Advanced Threat Analytics Archives - Microsoft 365 Blog Tue, 28 Jun 2022 18:29:18 +0000 th hourly 1 https://wordpress.org/?v=6.6.2 แนวทางปฏิบัติของ Azure AD และ ADFS: การป้องกันการโจมตีแบบ Password Spray http://approjects.co.za/?big=th-th/microsoft-365/blog/2018/03/05/azure-ad-and-adfs-best-practices-defending-against-password-spray-attacks/ Mon, 05 Mar 2018 17:00:17 +0000 หวัดดีครับทุกคน ตราบใดที่เรายังมีรหัสผ่านอยู่ ก็จะมีคนล

The post แนวทางปฏิบัติของ Azure AD และ ADFS: การป้องกันการโจมตีแบบ Password Spray appeared first on Microsoft 365 Blog.

]]>
หวัดดีครับทุกคน

ตราบใดที่เรายังมีรหัสผ่านอยู่ ก็จะมีคนลองเดารหัสเหล่านั้นอยู่เสมอ ในบล็อกนี้ เราจะพูดถึงการโจมตีโดยทั่วไปที่มีเพิ่มมากขึ้นในช่วงนี้ และแนวทางปฏิบัติสำหรับการป้องกัน การโจมตีแบบนี้มักเรียกว่า Password Spray

ในการโจมตีแบบ Password Spray เหล่าผู้ไม่หวังดีจะลองใช้รหัสผ่านที่ธรรมดาที่สุดกับบัญชีและบริการต่างๆ หลายบัญชีเพื่อเข้าถึงแอสเซทที่ปกป้องด้วยรหัสผ่านที่พวกเขาจะหาได้ โดยมักจะกระจายไปยังองค์กรต่างๆ และผู้ให้บริการข้อมูลประจำตัว ตัวอย่างเช่น ผู้โจมตีจะใช้ชุดเครื่องมือที่หาได้ทั่วไปอย่าง Mailsniper เพื่อแจงนับผู้ใช้ทั้งหมดในบริษัทหลายแห่ง แล้วลองใส่ “P@$$w0rd” และ “Password1” กับบัญชีเหล่านั้น เพื่อที่จะให้คุณเข้าใจมากขึ้น การโจมตีอาจเป็นลักษณะนี้:

ผู้ใช้เป้าหมาย รหัสผ่านเป้าหมาย
User1@org1.com Password1
User2@org1.com Password1
User1@org2.com Password1
User2@org2.com Password1
User1@org1.com P@$$w0rd
User2@org1.com P@$$w0rd
User1@org2.com P@$$w0rd
User2@org2.com P@$$w0rd

รูปแบบการโจมตีจะหลบเลี่ยงเทคนิคการตรวจหาส่วนใหญ่ได้ เนื่องจากสำหรับผู้ใช้แต่ละรายหรือบริษัทแล้ว การโจมตีจะดูเหมือนการเข้าสู่ระบบที่ผิดพลาดธรรมดาๆ เท่านั้น

สำหรับผู้โจมตี นี่เป็นเกมตัวเลข: พวกเขารู้ว่าจะมีรหัสผ่านสักรายการหนึ่งอยู่แล้วที่เป็นรหัสระดับง่ายมาก แม้ว่าจะมีบัญชีที่ตั้งรหัสผ่านง่ายๆ เพียง 0.5-1.0% แต่ผู้โจมตีก็จะประสบความสำเร็จสองสามครั้งจากการโจมตีบัญชีนับพันครั้ง และเท่านั้นก็เพียงพอแล้ว

พวกเขาใช้บัญชีเพื่อเอาข้อมูลจากอีเมล เก็บข้อมูลผู้ติดต่อ แล้วส่งลิงก์ฟิชชิ่ง หรือเพียงขยายกลุ่มเป้าหมายที่จะโจมตีแบบ Password Spray ต่อ ผู้โจมตีไม่ได้สนใจมากนักว่าใครจะเป็นเป้าหมายในเบื้องต้น พวกเขาสนใจแค่ความสำเร็จเพียงไม่กี่ครั้งที่ใช้หาประโยชน์ได้

