Pular para o conteúdo principal
Microsoft 365
Assinar

Práticas recomendadas do Azure AD e do ADFS: como se defender contra ataques de pulverização de senha

Por

Olá, pessoal!

Enquanto houver senhas, haverá pessoas que tentarão adivinhá-las. Neste blog, falaremos sobre um ataque comum que tornou-se MUITO mais frequente recentemente e algumas práticas recomendadas para se defender delas. Este ataque é normalmente chamado de pulverização de senha.

Em um ataque de pulverização de senha, os invasores tentam as senhas mais comuns em várias contas e serviços diferentes para conseguir acessar o máximo de ativos protegidos por senha que puderem encontrar. Normalmente isso envolve vários provedores de identidade e organizações diferentes. Por exemplo, um invasor usará um kit de ferramentas comum disponível como o Mailsniper para enumerar todos os usuários em várias organizações e tentar “P@$$w0rd” e “Password1” em todas essas contas. Para dar uma ideia, um ataque pode ser assim:

Usuário alvo Senha alvo
Usuario1@org1.com Senha1
Usuario2@org1.com Senha1
Usuario1@org2.com Senha1
Usuario2@org2.com Senha1
Usuario1@org1.com P@$$w0rd
Usuario2@org1.com P@$$w0rd
Usuario1@org2.com P@$$w0rd
Usuario2@org2.com P@$$w0rd

Este padrão de ataque burla a maioria das técnicas de detecção porque, do ponto de vista de um usuário ou empresa, o ataque parece uma falha de logon isolada.

Para os invasores, é uma questão numérica: eles sabem que algumas senhas são muito comuns. Embora essas senhas mais comuns sejam apenas para 0,5 a 1,0% das contas, o invasor terá alguns sucessos para cada mil contas invadidas, e isso será o suficiente para ser eficaz.

Eles usam as contas para obter dados de e-mails, coletar informações de dados e enviar links de phishing ou apenas expandir o grupo alvo de pulverização de senha. Os invasores não se importam muito com esses alvos iniciais, contanto que tenham algum sucesso que possam aproveitar.

A boa notícia é que a Microsoft tem muitas ferramentas já implementadas e disponíveis para conter esses ataques. E ainda há muito mais a ser desenvolvido. Continue lendo para ver o que você pode fazer agora e nos próximos meses para interromper ataques de pulverização de senha.

Quatro etapas fáceis para impedir ataques de pulverização de senha

Etapa 1: Usar autenticação na nuvem

Na nuvem, vemos bilhões de entradas nos sistemas da Microsoft todos os dias. Nossos algoritmos de detecção de segurança permitem detectar e bloquear ataques enquanto eles estão ocorrendo. Como esses são sistemas de proteção e detecção em tempo real que usam a nuvem, eles estão disponíveis apenas ao fazer autenticação pelo Azure AD na nuvem (incluindo Autenticação de Passagem).

Smart Lockout

Na nuvem, usamos Smart Lockout para diferenciar entre tentativas de conexão que pareçam ser de um usuário válido e conexões que podem ser de um invasor. Podemos bloquear o invasor deixando o usuário válido continuar a usar a conta. Isso impede a negação de serviço sobre o usuário além de interromper ataques de pulverização de senha muito elaborados. Isso se aplica a todas as conexões do Azure AD independentemente do nível de licença e para todas as conexões de conta Microsoft.

Os locatários que usam os Serviços de Federação do Active Directory (AD FS) puderam usar o Smart Lockout nativamente no ADFS no Windows Server 2016 a partir de março 2018. Procure esse recurso pelo Windows Update.

Lockout de IP

O Lockout de IP funciona analisando esses bilhões de conexões para acessar a qualidade do tráfego de cada endereço IP que chega aos sistemas da Microsoft. Com essa análise, o lockout de IP localiza os endereços IP que atuam de maneira mal-intencionada e bloqueia essas conexões em tempo real.

Simulações de ataques

Agora disponível para visualização pública, o Simulador de ataques, como parte da Inteligência de ameaças do Office 365, permite aos clientes lançarem ataques simulados em seus próprios usuários finais, determinarem como eles se comportam no caso de um ataque, atualizarem as políticas e garantirem que as ferramentas de segurança apropriadas sejam adotadas para proteger sua organização de ameaças como ataques de pulverização de senha.

Recomendamos que você faça o mais rapidamente possível:

  1. Se estiver usando autenticação de nuvem, está tudo bem
  2. Se estiver usando ADFS ou outro cenário híbrido, procure uma atualização de ADFS em março de 2018 para Smart Lockout
  3. Use o Simulador de ataque para avaliar de maneira proativa sua postura de segurança e fazer ajustes

Etapa 2: Usar autenticação multifator

Uma senha é a chave para acessar uma conta, mas, em um ataque de pulverização de senha bem-sucedido, o invasor adivinhou a senha correta. Para impedir isso, precisamos usar algo mais do que apenas uma senha para distinguir entre o proprietário da conta e o invasor. As três maneiras de fazer isso estão abaixo.

