kopš sākām izmantot paroles, citi cilvēki vienmēr ir mēģinājuši tās uzminēt. Šajā emuārā aplūkosim bieži sastopamu uzbrukumu, kas pēdējā laikā tiek īstenots arvien biežāk, kā arī dažas labākās prakses aizsardzībai pret to. Šis uzbrukums parasti tiek dēvēts par paroles šalti.

Paroles šalts uzbrukumā ļaundari izmēģina visbiežāk lietotās paroles daudziem dažādiem kontiem un pakalpojumiem, lai piekļūtu visiem atrastajiem ar paroli aizsargātajiem līdzekļiem. Mērķis parasti ir daudzas dažādas organizācijas un identitātes nodrošinātāji. Piemēram, uzbrucējs izmanto plaši pieejamu rīkkopu, piemēram, Mailsniper, lai uzskaitītu visus lietotājus vairākās organizācijās, un pēc tam izmēģina “P@$$w0rd” un “Password1” visiem šiem kontiem. Uzbrukums var izskatīties šādi.

Šis uzbrukuma modelis nav konstatējams vairumam atklāšanas metožu, jo no atsevišķa lietotāja vai uzņēmuma skatupunkta šis uzbrukumu izskatās tikai kā atsevišķa nesekmīga pieteikšanās.

Uzbrucējiem tā ir veiksmes spēle — viņi zina, ka dažas paroles tiek lietotas ļoti bieži. Pat tad, ja šīs bieži lietotās paroles tiek izmantotas tikai 0,5-1,0% kontu, uzbrucēji gūs veiksmes dažos gadījumos no katriem tūkstoš uzbrukumiem un tas ir pietiekami, lai šī taktika būtu efektīva.

Viņi izmanto šos kontus, lai iegūtu datus no e-pasta ziņojumiem, ievāktu kontaktinformāciju un nosūtītu pikšķerēšanas saites, kā arī, lai paplašinātu parlesu šalts mērķa grupu. Uzbrucējiem nav īpaši svarīgi, kas ir šie sākotnējie mērķi — ir svarīgi tikai tas, ka tiek gūti panākumi, kurus var izmantot.

Labā ziņa ir tas, ka korporācija Microsoft ir jau ieviesusi un darījusi pieejamus vairākus rīkus aizsardzībai pret šiem uzbrukumiem un drīzumā ir gaidāmi jauni rīki. Turpiniet lasīt, lai uzzinātu, ko varat darīt tūlīt un turpmākajos mēnešos, lai apturētu paroles šalts uzbrukumus.

Četras vienkāršās darbības aizsardzībai pret paroles šalts uzbrukumiem

1. darbība. Mākoņa autentifikācijas izmantošana

Mākonī mēs redzam miljardiem pierakstīšanās Microsoft sistēmās gadījumu katru dienu. Mūsu drošības noteikšanas algoritmu ļauj mums konstatēt un bloķēt uzbrukumus to notikšanas laikā. Tā kā šīs ir reāllaika noteikšanas un aizsardzības sistēmas, kas tiek darbinātas no mākoņa, tās ir pieejami tikai tad, ja tiek veikta Azure AD autentifikācija mākonī (tostarp tranzīta autentifikācija).

Smart Lockout

Mākonī, mēs izmantojam līdzekli Smart Lockout, lai pierakstīšanās mēģinājumus, kas šķiet esam no sankcionētajiem lietotājiem, atšķirtu no pierakstīšanās mēģinājumiem, kurus, iespējams, veic uzbrucējs. Mēs varam bloķēt uzbrucēju, vienlaikus ļaujot sankcionētajiem lietotājiem turpināt izmantot kontu. Tas novērš pakalpojumatteici lietotājam un aptur paroles šalts uzbrukumus. Tas attiecas uz visiem Azure AD pierakstīšanās gadījumiem neatkarīgi no licences līmeņa, kā arī uz visiem Microsoft konta pierakstīšanās gadījumiem.