ข่าวดีคือ Microsoft มีเครื่องมือหลากหลายที่ดำเนินการและพร้อมให้บริการเพื่อลดการโจมตีเหล่านี้ และยังมีเครื่องมืออื่นๆ ตามมาอีกในเร็วๆ นี้ อ่านเพื่อดูว่าคุณทำอะไรได้บ้างตอนนี้และอีกไม่กี่เดือนข้างหน้าเพื่อหยุดการโจมตีแบบ Password Spray

สี่ขั้นตอนง่ายๆ ที่จะหยุดยั้งการโจมตีแบบ Password Spray

ขั้นตอนที่ 1: ใช้การรับรองความถูกต้องบนระบบคลาวด์

ในระบบคลาวด์ เราเห็นการลงชื่อเข้าใช้ระบบ Microsoft นับล้านครั้งทุกวัน อัลกอริทึมการตรวจหาเพื่อความปลอดภัยอนุญาตให้เราตรวจหาและบล็อกการโจมตีทันทีที่เกิดขึ้น เนื่องจากเป็นการตรวจหาในเวลาจริงและระบบการป้องกันได้รับการควบคุมโดยระบบคลาวด์ ทำให้มีพร้อมใช้งานเมื่อใช้การรับรองความถูกต้อง Azure AD ในระบบคลาวด์ (ซึ่งรวมถึงการรับรองความถูกต้องแบบพาส-ทรู)

การล็อกแบบสมาร์ท

ในระบบคลาวด์ เราใช้การล็อกแบบสมาร์ทเพื่อแยกความแตกต่างระหว่างการพยายามลงชื่อเข้าใช้ที่ดูเหมือนจะมาจากผู้ใช้ที่ถูกต้อง และการลงชื่อเข้าใช้ที่อาจมาจากผู้โจมตี เราสามารถเฝ้าระวังผู้โจมตีในขณะที่ปล่อยให้ผู้ใช้ที่ถูกต้องใช้งานต่อไปได้ ซึ่งจะป้องกันไม่ให้ผู้ใช้เจอการปฏิเสธการให้บริการและหยุดการโจมตีแบบ Password Spray ที่โหมเข้ามา ซึ่งจะใช้กับการลงชื่อเข้าใช้ Azure AD ทั้งหมดในทุกๆ ระดับสิทธิการใช้งาน และการลงชื่อเข้าใช้บัญชี Microsoft ทั้งหมด

ผู้เช่าที่ใช้ Active Directory Federation Services (ADFS) จะสามารถใช้การล็อกแบบสมาร์ทในตัว ADFS ใน Windows Server 2016 ได้ในเดือนมีนาคม 2018 ให้มองหาความสามารถนี้ที่จะมาทาง Windows Update

การล็อก IP

การล็อก IP จะทำงานโดยวิเคราะห์การลงชื่อเข้าใช้นับล้านเพื่อประเมินลักษณะของปริมาณการใช้งานจากแต่ละที่อยู่ IP ที่เข้ามาในระบบของ Microsoft ด้วยการวิเคราะห์ดังกล่าว การล็อก IP จะค้นหาที่อยู่ IP ที่มีลักษณะเป็นอันตรายและบล็อกการลงชื่อเข้าใช้เหล่านั้นในเวลาจริง

โปรแกรมจำลองการโจมตี

ขณะนี้มีให้บริการในรูปแบบตัวอย่างสำหรับสาธารณะ โปรแกรมจำลองการโจมตีที่เป็นส่วนหนึ่งของ Threat Intelligence ของ Office 365 จะให้ลูกค้าได้เปิดใช้การโจมตีที่จำลองขึ้นกับผู้ใช้ของพวกเขา กำหนดพฤติกรรมของผู้ใช้ในเหตุการณ์ที่มีการโจมตี และอัปเดตนโยบายและตรวจสอบให้มั่นใจว่าเครื่องมือรักษาความปลอดภัยที่เหมาะสมนั้นพร้อมปกป้ององค์กรของคุณจากภัยคุกคามอย่างการโจมตีแบบ Password Spray

สิ่งที่เราแนะนำให้คุณดำเนินการโดยเร็วที่สุด:

