Μετάβαση στο κύριο περιεχόμενο
Microsoft 365
Εγγραφή

Βέλτιστες πρακτικές Azure AD και ADFS: Προστασία από μαζικές επιθέσεις εξαντλητικής δοκιμής κωδικού πρόσβασης

Διά

Φίλοι μου, γεια σας,

Από την πρώτη στιγμή που ξεκινήσαμε να έχουμε κωδικούς πρόσβασης, υπάρχουν άλλα άτομα που προσπαθούν να τους μαντέψουν. Σε αυτό το ιστολόγιο, θα αναφερθούμε σε μια συνήθη επίθεση που έχει γίνει ΠΟΛΥ συχνή πρόσφατα και σε ορισμένες βέλτιστες πρακτικές για να αμυνθούμε σε αυτή. Αυτή η επίθεση ονομάζεται συνήθως μαζικές επιθέσεις εξαντλητικής δοκιμής κωδικού πρόσβασης.

Σε μια μαζική επίθεση εξαντλητικής δοκιμής κωδικού πρόσβασης, οι εγκληματίες δοκιμάζουν τους πιο συνηθισμένους κωδικούς πρόσβασης σε πολλούς διαφορετικούς λογαριασμούς και υπηρεσίες, προσπαθώντας να αποκτήσουν πρόσβαση σε οποιαδήποτε στοιχεία που προστατεύονται με κωδικό πρόσβασης. Συνήθως, οι επιθέσεις απευθύνονται σε πολλούς διαφορετικούς οργανισμούς και υπηρεσίες παροχής ταυτότητας. Για παράδειγμα, ένας εισβολέας θα χρησιμοποιήσει ένα κοινό κιτ εργαλείων όπως το Mailsniper για να απαριθμήσει όλους τους χρήστες σε πολλούς οργανισμούς και κατόπιν θα δοκιμάσει τους κωδικούς πρόσβασης “P@$$w0rd” και “Password1” σε όλους αυτούς τους λογαριασμούς. Για να πάρετε μια ιδέα, μια επίθεση μπορεί να έχει τη μορφή:

Χρήστης-στόχος Κωδικός πρόσβασης-στόχος
[email protected] Password1
[email protected] Password1
[email protected] Password1
[email protected] Password1
[email protected] P@$$w0rd
[email protected] P@$$w0rd
[email protected] P@$$w0rd
[email protected] P@$$w0rd

Αυτό το μοτίβο επίθεσης ξεφεύγει από τις περισσότερες τεχνικές εντοπισμού, επειδή από την οπτική γωνία του μεμονωμένου χρήστη ή της εταιρείας, η επίθεση απλώς μοιάζει με μια μεμονωμένη απόπειρα σύνδεσης που απέτυχε.

Όσον αφορά τους εισβολείς, είναι ένα παιχνίδι αριθμών: γνωρίζουν ότι υπάρχουν ορισμένοι κωδικοί πρόσβασης εκεί έξω που είναι πολύ κοινοί. Παρόλο που αυτοί οι πιο κοινοί κωδικοί πρόσβασης αφορούν μόνο το 0,5-1,0% των λογαριασμών, ο εισβολέας θα έχει μερικές επιτυχίες για κάθε χιλιάδα λογαριασμών στους οποίους θα επιτεθεί και αυτό είναι αρκετό για να είναι αποτελεσματικός.

Στη συνέχεια, χρησιμοποιούν τους λογαριασμούς για να λάβουν δεδομένα από μηνύματα ηλεκτρονικού ταχυδρομείου, να συλλέξουν στοιχεία επαφών και να στείλουν συνδέσεις ηλεκτρονικού “ψαρέματος”, ή απλώς για να επεκτείνουν την ομάδα χρηστών για μαζικές επιθέσεις εξαντλητικής δοκιμής κωδικού πρόσβασης. Οι εισβολείς δεν ενδιαφέρονται ιδιαίτερα για το ποιοι ακριβώς είναι αυτοί οι αρχικοί στόχοι, αλλά απλώς για μερικές επιτυχίες τις οποίες μπορούν να εκμεταλλευτούν.

