Active Directory - Skuteczna Blokada Słabych i Popularnych Haseł Użytkowników

Active Directory – Skuteczna Blokada Słabych i Popularnych Haseł Użytkowników

przez
Print Friendly, PDF & Email

W tym wpisie omówimy, dlaczego i jak blokować używanie określonych haseł do kont użytkowników Active Directory. W środowisku Active Directory bezpieczeństwo haseł jest kluczowym czynnikiem ochrony kont użytkowników przed cyberatakami. Jednak nawet przy wdrożeniu rygorystycznej polityki dotyczącej haseł, niektórzy użytkownicy lub administratorzy mogą nadal używać słabych haseł lub haseł łatwych do odgadnięcia. Aby wzmocnić bezpieczeństwo domeny, można zablokować używanie określonych haseł.

Dlaczego warto blokować niektóre hasła?

Istnieje kilka scenariuszy, w których wskazane jest uniemożliwienie użytkownikom lub administratorom ustawiania określonych haseł.

Im większe i starsze staje się środowisko Active Directory, tym większe prawdopodobieństwo wystąpienia złych praktyk i istotnych słabości. W wielu przypadkach ponowne użycie haseł na wielu kontach użytkowników pozwala na przejęcie kontroli nad kilkoma kontami, w tym kontami uprzywilejowanymi, co czasami prowadzi do całkowitego przejęcia kontroli nad domeną.

Aby wzmocnić bezpieczeństwo i zwiększyć odporność na cyberataki, konieczne może okazać się zablokowanie niektórych haseł, zwłaszcza gdy wynikają one z poniższych sytuacji.

Wspólne hasło początkowe dla wszystkich kont

Powszechną praktyką w zespołach administracyjnych jest przypisywanie każdemu nowemu użytkownikowi tego samego hasła początkowego (często nazywanego hasłem domyślnym) z poleceniem jego jak najszybszej zmiany. Typowym przykładem takiego hasła może być „Welcome2025!”.

Jednak ta zmiana hasła nie zawsze jest egzekwowana, zwłaszcza gdy nie jest wymagana technicznie. W wielu przypadkach można znaleźć konta użytkowników, które nadal są skonfigurowane z tym hasłem nawet po latach od ich utworzenia, ponieważ nigdy nie były używane lub nie zastosowano się do wymogu zmiany hasła (np. konta techniczne, konta testowe lub tzw. konta tymczasowe).

W takich sytuacjach, aby położyć kres tej złej praktyce bezpieczeństwa, przydatne może być zablokowanie tego hasła podczas tworzenia kont lub resetowania haseł w przyszłości.

Słabe procedury resetowania hasła

Inną często spotykaną przeze mnie sytuacją jest resetowanie hasła. Gdy użytkownik zapomina swojego hasła (co często zdarza się po powrocie z urlopu, zwłaszcza gdy obowiązują złożone zasady dotyczące haseł), administratorzy czasami wybierają łatwiejszą drogę, resetując je do tej samej, predefiniowanej wartości, na przykład „ResetPassword!”. Mogą wówczas poinformować użytkownika komunikatem w stylu: „Zresetowałem Twoje konto hasłem domyślnym”.

W rezultacie wielu użytkowników poznaje to hasło i może próbować włamać się na konto współpracownika, używając go. Praktyka ta może być również wykorzystana przez atakującego, który poznaje hasło, na przykład po włamaniu się do firmowego systemu zgłoszeń.

Brak oryginalności przy zmianie haseł

Gdy praktyka przypisywania wszystkim użytkownikom jednego, domyślnego hasła jest stosowana, użytkownicy często wprowadzają jedynie drobne, przewidywalne zmiany, gdy wymagana jest aktualizacja hasła, na przykład: „Welcome2025!” lub „ResetPassword1!”.

W takich przypadkach, a zwłaszcza gdy celem jest wyeliminowanie używania domyślnych haseł pozostałych po przestarzałych praktykach, przydatne może być zablokowanie nie tylko samego hasła domyślnego, ale także jego słabych pochodnych („Welcome2025!”, „Welcome2026!” itd.).

To ograniczenie powinno dotyczyć nie tylko użytkowników, ale także administratorów i pracowników Help Desku.

