Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



25.09.2020

Konferencja PIKE 2020 „Nowy...

Liderzy branży telekomunikacji i mediów o nowych wyzwaniach i przyszłości branży w...
24.09.2020

Microsoft ogłosił harmonogram...

Ta chwila prędzej czy później musiała nadejść – Microsoft ogłosił harmonogram porzucania...
24.09.2020

Nowe mobilne jabłka

Premiera iOS-a 14
24.09.2020

Kompleksowa ochrona

Kaspersky 2021
24.09.2020

Kolejny zielony robot

Android 11
24.09.2020

Mobilne bezpieczeństwo

ESET Mobile Security 6.0
24.09.2020

QNAP

QNAP wprowadził na rynek serwery NAS serii TS-x32PXU przeznaczone do montażu w szafie...
24.09.2020

Wytrzymałe SSD

WD My Passport
24.09.2020

Laptopy dla biznesu

MSI Summit

Ochrona haseł usługi Azure Acive Directory

Data publikacji: 20-02-2020 Autor: Michał Gajda

Jakość wykorzystywanych haseł dla kont użytkowników często jest jednym z największych problemów w procesie zapewniania bezpieczeństwa infrastruktury IT. Niestety dotychczasowe narzędzia usługi Active Directory określające politykę haseł, pomimo swoich wielu zalet, nie zawsze pozwalają na zapewnienie odpowiedniej weryfikacji jakości hasła.

 

W procesie tworzenia haseł zarówno świadomość użytkowników, jak i jej brak są kluczowymi elementami bezpieczeństwa całej infrastruktury informatycznej. W przypadku lokalnej usługi Active Directory zarządzanie tym procesem może być w pewnym stopniu ustandaryzowane poprzez narzucenie globalnej polityki haseł, w ramach której możemy na przykład wymusić długość hasła, stopień jego złożoności czy nawet częstotliwość zmiany. Niemniej jednak nawet takie działania często nie pozwalają na zmotywowanie użytkowników końcowych do tworzenia dobrych haseł. Przykładem może być tutaj powszechnie znane i niestety nadal często spotykane hasło P@ssw0rd, tudzież różne jego pochodne wersje. W większości organizacji zapewne będzie ono spełniać politykę haseł, tak więc z powodzeniem może zostać ustawione na koncie użytkownika. Niemniej jednak próżno sądzić, że stosowanie takiego hasła ochroni nasze konto przed nieautoryzowanym dostępem niepowołanych osób. Dlatego aby dodatkowo zabezpieczyć się przed tego typu przypadkami, możemy posłużyć się usługą ochrony haseł, dostępną w ramach infrastruktury Azure Active Directory.


> KONCEPCJA USŁUGI OCHRONY HASEŁ


Azure AD Password Protection oprócz dotychczasowo stosowanej polityki haseł pozwala na narzucenie dodatkowej warstwy ochrony. Ogranicza ona stosowanie słabych i łatwych do odgadnięcia haseł, bazując na listach haseł zabronionych. Za każdym razem gdy użytkownik lub administrator zmienia hasło do konta, jest ono dodatkowo weryfikowane, czy nie znajduje się na tej liście. Dlatego jeżeli nawet dane hasło będzie spełniać zasady narzucone przez aktualną politykę, może być ono niemożliwe do zastosowania w ramach konta użytkownika danej organizacji.


Usługa ochrony haseł bazuje na dwóch listach haseł zabronionych. Pierwszą z nich jest globalna lista dostarczana przez firmę Microsoft, a konkretnie przez zespół Azure AD Identity Protection. Lista ta jest budowana na podstawie ciągłej analizy danych związanych z zabezpieczaniem usługi Azure AD, w szczególności pod kątem badań wykorzystywania słabych i jednocześnie często używanych tudzież złamanych haseł. Zawiera ona kilkaset podstawowych fraz, które dodatkowo przy zastosowaniu różnych wariantów ze zmianą znaków daje bazę ponad miliona zabronionych haseł. Wspomniana lista z prostego powodu nie jest dostępna do publicznego wglądu. Mianowicie cyberprzestępcy wykorzystują analogiczne mechanizmy, bazujące na słownikach haseł.


