Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Ett krav för federerad enkel inloggning är tillgängligheten för slutpunkter som ska autentiseras via Internet. Tillgängligheten för autentiseringsslutpunkter på Internet gör det möjligt för användare att komma åt programmen även om de inte finns i ett företagsnätverk.
Det innebär också att vissa dåliga aktörer kan dra nytta av de federerade slutpunkter som är tillgängliga på Internet för att använda dessa slutpunkter för att försöka fastställa lösenord eller skapa överbelastningsattacker. En sådan attack som blir vanligare kallas en lösenordsattack.
Det finns två typer av vanliga lösenordsattacker. Lösenordssprayattack & brute force-attack mot lösenord.
Lösenordssprayattack
I en lösenordssprayattack kommer dessa dåliga aktörer att prova de vanligaste lösenorden för många olika konton och tjänster för att få åtkomst till eventuella lösenordsskyddade tillgångar som de kan hitta. Vanligtvis omfattar dessa många olika organisationer och identitetsprovidrar. En angripare använder till exempel en verktygslåda som ofta är tillgänglig för att räkna upp alla användare i flera organisationer och sedan prova "P@$$w 0rD" och "Password1" mot alla dessa konton. För att ge dig idén kan en attack se ut så här:
| Målanvändare | Målinriktat lösenord |
|---|---|
| User1@org1.com | Password1 |
| User2@org1.com | Password1 |
| User1@org2.com | Password1 |
| User2@org2.com | Password1 |
| … | … |
| User1@org1.com | P@$$w0rD |
| User2@org1.com | P@$$w0rD |
| User1@org2.com | P@$$w0rD |
| User2@org2.com | P@$$w0rD |
Det här attackmönstret undviker de flesta identifieringstekniker eftersom attacken från en enskild användares eller företags utgångspunkt bara ser ut som en isolerad misslyckad inloggning.
För angripare är det ett nummerspel: de vet att det finns några lösenord där ute som är vanligast. Angriparen får några lyckade resultat för varje tusen konton som attackeras, och det räcker för att vara effektiv. De använder kontona för att hämta data från e-postmeddelanden, samla in kontaktinformation och skicka bedrägerilänkar eller för att utöka målgruppen för lösenordssprayattacker. Angriparna bryr sig inte mycket om vilka de första målen är – bara att de har en viss framgång som de kan utnyttja.
Men genom att vidta några steg för att konfigurera AD FS och nätverket korrekt kan AD FS-slutpunkter skyddas mot den här typen av attacker. Den här artikeln beskriver tre områden som måste konfigureras korrekt för att skydda mot dessa attacker.
Bruteforce-lösenordsattack
I den här typen av angrepp försöker en angripare göra flera lösenordsförsök mot en måluppsättning konton. I många fall riktas dessa konton mot användare som har en högre åtkomstnivå inom organisationen. Dessa kan vara chefer inom organisationen eller administratörer som hanterar kritisk infrastruktur.
Den här typen av angrepp kan också resultera i DOS-mönster. Detta kan vara på tjänstnivå där AD FS inte kan bearbeta ett stort antal begäranden på grund av otillräckligt antal servrar. Detta kan vara på användarnivå där en användare är utelåst från sitt konto.
Skydda AD FS mot lösenordsattacker
Men genom att vidta några steg för att konfigurera AD FS och nätverket på rätt sätt kan AD FS-slutpunkter skyddas mot dessa typer av attacker. Den här artikeln beskriver tre områden som måste konfigureras korrekt för att skydda mot dessa attacker.
- Nivå 1, baslinje: Det här är de grundläggande inställningarna som måste konfigureras på en AD FS-server för att säkerställa att illvilliga aktörer inte kan genomföra en brute force-attack mot federerade användare.
- Nivå 2, Skydda extranätet: Det här är de inställningar som måste konfigureras för att säkerställa att extranätsåtkomsten är konfigurerad för att använda säkra protokoll, autentiseringsprinciper och lämpliga program.
- Nivå 3, Flytta till lösenordsfri för extranätsåtkomst: Det här är avancerade inställningar och riktlinjer för att ge åtkomst till federerade resurser med säkrare autentiseringsuppgifter i stället för lösenord som är utsatta för angrepp.
Nivå 1: Baslinje
I AD FS 2016 implementerar du smart utelåsning för extranätet Smart utelåsning för extranätet spårar kända platser och gör att en giltig användare kan få tillgång om de tidigare har loggat in framgångsrikt från den platsen. Genom att använda smart utelåsning med extranät kan du se till att dåliga aktörer inte kan råstyra angrepp mot användarna och samtidigt låta legitima användare vara produktiva.
