Ajánlott eljárások az Azure AD és az ADFS használatához: Védelem a szórásos jelszófeltörési támadások ellen
Üdv mindenkinek!
Amióta csak léteznek jelszavak, az emberek mindig is próbálkoztak a kitalálásukkal. Ez a blogbejegyzés egy olyan elterjedt támadással foglalkozik, amely az utóbbi időben SOKKAL gyakoribbá vált, és az ellene való védekezéshez igénybe vehető ajánlott eljárásokat is sorra veszi. Ez a támadás általában szórásos jelszófeltörés néven ismert.
Szórásos jelszófeltörési támadás esetén a támadók a leggyakoribb jelszavakkal számos különböző fiókban és szolgáltatásban próbálkozva megkísérelnek jelszóval védett adatokhoz hozzáférni. Ezek a támadások általában több különböző szervezeten és identitásszolgáltatón is átívelnek. A támadók például egy széles körben elérhető eszközkészlet (például a Mailsniper) használatával számba vehetik több szervezet összes felhasználóját, és próbálkozhatnak a „J@l$z0” és a „Jelszó1” jelszóval az összes fiókban. Az alábbi táblázat szemlélteti, hogy hogyan nézhet ki egy ilyen támadás:
Célfelhasználó | Céljelszó |
[email protected] | Jelszó1 |
[email protected] | Jelszó1 |
[email protected] | Jelszó1 |
[email protected] | Jelszó1 |
… | … |
[email protected] | J@l$z0 |
[email protected] | J@l$z0 |
[email protected] | J@l$z0 |
[email protected] | J@l$z0 |
Ez a támadási minta kikerüli a legtöbb észlelési módszert, mivel az egyéni felhasználó vagy cég szempontjából a támadás egyszerűen egy elszigetelt sikertelen bejelentkezésnek tűnik.
A támadóknak ez egy játék a számokkal: tudják, hogy biztosan léteznek olyan jelszavak, amelyek nagyon gyakoriak. Habár ezek a leggyakoribb jelszavak a fiókoknak mindössze 0,5–1,0%-ában fordulnak elő, a támadás is így sikeres lesz néhányszor, minden ezredik megtámadott fiók esetében, és ez már elegendő a támadás hatékonyságához.
A fiókokat a támadók arra használják fel, hogy adatokat szereznek meg az e-mailekből, hasznosítsák a partneradatokat, és adathalászati hivatkozásokat küldjenek, vagy egyszerűen bővítsék a szórásos jelszófeltörési támadások célcsoportját. A támadóknak nem sokat számít, hogy kik a kezdeti célpontok, az fontos nekik, hogy elérjenek némi sikert, amelyet a jövőben hasznosítani tudnak.
A jó hír az, hogy a Microsoft már számos eszközt bevezetett és elérhetővé tett az ilyen támadások enyhítésére, és hamarosan további lehetőségeket is biztosítani fog erre. A továbbiakban arról olvashat, hogy mit tehet most és az elkövetkezendő hónapokban a szórásos jelszófeltörési támadások megfékezéséhez.
Négy egyszerű lépés a szórásos jelszófeltörési támadások megfékezéséhez
1. lépés: Felhőalapú hitelesítés használata
A felhőben naponta több milliárd felhasználó jelentkezik be a Microsoft rendszereibe. Biztonsági észlelési algoritmusaink lehetővé teszik, hogy már a megjelenésük pillanatában észleljük és blokkoljuk a támadásokat. Mivel a felhőből valós idejű észlelési és védelmi rendszerek működnek, ezek csak akkor érhetők el, amikor a felhőben végez Azure AD-hitelesítést (például átmenő hitelesítést).
Intelligens zárolás
A felhőben az Intelligens zárolás használatával különböztetjük meg a valószínűleg érvényes felhasználótól származó bejelentkezési kísérleteket azoktól, amelyek támadótól eredhetnek. Ki tudjuk zárni a támadót, miközben az érvényes felhasználó tovább használhatja a fiókot. Ez megakadályozza a szolgáltatásmegtagadást a felhasználónál, és leállítja a szórásos jelszófeltörési támadásokat. Ez az összes Azure AD-bejelentkezésre vonatkozik, függetlenül a licencszinttől, és a Microsoft-fiókokba való minden bejelentkezésre is érvényes.
