Preskoči na glavno vsebino
Microsoft 365
Naroči se

Najboljše prakse za Azure AD in ADFS: obramba ped napadi z razprševanjem gesla

S

Pozdravljeni,

odkar obstajajo gesla, jih ljudje poskušajo uganiti. V tem spletnem dnevniku bomo predstavili običajni napad, ki je v zadnjih časih VEDNO bolj pogost, in nekatere najboljše prakse, kako se ga ubraniti. Ta napad se imenuje razprševanje gesla.

V napadu z razprševanjem gesla napadalci preskusijo najpogostejša gesla za številne različne račune in storitve, da bi pridobili dostop do katerega koli sredstva, ki je zaščiteno z geslom. Ti napadi običajno ciljajo različne organizacije in ponudnike identitet. Napadalec na primer s splošno razpoložljivim kompletom orodij, kot je Mailsniper, oštevilči vse uporabnike v več organizacijah, nato pa preskusi »P@$$w0rd« in »Geslo1« za vse račune. Napad je lahko videti tako:

Ciljni uporabnik Ciljno geslo
[email protected] Geslo1
[email protected] Geslo1
[email protected] Geslo1
[email protected] Geslo1
[email protected] P@$$w0rd
[email protected] P@$$w0rd
[email protected] P@$$w0rd
[email protected] P@$$w0rd

Ta vzorec napada obide večino tehnik odkrivanja, saj je napad z vidika posameznega uporabnika ali organizacije videti le kot osamljeno neuspešno geslo.

Za napadalce je to igra s številkami: zavedajo se, da obstajajo gesla, ki so povsem običajna. Čeprav ima najobičajnejša gesla le od 0,5 do 1,0 odstotka računov, pa bo napadalcu napad uspel nekajkrat na vsakih tisoč računov, kar je dovolj učinkovito.

S temi računi napadalci pridobijo podatke iz e-poštnih sporočil, prevzamejo podatke za stik in pošljejo povezave za lažno predstavljanje ali le razširijo ciljno skupino za napad z razprševanjem gesla. Napadalcem običajno ni mar, kdo so začetne tarče napadov – njihov cilj je uspešno izvesti napad, od katerega bodo imeli korist.

Dobra novica je, da so na voljo številna že uvedena Microsoftova orodja, s katerimi lahko preprečite te napade, kmalu pa bodo na voljo tudi druga. Berite dalje in si oglejte, kako lahko že danes in v prihajajočih mesecih preprečite napade z razprševanjem gesla.

Štirje preprosti koraki za onemogočanje napadov z razprševanjem gesla

1. korak: uporaba preverjanja pristnosti v oblaku

V oblaku je vsakodnevno izvedenih več milijard vpisov v Microsoftov sistem. Z našim varnostnim algoritmom za zaznavanje lahko zaznamo in blokiramo napade medtem, kot se ti dogajajo. Ker so to sistemi za zaznavanje in zaščito v realnem času, ki se izvajajo v oblaku, so na voljo le za preverjanje pristnosti v imeniku Azure AD v oblaku (vključno s prepustnim preverjanjem pristnosti).

Pametna zaklenitev

V oblaku s pametno zaklenitvijo ločimo poskuse vpisa, za katere se zdi, da jih je izvedel veljavni uporabnik, in vpise uporabnika, ki bi bil lahko napadalec. Napadalca lahko zaklenemo, veljavnemu uporabniku pa omogočimo, da še naprej uporablja račun. S tem preprečimo zavrnitev storitve za uporabnika in ustavimo napade z razprševanjem gesel. To velja za vse vpise v storitvi Azure AD, ne glede na raven licence, in za vse vpise v Microsoftov račun.

Najemniki, ki koristijo storitve ADFS (Active Directory Federation Services), lahko izvorno uporabljajo pametno zaklenitev v storitvah ADFS v sistemu Windows Server 2016 od marca 2018 – poiščite to možnost na spletnem mestu Windows Update.

Zaklenitev IP-ja

Zaklenitev IP-ja analizira milijarde vpisov, da oceni kakovost prometa, ki poteka od posameznih naslovov IP do Microsoftovih sistemov. S to analizo zaklenitev IP-ja poišče zlonamerne naslove IP in blokira te vpise v realnem času.

Simulacije napadov

Simulator napada je zdaj na voljo v predogledu za javnost kot del obveščanja o grožnjah storitve Office 365, s katerim lahko stranke zaženejo simulirane napade na svoje končne uporabnike, določijo, kako se uporabniki vedejo v primeru napada, posodobijo pravilnike in zagotovijo, da so uporabljena ustrezna varnostna orodja za zaščito organizacije pred grožnjami, kot so napadi z razprševanjem gesla.

