AD FS密码保护

  • 项目

什么是密码攻击?

联合单一登录的一个要求是终结点的可用性,以通过 Internet 进行身份验证。 Internet 上身份验证终结点的可用性使用户可以访问应用程序,即使他们不在企业网络上。

但是,这也意味着某些不良参与者可以利用 Internet 上可用的联合终结点,并使用这些终结点尝试确定密码或创建拒绝服务攻击。 一种越来越常见的攻击称为密码 攻击

常见的密码攻击有 2 种类型。 密码喷射攻击 & 暴力破解密码攻击。

密码喷射攻击

在密码喷射攻击中,这些不良参与者将尝试跨许多不同的帐户和服务使用最常见的密码,以访问他们可以找到的任何受密码保护的资产。 通常,它们跨越许多不同的组织和标识提供者。 例如,攻击者将使用常用工具包枚举多个组织中所有用户,然后针对所有这些帐户尝试"P@$$w 0rd"和"Password1"。 为了让你了解这一点,攻击可能如下所示:

目标用户 目标密码
User1@org1.com Password1
User2@org1.com Password1
User1@org2.com Password1
User2@org2.com Password1
User1@org1.com P@$$w0rd
User2@org1.com P@$$w0rd
User1@org2.com P@$$w0rd
User2@org2.com P@$$w0rd

此攻击模式会规避大多数检测技术,因为从单个用户或公司的 vantage 点来看,攻击看起来只是独立的失败登录。

对于攻击者来说,这是一个数字游戏:他们知道存在一些很常见的密码。 攻击者每攻击一千个帐户就会获得一些成功,这足以有效。 他们使用这些帐户从电子邮件获取数据、获取联系人信息,以及发送钓鱼链接,或只是展开密码喷射目标组。 攻击者并不关心这些初始目标是谁,只是他们拥有一些可以利用的成功。

但是,通过执行几个步骤来正确配置AD FS网络,AD FS终结点免受这些类型的攻击。 本文介绍了需要正确配置以帮助防范这些攻击的 3 个方面。

暴力破解密码攻击

在此形式的攻击中,攻击者将针对一组目标帐户尝试多次密码尝试。 在许多情况下,这些帐户将针对组织中具有较高访问权限级别的用户。 这些可能是组织中管理人员或管理关键基础结构的管理员。

此类攻击还可能导致 DOS 模式。 这可能是在服务级别,AD FS由于服务器数量不足而无法处理大量请求,或者可能处于用户级别,用户被锁定在帐户外。

保护AD FS免受密码攻击

但是,通过执行一些步骤来正确配置AD FS网络,AD FS这些类型的攻击。 本文介绍了需要正确配置以帮助防范这些攻击的 3 个方面。

  • 级别 1,基线:这些是必须在 AD FS 服务器上配置的基本设置,以确保不良参与者无法暴力攻击联合用户。
  • 级别 2,保护 Extranet:必须配置这些设置,以确保 Extranet 访问配置为使用安全协议、身份验证策略和适当的应用程序。
  • 级别 3:移动到无密码进行 Extranet 访问:这些是高级设置和指南,用于允许使用更安全的凭据(而不是容易受到攻击的密码)访问联合资源。

级别 1:基线

  1. 如果AD FS 2016 年 10 月,请实现 Extranet 智能 锁定 Extranet 智能锁定跟踪熟悉的位置,并允许有效用户之前从该位置成功登录。 通过使用 Extranet 智能锁定,可以确保不良参与者无法暴力攻击用户,同时让合法用户高效工作。

    • 如果你不在 2016 AD FS,我们强烈建议升级到 2016 AD FS版本。 它是 2012 R2 AD FS升级路径。 如果使用 2012 R2 AD FS,请实现 Extranet 锁定。 此方法的一个缺点是,如果处于暴力破解模式,可能会阻止有效用户访问 Extranet。 AD FS Server 2016 上的应用程序没有此缺点。

  2. 监视 & 阻止可疑 IP 地址

    • 如果尚未Azure AD Premium,连接运行状况AD FS并使用它提供的"风险 IP 报告"通知。

      a. 许可并非针对所有用户,并且每个 AD FS/WAP 服务器需要 25 个许可证,这为客户可能很容易。

      b. 现在可以调查生成大量失败登录的 IP

      c. 这将要求在客户端服务器上启用AD FS审核。

  3. 阻止可疑 IP。 这可能会阻止 DOS 攻击。

    a. 如果在 2016 年,请使用 Extranet 禁止 IP 地址功能阻止来自 #3 标记的 IP 的任何请求 (或手动分析) 。

    b. 如果使用 2012 R2 AD FS或更低,请直接在防火墙上Exchange Online IP 地址(可选)。

  4. 如果已Azure AD Premium,Azure AD密码保护来防止猜中密码进入Azure AD

    a. 请注意,如果有可猜的密码,只需尝试 1-3 次,就可以破解密码。 此功能可防止设置这些项。

    b. 在我们的预览统计信息中,近 20-50% 的新密码被阻止设置。 这意味着%的用户容易被猜出密码。

级别 2:保护 Extranet

  1. 对于从 Extranet 访问的任何客户端,移动到新式身份验证。 邮件客户端是其中的重要组成部分。

    a. 对于移动设备,Outlook移动版。 新的 iOS 本机邮件应用也支持新式身份验证。

    b. 需要将 2013 Outlook 2013 (与最新的 CU 修补程序) 或Outlook 2016。

  2. 为所有 Extranet 访问启用 MFA。 这为任何 Extranet 访问添加了保护。

    a. 如果有高级Azure AD,请使用Azure AD条件访问策略来控制这一点。 这比在一定时间实现规则AD FS。 这是因为新式客户端应用是更频繁地强制实施的。 在请求新的Azure AD令牌时,通常 (使用刷新令牌) 时,会发生这种情况。

    b. 如果没有 Azure AD 高级版,或者 AD FS 上没有允许基于 Internet 的访问的其他应用,请实现 MFA (可以在 AD FS 2016) 上实现 MFA,并针对所有 Extranet 访问执行全局 MFA 策略。

级别 3:移到密码较少,以用于 Extranet 访问

  1. 移动到"窗口 10"并使用 "Hello 企业"

  2. 对于其他设备,如果在 2016 AD FS,可以使用 Azure MFA OTP 作为第一个因素,将密码用作第二个因素。

  3. 对于移动设备,如果仅允许 MDM 托管设备,可以使用证书将用户登录。

紧急处理

如果AD FS环境受到主动攻击,应尽早实施以下步骤:

  • 在虚拟网络中禁用 U/P AD FS要求所有人通过 VPN 访问或位于网络内部。 这要求完成步骤 2 #1a 步骤。 否则,所有Outlook请求仍将通过 EXO 代理身份验证通过云进行路由。
  • 如果攻击仅通过 EXO 进行,可以使用身份验证策略为 Exchange 协议 (POP、IMAP、SMTP、EWS 等) 禁用基本身份验证,这些协议和身份验证方法用于大多数此类攻击。 此外,EXO 和每邮箱协议启用中的客户端访问规则在身份验证后进行评估,对缓解攻击没有帮助。
  • 使用级别 3 #1-3 选择性地提供 Extranet 访问。

后续步骤