Az Active Directory összevonási szolgáltatásokat (ADFS) használó bérlői fiókok 2018 márciusától kezdve natív módon fogják tudni használni az Intelligens zárolás funkciót a Windows Server 2016-on futó ADFS szolgáltatásban – a funkció a Windows Update-en keresztül fog megjelenni.
IP-zárolás
Az IP-zárolás úgy működik, hogy a több milliárdnyi bejelentkezést elemezve felméri az egyes IP-címekről a Microsoft rendszerei felé irányuló adatforgalom minőségét. Ezzel az elemzéssel az IP-zárolás meg tudja állapítani, hogy mely IP-címek viselkednek gyanúsan, és ezeket a bejelentkezéseket valós időben blokkolja.
Támadásszimulációk
A jelenleg az Office 365 Intelligens veszélyforrás-felderítés részeként nyilvános előzetes verzióban elérhető Támadásszimulátor lehetővé teszi az ügyfeleknek, hogy szimulált támadásokat indítsanak saját végfelhasználóik ellen, kiderítsék, hogy a felhasználók hogyan viselkednek támadás esetén, és a szabályzatok frissítésével és a megfelelő biztonsági eszközök bevetésével védelmet biztosítsanak a szervezetnek a szórásos jelszófeltöréshez hasonló támadások ellen.
A legsürgősebb javasolt teendők:
- Ha felhőalapú hitelesítést használ, akkor már biztosított a védelme.
- Az ADSF használata vagy más hibrid szituáció esetén keresse az ADFS Intelligens zárolás funkciót tartalmazó, 2018. márciusi frissítését.
- A Támadásszimulátor használatával proaktívan mérje fel a biztonsági állapotát, és végezze el a szükséges módosításokat.
2. lépés: Többtényezős hitelesítés használata
A jelszó kulcsfontosságú a fiókok eléréséhez, de egy sikeres szórásos jelszófeltörési támadás esetén a támadó már kitalálta a helyes jelszót. Ha le szeretnénk őket állítani, a jelszón kívül mást is kell használnunk a fióktulajdonos és a támadó megkülönböztetésére. Ennek három módjáról az alábbiakban olvashat.
Kockázatalapú többtényezős hitelesítés
Az Azure AD Identity Protection a fent említett bejelentkezési adatok, valamint fejlett gépi tanuláson és különböző algoritmusokon alapuló észlelés használatával a rendszerbe érkező minden egyes bejelentkezéshez egy kockázati pontszámot rendel. Ez lehetővé teszi, hogy a nagyvállalati ügyfelek olyan szabályzatokat hozzanak létre az Identity Protection szolgáltatásban, amelyek kizárólag abban az esetben kérik egy második tényezővel történő hitelesítésre a felhasználót, ha valamilyen kockázatot észleltek a felhasználót vagy a munkamenetet illetően. Ez csökkenti a felhasználókra rótt terhet, és akadályokat tesz a támadók útjába. Az Azure AD Identity Protection szolgáltatásról ide kattintva tájékozódhat bővebben.
Állandó többtényezős hitelesítés
A még nagyobb biztonság érdekében az Azure MFA megoldással megkövetelheti a felhasználóktól a többtényezős hitelesítés mindenkori használatát, a felhőalapú bejelentkezések és az ADFS használata során egyaránt. Habár ebben az esetben a végfelhasználóknak mindig a saját eszközüket kell használniuk, és gyakrabban kell többtényezős hitelesítést végrehajtaniuk, a módszerrel a legnagyobb biztonság szavatolható a nagyvállalatnak. A funkciót a szervezet minden rendszergazdájánál célszerű engedélyezni. Az Azure Multi-Factor Authentication szolgáltatásról ide kattintva, az Azure MFA ADFS-hez történő konfigurálásáról pedig itt tudhat meg többet.