Τα καλά νέα είναι ότι η Microsoft διαθέτει πολλά εργαλεία που εφαρμόζονται ήδη και είναι διαθέσιμα για την άμβλυνση αυτών των επιθέσεων ενώ πολλά ακόμη θα γίνουν σύντομα διαθέσιμα. Διαβάστε παρακάτω για να δείτε τι μπορείτε να κάνετε τώρα και τους επόμενους μήνες για να σταματήσετε τις μαζικές επιθέσεις εξαντλητικής δοκιμής κωδικού πρόσβασης.

Τέσσερα εύκολα βήματα για την αναχαίτιση μαζικών επιθέσεων εξαντλητικής δοκιμής κωδικού πρόσβασης

Βήμα 1: Χρήση ελέγχου ταυτότητας στο cloud

Στο cloud, βλέπουμε δισεκατομμύρια απόπειρες εισόδου σε συστήματα της Microsoft καθημερινά. Οι αλγόριθμοι εντοπισμού ασφαλείας που διαθέτουμε μάς επιτρέπουν να εντοπίζουμε και να αποκλείουμε επιθέσεις τη στιγμή που γίνονται. Επειδή πρόκειται για συστήματα εντοπισμού και προστασίας σε πραγματικό χρόνο που βασίζονται στο cloud, αυτά τα συστήματα είναι διαθέσιμα μόνο όταν πραγματοποιείται έλεγχος ταυτότητας Azure AD στο cloud (συμπεριλαμβανομένου του ελέγχου ταυτότητας διέλευσης).

Έξυπνος αποκλεισμός

Στο cloud, χρησιμοποιούμε τη δυνατότητα έξυπνου αποκλεισμού για να ξεχωρίσουμε τις προσπάθειες εισόδου που φαίνονται να προέρχονται από έγκυρους χρήστες από τις προσπάθειες εισόδου που μπορεί να προέρχονται από εισβολείς. Μπορούμε να αποκλείσουμε τον εισβολέα ενώ παράλληλα να επιτρέψουμε στον έγκυρο χρήστη να συνεχίσει να χρησιμοποιεί τον λογαριασμό. Αυτό αποτρέπει την άρνηση υπηρεσίας στον χρήστη και σταματά τις υπερβολικές μαζικές επιθέσεις εξαντλητικής δοκιμής κωδικού πρόσβασης. Αυτό ισχύει για όλες τις εισόδους στο Azure AD ανεξάρτητα από το επίπεδο της άδειας χρήσης και για όλες τις εισόδους σε λογαριασμούς Microsoft.

Οι μισθωτές που χρησιμοποιούν τις Υπηρεσίες Ομοσπονδία Active Directory (ADFS) θα μπορούν να χρησιμοποιούν τον έξυπνο αποκλεισμό εγγενώς στις ADFS στον Windows Server 2016 από τον Μάρτιο του 2018. Η δυνατότητα αυτή θα σας έλθει μέσω του Windows Update.

Αποκλεισμός διευθύνσεων IP

Ο αποκλεισμός διευθύνσεων IP λειτουργεί αναλύοντας δισεκατομμύρια εισόδους προκειμένου να αξιολογήσει την ποιότητα της κυκλοφορίας από κάθε διεύθυνση IP που προσεγγίζει τα συστήματα της Microsoft. Με αυτή την ανάλυση, ο αποκλεισμός IP εντοπίζει διευθύνσεις IP με κακόβουλη λειτουργία και αποκλείει αυτές τις εισόδους σε πραγματικό χρόνο.

Προσομοιώσεις επιθέσεων

Τώρα διαθέσιμος σε δημόσια προεπισκόπηση, ο Προσομοιωτής επιθέσεων, που αποτελεί μέρος της Ευφυΐας προστασίας του Office 365 από απειλές, παρέχει τη δυνατότητα στους πελάτες να προσομοιώνουν επιθέσεις στους δικούς τους τελικούς χρήστες, να προσδιορίζουν τον τρόπο που συμπεριφέρονται οι χρήστες τους σε περίπτωση επίθεσης, να ενημερώνουν τις πολιτικές τους και να εξασφαλίζουν ότι υπάρχουν τα κατάλληλα εργαλεία για την προστασία του οργανισμού σας από απειλές όπως οι μαζικές επιθέσεις εξαντλητικής δοκιμής κωδικού πρόσβασης.