Stvari, ki jih morate izvesti takoj:

  1. Če uporabljate preverjanje pristnosti v oblaku, ste zaščiteni.
  2. Če uporabljate ADFS ali drug hibridni scenarij, poiščite nadgradnjo za ADFS, imenovano Pametna zaklenitev, ki je na voljo od marca 2018.
  3. Uporabite simulator napada za proaktivno ocenitev svoje varnosti ter izvedite morebitne spremembe.

2. korak: uporaba večkratnega preverjanja pristnosti

Geslo je ključ za dostop do računa – v uspešnem napadu z razprševanjem gesla je napadalec uganil pravilno geslo. Če želite preprečiti takšne napade, potrebujete več kot le geslo za razlikovanje med lastnikom računa in napadalcem. To lahko storite na tri načine, ki smo jih predstavili spodaj.

Večkratno preverjanje pristnosti, ki temelji na tveganju

Storitev Azure AD Identity Protection uporabi zgoraj omenjene podatke o vpisu in rezultat tveganja za vsak vpis v sistem nadgradi z naprednim strojnim učenjem in algoritemskim zaznavanjem. Stranke v podjetju lahko ustvarijo pravilnike v storitvi Identity Protection, ki pozovejo uporabnika k preverjanju pristnosti z drugim dejavnikom, vendar samo v primeru, da je bilo za uporabnika ali njegovo sejo zaznano tveganje. S tem razbremenite uporabnike in onemogočite napadalce. Več informacij o storitvi Azure AD Identity Protection je na voljo tukaj.

Stalno večkratno preverjanje pristnosti

Če želite zagotoviti dodatno varnost, lahko storitev Azure MFA nastavite tako, da je za uporabnike vedno zahtevano večkratno preverjanje pristnosti, in sicer preverjanje pristnosti v oblaku in v storitvah ADFS. Čeprav to pomeni, da morajo imeti končni uporabniki svoje naprave ves čas pri sebi in pogosteje izvajati večkratno preverjanje pristnosti, pa je to najbolj varna rešitev za vaše podjetje. Ta način omogočite za vse skrbnike v organizaciji. Več informacij o storitvi Azure Multi-Factor Authentication najdete tukaj in o tem, kako konfigurirate Azure MFA za ADFS.

Azure MFA kot primarno preverjanje pristnosti

ADFS 2016 omogoča uporabo storitve Azure MFA kot primarnega preverjanja pristnosti za preverjanje pristnosti brez gesel. To je odlično orodje za zaščito pred napadi z razprševanjem gesel in napadi s krajo gesel: če ni gesla, ga ni mogoče uganiti. To je odlično za vse vrste naprav različnih dimenzij. Poleg tega lahko zdaj geslo uporabite tudi kot drugi dejavnik, potem ko ste preverili veljavnost enkratnega gesla v storitvi Azure MFA. Več informacij o uporabi gesla kot drugega dejavnika je na voljo tukaj.

Stvari, ki jih morate izvesti takoj:

  1. Priporočamo, da omogočite stalno večkratno preverjanje pristnosti za vse skrbnike v organizaciji, še posebej za lastnike naročnin in skrbnike najemnikov. To storite takoj.
  2. Če želite zagotoviti najboljšo izkušnjo za druge uporabnike, priporočamo, da izberete večkratno preverjanje pristnosti, ki temelji na tveganju, v okviru licence za Azure AD Premium P2.
  3. V nasprotnem primeru uporabite Azure MFA za preverjanje pristnosti v oblaku in ADFS.
  4. V storitvah ADFS nadgradite na ADFS v sistemu Windows Server 2016, da boste lahko uporabljali Azure MFA za primarno preverjanje pristnosti, zlasti za vse dostope do ekstraneta.

3. korak: boljša gesla za vse

Kljub vsem zgornjim ukrepom, pa je glavna komponenta zaščite pred napadi z razprševanjem gesel ta, da imajo vsi uporabniki gesla, ki jih je težko uganiti. Uporabniki imajo pogosto težave s tem, kako ustvariti gesla, ki bi jih drugi težko uganili. Microsoft vam bo pomagal s temi orodji.

