Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Eine Anforderung für die einmalige Verbundanmeldung ist die Verfügbarkeit von Endpunkten für die Authentifizierung über das Internet. Durch die Verfügbarkeit von Authentifizierungsendpunkten im Internet können Benutzer auch dann auf die Anwendungen zugreifen, wenn sie sich nicht in einem Unternehmensnetzwerk befinden.
Dies bedeutet auch, dass einige schlechte Akteure die im Internet verfügbaren Verbundendpunkte nutzen können, um diese Endpunkte zu verwenden, um zu versuchen, Kennwörter zu ermitteln oder Denial-of-Service-Angriffe zu erstellen. Ein solcher Angriff, der häufiger wird, wird als Kennwortangriffbezeichnet.
Es gibt zwei Arten häufiger Kennwortangriffe. Kennwortsprühangriff & Brute-Force-Kennwortangriff.
Kennwortsprühangriff
Bei einem Kennwort-Spray-Angriff versuchen diese schlechten Akteure die am häufigsten verwendeten Kennwörter für viele verschiedene Konten und Dienste, um Zugriff auf alle kennwortgeschützten Ressourcen zu erhalten, die sie finden können. In der Regel umfassen diese viele verschiedene Organisationen und Identitätsanbieter. Beispielsweise verwendet ein Angreifer ein allgemein verfügbares Toolkit, um alle Benutzer in mehreren Organisationen aufzählen zu können, und dann "P@$$w 0rD" und "Password1" für alle diese Konten zu probieren. Um Ihnen die Idee zu geben, könnte ein Angriff wie folgt aussehen:
| Zielbenutzer | Zielkennwort |
|---|---|
| User1@org1.com | Kennwort1 |
| User2@org1.com | Kennwort1 |
| User1@org2.com | Kennwort1 |
| User2@org2.com | Kennwort1 |
| … | … |
| User1@org1.com | P$$@w0rD |
| User2@org1.com | P$$@w0rD |
| User1@org2.com | P$$@w0rD |
| User2@org2.com | P$$@w0rD |
Dieses Angriffsmuster umgeht die meisten Erkennungstechniken, da der Angriff vom Standpunkt eines einzelnen Benutzers oder Unternehmens wie eine einzelne fehlgeschlagene Anmeldung aussieht.
Für Angreifer ist es ein Zahlenspiel: Sie wissen, dass es einige Kennwörter gibt, die am häufigsten vorkommen. Der Angreifer erhält ein paar Erfolge für jedes tausend angegriffene Konto, und das reicht aus, um effektiv zu sein. Sie verwenden die Konten, um Daten aus E-Mails abzurufen, Kontaktinformationen zu ernten und Phishinglinks zu senden oder einfach die Zielgruppe für das Kennwortsprühen zu erweitern. Die Angreifer kümmern sich nicht darum, wer diese anfänglichen Ziele sind – nur, dass sie einen Erfolg haben, den sie nutzen können.
Wenn Sie jedoch einige Schritte unternehmen, um ad FS und das Netzwerk ordnungsgemäß zu konfigurieren, können AD FS-Endpunkte gegen diese Art von Angriffen gesichert werden. In diesem Artikel werden drei Bereiche behandelt, die ordnungsgemäß konfiguriert werden müssen, um diese Angriffe zu schützen.
Brute Force-Kennwortangriff
In dieser Form des Angriffs versucht ein Angreifer mehrere Kennwortversuche gegen einen gezielten Satz von Konten. In vielen Fällen werden diese Konten auf Benutzer ausgerichtet, die über eine höhere Zugriffsebene innerhalb der Organisation verfügen. Dies kann Führungskräfte innerhalb der Organisation oder Administratoren sein, die kritische Infrastruktur verwalten.
Diese Art von Angriff kann auch zu DOS-Mustern führen. Dies kann auf Dienstebene liegen, bei dem AD FS aufgrund unzureichender Anzahl von Servern eine große Anzahl von Anforderungen nicht verarbeiten kann. Dies kann auf Benutzerebene liegen, auf der ein Benutzer aus dem Konto gesperrt ist.