Ενέργειες που συνιστούμε να κάνετε το συντομότερο δυνατό:

  1. Εάν χρησιμοποιείτε έλεγχο ταυτότητας στο cloud, είστε καλυμμένοι
  2. Εάν χρησιμοποιείτε ADFS ή κάποιο άλλο υβριδικό σενάριο, αναζητήστε την αναβάθμιση Μαρτίου 2018 των ADFS με τον έξυπνο αποκλεισμό
  3. Χρησιμοποιήστε τον Προσομοιωτή επιθέσεων για προληπτική αξιολόγηση της στάσης σας ως προς την ασφάλεια και κάντε προσαρμογές

Βήμα 2: Χρήση ελέγχου ταυτότητας πολλών παραγόντων

Ο κωδικός πρόσβασης είναι το κλειδί για την πρόσβαση σε έναν λογαριασμό, αλλά σε μια επιτυχημένη μαζική επίθεση εξαντλητικής δοκιμής κωδικού πρόσβασης, ο εισβολέας έχει μαντέψει τον σωστό κωδικό πρόσβασης. Για να σταματήσουμε τους εισβολείς, χρειαζόμαστε κάτι περισσότερο από έναν απλό κωδικό πρόσβασης για να διακρίνουμε τον κάτοχο του λογαριασμού από τον εισβολέα. Οι τρεις τρόποι για να το κάνετε αυτό ακολουθούν στη συνέχεια.

Έλεγχος ταυτότητας πολλών παραγόντων βάσει κινδύνου

Το Azure AD Identity Protection χρησιμοποιεί τα δεδομένα εισόδου που αναφέρονται παραπάνω και προσθέτει προηγμένη εκμάθηση μηχανής και αλγοριθμικό εντοπισμό για να αξιολογήσει τον κίνδυνο για κάθε είσοδο στο σύστημα. Αυτό επιτρέπει στους εταιρικούς πελάτες να δημιουργούν πολιτικές στο Identity Protection που ζητούν έλεγχο ταυτότητας από τον χρήστη με έναν δεύτερο παράγοντα μόνο εφόσον εντοπίζεται κάποιος κίνδυνος για τον χρήστη ή την περίοδο λειτουργίας. Αυτό μειώνει την επιβάρυνση των χρηστών σας και θέτει εμπόδια για τους εισβολείς. Μάθετε περισσότερα σχετικά με το Azure Active Directory Identity Protection εδώ.

Μόνιμη ενεργοποίηση του ελέγχου ταυτότητας πολλών παραγόντων

Για ακόμη μεγαλύτερη ασφάλεια, μπορείτε να χρησιμοποιήσετε το Azure MFA ώστε να απαιτείται έλεγχος ταυτότητας πολλών παραγόντων για τους χρήστες σας συνεχώς, τόσο στον έλεγχο ταυτότητας στο cloud όσο και στις ADFS. Αν και αυτή η λειτουργία απαιτεί από τους τελικούς χρήστες να έχουν πάντα τις συσκευές τους και να εκτελούν πιο συχνά έλεγχο ταυτότητας πολλών παραγόντων, παρέχει τη μέγιστη δυνατή ασφάλεια για την επιχείρησή σας. Αυτή η λειτουργία θα πρέπει να είναι ενεργοποιημένη για κάθε διαχειριστή σε έναν οργανισμό. Μάθετε περισσότερα σχετικά με το Azure Multi-Factor Authentication εδώ καθώς και για τον τρόπο ρύθμισης του Azure MFA για ADFS.

Το Azure MFA ως κύριος έλεγχος ταυτότητας

Στις ADFS 2016, έχετε τη δυνατότητα να χρησιμοποιήσετε το Azure MFA ως κύριο έλεγχο ταυτότητας για έλεγχο ταυτότητας χωρίς κωδικό πρόσβασης. Αυτό είναι ένα εξαιρετικό εργαλείο για την προστασία από μαζικές επιθέσεις εξαντλητικής δοκιμής κωδικού πρόσβασης και από επιθέσεις κλοπής κωδικού πρόσβασης: εάν δεν υπάρχει κωδικός πρόσβασης, δεν είναι δυνατό να εντοπιστεί. Είναι ιδανικό για όλους τους τύπους συσκευών με διάφορους παράγοντες μορφής. Επιπλέον, μπορείτε πλέον να χρησιμοποιήσετε τον κωδικό πρόσβασης ως δεύτερο παράγοντα μορφής μόνο αφού επικυρωθεί το OTP σας με το Azure MFA. Μάθετε περισσότερα σχετικά με τη χρήση κωδικού πρόσβασης ως δεύτερου παράγοντα εδώ.