Om du inte använder AD FS 2016 rekommenderar vi starkt att du uppgradera till AD FS 2016. Det är en enkel uppgraderingsväg från AD FS 2012 R2. Om du använder AD FS 2012 R2 implementerar du extranätsutelåsning. En nackdel med den här metoden är att giltiga användare kan blockeras från extranätsåtkomst om du har ett brute force-mönster. AD FS på Server 2016 har inte den här nackdelen.
Övervaka & Blockera misstänkta IP-adresser
Om du har Microsoft Entra ID P1 eller P2 implementerar du Connect Health för AD FS och använder de riskfyllda IP-rapportens meddelanden som den tillhandahåller.
a. Licensiering är inte för alla användare och kräver 25 licenser per AD FS/WAP-server som kan vara enkelt för en kund.
b. Nu kan du undersöka IP-adresser som genererar ett stort antal misslyckade inloggningar.
c. Detta kräver att du aktiverar granskning på dina AD FS-servrar.
Blockera misstänkta IP-adresser. Detta kan blockera DOS-attacker.
a. Om det är 2016, använd funktionen Extranets förbjudna IP-adresser för att blockera alla begäranden från IP:er som flaggats av #3 (eller genom manuell analys).
b. Om du använder AD FS 2012 R2 eller lägre blockerar du IP-adressen direkt i Exchange Online och eventuellt i brandväggen.
Om du har Microsoft Entra ID P1 eller P2 använder du Microsoft Entra Password Protection för att förhindra att gissningsbara lösenord hamnar i Microsoft Entra-ID.
a. Om du har gissningsbara lösenord kan du knäcka dem med bara 1-3 försök. Den här funktionen förhindrar att dessa ställs in.
b. Enligt vår förhandsversionsstatistik blockeras nästan 20-50 % av de nya lösenorden från att ställas in. Detta innebär att % användare är sårbara för lätt gissade lösenord.
Nivå 2: Skydda ditt extranät
Gå över till modern autentisering för alla klienter som kommer åt från extranätet. E-postklienter är en stor del av detta.
a. Du måste använda Outlook Mobile för mobila enheter. Den nya inbyggda iOS-e-postappen stöder även modern autentisering.
b. Du måste använda Outlook 2013 (med de senaste CU-korrigeringarna) eller Outlook 2016.
Aktivera MFA för all extranätsåtkomst. Detta ger dig extra skydd för all extranätsåtkomst.
a. Om du har Microsoft Entra ID P1 eller P2 använder du principer för villkorsstyrd åtkomst i Microsoft Entra för att kontrollera detta. Detta är bättre än att implementera reglerna på AD FS. Det beror på att moderna klientappar tillämpas oftare. Detta inträffar vid Microsoft Entra-ID när du begär en ny åtkomsttoken (vanligtvis varje timme) med hjälp av en uppdateringstoken.
b. Om du inte har Microsoft Entra ID P1 eller P2 eller har ytterligare appar på AD FS som du tillåter internetbaserad åtkomst, implementerar du Microsoft Entra multifaktorautentisering och konfigurerar en global princip för multifaktorautentisering för all extranätsåtkomst.
Nivå 3: Flytta till lösenordslös för extranätsåtkomst
Flytta till Windows 10 och använd Hello För Företag.
Om du använder AD FS 2016 för andra enheter kan du använda Microsoft Entra multifaktorautentisering OTP som den första faktorn och lösenordet som den andra faktorn.
Om du bara tillåter MDM-hanterade enheter för mobila enheter kan du använda certifikat för att logga in användaren.
Brådskande hantering
Om AD FS-miljön är under aktiv attack bör följande steg implementeras tidigast:
- Inaktivera användarnamn och lösenordsslutpunkter i AD FS och kräva att alla använder ett VPN för att få åtkomst eller vara i nätverket. För detta krävs att du har slutfört steg nivå 2 #1a. Annars dirigeras alla interna Outlook-begäranden fortfarande via molnet via EXO-proxyautentisering.
- Om attacken bara kommer via EXO kan du inaktivera grundläggande autentisering för Exchange-protokoll (POP, IMAP, SMTP, EWS osv.) med hjälp av autentiseringsprinciper. Dessa protokoll och autentiseringsmetoder används i de flesta av dessa attacker. Dessutom utvärderas klientåtkomstregler i EXO och protokollaktivering per postlåda efter autentisering och hjälper inte till att minimera attackerna.
- Selektivt erbjuda extranätsåtkomst med nivå 3 #1-3.