Перейти до основного
Microsoft 365
Підписатися

Практичні поради з використання Azure Active Directory та служб об’єднання Active Directory: захист від розпорошувальних атак через типові паролі

За

Вітаю!

Від самого початку захисту паролями існували й зловмисники, які намагалися їх розкрити. У цьому дописі ми поговоримо про один дуже поширений метод зламу паролів, який останнім часом набув іще більшої популярності, і про те, як від нього захиститися. Цей метод називається розпорошувальною атакою через типові паролі.

Він полягає в тому, що зловмисники намагаються ввійти за допомогою найпоширеніших паролів у багато різних облікових записів і служб, щоб отримати доступ до ресурсів у них. Зазвичай під одну атаку потрапляє відразу кілька організацій і постачальників ідентифікаційних даних. Наприклад, деякі зловмисники використовують Mailsniper або інший загальнодоступний набір інструментів, щоб згенерувати список усіх користувачів у кількох організаціях, а потім пробують увійти в облікові записи всіх цих користувачів за допомогою паролів “P@$$w0rd” і “Password1”. Ось приблизна схема такої атаки:

Користувач Пароль
User1@org1.com Password1
User2@org1.com Password1
User1@org2.com Password1
User2@org2.com Password1
User1@org1.com P@$$w0rd
User2@org1.com P@$$w0rd
User1@org2.com P@$$w0rd
User2@org2.com P@$$w0rd

Подібні атаки дуже важко виявити, тому що вони виглядають просто як невдала спроба входу.

Для зловмисників це своєрідна лотерея. За статистикою, деякі паролі дуже поширені. Хоча вони стоять лише в 0,5–1,0% користувачів, для зловмисника це означає, що на кожну тисячу-дві атакованих облікових записів припадатиме кілька зламаних, тобто він досягне своєї мети.

Навіть із цих кількох облікових записів можна отримати дуже багато інформації (електронні листи, контактні дані тощо), яку зловмисник використає, щоб розширити цільову групу атаки або розіслати фішингові посилання. І байдуже, хто стане жертвою: його хвилює лише результат.

На щастя, у службах Майкрософт уже використовується багато інструментів, здатних протидіяти подібним атакам, а наші спеціалісти активно працюють над новими технологіями боротьби з ними. Далі я розкажу, як вам захиститися від розпорошувальних атак і які додаткові можливості ми запропонуємо вже найближчими місяцями.

Проста методика захисту від розпорошувальних атак

1. Автентифікація через хмарні служби

Щодня наші хмарні служби реєструють мільярди входів у системи Майкрософт. Ми використовуємо спеціальні алгоритми безпеки, які виявляють і зупиняють атаки в реальному часі. Ці алгоритми активуються лише під час автентифікації через хмарні служби за допомогою Azure Active Directory (наприклад, наскрізної автентифікації).

Смарт-блокування

Технологія смарт-блокування аналізує кожну спробу входу через хмарні служби та визначає, чи не підозріла вона. Якщо так, ми її блокуємо. А якщо це звичайний користувач, він без проблем потрапить у свій обліковий запис. Така технологія запобігає відмовам в обслуговуванні користувачів і водночас зупиняє нав’язливі розпорошувальні атаки. Вона захищає всі входи через Azure Active Directory (незалежно від рівня ліцензії), а також в облікові записи Microsoft.

Клієнти, що використовують служби об’єднання Active Directory (AD FS), отримають доступ до технології смарт-блокування в AD FS у Windows Server 2016 із березня 2018 року. Стежте за виходом оновлень на Windows Update.

Блокування IP-адрес

Ця технологія щодня аналізує мільярди спроб входу в системи Майкрософт і оцінює якість трафіку з кожної IP-адреси. Якщо цей трафік виглядає підозріло, спроби входу з такої адреси блокуються в реальному часі.

Симулятор атак

Нещодавно вийшла підготовча загальнодоступна версія Симулятора атак – функції в рамках набору інструментів “Аналіз загроз Office 365”. Використовуючи її, клієнти мають змогу симулювати атаки для власних користувачів, щоб побачити, як ті діятимуть у разі нападу справжніх хакерів. Орієнтуючись на результати таких перевірок, можна вносити поправки в політики безпеки й визначати, які інструменти слід запровадити в організації, щоб захистити її від розпорошувальних та інших атак.