Ενέργειες που συνιστούμε να κάνετε το συντομότερο δυνατό:

  1. Συνιστάται ανεπιφύλακτα να είναι πάντα ενεργοποιημένος ο έλεγχος ταυτότητας πολλών παραγόντων για όλους τους διαχειριστές στον οργανισμό σας, ιδιαίτερα για τους κατόχους συνδρομών και τους διαχειριστές μισθωτών. Είναι ένα πολύ σοβαρό ζήτημα, κάντε το αμέσως.
  2. Για την καλύτερη εμπειρία των υπόλοιπων χρηστών σας, συνιστάται να γίνεται έλεγχος ταυτότητας πολλών παραγόντων βάσει κινδύνου, λειτουργία που είναι διαθέσιμη στις άδειες χρήσης Azure AD Premium P2.
  3. Διαφορετικά, χρησιμοποιήστε το Azure MFA για τον έλεγχο ταυτότητας στο cloud και τις ADFS.
  4. Στις ADFS, αναβαθμίστε τις ADFS στον Windows Server 2016, ώστε να χρησιμοποιούν το Azure MFA ως κύριο έλεγχο ταυτότητας, ιδιαίτερα για όλη την πρόσβαση στο extranet.

Βήμα 3: Καλύτεροι κωδικοί πρόσβασης για όλους τους χρήστες

Ακόμη και με όλα τα παραπάνω, ένα βασικό στοιχείο άμυνας στις μαζικές επιθέσεις εξαντλητικής δοκιμής κωδικού πρόσβασης είναι όλοι οι χρήστες να έχουν κωδικούς πρόσβασης που είναι δύσκολο να εντοπιστούν. Συχνά είναι δύσκολο να γνωρίζουν οι χρήστες πώς μπορούν να δημιουργήσουν κωδικούς πρόσβασης που είναι δύσκολο να εντοπιστούν. Η Microsoft σάς βοηθά σ αυτό με τα παρακάτω εργαλεία.

Απαγορευμένοι κωδικοί πρόσβασης

Στο Azure AD, κάθε αλλαγή και επαναφορά κωδικού πρόσβασης περνά από έλεγχο απαγορευμένου κωδικού πρόσβασης. Κατά την υποβολή ενός νέου κωδικού πρόσβασης, πραγματοποιείται έλεγχος ασαφούς συμφωνίας σε σχέση με μια λίστα λέξεων που κανένας χρήστης δεν θα πρέπει να έχει ποτέ στον κωδικό πρόσβασής του (και η γραφή l33t-sp3@k δεν βοηθά). Εάν συμφωνεί, απορρίπτεται και ζητείται από τον χρήστη να επιλέξει έναν κωδικό πρόσβασης που είναι πιο δύσκολο να εντοπιστεί. Καταστρώσαμε μια λίστα με τους κωδικούς πρόσβασης που δέχονται επιθέσεις πιο συχνά και την ενημερώνουμε τακτικά.

Προσαρμοσμένοι απαγορευμένοι κωδικοί πρόσβασης

Για ακόμη μεγαλύτερη βελτίωση των απαγορευμένων κωδικών πρόσβασης, θα δώσουμε τη δυνατότητα στους μισθωτές να προσαρμόζουν τις λίστες με τους απαγορευμένους κωδικούς πρόσβασης. Οι διαχειριστές μπορούν να επιλέξουν λέξεις που είναι συνήθεις στον οργανισμό τους, όπως διάσημοι υπάλληλοι και ιδρυτές, τοποθεσίες, τοπικά σύμβολα κ.λπ., και να μην επιτρέπουν τη χρήση τους στους κωδικούς πρόσβασης των χρηστών. Αυτή η λίστα θα επιβάλλεται επιπλέον της καθολικής λίστας, ώστε να μην χρειάζεται να επιλέξετε ή τη μία ή την άλλη. Αυτήν τη στιγμή είναι σε περιορισμένη προεπισκόπηση και θα τεθεί σε κυκλοφορία φέτος.

