Was ist ein Kennwortangriff?
Eine Voraussetzung für einmaliges Anmelden im Verbund ist die Verfügbarkeit von Endpunkten für die Authentifizierung über das Internet. Die Verfügbarkeit von Authentifizierungsendpunkten im Internet ermöglicht Benutzern selbst dann den Zugriff auf die Anwendungen, wenn sie sich nicht in einem Unternehmensnetzwerk befinden.
Dies bedeutet auch, dass einige böswillige Akteure die im Internet verfügbaren Verbundendpunkte nutzen können, um darüber Kennwörtern zu ermitteln oder Denial-of-Service-Angriffe zu erstellen. Ein solcher Angriff, der immer häufiger stattfindet, wird als Kennwortangriff bezeichnet.
Es gibt zwei Arten von gängigen Kennwortangriffen. Kennwort-Spray-Angriff und Brute-Force-Kennwortangriff.
Password Spraying
Bei einem Kennwort-Spray-Angriff probieren diese böswilligen Akteure die gängigsten Kennwörter für viele verschiedene Konten und Dienste aus, um Zugriff auf alle kennwortgeschützten Ressourcen zu erhalten, die sie finden können. Hiervon sind in der Regel viele verschiedene Organisationen und Identitätsanbieter betroffen. Beispielsweise verwendet ein Angreifer ein allgemein verfügbares Toolkit, um alle Benutzer in mehreren Organisationen aufzulisten, und probiert dann „P@$$w0rD“ und „Password1“ für all diese Konten aus. Beispielsweise könnte ein Angriff wie folgt aussehen:
| Zielbenutzer | Zielkennwort |
|---|---|
| User1@org1.com | Password1 |
| User2@org1.com | Password1 |
| User1@org2.com | Password1 |
| User2@org2.com | Password1 |
| ... | ... |
| User1@org1.com | P@$$w0rD |
| User2@org1.com | P@$$w0rD |
| User1@org2.com | P@$$w0rD |
| User2@org2.com | P@$$w0rD |
Dieses Angriffsmuster weicht den meisten Erkennungstechniken aus, da der Angriff aus Sicht eines einzelnen Benutzers oder Unternehmens einfach wie eine einzige fehlgeschlagene Anmeldung aussieht.
Für Angreifer ist es ein Zahlenspiel: Sie wissen, dass es einige Kennwörter gibt, die besonders häufig vorkommen. Der Angreifer ist auf tausend angegriffene Konten einige Male erfolgreich, und dies reicht bereits aus, um effektiv zu sein. Er verwendet die Konten, um Daten aus E-Mails abzurufen, Kontaktinformationen zu sammeln und Phishinglinks zu senden oder einfach die Zielgruppe des Kennwortsprays zu erweitern. Den Angreifern ist es egal, wer diese anfänglichen Ziele sind – sie brauchen nur einen gewissen Erfolg, den sie für sich ausnutzen können.
Wenn Sie jedoch einige Maßnahmen ergreifen, um AD FS und das Netzwerk ordnungsgemäß zu konfigurieren, können AD FS-Endpunkte vor dieser Art von Angriffen geschützt werden. In diesem Artikel werden drei Bereiche behandelt, die ordnungsgemäß konfiguriert werden müssen, um solche Angriffe abzuwehren.
Brute-Force-Kennwortangriff
Bei dieser Form des Angriffs probiert ein Angreifer mehrere Kennwortversuche für eine gezielte Gruppe von Konten aus. In vielen Fällen handelt es sich dabei um Konten von Benutzern, die innerhalb der Organisation über eine höhere Zugriffsebene verfügen. Dabei kann es sich um Führungskräfte innerhalb der Organisation oder um Administratoren handeln, die kritische Infrastruktur verwalten.
Diese Art von Angriff kann auch zu DoS-Mustern führen. Er kann auf der Dienstebene erfolgen, auf der AD FS aufgrund einer unzureichenden Anzahl von Servern keine große Anzahl von Anforderungen verarbeiten kann. Er kann auch auf Benutzerebene durch Aussperren eines Benutzers aus seinem Konto erfolgen.