Заходи, яких ми рекомендуємо вжити якнайшвидше

  1. Якщо ви користуєтесь автентифікацією через хмарні служби, то можете спати спокійно.
  2. Якщо ви користуєтеся службами об’єднання Active Directory (AD FS) або іншим гібридним рішенням, інсталюйте оновлення AD FS із функцією смарт-блокування (дата виходу: березень 2018 року).
  3. Використовуйте Симулятор атак, щоб оцінити, наскільки надійно захищено вашу організацію, і вжити належних заходів.

2. Багатофакторна автентифікація

Пароль – це наче ключ до облікового запису. Якщо вашу компанію спіткає розпорошувальна атака, то деякі “ключі” можуть опинитися в руках зловмисника. Тому простого захисту за допомогою пароля недостатньо: потрібен якийсь спосіб, що допоможе відрізнити звичайних користувачів від хакерів. Пропонуємо вашій увазі три таких способи.

Багатофакторна автентифікація на основі оцінювання ризиків

Служба “Захист ідентичностей в Azure Active Directory” аналізує кожну спробу входу й оцінює пов’язані з нею ризики. Для цього використовуються всі ті дані, про які ми вже говорили, а також передові засоби машинного навчання й алгоритми виявлення аномалій. У цій службі можна створювати корпоративні політики, які вимагають додатково підтвердити ідентичність другим фактором автентифікації, тільки якщо рівень ризику для користувача або сеансу достатньо високий. Так співробітникам не доведеться витрачати на вхід зайвий час, а ваші системи все одно будуть надійно захищені від зловмисників. Дізнайтеся більше про Захист ідентичностей в Azure Active Directory.

Обов’язкова багатофакторна автентифікація

Щоб іще краще вбезпечити свої системи, за допомогою Azure Multi-Factor Authentication можна зробити багатофакторну автентифікацію обов’язковою для всіх користувачів, які входять в облікові записи через хмарні служби й AD FS. Для цього користувачам доведеться витрачати зайвий час на підтвердження входу й завжди носити із собою телефони або планшети, але так вашу компанію буде захищено якнайнадійніше. А для адміністраторів такий спосіб автентифікації має бути обов’язковий. Дізнайтеся більше про службу Azure Multi-Factor Authentication і її налаштування для AD FS.

Azure Multi-Factor Authentication як основний засіб автентифікації

В AD FS 2016 можна зробити Azure Multi-Factor Authentication основним засобом безпарольної автентифікації. Це дуже надійний спосіб захисту – адже якщо в користувачів немає паролів, зловмисник не зможе скористатися ними проти вас. Azure Multi-Factor Authentication працює на будь-яких пристроях, а за бажанням пароль можна використовувати як другий фактор автентифікації (тільки після того, як Azure Multi-Factor Authentication перевірить одноразовий пароль). Дізнайтеся більше про пароль як другий фактор автентифікації.

Заходи, яких ми рекомендуємо вжити якнайшвидше

  1. Настійно рекомендуємо ввімкнути обов’язкову багатофакторну автентифікацію для всіх адміністраторів в організації, особливо для власників передплати та адміністраторів-власників. Зробіть це просто зараз – цей крок і справді дуже важливий.
  2. Для решти користувачів краще ввімкнути зручніший спосіб – багатофакторну автентифікацію на основі оцінювання ризиків. Ця функція доступна компаніям із ліцензіями Azure Active Directory Premium P2.
  3. Ви також можете використовувати Azure Multi-Factor Authentication для автентифікації через хмарні служби та AD FS.
  4. Якщо ви користуєтесь AD FS, перейдіть до нової версії на платформі Windows Server 2016 і зробіть Azure Multi-Factor Authentication основним засобом автентифікації, особливо для зовнішніх користувачів із мережі екстранет.

3. Надійні паролі у всіх користувачів

Навіть якщо ви запровадите всі рекомендовані вище засоби безпеки, для надійного захисту від розпорошувальних атак кожен користувач повинен мати надійний пароль. Але багато людей не знають, як створювати такі паролі. Саме тому корпорація Майкрософт розробила спеціальні інструменти.

