什麼是密碼攻擊?
同盟單一登入的需求是端點可透過網際網路進行驗證。 網際網路上的驗證端點可用性可讓使用者存取應用程式,即使應用程式不在公司網路上也一樣。
這也表示某些不良執行者可以利用網際網路上可用的同盟端點,使用這些端點來嘗試判斷密碼或建立阻斷服務攻擊。 日益常見的其中一個此類攻擊稱為密碼攻擊。
常見的密碼攻擊有兩種類型。 密碼噴射攻擊 & 暴力破解密碼攻擊。
密碼噴灑攻擊
在密碼噴灑攻擊中,這些不良執行者會嘗試許多不同帳戶和服務中最常見的密碼,以存取他們可以找到的任何受密碼保護的資產。 這些通常會跨越許多不同的組織和識別提供者。 例如,攻擊者會使用常見的可用工具組來列舉數個組織中的所有使用者,然後針對這些帳戶嘗試 “P$$@w0rD” 和 “Password1”。 為了讓您有概念,攻擊可能如下所示:
| 目標使用者 | 目標密碼 |
|---|---|
| User1@org1.com | 密碼1 |
| User2@org1.com | 密碼1 |
| User1@org2.com | 密碼1 |
| User2@org2.com | 密碼1 |
| User1@org1.com | P$$@w0rD |
| User2@org1.com | P$$@w0rD |
| User1@org2.com | P$$@w0rD |
| User2@org2.com | P$$@w0rD |
此攻擊模式會逃避大部分偵測技術,因為從個別使用者或公司的制高點來看,攻擊看起來就像是隔離失敗的登入。
對於攻擊者來說,這是一個數字遊戲:他們知道有一些密碼是最常見的。 攻擊者在每一千次帳戶攻擊中會成功少數幾次,這已經足夠。 他們會使用帳戶從電子郵件取得資料、收集連絡人資訊,以及傳送網路釣魚連結,或只是展開密碼噴灑目標群組。 攻擊者並不關心那些初始目標是誰,只要能成功利用即可。
但是,藉由採取一些步驟來正確設定 AD FS 和網路,AD FS 端點就可以受到保護而免於這類攻擊。 本文涵蓋需要正確設定的 3 個區域,以協助防護這些攻擊。
暴力密碼破解攻擊
在此形式的攻擊中,攻擊者會針對目標帳戶集嘗試多個密碼嘗試。 在許多情況下,會根據組織內具有較高存取層級的使用者,使這些帳戶成為目標。 可能是組織內的主管,或管理重要基礎結構的系統管理員。
這種類型的攻擊也可能導致 DOS 模式。 這可能是在 AD FS 由於伺服器數目不足而無法處理大量要求的服務層級。 這可能位於使用者層級,其中使用者的帳戶已遭到鎖定。
保護 AD FS 免受密碼攻擊
但是,藉由採取一些步驟來正確設定 AD FS 和網路,AD FS 端點就可以受到保護而免於這些類型的攻擊。 本文涵蓋需要正確設定的 3 個區域,以協助防護這些攻擊。
- 層級 1,基準:這些是必須在 AD FS 伺服器上設定的基本設定,以確保不良執行者無法對同盟使用者進行暴力密碼破解攻擊。
- 層級 2,保護外部網路:這些設定必須設定,以確保外部網路存取已設定為使用安全通訊協定、驗證原則和適當的應用程式。
- 層級 3,移至無密碼以進行外部網路存取:這些是進階設定和指導方針,可讓您使用比容易遭受攻擊的密碼更安全的認證來存取同盟資源。
層級 1:基準
在 AD FS 2016 中,實作外部網路智慧鎖定外部網路智慧鎖定會追蹤熟悉的位置,如果先前已從該位置成功登入,就會允許有效使用者通過。 藉由使用外部網路智慧鎖定,您可以確保不良執行者無法對使用者進行暴力密碼破解攻擊,同時讓合法使用者保持生產力。
如果您不在 AD FS 2016 上,強烈建議您升級至 AD FS 2016。 這是 AD FS 2012 R2 的簡單升級路徑。 如果您是在 AD FS 2012 R2 上,請實作外部網路鎖定。 這種方法的其中一個缺點是,如果您處於暴力密碼破解模式,有效的使用者可能會遭到封鎖,而無法進行外部網路存取。 AD FS on Server 2016 沒有此缺點。