Schützen von AD FS vor Kennwortangriffen
Durch einige wenige Schritte zur ordnungsgemäßen Konfiguration von AD FS und Netzwerk können AD FS-Endpunkte vor dieser Art von Angriffen jedoch geschützt werden. In diesem Artikel werden drei Bereiche behandelt, die ordnungsgemäß konfiguriert werden müssen, um solche Angriffe abzuwehren.
- Ebene 1, Basis: Dies sind die grundlegenden Einstellungen, die auf einem AD FS-Server konfiguriert werden müssen, damit Verbundbenutzer nicht durch Brute-Force-Angriffe böswilliger Akteure geschädigt werden können.
- Ebene 2, Schützen des Extranets: Dies sind die Einstellungen, die konfiguriert werden müssen, damit der Extranetzugriff für die Verwendung sicherer Protokolle, Authentifizierungsrichtlinien und geeigneter Anwendungen konfiguriert ist.
- Ebene 3, Wechseln zur kennwortlosen Authentifizierung für den Extranetzugriff: Dies sind erweiterte Einstellungen und Richtlinien, um den Zugriff auf Verbundressourcen über sicherere Anmeldeinformationen als für Angriffe anfällige Kennwörter zu ermöglichen.
Ebene 1: Basis
Implementieren Sie in AD FS 2016 die intelligente Extranetsperre, um bekannte Standorte zu verfolgen und einem autorisierten Benutzer Zugriff zu gewähren, wenn er sich zuvor erfolgreich von diesem Standort aus angemeldet hat. Mithilfe der intelligenten Extranetsperre können Sie sicherstellen, dass böswillige Akteure keine Brute-Force-Angriffe auf Benutzer ausführen können, legitime Benutzer jedoch gleichzeitig produktiv sein können.
Wenn Sie nicht AD FS 2016 verwenden, empfehlen wir dringend, ein Upgrade auf AD FS 2016 durchzuführen. Dabei handelt es sich um einen einfachen Upgradepfad von AD FS 2012 R2. Wenn Sie AD FS 2012 R2 verwenden, implementieren Sie die Extranetsperre. Ein Nachteil dieses Ansatzes besteht darin, dass der Extranetzugriff gültiger Benutzer möglicherweise gesperrt wird, wenn Sie einem Brute-Force-Muster entsprechen. Dieser Nachteil besteht bei AD FS 2016-Servern nicht.
Überwachen und Blockieren verdächtiger IP-Adressen
Wenn Sie über Microsoft Entra ID P1 oder P2 verfügen, implementieren Sie Connect Health für AD FS, und verwenden Sie die darin bereitgestellten Benachrichtigungen des Berichts zu risikobehafteten IP-Adressen.
a. Die Lizenzierung ist nicht für alle Benutzer vorgesehen und erfordert 25 Lizenzen pro AD FS-/WAP-Server, sodass sie für einen Kunden leicht erschwinglich ist.
b. Sie können jetzt IP-Adressen untersuchen, die eine große Anzahl fehlerhafter Anmeldungen generieren.
c. Dazu müssen Sie die Überwachung auf Ihren AD FS-Servern aktivieren.
Blockieren Sie verdächtige IP-Adressen. Dadurch werden möglicherweise DoS-Angriffe blockiert.
a. Wenn Sie 2016 verwenden, können Sie über das Feature Für Extranet gesperrte IP-Adressen alle Anforderungen von IP-Adressen blockieren, die durch Ebene 3 (oder manuelle Analyse) gekennzeichnet wurden.
b. Wenn Sie AD FS 2012 R2 oder früher verwenden, blockieren Sie die IP-Adresse direkt bei Exchange Online und optional in Ihrer Firewall.