Nomnieki, kas izmanto Active Directory federācijas pakalpojumu (ADFS), var izmantot viedo lokauts tieši ADFS sistēmā Windows Server 2016, sākot no 2018. gada marta — šī iespēja tiek nodrošināta, izmantojot Windows Update.

IP bloķēšana

IP bloķēšana darbojas, analizējot šos miljardus pierakstīšanās gadījumu, lai novērtētu trafika kvalitāti no katras IP adreses, kas mēģina pieslēgties Microsoft sistēmām. Izmantojot šo analīzi, IP bloķēšana atrod IP adreses, kas rīkojas ļaunprātīgi, un bloķē šos pierakstīšanās gadījumus reāllaikā.

Uzbrukumu simulācijas

Tagad publiskajā priekšskatījumā pieejamais uzbrukumu simulators, kas ir daļa no Office 365 Threat Intelligence, ļauj klientiem palaist simulētus uzbrukumus saviem galalietotājiem, noteikt, kā lietotāji rīkojas uzbrukuma gadījumā, kā arī atjaunināt politikas un nodrošināt, lai tiktu izmantoti atbilstoši drošības rīki organizācijas aizsardzībai pret apdraudējumu, piemēram, paroles šalts uzbrukumiem.

Lietas, kuras iesakām veikt nekavējoties

1. Ja izmantojat mākoņa autentifikāciju, jums nav jāuztraucas
2. Ja izmantojot ADFS vai citu hibrīdu scenāriju, meklējiet 2018. gada marta ADFS jauninājumu attiecībā uz Smart Lockout
3. Izmantojiet uzbrukumu simulatoru, lai proaktīvi novērtētu savu drošības situāciju un veiktu korekcijas

2. darbība. Daudzfaktoru autentifikācijas izmantošana

Paroles ir atslēga, ar kuru var piekļūt kontam, bet sekmīgā paroles šalts uzbrukumā uzbrucējs uzmin pareizo paroli. Lai to nepieļautu, ir jāizmanto kaut kas vairāk, nevis tikai parole, lai atšķirtu konta īpašnieku no uzbrucēja. Tālāk ir izklāstīti trīs veidi, kā to paveikt.

Uz riska balstītas daudzfaktoru autentifikācijas izmantošana

Azure AD Identity Protection izmanto iepriekšminētos pieteikšanās datus un pievieno sarežģītu algoritmisko mācīšanos un algoritmisko noteikšanu, lai novērtētu risku attiecībā uz katru pierakstīšanās sistēmā gadījumu. Tādējādi uzņēmumu klienti var izveidot politikas produktā Identity Protection, kas lietotājam prasa autentifikāciju, izmantojot otru faktoru, tikai tad, ja konkrētajam lietotājam vai sesijai ir konstatēts risks. Tas samazina slodzi lietotājiem un liedz rīkoties ļaundariem. Papildinformācija par Azure AD Identity Protection ir atrodama šeit.

Vienmēr ieslēgta daudzfaktoru autentifikācija

Lai nodrošinātu papildu drošību, varat izmantot Azure MFA, lai saviem lietotājiem vienmēr pieprasītu daudzfaktoru autentifikāciju, gan mākoņa autentifikācijā, gan ADFS. Kaut arī ir nepieciešams, lai lietotājiem vienmēr būtu viņu ierīces un tie biežāk veiktu daudzfaktoru autentifikāciju, tādējādi uzņēmumam tiek nodrošināta visaugstākā līmeņa drošība. Tai ir jābūt iespējotai visiem organizācijas administratoriem. Uzziniet vairāk par Azure daudzfaktoru autentifikāciju šeit, kā arī par Azure MFA ADFS konfigurēšanu.

