya dayalı kimlik doğrulaması kullanıcı adı/parola uç noktalarının güvenlik duvarında tamamen engellenmesine olanak sağlar. ADFS’de sertifikaya dayalı kimlik doğrulaması hakkında daha fazla bilgi edinin.
  2. Azure MFA, yukarıda bahsedildiği gibi bulut kimlik doğrulamasında, ADFS 2012 R2 ve 2016’da ikinci bir faktör olarak kullanılabilir. Ayrıca, parola spreyi olasılığını tamamen ortadan kaldırmak için ADFS 2016’da birincil faktör olarak da kullanılabilir. Buradan Azure MFA’yı ADFS ile yapılandırma hakkında daha fazla bilgi edinebilirsiniz.
  3. Windows 10’da sunulan ve Windows Server 2016’da ADFS tarafından desteklenen İş İçin Windows Hello, hem kullanıcıya hem de cihaza bağlı olan güçlü şifreleme anahtarlarına dayalı olarak extranet dahil her yerden tamamen parolasız erişime olanak sağlar. Bundan Azure AD’ye katılmış veya Hibrit Azure AD’ye katılmış kurumsal olarak yönetilen cihazlar ve Ayarlar uygulamasındaki “İş veya Okul Hesabı Ekle” aracılığıyla kişisel cihazlar yararlanabilir. İş İçin Windows Hello hakkında daha fazla bilgi edinin.

En kısa sürede yapmanızı önerdiklerimiz:

  1. Daha hızlı güncelleştirme almak için ADFS 2016’ya geçin
  2. Extranet üzerinden eski yöntemli kimlik doğrulama işlemlerini engelleyin.
  3. Tüm ADFS sunucularınıza ADFS için Azure AD Connect Health aracılarını dağıtın.
  4. Uygunsa Azure MFA, sertifikalar veya İş İçin Windows Hello gibi parolasız bir birincil kimlik doğrulama yöntemi kullanın.

Ek: Microsoft hesaplarınızı koruma

Microsoft hesabı kullanıcısıysanız:

  • Haberler iyi, zaten korunuyorsunuz! Microsoft hesaplarında ayrıca Akıllı Kilitleme, IP kilitleme, riske dayalı iki aşamalı doğrulama, yasaklı parolalar ve başka özellikler vardır.
  • Ancak, iki dakika zaman ayırıp Microsoft hesabınızın Güvenlik sayfasına gidin ve “Güvenlik bilgilerinizi güncelleştirin” seçeneğinde riske dayalı iki aşamalı doğrulamaya ait güvenlik bilgilerinizi gözden geçirin.
  • Hesabınıza mümkün olan en üst düzey güvenliği sağlamak için burada her zaman açık iki aşamalı doğrulamayı etkinleştirebilirsiniz.

En iyi savunma… bu blogdaki önerileri uygulamaktır

Parola spreyi, İnternet üzerindeki parola kullanan her hizmet için ciddi bir tehdit oluşturmaktadır. Ancak, bu blogda sunulan adımları uygularsanız bu saldırı vektörüne karşı maksimum koruma elde etmiş olursunuz. Ayrıca, çoğu saldırı yöntemi birçok ortak özellik içerdiğinden bunlar genel olarak da faydalı korunma önerileridir. Güvenliğiniz her zaman en büyük önceliğimizdir. Parola spreyi ve diğer tüm saldırı türlerine karşı yeni ve gelişmiş koruma yöntemleri geliştirmek için hiç durmadan, yoğun bir şekilde çalışıyoruz. Şimdilik yukarıdaki önerileri kullanın ve İnternet üzerindeki kötü amaçlı kişilere karşı koruma sağlayacak yeni araçları kaçırmamak için burayı sık sık kontrol edin.

Umarım bu bilgiler işinize yarar. Her zaman olduğu gibi geri bildirimlerinizi veya önerilerinizi almaktan mutluluk duyarız.

Saygılarımla,

Alex Simons (Twitter: @Alex_A_Simons)

Program Yönetimi Direktörü

Microsoft Kimlik Birimi

İlgili gönderiler