Απαγορευμένοι κωδικοί πρόσβασης για αλλαγές στην εσωτερική εγκατάσταση

Αυτή την άνοιξη, τίθεται σε κυκλοφορία ένα εργαλείο που επιτρέπει στους διαχειριστές μεγάλων επιχειρήσεων να αποκλείουν τους κωδικούς πρόσβασης σε υβριδικά περιβάλλοντα Azure AD Active Directory. Οι λίστες απαγορευμένων κωδικών πρόσβασης θα συγχρονίζονται από το cloud στα περιβάλλοντα εσωτερικής εγκατάστασης και θα επιβάλλονται σε κάθε ελεγκτή τομέα με τον παράγοντα. Αυτό βοηθά τους διαχειριστές να εξασφαλίσουν ότι οι κωδικοί πρόσβασης των χρηστών είναι πιο δύσκολο να εντοπιστούν ανεξάρτητα από το σημείο, στο cloud ή την εσωτερική εγκατάσταση, όπου ο χρήστης αλλάζει τον κωδικό πρόσβασής του. Αυτό κυκλοφόρησε σε περιορισμένη ιδιωτική προεπισκόπηση τον Φεβρουάριο του 2018 και θα τεθεί σε γενική διαθεσιμότητα φέτος.

Αλλαγή του τρόπου σκέψης σχετικά με τους κωδικούς πρόσβασης

Πολλές κοινές αντιλήψεις σχετικά με τα στοιχεία που κάνουν έναν κωδικό πρόσβασης κατάλληλο είναι λάθος. Συνήθως. κάτι που θα έπρεπε να είναι χρήσιμο με μαθηματικό τρόπο στην πραγματικότητα έχει ως αποτέλεσμα προβλέψιμη συμπεριφορά χρήστη: για παράδειγμα, η απαίτηση για συγκεκριμένους τύπους χαρακτήρων και περιοδικές αλλαγές κωδικού πρόσβασης έχουν ως αποτέλεσμα συγκεκριμένα μοτίβα κωδικών πρόσβασης. Διαβάστε τη λευκή βίβλο οδηγιών για κωδικούς πρόσβασης για πολύ περισσότερες λεπτομέρειες. Εάν χρησιμοποιείτε την υπηρεσία καταλόγου Active Directory με PTA ή ADFS, ενημερώστε τις πολιτικές κωδικών πρόσβασης. Εάν χρησιμοποιείτε λογαριασμούς με διαχείριση στο cloud, εξετάστε το ενδεχόμενο να ρυθμίσετε τους κωδικούς πρόσβασης ώστε να μην λήγουν ποτέ.

Ενέργειες που συνιστούμε να κάνετε το συντομότερο δυνατό:

  1. Όταν κυκλοφορήσει, εγκαταστήστε το εργαλείο απαγορευμένων κωδικών πρόσβασης της Microsoft στην εσωτερική εγκατάσταση για να βοηθήσετε τους χρήστες σας να δημιουργούν καλύτερους κωδικούς πρόσβασης.
  2. Εξετάστε τις πολιτικές κωδικού πρόσβασης και εξετάστε το ενδεχόμενο να ρυθμίσετε τον κωδικό πρόσβασης ώστε να μην λήγει ποτέ, ώστε οι χρήστες σας να μην χρησιμοποιούν εποχιακά μοτίβα για τη δημιουργία των κωδικών πρόσβασής τους.

Βήμα 4: Περισσότερες εντυπωσιακές δυνατότητες στις ADFS και την υπηρεσία καταλόγου Active Directory

Εάν χρησιμοποιείτε υβριδικό έλεγχο ταυτότητας με τις ADFS και την υπηρεσία καταλόγου Active Directory, υπάρχουν και άλλα μέτρα που μπορείτε να λάβετε για την προστασία του περιβάλλοντός σας από μαζικές επιθέσεις εξαντλητικής δοκιμής κωδικού πρόσβασης.

Το πρώτο βήμα: οι οργανισμοί που διαθέτουν ADFS 2.0 ή Windows Server 2012, καλό θα είναι να προγραμματίσουν τη μετάβασή τους στις ADFS στον Windows Server 2016 όσο το δυνατόν πιο σύντομα. Η τελευταία έκδοση θα ενημερώνεται πιο γρήγορα με ένα σύνολο εμπλουτισμένων δυνατοτήτων όπως ο αποκλεισμός extranet. Να θυμάστε επίσης ότι έχουμε κάνει πολύ εύκολη τη διαδικασία για την αναβάθμιση από Windows Server 2012 R2 σε 2016.