Prepovedane gesla

V storitvi Azure AD vsako spremenjeno in ponastavljeno geslo preveri preverjevalnik prepovedanih gesel. Ko pošljete novo geslo, je preverjeno delno ujemanje gesla s seznamom besed, ki jih nikoli ne sme vsebovati nobeno geslo (in črkovanje l33t-sp3@k ne pomaga). Če se geslo ujema s seznamom, je zavrnjeno in uporabnik je pozvan k izbiri gesla, ki ga je težje uganiti. Ustvarili smo seznam najpogosteje napadenih gesel, ki ga redno posodabljamo.

Prepovedana gesla po meri

Ker želimo dodatno izpopolniti prepovedana gesla, najemniki lahko prilagajajo svoje sezname prepovedanih gesel. Skrbniki lahko izberejo besede, ki so značilne za njihovo organizacijo – znani zaposleni in ustanovitelji, izdelki, lokacije, regionalne ikone itd. – in tako preprečijo, da bi jih uporabniki uporabljali v svojih geslih. Ta seznam bo uveljavljen skupaj z globalnim seznamom, tako da vam ni treba izbirati med njima. Trenutno je na voljo kot omejeni predogled, za javnost pa bo na voljo v tem letu.

Prepovedana gesla za spremembe na mestu uporabe

To pomlad bomo izdali orodje, s katerim bodo lahko skrbniki v podjetjih prepovedali gesla v hidridnih okoljih imenika Azure AD-Active Directory. Seznam prepovedanih gesel v oblaku bo sinhroniziran z okolji na mestu uporabe in uveden za vse krmilnike domene s posredniki. Na ta način skrbniki zagotovijo, da je gesla uporabnikov težje uganiti, ne glede na to, kje uporabniki spreminjajo svoja gesla – v oblaku ali na mestu uporabe. Ta funkcija je od februarja 2018 na voljo kot omejena zasebna predogleda različica, letos pa bo postala tudi splošno razpoložljiva.

Spremenite svoje razmišljanje o geslih

Veliko splošnih konceptov o tem, kaj naredi geslo dobro, je napačnih. Običajno se tisto, kar bi moralo nuditi matematično podporo, dejansko konča s predvidljivim vedenjem uporabnika: zahteve po določenih vrstah znakov in periodičnih spreminjanjih gesel na primer privedejo do določenih vzorcev gesel. Dodatne podrobnosti najdete v informativnem dokumentu z navodili za gesla. Če uporabljate Active Directory s PTA-jem ali ADFS-jem, posodobite pravilnike za gesla. Če uporabljate račune za upravljanje v oblaku, nastavite gesla tako, da nikoli ne potečejo.

Stvari, ki jih morate izvesti takoj:

  1. Ob izdaji namestite Microsoftovo orodje za prepovedana gesla na mestu uporabe, s katerim bodo uporabniki lažje ustvarjali boljša gesla.
  2. Preglejte pravilnike za gesla – priporočamo, da jih nastavite tako, da nikoli ne potečejo, tako da uporabniki ne bodo ustvarjali svoja gesla po sezonskih vzorcih.

4. korak: še več vrhunskih funkcij v storitvah ADFS in imeniku Active Directory

Če uporabljate hidridno preverjanje pristnosti s storitvami ADFS in imenikom Active Directory, so na voljo dodatni koraki, s katerimi lahko zaščitite svoje okolje pred napadi z razprševanjem gesel.

Prvi korak: organizacijam, ki uporabljajo ADFS 2.0 ali Windows Server 2012, priporočamo, da čim prej začnejo uporabljati ADFS v sistemu Windows Server 2016. Najnovejša različica bo hitreje posodobljena z boljšimi zmogljivostmi, kot je zaklenitev ekstraneta. Ne pozabite: omogočili smo vam izjemno preprosto nadgradnjo iz sistema Windows Server 2012R2 v 2016.

Blokirajte podedovano preverjanje pristnosti v ekstranetu

Protokoli za podedovano preverjanje pristnosti ne morejo vsiliti večkratnega preverjanja pristnosti, zato je najbolje, da jih blokirate v ekstranetu. S tem boste preprečili, da bi napadalci z napadi z razprševanjem gesel izkoristili odsotnost večkratnega preverjanja pristnosti v teh protokolih.

Omogočite zaklenitev ekstraneta za proxy spletne aplikacije ADFS

Če nimate funkcije za zaklenitev ekstraneta za proxy spletne aplikacije ADFS, jo morate čim prej omogočiti, da zaščitite uporabnike pred morebitnimi napadi na gesla z grobo silo.