Autenticação multifator baseada em riscos

O Azure AD Identity Protection usa os dados de conexão mencionados acima e adiciona o aprendizado de máquina avançado e a detecção algorítmica para criar uma pontuação de risco toda vez que uma conexão chegar ao sistema. Isso permite que clientes empresariais criem políticas no Identity Protection que solicitam que um usuário autentique com um segundo fator se e apenas se houver um risco detectado para o usuário ou para a sessão. Isso reduz a sobrecarga nos seus usuários e insere bloqueios no caminho dos invasores. Saiba mais sobre Azure AD Identity Protection aqui.

Autenticação multifator always-on

Para ter ainda mais segurança, você pode usar o Azure MFA para exigir autenticação multifator para seus usuários o tempo todo, na autenticação de nuvem e no ADFS. Embora isso exija que os usuários finais sempre tenham os dispositivos em mãos e realizem autenticação multifator com mais frequência, esse procedimento oferece mais segurança para sua empresa. Isso deve ser habilitado para cada administrador em uma organização. Saiba mais sobre Autenticação Multifator do Azure aqui e como configurar o Azure MFA para ADFS.

O Azure MFA como autenticação primária

No ADFS 2016, você tem a capacidade de usar o Azure MFA como autenticação primária para autenticações que não exijam senha. Essa é uma ótima ferramenta para proteger-se contra ataques de pulverização de senha e roubo de senha: se não houver senha, ela não poderá ser adivinhada. Isso funciona bem para todos os tipos de dispositivos com vários fatores de forma. Além disso, você agora pode usar a senha como o segundo fator apenas após seu OTP ter sido validado com o Azure MFA. Saiba mais sobre como usar a senha como o segundo fator aqui.

Recomendamos que você faça o mais rapidamente possível:

  1. Nós sempre recomendamos habilitar a autenticação multifator always-on para todos os administradoresna sua organização, especialmente proprietários de assinatura e administradores de locatários. É sério: vá fazer isso imediatamente.
  2. Para ter uma ótima experiência para os demais usuários, recomendamos a autenticação multifator baseada em riscos, que está disponível com licenças P2 do Azure AD Premium.
  3. Caso contrário, use o Azure MFA para autenticação de nuvem e ADFS.
  4. No ADFS, atualize para ADFS no Windows Server 2016 para usar o Azure MFA como autenticação primária, especialmente para todos os acessos extranet.

Etapa 3: Senhas melhores para todos

Mesmo depois de ter todos os cuidados acima, um componente importante de uma defesa contra pulverização de senha é que todos os usuários tenham senhas que sejam difíceis de adivinhar. Geralmente é difícil para os usuários saberem como criar senhas difíceis de adivinhar. A Microsoft ajuda você a realizar isso com essas ferramentas.

Senhas banidas

No Azure AD, toda mudança de senha e redefinição passa por um verificador de senha banida. Quando uma nova senha é enviada, ela recebe uma pontuação em relação a uma lista de palavras que ninguém nunca deve ter como senha (e a escrita l33t-sp3@k não ajuda). Se corresponder, ela será rejeitada e o usuário deverá escolher uma senha que seja difícil de adivinhar. Nós criamos a lista com as senhas mais comumente atacadas e a atualizamos com frequência.

Senhas banidas padronizadas

Para melhorar ainda mais a lista de senhas banidas, vamos permitir que os locatários personalizem suas listas de senhas banidas. Os administradores podem escolher palavras comuns para a sua organização (funcionários famosos, produtos, locais, ícones regionais etc.) e impedir que elas sejam usadas nas senhas de seus usuários. Essa lista será imposta além da lista global, para que você não tenha que escolher uma ou a outra. Ela está em visualização limitada no momento e será implementada neste ano.

Senhas banidas para alterações locais

No início do ano, estamos lançando uma ferramenta para permitir que os administradores empresariais proíbam senhas em ambientes híbridos do Azure AD-Active Directory. As listas de senhas banidas serão sincronizadas da nuvem para seus ambientes locais e impostas em todo controlador de domínio com o agente. Isso ajuda os administradores a garantirem que as senhas dos usuários sejam mais difíceis de adivinhar não importa onde eles alterem a senha, na nuvem ou no local. Isso foi lançado para uma visualização privada limitada em fevereiro de 2018 e irá para disponibilidade geral neste ano.

Mude a maneira como você pensa sobre senhas

Muitos conceitos sobre por que uma senha é boa estão errados. Normalmente algo que deva ajudar matematicamente acaba de fato resultando em comportamento previsível do usuário. Por exemplo, exigir determinados tipos de caracteres e mudanças periódicas de senhas resultam em padrões específicos. Leia nosso whitepaper sobre orientação de senha para ver mais detalhes. Se estiver usando o Active Directory com PTA ou ADFS, atualize suas políticas de senha. Se estiver usando contas gerenciadas de nuvem, configure suas senhas para nunca expirarem.

Recomendamos que você faça o mais rapidamente possível:

  1. Quando esse recurso for lançado, instale a ferramenta de senha banida da Microsoft localmente para ajudar os usuários a criarem senhas melhores.
  2. Analise suas políticas de senha e configure-as para nunca expirarem de modo que seus usuários não usem padrões sazonais para criar senhas.

