Sådan sortlister du svage Active Directory-adgangskoder

Hvad gør en adgangskode sårbar over for hackere?

Det er naturligt for mennesker at bruge adgangskoder, der både er nemme at skrive og huske. De kan bestå af velkendte tastaturmønstre som 12345 eller ord som adgangskode. Lister over ofte anvendte adgangskoder (kaldet adgangskodeordbøger) er let tilgængelige for hackere og angribere, hvilket giver dem en fordel, når det gælder cyberangreb.

For at gøre ondt værre findes der lange lister over kompromitterede konti og deres adgangskoder, som er offentligt tilgængelige. Eftersom brugere har en tendens til at genbruge den samme adgangskode til flere hjemmesider, kan angribere forsøge at logge ind på flere hjemmesider med de samme adgangsoplysninger.

Ved at kombinere viden om den menneskelige natur med databaserede lister over gængse og kompromitterede adgangskoder har angribere fundet på kreative angrebsstrategier såsom:

1. Brute-force-angreb: En "trial-and-error"-metode, der anvender et meget stort antal adgangskoder og kombinationer af adgangskoder mod beskyttede ressourcer i håb om, at en kombination svarer til adgangskoden. Dette er en enkel, men yderst effektiv angrebsstrategi.
2. Angreb på baggrund af ord i ordbøger: Alle ord i ordbogen afprøves mod en ressource, der er beskyttet med en adgangskode. Dette ligner angreb på baggrund af brute-force, bortset fra at det kun bruger ord, der findes i ordbogen.
3. Password spraying: Et lille antal meget ofte forekommende adgangskoder afprøves på et stort antal beskyttede konti. Angrebet er baseret på den antagelse, at mindst nogle få brugere i firmaet har valgt svage adgangskoder.
4. Credential stuffing: Kompromitterede konti og adgangskoder, der er lækket fra skadelige hjemmesider, afprøves på virksomhedens ressourcer i håb om, at de kompromitterede brugere har genbrugt de samme adgangsoplysninger på arbejdspladsen.

Hvad er sortlistning af adgangskoder, og hvordan hjælper det med at forhindre angreb på adgangskoder?

Administratorer kan beskytte organisationen mod denne type angreb ved hjælp af sortlistning af adgangskoder. Sortlistning af adgangskoder indebærer, at man forbyder brugen af de oftest anvendte adgangskoder og deres variationer. Sortlistning af kompromitterede og svage adgangskoder kan gøre organisationens sikkerhed bedre ved at forhindre angribere i at afsløre en brugers domæneadgangskode og dermed slippe forbi det første login med adgangskode til Active Directory-domænet.

Sortlistning af adgangskoder i PowerShell

Windows PowerShell tilbyder ikke funktioner til sortlistning af adgangskoder.

ManageEngine ADSelfService Plus, der er en løsning til identitetssikkerhed med multifaktorgodkendelse, enkeltlogon og funktioner til selvbetjent administration af adgangskoder, tilbyder sortlistning af adgangskoder til Active Directory og virksomhedsapplikationer via dens funktion til håndhævelse af politik for adgangskoder og integration med Have I Been Pwned?. Førstnævnte hjælper med at indføre regler for politik for adgangskoder, der forbyder brug af ord i ordbøger, palindromer og mønstre, og sidstnævnte forhindrer brugen af adgangskoder, der tidligere har været en del af en datalækage.

Konfiguration af sortlistning af adgangskoder i ADSelfService Plus

1. Konfiguration af funktionen til håndhævelse af politik for adgangskoder

Med ADSelfService Plus kan du konfigurere en politik for brugerdefinerede adgangskoder via funktionen til håndhævelse af politik for adgangskoder

1. Log ind på ADSelfService Plus-administrationsportalen.
2. Gå til Konfiguration > Selvbetjening > Funktion til håndhævelse af politik for adgangskoder.
3. Aktivér Håndhævelse af politik for brugerdefinerede adgangskoder.
4. Under fanen Begræns mønster skal du forbyde de adgangskoder, der indeholder brugerdefinerede tastatursekvenser fra ordbøger og palindromer.
5. Klik på Gem.





2. Sådan integrerer du ADSelfService Plus med Have I Been Pwned?

1. Gå til Admin > Produktindstillinger > Integrationsindstillinger > Have I been Pwned?.
2. Vælg Aktivér Have I been Pwned-integrationen.



Fordele ved ADSelfService Plus

ADSelfService Plus har, udover at være nem at konfigurere, flere fordele sammenlignet med PowerShell-scripts.

• Avancerede indstillinger for politik for adgangskoder:

  Administratorer kan oprette brugerdefinerede politikker for adgangskoder via avancerede kontrolelementer til politik for adgangskoder, der sortlister svage adgangskoder, gængse tastaturmønstre, palindromer osv.

• Sådan uploader du adgangskodeordbøger:

  Administratorer kan uploade lister over adgangskoder, der er gængse og nemme at bryde (kaldet adgangskodeordbøger) for at forhindre, at adgangskoderne på listen bliver brugt.

• Integration med Have I Been Pwned?:

  Have I Been Pwned? er en tjeneste, der informerer brugerne om, hvorvidt de adgangskoder, de bruger, er blevet kompromitteret under tidligere databrud. Den oplyser dem også om gamle, svage eller duplikerede adgangskoder, som de måske har brugt.

• Håndhævelse i alle systemer:

  Administratorer kan håndhæve politikkerne for adgangskoder og Have I Been Pwned?-integrationen under selvbetjent nulstilling og ændring af adgangskoder for både Active Directory og cloudapplikationer. Ændringer af indbyggede adgangskoder såsom ændringer af adgangskoder via Ctrl+Alt+Del og nulstillinger af adgangskoder fra ADUC-portalen kan også administreres.

• Forbedrer IT-sikkerheden:

  Indeholder avancerede teknikker til multifaktorgodkendelse, herunder biometri og YubiKey til sikring af cloudapps.

• Forbedrer brugeroplevelsen:

  Brugere kan foretage selvbetjent nulstilling af adgangskoder fra flere adgangspunkter såsom deres loginskærme, mobilenheder eller en sikker webportal.