Az Azure MFA mint elsődleges hitelesítés
Az ADFS 2016-ban lehetősége van arra, hogy az Azure MFA megoldást használja elsődleges hitelesítésként a jelszó nélküli hitelesítéshez. Ez egy kiváló eszköz a szórásos jelszófeltörési és a jelszólopásos támadások elleni védelemre: ha nincs jelszó, nincs mit kitalálni. Ez a különböző méretű és típusú eszközök mindegyike esetén nagyszerűen működik. Mostantól továbbá a jelszót csak azt követően használhatja második tényezőként, ha megtörtént az egyszeri jelszó (OTP) érvényesítése az Azure MFA-val. A jelszavak második tényezőként való használatáról ide kattintva tudhat meg többet.
A legsürgősebb javasolt teendők:
- Kifejezetten javasoljuk, hogy a szervezet összes rendszergazdájánál engedélyezze az állandó többtényezős hitelesítést, különös tekintettel az előfizetések tulajdonosaira és a bérlői fiókok rendszergazdáira. Komolyan, tegye meg ezt már most.
- A többi felhasználót illetően a legjobb élmény érdekében a kockázatalapú többtényezős hitelesítést javasoljuk, amely az Azure AD Premium P2-licencekkel érhető el.
- Ellenkező esetben az Azure MFA megoldást használja a felhőalapú hitelesítéshez és az ADFS-hez.
- Az ADFS szolgáltatásban a Windows Server 2016-on futó ADFS-re frissítve megkezdheti az Azure MFA használatát az elsődleges hitelesítéshez, különös tekintettel az extranetes hozzáférésekre.
3. lépés: Jobb jelszavak mindenkinek
A szórásos jelszófeltörési támadások elleni védekezés legfőbb eleme még a fentiek megléte esetén is az, hogy minden felhasználó olyan jelszóval rendelkezzen, amelyet nehéz kitalálni. A felhasználóknak gyakran nehezükre esik a nehezen kitalálható jelszavak létrehozása. A Microsoft ezekkel az eszközökkel ebben is segítséget nyújt.
Letiltott jelszavak
Az Azure AD a jelszavak minden módosítása és alaphelyzetbe állítása során ellenőrzi, hogy a megadott jelszó nem szerepel-e a letiltott jelszavak listáján. Új jelszó megadásakor a rendszer ellenőrzi, hogy az nem egyezik-e meg akár csak részben a jelszavakban soha, senkinek nem javasolt szavak listájának elemeivel (és ilyenkor a l33t-sp3@k szerinti írásmód sem segít). Egyezés esetén az ellenőrzés elutasítja a jelszót, és arra kéri a felhasználót, hogy válasszon egy nehezebben kitalálható jelszót. Listát vezetünk a támadásoknak gyakran kitett jelszavakról, amelyet rendszeresen frissítünk.
Egyéni letiltott jelszavak
A letiltott jelszavak további pontosítása érdekében lehetővé fogjuk tenni a bérlői fiókoknak a letiltott jelszavakat tartalmazó listák testreszabását. A rendszergazdák kiválaszthatnak a szervezetükre jellemző szavakat – például híres munkatársak és alapítók neve, termékek, helyszínek, regionális ikonok stb. –, és megakadályozhatják a felhasználói jelszavakban történő használatukat. Ezt a listát a rendszer a globális lista mellett kényszeríti, így Önnek nem kell választania a kettő közül. A funkció jelenleg korlátozott előzetes verzióban érhető el, és az idei év során fog megjelenni.
Letiltott jelszavak a helyszíni módosításokhoz
Az idei év tavaszán bevezetünk egy olyan eszközt, amellyel a nagyvállalati rendszergazdák a hibrid Azure AD-Active Directory környezetekben is letilthatják a jelszavakat. A letiltott jelszavak listája szinkronizálódni fog a felhőből a helyszíni környezetekbe, és kényszerítve lesz minden tartományvezérlőn az ügynökkel. Így a rendszergazdák egyszerűbben gondoskodhatnak arról, hogy a felhasználói jelszavak nehezebben kitalálhatók legyenek, függetlenül attól, hogy a felhasználó hol módosítja a jelszót – a felhőben vagy a helyszínen. A funkció korlátozott privát előnézetben jelent meg 2018. februárban, és az idei év során lesz általánosan elérhető.