  1. ถ้าคุณใช้การรับรองความถูกต้องบนระบบคลาวด์อยู่ คุณก็ได้รับการปกป้องแล้ว
  2. ถ้าคุณใช้ ADFS หรือสถานการณ์แบบไฮบริดอื่นๆ ให้มองหาการล็อกแบบสมาร์ทในการอัปเกรด ADFS ประจำเดือนมีนาคม 2018
  3. ใช้โปรแกรมจำลองการโจมตีเพื่อประเมินการรักษาความปลอดภัยเชิงรุกและปรับปรุง

ขั้นตอนที่ 2: ใช้การรับรองความถูกต้องแบบหลายปัจจัย

รหัสผ่านนั้นเป็นกุญแจสู่การเข้าถึงบัญชี แต่ในการโจมตีแบบ Password Spray ที่ประสบความสำเร็จนั้น เกิดจากผู้โจมตีเดารหัสผ่านได้ถูกต้อง เพื่อที่จะหยุดยั้งพวกเขา เราต้องใช้อะไรมากกว่าแค่รหัสผ่านเพื่อแยกแยะระหว่างเจ้าของบัญชีกับผู้โจมตี สามวิธีที่จะทำเช่นนั้นได้อยู่ด้านล่างนี้แล้ว

การรับรองความถูกต้องแบบหลายปัจจัยตามความเสี่ยง

Azure AD Identity Protection ใช้ข้อมูลการลงชื่อเข้าใช้ที่อ้างถึงด้านบน และเพิ่มการเรียนรู้เกี่ยวกับเครื่องขั้นสูงและการตรวจหาแบบอัลกอริทึมเพื่อประเมินความเสี่ยงในทุกการลงชื่อเข้าใช้ที่เข้ามาในระบบ ซึ่งจะทำให้ลูกค้าขององค์กรสร้างนโยบายใน Identity Protection ที่จะพร้อมท์ให้ผู้ใช้รับรองความถูกต้องด้วยปัจจัยที่สองก็ต่อเมื่อตรวจพบความเสี่ยงสำหรับผู้ใช้หรือสำหรับเซสชัน โดยเป็นการลดภาระของผู้ใช้ของคุณ และคอยขัดขวางเหล่าผู้ไม่หวังดี เรียนรู้เพิ่มเติมเกี่ยวกับ Azure AD Identity Protection ที่นี่

ใช้การรับรองความถูกต้องแบบหลายปัจจัยอยู่เสมอ

สำหรับการรักษาความปลอดภัยเพิ่มเติม คุณสามารถใช้ MFA ของ Azure เพื่อบังคับใช้การรับรองความถูกต้องโดยใช้หลายปัจจัยสำหรับบัญชีของคุณตลอดเวลา ทั้งในการรับรองความถูกต้องบนระบบคลาวด์และ ADFS แม้ว่าการรับรองนี้จะบังคับให้ผู้ใช้ต้องพกอุปกรณ์ตลอดเวลาและใช้การรับรองความถูกต้องแบบหลายปัจจัยบ่อยครั้งกว่าเดิม แต่การรับรองทำให้องค์กรของคุณมีความปลอดภัยสูงสุด ซึ่งควรเปิดใช้งานให้แก่ผู้ดูแลระบบทุกคนในองค์กร เรียนรู้เพิ่มเติมเกี่ยวกับการรับรองความถูกต้องแบบหลายปัจจัยของ Azure ที่นี่ และวิธีกำหนค่า MFA ของ Azure สำหรับ ADFS

MFA ของ Azure ในฐานะการรับรองความถูกต้องหลัก

ใน ADFS 2016 คุณสามารถใช้ MFA ของ Azure เป็นการรับรองความถูกต้องหลักสำหรับการรับรองความถูกต้องแบบไม่ใช้รหัสผ่าน ซึ่งเป็นเครื่องมือที่ยอดเยี่ยมในการป้องกันการโจมตีแบบ Password Spray และการโจรกรรมรหัสผ่าน: ถ้าไม่มีรหัสผ่าน ก็เดารหัสผ่านไม่ได้ โดยจะทำงานได้ดีสำหรับทุกอุปกรณ์ที่มีปัจจัยของฟอร์มต่างๆ นอกจากนี้ ตอนนี้คุณสามารถใช้รหัสผ่านเป็นปัจจัยที่สองได้เฉพาะหลังจากที่ MFA ของ Azure ตรวจสอบความถูกต้อง OTP ของคุณแล้วเท่านั้น เรียนรู้เพิ่มเติมเกี่ยวกับการใช้รหัสผ่านเป็นปัจจัยที่สองได้ ที่นี่