Schützen von AD FS vor Kennwortangriffen
Wenn Sie jedoch einige Schritte unternehmen, um ad FS und das Netzwerk ordnungsgemäß zu konfigurieren, können AD FS-Endpunkte gegen diese Arten von Angriffen gesichert werden. In diesem Artikel werden drei Bereiche behandelt, die ordnungsgemäß konfiguriert werden müssen, um diese Angriffe zu schützen.
- Ebene 1, Basisplan: Dies sind die grundlegenden Einstellungen, die auf einem AD FS-Server konfiguriert werden müssen, um sicherzustellen, dass böswillige Akteure keine Brute-Force-Angriffe auf verbundene Benutzer ausführen können.
- Ebene 2, Schutz des Extranets: Dies sind die Einstellungen, die konfiguriert werden müssen, um sicherzustellen, dass der Extranetzugriff für die Verwendung sicherer Protokolle, Authentifizierungsrichtlinien und geeigneter Anwendungen konfiguriert ist.
- Ebene 3, Wechsel zu kennwortlosem Zugriff für Extranet: Dies sind erweiterte Einstellungen und Richtlinien, um den Zugriff auf Verbundressourcen mit sichereren Anmeldeinformationen anstelle von Kennwörtern zu ermöglichen, die anfällig für Angriffe sind.
Ebene 1: Basisplan
Implementieren Sie in AD FS 2016 die intelligente Extranetsperre, um bekannte Standorte zu verfolgen und einem autorisierten Benutzer Zugriff zu gewähren, wenn er sich zuvor erfolgreich von diesem Standort aus angemeldet hat. Durch die Verwendung von Extranet Smart Lockout können Sie sicherstellen, dass Cyberkriminelle keine Brute-Force-Angriffe auf Benutzer durchführen können, während legitime Benutzer gleichzeitig produktiv sein können.
Wenn Sie nicht AD FS 2016 verwenden, empfehlen wir dringend, ein Upgrade auf AD FS 2016 durchzuführen. Es ist ein einfacher Upgradepfad von AD FS 2012 R2. Wenn Sie AD FS 2012 R2 verwenden, implementieren Sie Extranetsperrung. Ein Nachteil dieses Ansatzes besteht darin, dass gültige Benutzer möglicherweise vom Extranetzugriff blockiert werden, wenn Sie sich in einem Brute-Force-Muster befinden. AD FS auf Server 2016 hat diesen Nachteil nicht.
Überwachung & Verdächtige IP-Adressen blockieren
Wenn Sie über Microsoft Entra ID P1 oder P2 verfügen, implementieren Sie Connect Health für AD FS und verwenden Sie die Benachrichtigungen, die der -Bericht über riskante IP-Adressen bereitstellt.
a) Die Lizenzierung ist nicht für alle Benutzer vorgesehen und erfordert 25 Lizenzen pro AD FS/WAP-Server, die für einen Kunden leicht sind.
b. Sie können jetzt IP-Adressen untersuchen, die eine große Anzahl fehlgeschlagener Anmeldungen generieren.
c. Dies erfordert, dass Sie die Überwachung auf Ihren AD FS-Servern aktivieren.
Verdächtige IP-Adressen blockieren. Dadurch werden DOS-Angriffe möglicherweise blockiert.
a) Wenn Sie 2016 verwenden, können Sie über das Feature Für Extranet gesperrte IP-Adressen alle Anforderungen von IP-Adressen blockieren, die durch Ebene 3 (oder manuelle Analyse) gekennzeichnet wurden.
b. Wenn Sie AD FS 2012 R2 oder niedriger verwenden, blockieren Sie die IP-Adresse direkt bei Exchange Online und optional in Ihrer Firewall.