Uvedite razširitev Azure AD Connect Health za ADFS

Azure AD Connect Health pridobiva naslove IP, shranjene v dnevnikih storitev ADFS, za zahteve za neustrezna uporabniška imena/gesla ter nudi dodatna poročila za številne scenarije in dodatne vpoglede za podporo inženirjem pri primerih z vodeno podporo.

Če želite uvesti to rešitev, prenesite najnovejšo različico razširitve Azure AD Connect Health Agent za ADFS v vse strežnike ADFS (2.6.491.0). V strežnikih ADFS se mora izvajati sistem Windows Server 2012 R2 z nameščeno varnostno posodobitvijo KB 3134222 ali Windows Server 2016.

Uporabljajte načine dostopa brez gesel

Če geslo ne obstaja, ga ni mogoče uganiti. Ti načini preverjanja pristnosti brez gesel so na voljo za ADFS in proxy spletne aplikacije:

  1. S preverjanjem pristnosti s potrdilom lahko požarni zid v celoti blokira končne točke uporabniškega imena/gesla. Več informacij o preverjanju pristnosti s potrdilom v storitvah ADFS.
  2. Kot smo že omenili zgoraj, lahko storitev Azure MFA uporabite tudi kot drugi dejavnik za preverjanje pristnosti v oblaku ter storitvah ADFS 2012 R2 in 2016. Uporabite pa jo lahko tudi kot primarni faktor v storitvah ADFS 2016, da v celoti preprečite možnost napada z razprševanjem gesla. Več informacij o konfiguraciji rešitve Azure MFA s storitvami ADFS je na voljo tukaj.
  3. Funkcija Windows Hello za podjetja, ki je na voljo v sistemu Windows 10 in podprta za storitve ADFS v sistemu Windows Server 2016, omogoča popoln dostop brez gesel, tudi v ekstranetu, ki temelji na učinkovitih kriptografskih ključih, povezanih z uporabnikom in napravo. Ta funkcija je na voljo za upravljane naprave v podjetju, ki so pridružene imeniku Azure AD ali hidridnemu imeniku Azure AD, in osebne naprave v razdelku »Dodajte službeni ali šolski račun« na zavihku »Nastavitve«. Več informacij o funkciji Hello za podjetja.

Stvari, ki jih morate izvesti takoj:

  1. Nadgradite na ADFS 2016 za hitrejše posodobitve
  2. Blokirajte podedovano preverjanje pristnosti v ekstranetu.
  3. Uvedite posrednike razširitve Azure AD Connect Health za ADFS v vseh strežnikih ADFS.
  4. Priporočamo, da uporabite način primarnega preverjanja pristnosti brez gesla, kot so Azure MFA, potrdila ali Windows Hello za podjetja.

Dodatno: zaščita Microsoftovih računov

Če ste uporabnik Microsoftovega računa:

  • Odlična novica – ste namreč že zaščiteni. Microsoftovi računi vključujejo tudi pametno zaklenitev, zaklenitev IP-ja, preverjanje v dveh korakih, ki temelji na tveganju, prepovedana gesla in drugo.
  • Vzemite si nekaj minut in obiščite stran za varnost Microsoftovega računa ter izberite možnost »Posodobitev varnostnih podatkov«, da pregledate varnostne podatke, uporabljene za preverjanje v dveh korakih, ki temelji na tveganju.
  • Priporočamo, da vklopite stalno preverjanje v dveh korakih tukaj in tako zagotovite najboljšo možno zaščito za svoj račun.

Najboljša zaščita je … upoštevanje priporočil v tem spletnem dnevniku

Napad z razprševanjem gesla je resna grožnja za vsako storitev v internetu, ki uporablja gesla, vendar se lahko s koraki v tem spletnem dnevniku maksimalno zaščitite pred tem vektorjem napada. Ker imajo številne vrste napadov podobne značilnosti, so to dobri predlogi za splošno zaščito. Vaša varnost nam pomeni največ, zato si močno prizadevamo, da bi razvili nove, napredne zaščite pred napadi z razprševanjem gesel in vsemi drugimi napadi, ki pretijo našim strankam. Že danes uporabite rešitve, ki smo vam jih danes predstavili, in nas redno spremljajte, da boste izvedeli več o novih orodjih, s katerimi se boste lahko zaščitili pred napadalci v internetu.

Upam, da so vam te informacije uporabne. Tako kot vedno, se tudi tokrat veselimo vaših povratnih informacij in predlogov.

Lep pozdrav,

Alex Simons (Twitter: @Alex_A_Simons)

Vodja oddelka za upravljanje programa

Microsoftov oddelek za upravljanje identitet

Sorodne objave