สิ่งที่เราแนะนำให้คุณดำเนินการโดยเร็วที่สุด:

  1. เราแนะนำอย่างยิ่งให้เปิดใช้งานการรับรองความถูกต้องแบบหลายปัจจัยอยู่เสมอให้แก่ผู้ดูแลระบบทุกคนในองค์กรของคุณ โดยเฉพาะอย่างยิ่งเจ้าของการสมัครใช้งานและผู้ดูแลผู้เช่า จริงๆ นะ ไปทำเดี๋ยวนี้เลย
  2. เพื่อประสบการณ์ใช้งานที่ดีที่สุดสำหรับผู้ใช้ที่เหลือของคุณ เราแนะนำการรับรองความถูกต้องแบบหลายปัจจัยตามความเสี่ยง ซึ่งจะมีให้ใช้งานกับสิทธิการใช้งาน Azure AD Premium P2
  3. หรือไม่ ให้ใช้ MFA ของ Azure สำหรับการรับรองความถูกต้องบนระบบคลาวด์และ ADFS
  4. ใน ADFS ให้อัปเกรด ADFS บน Windows Server 2016 เพื่อใช้ MFA ของ Azure เป็นการรับรองความถูกต้องหลัก โดยเฉพาะอย่างยิ่งสำหรับการเข้าถึงเอกซ์ทราเน็ตทั้งหมดของคุณ

ขั้นตอนที่ 3: รหัสผ่านที่ดีขึ้นสำหรับทุกคน

แม้จะมีวิธีที่ได้กล่าวมาข้างต้นแล้ว ส่วนที่สำคัญของการป้องกันการโจมตีแบบ Password Spray ก็คือการที่ผู้ใช้ทุกคนมีรหัสผ่านที่คาดเดาได้ยาก บ่อยครั้งจึงเป็นเรื่องยากที่ผู้ใช้จะทราบถึงวิธีสร้างรหัสผ่านที่คาดเดาได้ยาก Microsoft จะช่วยคุณสร้างรหัสได้ด้วยเครื่องมือเหล่านี้

รหัสผ่านที่ถูกแบน

ใน Azure AD ทุกการเปลี่ยนและตั้งค่ารหัสผ่านใหม่จะต้องผ่านตัวตรวจรหัสผ่านที่ถูกแบน เมื่อส่งรหัสผ่านใหม่ รหัสผ่านจะถูกเทียบ Fuzzy กับรายการคำที่ทุกคนไม่ควรใช้ตั้งรหัสผ่าน (และการสะกด l33t-sp3@k ก็ไม่ช่วยอะไร) ถ้ามีรายการที่ตรงกัน รหัสจะถูกปฏิเสธ และผู้ใช้จะได้รับการขอให้เลือกรหัสผ่านที่เดายากกว่าเดิม เราได้สร้างรายการรหัสผ่านที่ถูกโจมตีบ่อยครั้งมากที่สุด และอัปเดตอยู่บ่อยครั้ง

กำหนดรหัสผ่านที่ถูกแบนเอง

เมื่อต้องการทำให้รหัสผ่านที่ถูกแบนดีขึ้นไปอีก เราจะอนุญาตให้ผู้เช่ากำหนดรายการรหัสผ่านที่ถูกแบนเอง ผู้ดูแลระบบสามารถเลือกคำที่เป็นที่รู้จักในองค์กร พนักงานและผู้ก่อตั้งที่มีชื่อเสียง ผลิตภัณฑ์ สถานที่ ไอคอนประจำภูมิภาค อื่นๆ และป้องกันไม่ให้ใช้สิ่งเหล่านี้เป็นรหัสผ่าน รายการนี้จะถูกบังคับเพิ่มลงในรายการส่วนกลาง คุณจึงไม่ต้องเลือกอย่างใดอย่างหนึ่ง ขณะนี้เป็นตัวอย่างแบบจำกัดและเราจะกำลังทยอยนำออกใช้ในปีนี้