Заборонені паролі

В Azure Active Directory кожен новий пароль проходить перевірку. Якщо він хоча б частково збігається з будь-яким пунктом із списку заборонених паролів, користувач повинен вибрати надійніший пароль. Цей список регулярно оновлюється та включає найпоширеніші паролі, які в першу чергу атакує зловмисник. Інструмент перевірки розпізнає збіг, навіть якщо користувач замінить певні букви цифрами чи спеціальними символами (наприклад, він не дасть використати ні “password”, ні “p@ssw0rd”).

Спеціальні заборонені паролі

Щоб зробити функцію заборони паролів ефективнішою, ми дозволили клієнтам налаштовувати власні чорні списки слів, на основі яких співробітники їхніх компаній часто створюють паролі. Це можуть бути імена відомих колег, засновників, локальних знаменитостей, назви продуктів і місць тощо. Усі нові паролі користувачів перевірятимуться на відповідність і спеціальному списку, і глобальному, тобто вам не доведеться між ними вибирати. Поки що ми пропонуємо тільки підготовчу версію цієї функції з обмеженим доступом. Офіційний випуск заплановано вже на цей рік.

Локальна заборона паролів

Цієї весни ми випустимо інструмент, за допомогою якого корпоративні адміністратори зможуть забороняти паролі в гібридних середовищах Azure Active Directory. Списки таких паролів зберігатимуться в хмарі, синхронізуватимуться з локальними серверами та застосовуватимуться на кожному контролері домену з агентом Azure Active Directory. Так усі нові паролі будуть надійними, навіть якщо користувачі змінюватимуть їх не в хмарі, а в локальному середовищі. У лютому 2018 року функція почала діяти в режимі приватної підготовчої версії з обмеженим доступом. Її офіційний випуск відбудеться вже до кінця цього року.

Новий погляд на безпеку паролів

Що робить пароль надійним? На цю тему існує багато міфів, які насправді лише шкодять вашій безпеці. Часто речі, які в теорії мали б підвищувати надійність паролів, на практиці роблять їх передбачуваними. Наприклад, якщо корпоративна політика вимагає використовувати певні типи символів і регулярно змінювати паролі на нові, то в результаті в багатьох співробітників вони будуть дуже схожі на старі. Дізнайтеся більше про те, як правильно керувати паролями. Якщо ви застосовуєте Active Directory з PTA або AD FS, відредагуйте свої політики паролів. А якщо в компанії використовуються хмарні керовані облікові записи, рекомендуємо встановити для паролів необмежений термін дії.

Заходи, яких ми рекомендуємо вжити якнайшвидше

  1. Коли інструмент заборони паролів від корпорації Майкрософт стане загальнодоступним, інсталюйте його у своєму локальному середовищі, щоб надалі ваші користувачі створювали надійні паролі.
  2. Перегляньте свої політики паролів і подумайте, чи не варто встановити для них необмежений термін дії, щоб ваші користувачі не вибирали нові паролі, які відрізняються від старих одним-двома символами.

4. Інші корисні можливості AD FS і Active Directory

Якщо у вашій компанії використовується гібридна автентифікація засобами AD FS і Active Directory, можна вжити додаткових заходів, щоб захистити паролі.

Найперше, що повинні зробити організації, які використовують AD FS 2.0 або Windows Server 2012, – це якомога швидше перейти до AD FS на платформі Windows Server 2016. Остання версія цих служб оновлюється швидше та має більше можливостей (наприклад, блокування мережі екстранет). Нагадую, що перейти з Windows Server 2012 R2 до Windows Server 2016 дуже легко.

Блокування застарілих протоколів автентифікації з мережі екстранет

Щоб застосовувати обов’язкову багатофакторну автентифікацію, найкраще заблокувати застарілі протоколи для мережі екстранет, оскільки вони не підтримують таку можливість. Так зловмисники не скористаються цією вразливістю під час розпорошувальної атаки.

Блокування входу через мережу екстранет для проксі веб-програм в AD FS

Якщо ви ще не заблокували для проксі веб-програм в AD FS вхід через мережу екстранет, зробіть це якомога швидше, щоб захистити своїх користувачів від атак прямим добором паролів.

Azure Active Directory Connect Health для AD FS

Azure Active Directory Connect Health повідомляє, якщо хтось намагається отримати доступ із ризикованої IP-адреси, багато спроб увійти з якої, за даними журналів AD FS, виявилися невдалими через неправильний пароль або ім’я користувача. Крім того, це розширення збирає додаткові звітні дані про різні типи сценаріїв і надає аналітичні висновки, які допомагають інженерам розглядати заявки на підтримку.