Azure MFA kā primārā autentifikācija

Produktā ADFS 2016 jums ir iespēja izmantotAzure MFA kā primāro autentifikāciju bez paroles. Tas ir lielisks rīks, lai nodrošinātu aizsardzību pret paroles šalts un paroles zādzību uzbrukumiem — ja paroles nav, to nevar uzminēt. Tas lieliski noder visu veidu ierīcēm ar dažādiem formas faktoriem. Turklāt tagad varat izmantot paroli kā otru faktoru tikai tad, jūsu OTP ir validēts, izmantojot Azure MFA. Papildinformācija par paroles izmantošanu kā otru faktoru ir atrodama šeit.

Lietas, kuras iesakām veikt nekavējoties

1. Mēs iesakām vienmēr iespējot daudzfaktoru autentifikāciju visiem administratoriem savā organizācijā, it īpaši abonementu īpašniekiem un nomnieku administratoriem. Tiešām, izdariet to tūlīt.
2. Lai nodrošinātu vislabāko pieredzi saviem pārējiem lietotājiem, iesakām uz risku balstītu daudzfaktoru autentifikāciju, kas ir pieejam ar Azure AD Premium P2 licencēm.
3. Pretējā gadījumā izmantojiet Azure MFA mākoņa autentifikācijai un ADFS.
4. Produktā ADFS veiciet jaunināšanu uz ADFS sistēmā Windows Server 2016, lai izmantotu Azure MFA kā primāro autentifikāciju, it īpaši ārtīkla piekļuvei.

3. darbība. Labākas paroles visiem lietotājiem

Arī tad, ja ir veikts viss iepriekšminētais, nozīmīgs aizsardzības pret paroles šalts uzbrukumu komponents ir nodrošināšana, lai visu lietotāju paroles būtu grūti uzminamas. Lietotājiem bieži vien ir sarežģīti izveidot grūti uzminamas paroles. Microsoft palīdz to paveikt, nodrošinot šos rīkus.

Aizliegtās paroles

Pakalpojumā Azure AD katram paroles maiņas un atiestatīšanas gadījumam tiek veikta aizliegto paroļu pārbaude. Kad tiek iesniegta jauna parole, tā tiek aptuveni salīdzināta ar vārdiem, kas ietilpst parolēm nederīgo vārdu sarakstā (un izmaiņas vārdu pareizrakstībā šeit nepalīdz). Ja tiek konstatēta atbilstība, parole tiek noraidīta un lietotājam tiek lūgts izvēlēties grūtāk uzminamu paroli. Mēs veidojam bieži uzbrukumos izmantoto paroļu sarakstu un bieži to atjauninām.

Pielāgotas aizliegtās paroles

Lai vēl vairāk uzlabotu aizliegto paroļu izmantošanas nepieļaušanu, mēs nomniekiem atļausim pielāgot savus aizliegto paroļu sarakstus. Administratori var izvēlēties uzņēmumam raksturīgus vārdus, piemēram, slavenus darbiniekus un uzņēmuma dibinātājus, produktus, atrašanās vietas, reģionāli specifiskus vārdus u.c., lai nepieļautu to izmantošanu lietotāju parolēs. Šis saraksts tiks ieviests papildus globālajam sarakstam un nebūs jāizvēlas viens no tiem. Tas pašreiz ir ierobežotajā priekšskatījumā un tiks ieviests šajā gadā.

Aizliegtās paroles lokālām izmaiņām

Šajā pavasarī mēs izlaižam rīku, kas ļaus uzņēmuma administratoriem aizliegt paroles hibrīdās Azure AD Active Directory vidēs. Aizliegto paroļu saraksti tiks no mākoņa sinhronizēti ar jūsu lokālo vidi un ieviesti katrā domēna kontrollerī ar attiecīgo aģentu. Tas palīdz administratoriem nodrošināt, lai lietotāju paroles būtu grūtāk uzminamas neatkarīgi no tā, kur lietotājs maina savu paroli — mākonī vai lokāli. Šis rīks 2018. gada februārī tikai izlaists ierobežotā privātā priekšskatījumā un šogad kļūs vispārīgi pieejams.