รหัสผ่านที่ถูกแบนสำหรับการเปลี่ยนแปลงในองค์กร

ในฤดูใบไม้ผลินี้ เราจะเปิดใช้เครื่องมือที่จะทำให้ผู้ดูแลระบบขององค์กรแบนรหัสผ่านในสภาพแวดล้อม Azure AD-Active Directory แบบไฮบริด รายการรหัสผ่านที่ถูกแบนจะมีการซิงโครไนซ์จากระบบคลาวด์ไปยังสภาพแวดล้อมในองค์กรของคุณ และถูกบังคับใช้บนตัวควบคุมโดเมนทุกตัวที่มีตัวแทน ซึ่งจะช่วยให้ผู้ดูแลระบบมั่นใจว่ารหัสผ่านของผู้ใช้นั้นเดาได้ยากกว่าเดิมไม่ว่าผู้ใช้จะเปลี่ยนรหัสบนระบบคลาวด์หรือในบริษัทก็ตาม โดยจะเปิดใช้เป็นตัวอย่างส่วนตัวแบบจำกัดในเดือนกุมภาพันธ์ 2018 และจะไปที่ GA ในปีนี้

เปลี่ยนวิธีคิดของคุณที่มีต่อรหัสผ่านเสีย

ความคิดทั่วไปหลายๆ ประการเกี่ยวกับสิ่งที่สร้างรหัสที่ดีนั้นมักจะผิด โดยปกติแล้ว สิ่งที่ควรจะช่วยได้ในเชิงคณิตศาสตร์กลับส่งผลให้เกิดพฤติกรรมของผู้ใช้ที่คาดเดาได้: ตัวอย่างเช่น ความจำเป็นที่ต้องใช้อักขระบางชนิดและการเปลี่ยนรหัสผ่านเป็นครั้งคราวจะก่อให้เกิดรูปแบบรหัสผ่านเฉพาะตัวขึ้นมา อ่านเอกสารทางเทคนิคเกี่ยวกับการแนะนำด้านรหัสลับของเราสำหรับรายละเอียดเพิ่มเติม ถ้าคุณกำลังใช้ Active Directory ที่มี PTA หรือ ADFS ให้อัปเดตนโยบายรหัสผ่านของคุณ ถ้าคุณกำลังใช้บัญชีที่จัดการด้วยระบบคลาวด์ ให้พิจารณาตั้งค่ารหัสผ่านของคุณให้ไม่มีวันหมดอายุ

สิ่งที่เราแนะนำให้คุณดำเนินการโดยเร็วที่สุด:

  1. เมื่อมีการปล่อยให้ใช้งาน ให้ติดตั้งเครื่องมือรหัสผ่านที่ถูกแบนในองค์กรของ Microsoft ที่จะช่วยให้ผู้ใช้ของคุณสร้างรหัสผ่านที่ดีกว่า
  2. ตรวจทานนโยบายรหัสผ่านของคุณและพิจารณาตั้งค่ารหัสผ่านของคุณให้ไม่มีวันหมดอายุ ผู้ใช้ของคุณจึงไม่ต้องใช้รูปแบบตามโอกาสเพื่อสร้างรหัสผ่าน

ขั้นตอนที่ 4: ฟีเจอร์เจ๋งๆ เพิ่มเติมใน ADFS และ Active Directory

ถ้าคุณกำลังใช้การรับรองความถูกต้องแบบไฮบริดที่มี ADFS และ Active Directory จะมีขั้นตอนเพิ่มเติมที่คุณสามารถทำตามเพื่อรักษาสภาพแวดล้อมของคุณให้ปลอดภัยจากการโจมตีแบบ Password Spray

ขั้นตอนแรก: สำหรับองค์กรที่เรียกใช้ ADFS 2.0 หรือ Windows Server 2012 ให้วางแผนย้าย ADFS ใน Windows Server 2016 โดยเร็วที่สุด เวอร์ชันล่าสุดจะได้รับการอัปเดตเร็วกว่า โดยมีชุดความสามารถที่สมบูรณ์กว่า เช่น การล็อกเอกซ์ทราเน็ต โปรดจำไว้ว่า: เราได้ทำให้การอัปเกรดจาก Windows Server 2012R2 เป็น 2016 นั้นง่ายมากๆ