監控 & 阻擋可疑 IP 位址
如果您有 Microsoft Entra ID P1 或 P2,請為 AD FS 落實連線健康功能,並使用它提供的風險 IP 報告通知。
a. 授權不適用於所有使用者,每部 AD FS/WAP 伺服器需要 25 個授權,對於客戶來說可能很容易。
b. 您現在可以調查正在產生大量失敗登入的 IP。
c. 這需要您在 AD FS 伺服器上啟用稽核。
封鎖可疑 IP。 這可能會封鎖 DOS 攻擊。
a. 如果在 2016 上,請使用外部網路禁用 IP 位址功能來封鎖 #3 所標幟 IP 的任何要求 (或手動分析)。
b. 如果您在 AD FS 2012 R2 或更低版本上,請直接在 Exchange Online 封鎖 IP 位址,並選擇性地在防火牆上封鎖 IP 位址。
如果您有 Microsoft Entra ID P1 或 P2,請使用 Microsoft Entra Password Protection預防可猜出的密碼進入 Microsoft Entra ID。
a. 如果您有可猜測的密碼,只要嘗試 1-3 次即可破解密碼。 這項功能可防止設定這樣的密碼。
b. 從我們的預覽統計資料中,將近 20-50% 的新密碼會遭到封鎖而無法設定。 這表示這些百分比的使用者很容易因為方便猜測的密碼而遭到攻擊。
層級 2:保護您的外部網路
針對從外部網路存取的任何用戶端,移至新式驗證。 郵件用戶端是其中的一大部分。
a. 您必須針對行動裝置使用 Outlook Mobile。 新的 iOS 原生郵件應用程式也支援新式驗證。
b. 您必須使用 Outlook 2013 (含最新的 CU 修補程式) 或 Outlook 2016。
針對所有外部網路存取啟用 MFA。 這可給予您針對任何外部網路存取的額外保護。
a. 如果您有 Microsoft Entra ID P1 或 P2,請使用 Microsoft Entra 條件式存取政策控制這個。 這比在 AD FS 實作規則更好。 這是因為新式用戶端應用程式會更頻繁地強制執行。 當您在 Microsoft Entra ID 使用重新整理權杖請求新存取權杖 (一般是每小時一次) 時,會發生這種情況。
b. 如果您沒有 Microsoft Entra ID P1 或 P2,或者 AD FS 上有允許網際網路式存取的其他應用程式,請落實 Microsoft Entra 多重因子驗證,並為所有企業外部網路存取配置全域多重因子身份驗證政策。
層級 3:移至無密碼以進行外部網路存取
移至 Windows 10 並且使用 Windows Hello 企業版。
其他裝置方面,如果在 AD FS 2016 上,您可以使用 Microsoft Entra 多重因子驗證 OTP 作為第一因子,而密碼為第二因子。
針對行動裝置,如果您只允許 MDM 受控裝置,您可以使用憑證來登入使用者。
緊急處理
如果 AD FS 環境處於作用中攻擊狀態,應該儘早實作下列步驟:
- 停用 AD FS 中的使用者名稱和密碼端點,並要求每個人都使用 VPN 來取得存取權或進入您的網路內。 這需要您完成步驟層級 2 #1a。 否則,所有內部 Outlook 要求仍會透過雲端經由 EXO Proxy 驗證路由傳送。
- 如果攻擊僅透過 EXO 進行,您可以使用驗證原則停用 Exchange 通訊協定的基本驗證 (POP、IMAP、SMTP、EWS 等),這些攻擊大部分都使用這些通訊協定和驗證方法。 此外,EXO 中的用戶端存取規則和每個信箱通訊協定啟用都會在驗證後進行評估,並無濟於緩和攻擊。
- 選擇性地使用層級 3 #1-3 提供外部網路存取。