Mainiet savus uzskatus par parolēm

Daudzi bieži sastopami pieņēmumi par labu paroļu izveidošanu nav pareizi. Parasti metodes, kurām vajadzētu palīdzēt gūt vēlamos rezultātus, realitātē izraisa paredzamu lietotāju rīcību — piemēram, noteiktu rakstzīmju veidu un periodiskas paroles nomaiņas pieprasīšana izraisa specifisku paroles modeļu rašanos. Detalizētāku informāciju lasiet mūsu norādījumu par parolēm tehniskajā dokumentā. Ja izmantojat Active Directory ar PTA vai ADFS, atjauniniet savas paroļu politikas. Ja izmantojat mākoni pārvaldītus kontus, apsveriet iespēju iestatīt nebeidzamu paroļu derīguma termiņu.

Lietas, kuras iesakām veikt nekavējoties

1. Kad tiks izlaists Microsoft aizliegto paroļu rīks, instalējiet to lokāli, lai palīdzētu lietotājiem izveidot labākas paroles.
2. Pārskatiet savas paroļu politikas un apsveriet iespēju iestatīt derīguma termiņu, kas nekad nebeidzas, lai jūsu lietotāji neizmantotu sezonālus modeļus paroļu izveidei.

4. darbība. Citi izcili Active Directory un ADFS līdzekļi

Ja izmantojat hibrīdu autentifikāciju ar ADFS un Active Directory, ir vēl citas darbības, kuras varat veikt, lai izsargātu savu vidi pret paroles šalts uzbrukumiem.

Vispirms: organizācijām, kurās tiek izmantota sistēma Windows Server 2012 vai ADFS 2.0, ir jāplāno pāriešana uz ADFS sistēmā Windows Server 2016 pēc iespējas drīzāk. Jaunākā versija tiks ātrāk atjaunināta ar bagātīgāku iespēju klāstu, piemēram, ārtīkla lokautu. Un ņemiet vērā: mēs esam ļoti atvieglojuši jaunināšanu no Windows Server 2012R2 uz 2016.

Mantotas autentifikācijas no ārtīkla bloķēšana

Mantotajiem autentifikācijas protokoliem nav iespēju ieviest MFA un tādēļ vislabākā metode ir bloķēt tos no ārtīkla. Tas neļaus paroles šalts uzbrucējiem izmantot MFA trūkumu šajos protokolos.

ADFS tīmekļa lietojumprogrammas starpniekservera ārtīkla lokauta iespējošana

Ja ADFS tīmekļa lietojumprogrammas starpniekserverī nav iestatīts ārtīkla lokauts, ir ieteicams to iespējot pēc iespējas ātrāk, lai lietotājiem nodrošinātu aizsardzību pret iespējamo paroles pārlases uzbrukumu.

Azure Active Directory Connect Health izvietošana ADFS

Azure AD Connect Health tver IP adreses, kas reģistrētas ADFS žurnālos attiecībā uz nederīgiem lietotājvārda/paroles pieprasījumiem, nodrošina papildu uzrādīšanu dažādos scenārijos un sniedz papildu ieskatus atbalsta inženieriem, atverot ar palīdzību saņemama atbalsta gadījumus.

Lai izvietotu, lejupielādējiet jaunāko Azure AD Connect Health Agent for ADFS versiju visos ADFS serveros (2.6.491.0). ADFS serveros jādarbojas sistēmai Windows Server 2012 R2 ar instalētu KB 3134222 vai Windows Server 2016.