บล็อกการรับรองความถูกต้องแบบดั้งเดิมจากเอกซ์ทราเน็ต

โพรโทคอลของการรับรองความถูกต้องแบบดั้งเดิมไม่มีความสามารถในการบังคับใช้ MFA ดังนั้น แนวทางที่ดีที่สุดก็คือการบล็อกโพรโทคอลจากเอกซ์ทราเน็ต ซึ่งจะป้องกันผู้โจมตีแบบ Password Spray ไม่ให้ใช้ประโยชน์จากการที่โพรโทคอลไม่มี MFA

เปิดใช้งานการล็อกเอกซ์ทราเน็ตในพร็อกซีเว็บแอปพลิเคชัน ADFS

ถ้าคุณไม่มีการล็อกเอกซ์ทราเน็ตที่พร็อกซีเว็บแอปพลิเคชัน ADFS คุณควรจะเปิดใช้งานโดยเร็วที่สุดเพื่อป้องกันผู้ใช้ของคุณจากความเสี่ยงแบบ Brute-Force ต่อรหัสผ่านที่เป็นไปได้

ปรับใช้ Azure AD Connect Health สำหรับ ADFS

Azure AD Connect Health จะเก็บที่อยู่ IP ที่บันทึกไว้ในการบันทึก ADFS สำหรับคำขอชื่อผู้ใช้/รหัสผ่านที่ไม่ดี มอบการรายงานเพิ่มเติมเกี่ยวกับอาร์เรย์ของสถานการณ์ และให้ข้อมูลเชิงลึกเพิ่มเติมเพื่อสนับสนุนวิศวกรเมื่อเปิดกรณีบริการช่วยเหลือ

เมื่อต้องการปรับใช้ ให้ดาวน์โหลด Azure AD Connect Health Agent สำหรับ ADFS เวอร์ชันล่าสุดบนทุกเซิร์ฟเวอร์ ADFS (2.6.491.0) เซิร์ฟเวอร์ ADFS จะต้องใช้งาน Windows Server 2012 R2 ที่มี KB 3134222 ติดตั้งหรือ Windows Server 2016

ใช้วิธีการเข้าถึงแบบไม่มีรหัสผ่าน

ถ้าไม่มีรหัสผ่าน ก็เดารหัสผ่านไม่ได้ วิธีรับรองความถูกต้องแบบไม่ใช้รหัสผ่านเหล่านี้มีให้ใช้งานสำหรับ ADFS และพร็อกซีเว็บแอปพลิเคชัน:

  1. การรับรองความถูกต้องตามใบรับรองจะอนุญาตให้บล็อกตำแหน่งข้อมูลที่เป็นชื่อผู้ใช้/รหัสผ่านโดยสมบูรณ์ที่ไฟร์วอลล์ เรียนรู้เพิ่มเติมเกี่ยวกับการรับรองความถูกต้องตามใบรับรองใน ADFS
  2. ตามที่ได้ระบุไว้ข้างต้น MFA ของ Azure สามารถใช้เป็นปัจจัยที่สองในการรับรองความถูกต้องบนระบบคลาวด์และ ADFS 2012 R2 และ 2016 แต่ก็ยังสามารถใช้เป็นปัจจัยหลักใน ADFS 2016 เพื่อที่จะหยุดยั้งความเป็นไปได้ที่จะมีการโจมตีแบบ Password Spray โดยสมบูรณ์ เรียนรู้วิธี กำหนดค่า MFA ของ Azure ด้วย ADFS ที่นี่
  3. Windows Hello สำหรับธุรกิจ ซึ่งมีให้ใช้ใน Windows 10 และได้รับการสนับสนุนโดย ADFS ใน Windows Server 2016 ได้เปิดใช้งานการเข้าถึงโดยไม่ใช้รหัสผ่านโดยสมบูรณ์ ซึ่งรวมทั้งจากเอกซ์ทราเน็ต โดยอิงจากคีย์การเข้ารหัสลับที่คาดเดายากที่ผูกอยู่กับทั้งผู้ใช้และอุปกรณ์ ซึ่งจะมีให้ใช้งานสำหรับอุปกรณ์ที่มีการจัดการแบบองค์กรที่เข้าร่วมกับ Azure AD หรือ Azure AD แบบไฮบริด และอุปกรณ์ส่วนตัวผ่าน “เพิ่มบัญชีที่ทำงานหรือโรงเรียน” จากแอป การตั้งค่า รับข้อมูลเพิ่มเติมเกี่ยวกับ Windows Hello สำหรับธุรกิจ