Etapa 4: Mais recursos incríveis no ADFS e no Active Directory

Se você estiver usando a autenticação híbrida com ADFS e Active Directory, há mais etapas que você pode realizar para proteger seu ambiente contra ataques de pulverização de senha.

A primeira etapa: para organizações que têm o ADFS 2.0 ou Windows Server 2012, planeje migrar para o ADFS no Windows Server 2016 o mais rápido possível. A versão mais recente será atualizada mais rapidamente com um conjunto mais avançado de recursos como lockout de extranet. E lembre-se: facilitamos muito mais a atualização do Windows Server 2012R2 para o 2016.

Bloquear a autenticação legada da extranet

Os protocolos de autenticação legada não têm a capacidade de impor MFA, então a melhor abordagem é bloqueá-los da extranet. Isso impedirá que os invasores de pulverização de senha explorem a falta de MFA nesses protocolos.

Habilitar lockout de extranet de proxy de aplicativo Web de ADFS

Se você não tiver lockout de extranet em vigor no proxy do aplicativo Web do ADFS, deverá habilitá-lo o mais rápido possível para proteger seus usuários de comprometimento potencial de senha por força bruta.

Implantar o Azure AD Connect Health para ADFS

O Azure AD Connect Health captura os endereços IP registrados nos logs do ADFS como solicitações incorretas de nome de usuário/senha, fornece um relatório adicional com uma matriz de cenários e fornece outras informações para dar suporte aos engenheiros ao abrir casos de suporte assistido.

Para implantar, baixe a versão mais recente do Azure AD Connect Health Agent para ADFS em todos os servidores do ADFS (2.6.491.0). Os servidores de ADFS devem estar executando o Windows Server 2012 R2 com a KB 3134222 instalada ou Windows Server 2016.

Usar métodos de acesso que não exijam senha

Sem senha, o trabalho de adivinhar uma senha não tem propósito. Esses métodos de autenticação que não exigem senha estão disponíveis para ADFS e o Proxy de aplicativo Web:

  1. A autenticação baseada em certificados permite que pontos de extremidade nome de usuário/senha sejam bloqueados completamente no firewall. Saiba mais sobre autenticação baseada em certificados no ADFS
  2. O Azure MFA, conforme mencionada acima, pode ser usada como um segundo fator na autenticação na nuvem e o ADFS 2012 R2 e o 2016. Mas ela também pode ser usada como fator primário no ADFS 2016 para interromper completamente a possibilidade de pulverização de senha. Saiba como configurar o Azure MFA com ADFS aqui
  3. O Windows Hello para Empresas, disponível no Windows 10 e compatível com o ADFS no Windows Server 2016, permite o acesso completamente sem senha, incluindo da extranet, com base em chaves criptográficas fortes vinculadas ao usuário e ao dispositivo. Isso está disponível para dispositivos gerenciados pela corporação que entram pelo Azure AD ou Azure AD híbrido que entram como dispositivos pessoais por meio de “Adicionar conta corporativa ou de estudante” do aplicativo de configurações. Veja mais informações sobre o Hello para Empresas.

Recomendamos que você faça o mais rapidamente possível:

  1. Atualizar para o ADFS 2016 para ver atualizações mais rápidas
  2. Bloquear a autenticação legada da extranet.
  3. Implante os agentes do Azure AD Connect Health para ADFS em todos os seus servidores do ADFS.
  4. Use um método de autenticação primário sem senha como o Azure MFA, certificados ou Windows Hello para Empresas.

Bônus: Proteger suas contas Microsoft

Se você for usuário de uma conta Microsoft:

  • ótima notícia, você já está protegido! As contas Microsoft também têm Smart Lockout, lockout de IP, verificação de duas etapas baseada em riscos, senhas banidas e muito mais.
  • Mas reserve dois minutos para ir até a página de Segurança da conta Microsoft e escolha “Atualizar suas informações de segurança” para analisar suas informações de segurança usadas para verificação de duas etapas baseada em riscos
  • Sugerimos ativar a verificação de duas etapas always-on aqui para dar a sua conta a segurança máxima possível.

A melhor defesa é… seguir as recomendações neste blog

A pulverização de senha é uma ameaça séria para todos os serviços na Internet que usam senhas. Se você seguir as etapas neste blog, terá a proteção máxima contra esse vetor de ataque. E como muitos tipos de ataques têm traços semelhantes, essas são boas sugestões de proteção e ponto final. Sua segurança é sempre nossa maior prioridade e estamos continuamente trabalhando para desenvolver proteções novas e avançadas contra pulverização de senha e qualquer outro tipo de ataque que venha a surgir. Use essas dicas acima hoje mesmo e volte sempre para conferir novas ferramentas para se defender de ataques na Internet.

Espero que você considere essas informações úteis. Como sempre, gostaríamos de receber seus comentários ou sugestões.

Atenciosamente,

Alex Simons (Twitter: @Alex_A_Simons)

Diretor de Gestão de Programas

Microsoft Identity Division

Postagens relacionadas