Αποκλεισμός ελέγχου ταυτότητας παλαιού τύπου από το Extranet

Τα πρωτόκολλα ελέγχου ταυτότητας παλαιού τύπου δεν έχουν τη δυνατότητα να επιβάλουν τη χρήση MFA, επομένως η καλύτερη προσέγγιση είναι ο αποκλεισμός τους από το extranet. Αυτό δεν επιτρέπει στους εισβολείς μαζικών επιθέσεων εξαντλητικής δοκιμής κωδικού πρόσβασης να εκμεταλλευτούν την έλλειψη MFA σε αυτά τα πρωτόκολλα.

Ενεργοποίηση αποκλεισμού Extranet διακομιστή μεσολάβησης εφαρμογής Web ADFS

Εάν δεν έχετε ενεργοποιήσει τον αποκλεισμό extranet στον διακομιστή μεσολάβησης εφαρμογής Web ADFS, θα πρέπει να τον ενεργοποιήσετε όσο το δυνατόν πιο σύντομα προκειμένου να προστατέψετε τους χρήστες σας από πιθανή επίθεση εξαντλητικής δοκιμής κωδικών.

Ανάπτυξη του Azure AD Connect Health για ADFS

Το Azure AD Connect Health συλλέγει τις διευθύνσεις IP που καταγράφονται στα αρχεία καταγραφής των ADFS για αιτήσεις με μη έγκυρο όνομα χρήστη/κωδικό πρόσβασης, παρέχει επιπλέον αναφορές για διάφορα σενάρια καθώς και περισσότερες πληροφορίες για να υποστηρίξει τους μηχανικούς κατά το άνοιγμα περιπτώσεων υποστήριξης με παρεχόμενη βοήθεια.

Για την ανάπτυξη, κάντε λήψη της τελευταίας έκδοσης του Azure AD Connect Health Agent για ADFS σε όλους τους διακομιστές ADFS (2.6.491.0). Οι διακομιστές ADFS πρέπει να διαθέτουν τον Windows Server 2012 R2 με εγκατεστημένο το KB 3134222 ή τον Windows Server 2016.

Χρήση μεθόδων πρόσβασης που δεν βασίζονται σε κωδικό πρόσβασης

Εάν δεν υπάρχει κωδικός πρόσβασης, δεν είναι δυνατό να εντοπιστεί. Οι ακόλουθες μέθοδοι ελέγχου ταυτότητας που δεν βασίζονται σε κωδικό πρόσβασης είναι διαθέσιμες για τις ADFS και τον διακομιστή μεσολάβησης εφαρμογής Web:

  1. Ο έλεγχος ταυτότητας βάσει πιστοποιητικού επιτρέπει τον πλήρη αποκλεισμό τελικών σημείων ονόματος χρήστη/κωδικού πρόσβασης στο τείχος προστασίας. Μάθετε περισσότερα σχετικά με τον έλεγχο ταυτότητας βάσει πιστοποιητικού στις ADFS
  2. Το Azure MFA, όπως αναφέρθηκε παραπάνω, μπορεί να χρησιμοποιηθεί ως δεύτερος παράγοντας ελέγχου ταυτότητας στο cloud και στις ADFS 2012 R2 και 2016. Μπορεί επίσης να χρησιμοποιηθεί ως κύριος παράγοντας στις ADFS 2016 για την πλήρη αποτροπή μαζικών επιθέσεων εξαντλητικής δοκιμής κωδικού πρόσβασης. Μάθετε πώς μπορείτε να ρυθμίσετε τις παραμέτρους του Azure MFA με τις ADFS εδώ
  3. Το Windows Hello για επιχειρήσεις, το οποίο διατίθεται με τα Windows 10 και υποστηρίζεται από τις ADFS στον Windows Server 2016, επιτρέπει την πλήρη πρόσβαση χωρίς κωδικό πρόσβασης, ακόμη και από extranet, με βάση ισχυρά κλειδιά κρυπτογράφησης που είναι συνδεδεμένα τόσο με τον χρήστη όσο και με τη συσκευή. Αυτή η επιλογή είναι διαθέσιμη για εταιρικές διαχειριζόμενες συσκευές που είναι συνδεδεμένες στο Azure AD ή στο Hybrid Azure AD, καθώς και για προσωπικές συσκευές μέσω της επιλογής “Προσθήκη εταιρικού ή σχολικού λογαριασμού” από την εφαρμογή “Ρυθμίσεις”. Δείτε περισσότερες πληροφορίες σχετικά με το Hello για επιχειρήσεις.