สิ่งที่เราแนะนำให้คุณดำเนินการโดยเร็วที่สุด:

  1. อัปเกรดเป็น ADFS 2016 เพื่อการอัปเดตที่เร็วขึ้น
  2. บล็อกการรับรองความถูกต้องแบบดั้งเดิมจากเอกซ์ทราเน็ต
  3. ปรับใช้ตัวแทน Azure Active Directory Connect Health สำหรับ ADFS บนทุกเซิร์ฟเวอร์ ADFS ของคุณ
  4. พิจารณาใช้วิธีรับรองความถูกต้องหลักที่ไม่ใช้รหัสผ่านเช่น MFA ของ Azure, ใบรับรอง หรือ Windows Hello สำหรับธุรกิจ

แถมท้าย: การปกป้องบัญชี Microsoft ของคุณ

ถ้าคุณเป็นผู้ใช้บัญชี Microsoft:

  • ข่าวดีคือ คุณได้รับการปกป้องอยู่แล้ว! บัญชี Microsoft ยังมีการล็อกแบบสมาร์ท การตรวจสอบสองชั้นตามความเสี่ยง รหัสผ่านที่ถูกแบน และอื่นๆ
  • แต่ ให้ใช้เวลาสองนาทีไปที่เพจการรักษาความปลอดภัยของบัญชี Microsoft แล้วเลือก “อัปเดตข้อมูลความปลอดภัยของคุณ” เพื่อตรวจทานข้อมูลความปลอดภัยที่ใช้สำหรับการตรวจสอบสองชั้นตามความเสี่ยง
  • พิจารณาเปิดการตรวจสอบสองชั้นที่นี่อยู่เสมอ เพื่อทำให้บัญชีของคุณปลอดภัยที่สุดเท่าที่จะเป็นไปได้

การป้องกันที่ดีที่สุดคือ… การทำตามคำแนะนำในบล็อกนี้

การโจมตีแบบ Password Spray เป็นภัยคุกคามร้ายแรงต่อทุกบริการบนอินเทอร์เน็ตที่ใช้รหัสผ่าน แต่การทำตามขั้นตอนในบล็อกนี้จะทำให้คุณได้รับการปกป้องจากแนวทางการโจมตีในระดับสูงสุด และ เนื่องจากการโจมตีหลายประเภทนั้นมีลักษณะที่คล้ายคลึงกัน คำแนะนำเหล่านี้จะเป็นคำแนะนำด้านการป้องกันที่ดี การรักษาความปลอดภัยของคุณมีความสำคัญกับเราในระดับสูงสุดเสมอ และเราจะยังคงทำงานอย่างหนักเพื่อพัฒนาการป้องกันขั้นสูงใหม่ๆ ที่จะป้องกันการโจมตีแบบ Password Spray และการโจมตีชนิดอื่นๆ ใช้วิธีข้างต้นในวันนี้ และกลับมาตรวจดูเครื่องมือใหม่ๆ อยู่เสมอเพื่อป้องกันเหล่าผู้ไม่หวังดีบนอินเทอร์เน็ต

เราหวังว่าคุณจะได้รับประโยชน์จากข้อมูลนี้ เช่นเคย เรายินดีรับฟังคำติชมหรือคำแนะนำจากคุณ

ขอแสดงความนับถือ

Alex Simons (Twitter: @Alex_A_Simons)

ผู้อำนวยการฝ่ายจัดการโปรแกรม

แผนกข้อมูลประจำตัวของ Microsoft

The post แนวทางปฏิบัติของ Azure AD และ ADFS: การป้องกันการโจมตีแบบ Password Spray appeared first on Microsoft 365 Blog.

]]>