Что такое атака паролей?

Требование федеративного единого входа — это доступность конечных точек для проверки подлинности через Интернет. Доступность конечных точек проверки подлинности в Интернете позволяет пользователям получать доступ к приложениям, даже если они не находятся в корпоративной сети.

Это также означает, что некоторые плохие субъекты могут воспользоваться федеративными конечными точками, доступными в Интернете, для использования этих конечных точек, чтобы попытаться определить пароли или создать атаки типа "отказ в обслуживании". Одна из таких атак, которая становится более распространенной, называется атакой паролей.

Существует два типа распространенных атак паролей. Атака на спрей паролей и атака подбора пароля.

Атака на распыление паролей

В атаке с распыления паролем эти плохие субъекты будут пытаться использовать самые распространенные пароли во многих разных учетных записях и службах, чтобы получить доступ к любым защищенным паролем ресурсам, которые они могут найти. Обычно они охватывают множество различных организаций и поставщиков удостоверений. Например, злоумышленник будет использовать общедоступный набор средств для перечисления всех пользователей в нескольких организациях, а затем попробуйте "P@$$w 0rD" и "Password1" для всех этих учетных записей. Чтобы дать вам идею, атака может выглядеть следующим образом:

Этот шаблон атаки избегает большинства методов обнаружения, так как из точки vantage отдельного пользователя или компании атака выглядит так же, как изолированный сбой входа.

Для злоумышленников это игра чисел: они знают, что есть несколько паролей там, которые наиболее распространены. Злоумышленник получит несколько успехов для каждой тысячи учетных записей, атакированных, и это достаточно, чтобы быть эффективным. Они используют учетные записи для получения данных из сообщений электронной почты, сбора контактных данных и отправки фишинговых ссылок или просто расширения целевой группы распыления паролей. Злоумышленники не заботятся о том, кто эти первоначальные цели являются , просто что у них есть некоторые успехи, которые они могут использовать.

Но, выполнив несколько шагов, чтобы правильно настроить AD FS и сеть, конечные точки AD FS можно защитить от этих атак. В этой статье рассматриваются 3 области, которые необходимо правильно настроить для защиты от этих атак.

Атака подбора пароля

В этой форме атаки злоумышленник попытается выполнить несколько попыток пароля в целевом наборе учетных записей. Во многих случаях эти учетные записи будут нацелены на пользователей, имеющих более высокий уровень доступа в организации. Это могут быть руководители организации или администраторы, которые управляют критической инфраструктурой.

Этот тип атаки также может привести к шаблонам DOS. Это может быть на уровне обслуживания, где AD FS не может обрабатывать большое количество запросов из-за недостаточного количества серверов. Это может быть на уровне пользователя, где пользователь заблокирован из своей учетной записи.

Защита AD FS от атак паролей

Но, выполнив несколько шагов, чтобы правильно настроить AD FS и сеть, конечные точки AD FS можно защитить от этих типов атак. В этой статье рассматриваются 3 области, которые необходимо правильно настроить для защиты от этих атак.

• Уровень 1. Базовый план. Это основные параметры, которые должны быть настроены на сервере AD FS, чтобы убедиться, что плохие субъекты не могут атаковать федеративных пользователей методом подбора.
• Уровень 2. Защита экстрасети: это параметры, которые необходимо настроить, чтобы обеспечить доступ экстрасети для использования безопасных протоколов, политик проверки подлинности и соответствующих приложений.
• Уровень 3. Переход к доступу к экстрасети без пароля. Это расширенные параметры и рекомендации по обеспечению доступа к федеративными ресурсам с более безопасными учетными данными, а не паролем, которые подвержены атаке.

Уровень 1. Базовый план

1. В AD FS 2016 реализуйте смарт-блокировку экстрасети Экстрасети Экстрасети smart lockout для отслеживания знакомых расположений и позволит допустимому пользователю успешно войти в систему, если он ранее выполнил вход из этого расположения. Используя смарт-блокировку экстрасети, вы можете убедиться, что плохие субъекты не смогут атаковать пользователей методом подбора, и в то же время позволить законному пользователю быть продуктивным.

   Если вы не используете AD FS 2016, настоятельно рекомендуем выполнить обновление до AD FS 2016. Это простой путь обновления с AD FS 2012 R2. Если вы находитесь в AD FS 2012 R2, реализуйте блокировку экстрасети. Одним из недостатков этого подхода является то, что допустимые пользователи могут быть заблокированы от доступа экстрасети, если вы находитесь в шаблоне подбора. AD FS на сервере 2016 не имеет этого недостатка.