A jelszavakkal kapcsolatos gondolkodásmód megváltoztatása
A világon sok téves feltételezés kering azzal kapcsolatban, hogy mitől jó egy jelszó. Sokszor ami matematikai szempontból hasznosnak tűnik, az valójában előre megjósolható felhasználói viselkedéshez vezet: a bizonyos karaktertípusok és az időszakonkénti jelszómódosítás megkövetelése egyaránt adott jelszóminták kialakulásához vezet. További részletekért olvassa el a jelszavakkal kapcsolatos irányelveinket ismertető tanulmányt. Ha az Active Directoryt átmenő hitelesítéssel vagy az ADFS szolgáltatással használja, frissítse a jelszószabályzatait. Felhőalapú fiókok használata esetén fontolja meg a jelszavak soha le nem járóként való beállítását.
A legsürgősebb javasolt teendők:
- Ha már megjelent, telepítse a Microsoft letiltott jelszavak kezelésére szolgáló eszközét a helyszínen, így segítve a felhasználókat a jobb jelszavak létrehozásában.
- Tekintse át a jelszószabályzatait, és fontolja meg a jelszavak soha le nem járóként való beállítását, hogy a felhasználók ne használjanak időszakos ismétlődési mintákat a jelszavak létrehozásakor.
4. lépés: Még nagyszerűbb funkciók az ADFS és az Active Directory szolgáltatásban
Ha hibrid hitelesítést használ az ADFS és az Active Directory szolgáltatással, több lépést is tehet, hogy megvédje környezetét a szórásos jelszófeltörési támadásokkal szemben.
Az első lépés: Az ADFS 2.0-t vagy a Windows Server 2012-et használó szervezetek amint lehetséges, tervezzék meg a Windows Server 2016-on futó ADFS-re való áttérést. A legújabb verzió gyorsabban fog frissülni a további képességekkel, így például az extranetes fiókzárolással. És ne feledje: megkönnyítettük a Windows Server 2012 R2-ről a 2016-os verzióra való frissítést.
A régi típusú hitelesítés blokkolása az extranetről
A régi típusú hitelesítési protokollok nem képesek a többtényezős hitelesítés kényszerítésére, ezért a legjobb megoldás, ha blokkolja őket az extranetről. Ezzel megakadályozza, hogy a szórásos jelszófeltörést alkalmazó támadók kihasználhassák a többtényezős hitelesítés hiányát e protokollok használata esetén.
Extranetes fiókzárolás engedélyezése az ADFS webalkalmazás-proxyn
Ha nincs beállítva extranetes fiókzárolás az ADFS webalkalmazás-proxyn, érdemes azt minél hamarabb engedélyezni, hogy védelmet nyújtson a felhasználóknak a jelszavakat érintő potenciális találgatásos támadások ellen.
Az ADFS szolgáltatással használható Azure AD Connect Health üzembe helyezése
Az Azure AD Connect Health rögzíti a nem megfelelő „felhasználónév/jelszó” kérések esetén az ADFS-naplókban rögzített IP-címeket, további jelentéskészítési lehetőségeket biztosít számos különböző forgatókönyv esetén, és további háttérismeretekkel segíti a mérnökök munkáját a személyes tanácsadási esetek megnyitásakor.
Az üzembe helyezéshez töltse le az ADFS szolgáltatással használható Azure AD Connect Health Agent ügynököt az összes ADFS-kiszolgálóra (2.6.491.0). Az ADFS-kiszolgálókon a Windows Server 2012 R2 KB3134222 jelű frissítéssel ellátott verziójának vagy a Windows Server 2016-nak kell futnia.