Ενέργειες που συνιστούμε να κάνετε το συντομότερο δυνατό:

  1. Κάντε αναβάθμιση σε ADFS 2016 για πιο γρήγορες ενημερώσεις.
  2. Αποκλείστε τον έλεγχο ταυτότητας παλαιού τύπου από το extranet.
  3. Αναπτύξτε παράγοντες του Azure AD Connect Health για ADFS σε όλους τους διακομιστές σας ADFS.
  4. Εξετάστε το ενδεχόμενο να χρησιμοποιήσετε μια κύρια μέθοδο ελέγχου ταυτότητας χωρίς κωδικό πρόσβασης όπως το Azure MFA, πιστοποιητικά ή το Windows Hello για επιχειρήσεις.

Όφελος: Προστασία λογαριασμών Microsoft

Εάν είστε χρήστης με λογαριασμό Microsoft:

  • Σπουδαία νέα, είστε ήδη προστατευμένος! Οι λογαριασμοί Microsoft επίσης διαθέτουν έξυπνο αποκλεισμό, αποκλεισμό διευθύνσεων IP, επαλήθευση σε δύο βήματα βάσει κινδύνου, απαγορευμένους κωδικούς πρόσβασης και πολλά άλλα.
  • Ωστόσο, αφιερώστε δύο λεπτά για να μεταβείτε στη σελίδα ασφαλείας του λογαριασμού Microsoft και επιλέξτε “Ενημερώστε τις πληροφορίες ασφαλείας σας” για να δείτε τις πληροφορίες ασφαλείας που χρησιμοποιούνται για την επαλήθευση σε δύο βήματα βάσει κινδύνου
  • Εξετάστε το ενδεχόμενο να ενεργοποιήσετε μόνιμα την επαλήθευση σε δύο βήματα εδώ ώστε ο λογαριασμός σας να διαθέτει τη μέγιστη δυνατή ασφάλεια.

Η καλύτερη άμυνα είναι… να ακολουθήσετε τις συστάσεις σε αυτό το ιστολόγιο

Οι μαζικές επιθέσεις εξαντλητικής δοκιμής κωδικού πρόσβασης αποτελούν μια σοβαρή απειλή για κάθε υπηρεσία στο Internet που χρησιμοποιεί κωδικούς πρόσβασης, αλλά η ανάληψη των ενεργειών που παρατίθενται σε αυτό το ιστολόγιο θα σας παρέχει τη μέγιστη προστασία από αυτές τις επιθέσεις. Επίσης, επειδή πολλά είδη επιθέσεων έχουν παρόμοια χαρακτηριστικά, οι ενέργειες αυτές είναι απλώς καλές προτάσεις για την προστασία σας. Η ασφάλεια είναι πάντα η μέγιστη προτεραιότητά μας και εργαζόμαστε συνεχώς για την ανάπτυξη νέων προηγμένων μέτρων προστασίας από μαζικές επιθέσεις εξαντλητικής δοκιμής κωδικού πρόσβασης. Χρησιμοποιήστε αυτά που αναφέρονται παραπάνω σήμερα και ελέγχετε συχνά για νέα εργαλεία προστασίας από τους εισβολείς που κυκλοφορούν στο Internet.

Ελπίζω ότι αυτές οι πληροφορίες θα σας φανούν χρήσιμες. Όπως πάντα, θα θέλαμε πολύ να ακούσουμε τυχόν σχόλια ή προτάσεις που έχετε.

Με εκτίμηση,

Alex Simons (Twitter: @Alex_A_Simons)

Διευθυντής Διαχείρισης Προγραμμάτων

Τμήμα ταυτότητας της Microsoft

Σχετικές δημοσιεύσεις