2. Мониторинг и блокировка подозрительных IP-адресов

   Если у вас есть идентификатор Microsoft Entra ID P1 или P2, реализуйте Подключение Работоспособность ad FS и используйте уведомления о рискованных IP-отчетах, которые он предоставляет.

   a. Лицензирование не для всех пользователей и требует 25 лицензий на сервер AD FS/WAP, которые могут быть простыми для клиента.

   b. Теперь вы можете исследовать IP-адреса, которые создают большое количество неудачных имен входа.

   c. Для этого потребуется включить аудит на серверах AD FS.

3. Блокировать подозрительные IP-адреса. Это потенциально блокирует атаки DOS.

   a. Если в 2016 году, используйте функцию "Запрещенные IP-адреса экстрасети", чтобы заблокировать любые запросы от IP-адресов, помеченных #3 (или ручной анализ).

   b. Если вы используете AD FS 2012 R2 или более поздней версии, заблокируйте IP-адрес непосредственно в Exchange Online и при необходимости на брандмауэре.

4. Если у вас есть идентификатор Microsoft Entra ID P1 или P2, используйте microsoft Entra Password Protection , чтобы предотвратить угадываемые пароли от попадания в идентификатор Microsoft Entra ID.

   a. Если у вас есть угадываемые пароли, их можно взломать только с 1-3 попытками. Эта функция предотвращает получение набора.

   b. Из статистики предварительной версии почти 20-50% новых паролей блокируется. Это означает, что % пользователей уязвимы для легко угадываемых паролей.

Уровень 2. Защита экстрасети

1. Перейдите к современной проверке подлинности для всех клиентов, обращаюющихся из экстрасети. Почтовые клиенты являются большой частью этого.

   a. Вам потребуется использовать Outlook Mobile для мобильных устройств. Новое почтовое приложение iOS поддерживает современную проверку подлинности.

   b. Вам потребуется использовать Outlook 2013 (с последними исправлениями cu) или Outlook 2016.

2. Включите MFA для доступа ко всем экстрасетям. Это обеспечивает дополнительную защиту для доступа к экстрасети.

   a. Если у вас есть идентификатор Microsoft Entra ID P1 или P2, используйте политики условного доступа Microsoft Entra для управления этим. Это лучше, чем реализация правил в AD FS. Это связано с тем, что современные клиентские приложения применяются чаще. Это происходит в идентификаторе Microsoft Entra при запросе нового маркера доступа (обычно каждый час) с помощью маркера обновления.

   b. Если у вас нет идентификатора Microsoft Entra ID P1 или P2 или дополнительных приложений в AD FS, которые вы разрешаете доступ к Интернету, реализуйте многофакторную проверку подлинности Microsoft Entra и настройте глобальную политику многофакторной проверки подлинности для всех дополнительных сетей.

Уровень 3. Переход к доступу к экстрасети без пароля

1. Перейдите в окно 10 и используйте Hello For Business.

2. Для других устройств, если в AD FS 2016, вы можете использовать многофакторную проверку подлинности OTP Microsoft Entra в качестве первого фактора и пароля в качестве 2-го фактора.

3. Для мобильных устройств, если разрешено только управляемые устройства MDM, можно использовать сертификаты для входа пользователя.

Срочное обработка

Если среда AD FS находится под активной атакой, необходимо выполнить следующие действия.

• Отключите конечные точки имени пользователя и пароля в AD FS и требуют, чтобы все пользователи использовали VPN для получения доступа или подключения к сети. Для этого необходимо выполнить шаг 2 #1a уровня 2. В противном случае все внутренние запросы Outlook по-прежнему будут перенаправлены через облако через проверку подлинности прокси-сервера EXO.
• Если атака поступает только через EXO, вы можете отключить базовую проверку подлинности для протоколов Exchange (POP, IMAP, SMTP, EWS и т. д.), используя политики проверки подлинности, эти протоколы и методы проверки подлинности используются для большинства этих атак. Кроме того, правила клиентского доступа в exo и протоколе для каждого почтового ящика оцениваются после проверки подлинности и не помогают смягчить атаки.
• Выборочно предлагают доступ к экстрасети с помощью уровня 3 #1-3.

Следующие шаги

• Обновление до сервера AD FS 2016
• Смарт-блокировка экстрасети в AD FS 2016
• Настройка политик условного доступа
• Защита паролей Microsoft Entra