Nem jelszóalapú hozzáférési módszerek használata
Ha nincs jelszó, nincs mit kitalálni. Az ADFS-hez és a webalkalmazás-proxyhoz az alábbi, nem jelszóalapú hitelesítési módszerek érhetők el:
- A tanúsítványalapú hitelesítés esetén teljes mértékben blokkolhatók a „felhasználónév/jelszó” végpontok a tűzfalnál. A tanúsítványalapú hitelesítés ADFS szolgáltatásban való használatáról ide kattintva olvashat bővebben.
- Az Azure MFA, ahogyan fent már említettem, használható második tényezőként a felhőalapú hitelesítés során, illetve az ADFS 2012 R2-ben és 2016-ban. Az ADFS 2016-ban azonban elsődleges tényezőként is használható a szórásos jelszófeltörések lehetőségének teljes kizárásához. Az Azure MFA ADFS szolgáltatással való konfigurálásáról ide kattintva tájékozódhat bővebben.
- A Windows 10-ben elérhető és a Windows Server 2016-on futó ADFS által támogatott Vállalati Windows Hello teljes mértékben jelszó nélküli hozzáférést tesz lehetővé, beleértve az extranetet is, a felhasználóhoz és az eszközhöz kötött erős titkosítási kulcsok alapján. Ez az Azure AD-hez vagy a hibrid Azure AD-hez csatlakoztatott, vállalat által kezelt eszközökhöz és a személyes eszközökhöz is elérhető, a Beállítások app Munkahelyi vagy iskolai fiók beállítása elemét választva. További információ a Vállalati Windows Hellóról.
A legsürgősebb javasolt teendők:
- Váltson az ADFS 2016-ra a gyorsabb frissítésekért.
- Blokkolja a régi típusú hitelesítést az extranetről.
- Helyezze üzembe az ADFS szolgáltatással használható Azure AD Connect Health Agent ügynököket az összes ADFS-kiszolgálón.
- Fontolja meg egy jelszó nélküli elsődleges hitelesítési módszer, például az Azure MFA, a tanúsítványok vagy a Vállalati Windows Hello használatát.
Bónusz: A Microsoft-fiókok védelme
Ha van Microsoft-fiókja:
- Nagyszerű hírünk van, az Ön védelme már biztosított! A Microsoft-fiókokban szintén elérhető sok más mellett az Intelligens zárolás, az IP-zárolás, a kockázatalapú kétlépéses ellenőrzés és a letiltott jelszavak listája.
- Mégis érdemes rászánnia két percet, és felkeresnie a Microsoft-fiók Beállítások lapját, ahol az Adatok frissítése gombot választva áttekintheti a kockázatalapú kétlépéses ellenőrzéshez használt biztonsági adatokat.
- Fontolja meg az állandó kétlépéses ellenőrzés bekapcsolását (ezt ide kattintva teheti meg), hogy fiókját a lehető legnagyobb biztonsággal lássa el.
A legjobb védelem… ha követi a bejegyzésben ajánlott eljárásokat
A szórásos jelszófeltörés a jelszavakat használó minden internetes szolgáltatásnak komoly fenyegetést jelent, a jelen blogbejegyzésben ismertetett lépésekkel azonban maximális védelmet érhet el az ilyen típusú támadásokkal szemben. És mivel sok, különböző típusú támadás hasonló jellemzőket mutat, ezek általában véve is hasznos védelmi javaslatoknak bizonyulnak. Az Ön biztonsága mindig a legfőbb prioritásunk, ezért jelenleg is folyamatosan dolgozunk olyan új, fejlett védelmi megoldásokon, amelyekkel sikeresen felvehető a harc a szórásos jelszófeltörési és más támadások ellen. Próbálja ki a fent ismertetett megoldásokat, és látogasson vissza rendszeresen, hogy értesüljön az internetes támadók elleni védekezéshez használható új eszközökről.
Remélem, hasznosnak találja az itt szereplő információkat. Mint mindig, most is örömmel várjuk visszajelzését vagy javaslatait.
Üdvözlettel:
Alex Simons (Twitter: @Alex_A_Simons)
Programkezelési igazgató
Microsoft Identity részleg