Jedną z częściej spotykanych praktyk wśród użytkowników końcowych jest stosowanie haseł powiązanych z daną organizacją, w której pracują. Do tych zachowań należy na przykład wykorzystywanie w haśle składnika nazwy lub skrótu firmy tudzież produktów kojarzących się z marką charakterystyczną dla danej organizacji. Dlatego nawet jeżeli takie hasła spełniają wymogi zabezpieczeń, bazując na skojarzeniach z firmą, mogą zostać odgadnięte.


Z racji że główna lista haseł zabronionych bazuje wyłącznie na danych globalnych, wspomniany przykład sprawia, że konieczne jest również zastosowanie ograniczeń bardziej spersonalizowanych pod daną organizację. W tym celu tworzona jest druga lista haseł zabronionych, także wykorzystywana przez usługę Azure AD Password Protection. Jest nią słownik definiowany indywidualnie przez administratora danej organizacji, w ramach której możliwe jest określenie kluczowych fraz, które nie powinny być możliwe do zdefiniowania przez użytkowników jako hasła. Między innymi mogą w tej grupie znaleźć się np. wcześniej wspomniane nazwy charakterystyczne dla danej organizacji.


Lista niestandardowych haseł zabronionych jest ograniczona maksymalnie do 1000 pozycji. Należy jednak pamiętać, że nie musimy w ramach niej definiować wszystkich możliwych wariantów, jakie zamierzamy blokować. Wystarczy posłużyć się nawet niewielką listą słów kluczowych, a usługa automatycznie na ich podstawie blokować będzie słabe kombinacje zastosowanych fraz.
Usługa ochrony haseł dostępna jest za darmo jedynie w przypadku stosowania globalnej listy zakazanych haseł dla użytkowników zmieniających hasła w Azure Active Directory. Jeżeli chcemy dodatkowo wykorzystywać niestandardową listę zakazanych haseł, konieczne jest posiadanie licencji minimum Azure AD Premium P1. Dotyczy to również sytuacji, gdy chcemy chronić hasła w lokalnym środowisku usługi katalogowej Active Directory.


> KONFIGURACJA OCHRONY HASEŁ


Podstawowa funkcjonalność mechanizmu ochrony haseł, czyli globalna lista haseł zabronionych, jest natywnie zaimplementowana w ramach każdej dzierżawy usługi Azure Active Directory, tak więc nie wymaga żadnej konfiguracji od strony administracyjnej. Dopiero gdy zamierzamy wykorzystywać zaawansowane mechanizmy ochrony haseł, jak na przykład wspomnianą niestandardową listę haseł zabronionych, wymagane są dodatkowe działania.


Główny proces konfiguracji odbywa się po stronie portalu zarządzania usługą Azure Active Directory. W ramach wspomnianego portalu, w sekcji Zabezpieczenia (Security) | Metody uwierzytelniania (Authentication methods), znajduje się prosty konfigurator usługi ochrony haseł (Password protection). Daje on dostęp do sekcji zaprezentowanej na rys. 1, pozwalającej na skonfigurowanie podstawowych mechanizmów usługi, takich jak: Niestandardowa blokada inteligentna (Custom smart lockout), Zakazane hasła niestandardowe (Custom banned passwords) oraz Ochrona hasłem dla usługi Active Directory systemu Windows Server (Password protection for Windows Server Active Directory).

 

[...]

 

Autor ma wieloletnie doświadczenie w administracji oraz implementowaniu nowych technologii w infrastrukturze serwerowej. Pasjonat technologii Microsoft. Posiada tytuł MVP Cloud and Datacenter Management. Autor webcastów, książek oraz publikacji w czasopismach i serwisach branżowych.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"