Wenn Sie über Microsoft Entra ID P1 oder P2 verfügen, verwenden Sie Microsoft Entra Password Protection, um zu verhindern, dass erratende Kennwörter in die Microsoft Entra-ID gelangen.
a) Wenn Sie erratene Kennwörter haben, können Sie sie mit nur 1-3 Versuchen knacken. Dieses Feature verhindert, dass diese festgelegt werden.
b. In unseren Vorschaustatistiken werden fast 20 bis 50 % der neuen Kennwörter blockiert. Dies bedeutet, dass % von Benutzern anfällig für leicht erratene Kennwörter sind.
Stufe 2: Schützen Ihres Extranets
Wechseln Sie zur modernen Authentifizierung für alle Clients, die über das Extranet zugreifen. E-Mail-Clients sind ein großer Teil davon.
a) Sie müssen Outlook Mobile für mobile Geräte verwenden. Die neue native iOS-Mail-App unterstützt auch die moderne Authentifizierung.
b. Sie müssen Outlook 2013 (mit den neuesten CU-Patches) oder Outlook 2016 verwenden.
Aktivieren Sie MFA für alle Extranetzugriffe. Dadurch erhalten Sie zusätzlichen Schutz für jeden Extranetzugriff.
a) Wenn Sie über Microsoft Entra ID P1 oder P2 verfügen, verwenden Sie Microsoft Entra Conditional Access-Richtlinien, um dies zu steuern. Dies ist besser als die Implementierung der Regeln bei AD FS. Dies liegt daran, dass moderne Client-Apps häufiger erzwungen werden. Dies geschieht bei der Microsoft Entra-ID beim Anfordern eines neuen Zugriffstokens (in der Regel jede Stunde) mithilfe eines Aktualisierungstokens.
b. Wenn Sie nicht über Microsoft Entra ID P1 oder P2 verfügen oder über zusätzliche Apps auf AD FS verfügen, die Sie den internetbasierten Zugriff zulassen, implementieren Sie die mehrstufige Microsoft Entra-Authentifizierung, und konfigurieren Sie eine globale mehrstufige Authentifizierungsrichtlinie für den gesamten Extranetzugriff.
Ebene 3: Wechseln zu kennwortlosem Zugriff für Extranetzugriff
Wechseln Sie zu Fenster 10, und verwenden Sie Hello For Business.
Bei anderen Geräten können Sie bei AD FS 2016 microsoft Entra multifactor authentication OTP als ersten Faktor und Kennwort als 2. Faktor verwenden.
Für mobile Geräte können Sie, wenn Sie nur verwaltete MDM-Geräte zulassen, Zertifikate verwenden, um den Benutzer anzumelden.
Dringende Bearbeitung
Wenn die AD FS-Umgebung aktiv angegriffen wird, sollten die folgenden Schritte frühestens implementiert werden:
- Deaktivieren Sie Benutzernamen- und Kennwortendpunkte in AD FS, und fordern Sie an, dass jeder ein VPN verwendet, um Zugriff zu erhalten oder sich in Ihrem Netzwerk zu befinden. Dazu müssen Sie Schritt Stufe 2 #1a abgeschlossen haben. Andernfalls werden alle internen Outlook-Anforderungen weiterhin über die Cloud über die EXO-Proxyauthentifizierung weitergeleitet.
- Wenn der Angriff nur über EXO erfolgt, können Sie die Standardauthentifizierung für Exchange-Protokolle (POP, IMAP, SMTP, EWS usw.) mithilfe von Authentifizierungsrichtlinien deaktivieren, diese Protokolle und Authentifizierungsmethoden werden für den Großteil dieser Angriffe verwendet. Darüber hinaus werden Clientzugriffsregeln in EXO und Protokollaktivierung pro Postfach nach der Authentifizierung ausgewertet und helfen nicht bei der Verringerung der Angriffe.
- Bieten Sie selektiv Extranetzugriff über Ebene 3, Nr. 1–3 an.