Wenn Sie über Microsoft Entra ID P1 oder P2 verfügen, verwenden Sie Microsoft Entra-Kennwortschutz, um zu verhindern, dass erratene Kennwörter in Microsoft Entra ID gelangen.
a. Wenn Sie leicht zu erratende Kennwörter verwenden, können diese in nur 1 bis 3 Versuchen geknackt werden. Dieses Feature verhindert, dass solche Kennwörter festgelegt werden.
b. In unseren Vorschaustatistiken werden fast 20 bis 50 % der neuen Kennwörter blockiert. Dies deutet darauf hin, dass ein entsprechender Prozentsatz von Benutzern anfällig für leicht zu erratende Kennwörter ist.
Ebene 2: Schützen Ihres Extranets
Wechseln Sie zur modernen Authentifizierung für alle Clients, die über das Extranet zugreifen. E-Mail-Clients machen einen großen Teil davon aus.
a. Sie müssen Outlook Mobile für mobile Geräte verwenden. Die neue native iOS-E-Mail-App unterstützt auch die moderne Authentifizierung.
b. Sie müssen Outlook 2013 (mit den neuesten CU-Patches) oder Outlook 2016 verwenden.
Aktivieren Sie MFA für den gesamten Extranetzugriff. Dadurch erhalten Sie für jeden Extranetzugriff zusätzlichen Schutz.
a. Wenn Sie über Microsoft Entra ID P1 oder P2 verfügen, verwenden Sie Microsoft Entra-Richtlinien für bedingten Zugriff, um dies zu steuern. Dies ist besser als die Implementierung der Regeln in AD FS. Der Grund dafür ist, dass moderne Client-Apps häufiger durchgesetzt werden. Dies geschieht in Microsoft Entra ID in der Regel stündlich, wenn ein neues Zugriffstoken mithilfe eines Aktualisierungstokens angefordert wird.
b. Wenn Sie nicht über Microsoft Entra ID P1 oder P2 verfügen oder wenn Sie zusätzliche Apps in AD FS verwenden, denen Sie den Zugriff über das Internet gestatten, implementieren Sie Microsoft Entra-Multi-Faktor-Authentifizierung, und konfigurieren Sie eine globale Multi-Faktor-Authentifizierungsrichtlinie für den gesamten Extranetzugriff.
Ebene 3: Wechseln zur kennwortlosen Authentifizierung für den Extranetzugriff
Wechseln Sie zu Windows 10, und verwenden Sie Hello For Business.
Bei anderen Geräten, die AD FS 2016 verwenden, können Sie Microsoft Entra-Multi-Faktor-Authentifizierung OTP als ersten Faktor und das Kennwort als den zweiten Faktor verwenden.
Wenn Sie bei mobilen Geräten nur von MDM verwaltete Geräte zulassen, können Sie Zertifikate zur Benutzeranmeldung verwenden.
Dringende Behandlung
Wenn die AD FS-Umgebung aktiv angegriffen wird, sollten so bald wie möglich die folgenden Schritte implementiert werden:
- Deaktivieren Sie Benutzernamen- und Kennwortendpunkte in AD FS, und fordern Sie von jedem Benutzer die Verwendung eines VPN an, um Zugriff zu erhalten oder sich in Ihrem Netzwerk zu bewegen. Dazu müssen Sie den Schritt Ebene 2, Nr. 1a abgeschlossen haben. Andernfalls werden alle internen Outlook-Anforderungen weiterhin über die Cloud über die EXO-Proxyauthentifizierung weitergeleitet.
- Wenn der Angriff nur über EXO erfolgt, können Sie die Standardauthentifizierung für Exchange-Protokolle (POP, IMAP, SMTP, EWS usw.) mithilfe von Authentifizierungsrichtlinien deaktivieren. Diese Protokolle und Authentifizierungsmethoden werden bei den meisten dieser Angriffe verwendet. Darüber hinaus werden Clientzugriffsregeln in EXO und die Protokollaktivierung pro Postfach nach der Authentifizierung ausgewertet und helfen nicht bei der Abmilderung der Angriffe.
- Bieten Sie selektiv Extranetzugriff über Ebene 3, Nr. 1–3 an.