Інсталюйте останню версію агента Azure Active Directory Connect Health для AD FS (2.6.491.0) на всі сервери AD FS. Сервери мають працювати на платформі Windows Server 2016 або Windows Server 2012 R2 з оновленням KB 3134222.

Методи безпарольного доступу

Якщо у вашій компанії не застосовуватимуться паролі, зловмисники не зможуть використати їх проти вас. Для AD FS і проксі веб-програм доступні такі методи безпарольної автентифікації:

  1. Автентифікація на основі сертифікатів дає змогу повністю блокувати кінцеві точки імен користувачів і паролів у брандмауері. Дізнайтеся більше про автентифікацію на основі сертифікатів в AD FS.
  2. Як уже говорилося, Azure Multi-Factor Authentication можна використовувати як другий фактор автентифікації через хмарні служби та AD FS на платформі Windows Server 2016 або Windows Server 2012 R2. Але в AD FS 2016 цю функцію також можна застосовувати як перший фактор, тоді розпорошувальні атаки просто не діятимуть. Дізнайтеся більше про те, як налаштувати Azure Multi-Factor Authentication в AD FS.
  3. “Windows Hello для бізнесу” дає змогу повністю відмовитися від паролів завдяки надійним криптографічним ключам, прив’язаним і до користувача, і до пристрою. Ця функція доступна у Windows 10, і її підтримує AD FS на платформі Windows Server 2016. Крім того, “Windows Hello для бізнесу” можуть застосовувати навіть користувачі з мережі екстранет. Функція доступна для пристроїв під керуванням компанії, приєднаних до служби Azure Active Directory або її гібридного розгортання. Вона також підтримується для особистих пристроїв, приєднаних через програму “Настройки” (параметр “Додати обліковий запис компанії або навчального закладу”). Дізнайтеся більше про “Windows Hello для бізнесу”.

Заходи, яких ми рекомендуємо вжити якнайшвидше

  1. Перейдіть до AD FS 2016, щоб швидше отримувати оновлення.
  2. Заблокуйте застарілі протоколи автентифікації з мережі екстранет.
  3. Розгорніть агенти Azure Active Directory Connect Health для AD FS на всіх серверах AD FS.
  4. Подумайте, чи не варто зробити основним способом автентифікації безпарольний метод (Azure Multi-Factor Authentication, автентифікацію на основі сертифікатів, Windows Hello для бізнесу).

Бонус: як захистити облікові записи Microsoft

Якщо ви користуєтесь обліковим записом Microsoft, у мене для вас чудові новини!

  • Ви вже під надійним захистом. В облікових записах Microsoft наявні такі функції, як смарт-блокування, блокування IP-адрес, двоетапна перевірка на основі оцінювання ризиків, заборона паролів тощо.
  • Але вам усе ж варто приділити кілька хвилин тому, щоб перевірити захисну інформацію, яка використовується для двоетапної перевірки на основі оцінювання ризиків. Для цього відкрийте параметри безпеки свого облікового запису Microsoft і виберіть “Оновити відомості про безпеку”.
  • Для максимального захисту можна ввімкнути обов’язкову двоетапну перевірку.

Найнадійніший захист від зламу – просто дослухатися до наших порад

Розпорошувальні атаки через типові паролі несуть у собі серйозну загрозу для всіх веб-служб, для входу в які потрібен пароль. Але якщо ви скористаєтеся рекомендаціями з цього допису, то надійно захистите себе від таких атак – та й від багатьох подібних методів зламу. Ваша безпека для нас дуже важлива, і ми постійно працюємо над новими, ще надійнішими засобами захисту від розпорошувальних та інших атак. Тож ми будемо раді, якщо ви скористаєтеся переліченими вище інструментами та стежитимете за анонсами про вихід новинок, які ми створюємо для захисту від хакерів.

Сподіваюся, цей допис стане вам у пригоді. Будемо раді вашим відгукам і пропозиціям!

З повагою,

Алекс Сімонс (Twitter: @Alex_A_Simons),

начальник відділу керування програмами,

відділення технологій ідентифікації, корпорація Майкрософт

Схожі публікації