Piekļuves metožu bez paroles izmantošana

Ja paroles nav, to nevar uzminēt. Šīs autentifikācijas metodes bez paroles ir pieejamas ADFS un tīmekļa lietojumprogrammas starpniekserverim:

1. Autentifikācija, kas izmanto sertifikātu, ļauj ugunsmūrī pilnībā bloķēt lietotājvārda/paroles galapunktus. Papildinformācija par sertifikātu izmantošanu autentifikācijai pakalpojumā ADFS
2. Azure MFA, kā minēts iepriekš, var izmantot kā otru faktoru mākoņa autentifikācijā, kā arī ADFS 2012 R2 un 2016. Bet to arī var izmantot kā primāro faktoru ADFS 2016, lai pilnībā likvidētu paroļu šalts iespējamību. Informācija par Azure MFA konfigurēšanu ar ADFS ir pieejama šeit
3. Windows Hello uzņēmumiem ir pieejams sistēmā Windows 10 un tam atbalstu nodrošina ADFS sistēmā Windows Server 2016. Tas iespējo piekļuvi pilnībā bez paroles, tostarp arī no ārtīkla, izmantojot stipras kriptogrāfiskās atslēgas, kas piesaistītas lietotājam un ierīcei. Tas ir pieejams uzņēmuma pārvaldītām ierīcēm, kas pievienotas Azure AD vai hibrīdam Azure AD, kā arī personiskām ierīcēm, izmantojot opciju Pievienot darba vai mācību kontu iestatījumu programmā. Iegūstiet papildinformāciju par Hello darbam.

Lietas, kuras iesakām veikt nekavējoties

1. Jaunināšana uz ADFS 2016 ātrākai atjaunināšanai
2. Mantotas autentifikācijas no ārtīkla bloķēšana.
3. Izvietojiet Azure AD Connect Health aģentus darbam ar ADFS visos savos ADFS serveros.
4. Apsveriet iespēju izmantot primāro autentifikācijas metodi bez paroles, piemēram, Azure MFA, sertifikātus vai Windows Hello darbam.

Papildus: Savu Microsoft kontu aizsardzība

Ja esat Microsoft konta lietotājs

• Lieliski — jūs jau esat aizsargāts! Microsoft kontiem arī tiek izmantots Smart Lockout, IP bloķēšana, uz risku balstīta divpakāpju verifikācija, aizliegtās paroles un citi līdzekļi.
• Bet veltiet pāris minūtes, lai dotos uz Microsoft konta drošības lapu, un izvēlieties Drošības informācijas atjaunināšana, lai pārskatītu savu drošības informāciju, kas tiek izmantota uz risku balstītai divpakāpju verifikācijai.
• Apsveriet iespēju pastāvīgi turēt ieslēgtu divpakāpju verifikāciju (to var paveikt šeit), lai kontam nodrošinātu pēc iespējas augstāka līmeņa drošību.

Vislabākā aizsardzība ir… šajā emuārā sniegto ieteikumu ievērošana

Paroles šalts ir nopietns apdraudējums visiem pakalpojumiem internetā, kas izmanto paroles, bet šajā emuārā norādīto darbību veikšana jums nodrošinās maksimālu aizsardzību pret šo uzbrukumu vektoru. Tā kā dažādu veidu uzbrukumiem ir līdzīgas iezīmes, šie ir vispārīgi ieteikumi efektīvas aizsardzības nodrošināšanai. Jūsu drošība vienmēr ir mūsu galvenā prioritāte un mēs pastāvīgi strādājam, lai izveidotu jaunus un efektīvus līdzekļus aizsardzībai pret paroles šalts un visu pārējo veidu uzbrukumiem. Izmantojiet iepriekšminētās iespējas un regulāri atgriezieties, lai uzzinātu par jauniem rīkiem aizsardzībai pret ļaundariem internetā.

Ceru, ka šī informācija ir jums noderīga. Kā vienmēr, mēs labprāt saņemsim jūsu atsauksmes un ieteikumus.

Cieņā

Alekss Simonss (Alex Simons) (Twitter: @Alex_A_Simons)

Programmu pārvaldības nodaļas direktors

Microsoft Identity Division

The post Azure AD un ADFS vislabākās prakses: aizsardzība pret paroles šalts uzbrukumiem appeared first on Microsoft 365 Blog.