Należy również zwrócić uwagę na ogólny brak oryginalności podczas tworzenia haseł przez użytkowników. Zdecydowana większość z nich opiera się na kilku przewidywalnych wzorcach, takich jak:

  • [Nazwa firmy][Rok]
  • [Nazwa partnera][Data rocznicy]
  • [Nazwa regionu][Kod pocztowy]
  • [Imię dziecka][Data urodzenia]

Niektóre z tych wzorców, zwłaszcza te zawierające nazwę firmy, regionu lub działu, można i należy blokować, jeśli dysponuje się odpowiednimi narzędziami.

Złamane hasła

Rozsądnym rozwiązaniem może być również zablokowanie używania haseł, o których wiadomo, że zostały naruszone. W praktyce kilka sytuacji może ujawnić, że hasło lub konto zostało ujawnione, na przykład podczas dochodzenia w sprawie kryminalistyki cyfrowej po naruszeniu lub podejrzanym incydencie, lub w wyniku badań OSINT (Open Source Intelligence) przeprowadzonych przez zespół ds. bezpieczeństwa lub zewnętrznego dostawcę.

Ideą tego podejścia jest proaktywne przeszukiwanie otwartych źródeł w celu ustalenia, czy konta użytkowników, dane uwierzytelniające lub hasła wyciekły i są sprzedawane w Darknecie. W przypadku wykrycia naruszonych danych uwierzytelniających, konto powinno zostać oczywiście zablokowane, hasło zresetowane, a hasło dodane do listy zablokowanych haseł. Gwarantuje to, że nigdy nie będzie mogło zostać ponownie użyte, ani przez użytkownika, którego dane dotyczą, ani przez kogokolwiek innego.

Jakie są ryzyka?

Ryzyko związane z używaniem zhakowanego hasła lub tego samego słabego hasła na wielu kontach jest oczywiście znaczące. Obejmuje ono ryzyko włamania się na konta użytkowników przez atakującego z czarnej skrzynki (osobę, która ma jedynie dostęp do sieci i nie posiada na początku prawidłowych danych logowania do usługi Active Directory) lub próbę kradzieży tożsamości przez innego użytkownika. W niektórych przypadkach może to nawet doprowadzić do eskalacji uprawnień, na przykład uzyskania dostępu do konta administratora.

W praktyce, gdy atakujący odkryje hasło podczas cyberataku, zwłaszcza jeśli ma ono zrozumiałą strukturę, niemal nieuchronnie uruchamia to próby ataku siłowego (brute force). Atakujący będzie wtedy próbował odpowiedzieć na pytanie: „Czy inni użytkownicy mają to samo hasło, czy jego słabszą wersję?”.

Warto również zauważyć, że zespoły IT często odkrywają powszechne stosowanie wspólnych haseł dopiero po wystąpieniu takich zdarzeń, jak:

  • dochodzenie kryminalistyczne po naruszeniu,
  • test penetracyjny, który doprowadził do naruszenia domeny i wyodrębnienia/analizy bazy danych NTDS.DIT ​​Active Directory,
  • okresowy audyt haseł Active Directory,
  • lub przegląd procedur organizacyjnych dotyczących zarządzania cyklem życia kont użytkowników.

Jeśli żadna z tych sytuacji nie wystąpiła jeszcze w Twoim środowisku, czas rozważyć działania proaktywne (najlepiej zanim wydarzy się pierwszy scenariusz!). Skoro już określiliśmy zagrożenia, przyjrzyjmy się środkom, które możesz podjąć, aby zapobiec używaniu określonych haseł w usłudze Active Directory.

Zasady dotyczące haseł w usłudze Active Directory

Pierwszym krokiem w kierunku wzmocnienia ogólnej odporności haseł jest oczywiście wdrożenie odpowiedniej polityki haseł w usłudze Active Directory.

Ta polityka pozwala zdefiniować kilka kryteriów, aby zapewnić, że wszystkie nowo utworzone lub zmodyfikowane hasła (po zastosowaniu polityki, co jest ważnym szczegółem) spełniają minimalne standardy złożoności i formatu. Kryteria te zazwyczaj obejmują:

  • Minimalną długość hasła,
  • Wymóg używania znaków specjalnych, cyfr, wielkich i małych liter,
  • Okresowe odnawianie hasła


Jednak natywne funkcje polityki haseł w usłudze Active Directory nie pozwalają administratorom blokować używania określonych haseł. Na przykład hasło „Welcome2024!” może być w pełni zgodne z polityką, ale nadal jest przewidywalne, a firma Microsoft nie zapewnia wbudowanych narzędzi zapobiegających jego użyciu.

Podobnie, nawet jeśli zagrożone hasło zostanie odkryte w wyniku badań OSINT, nie ma możliwości zagwarantowania, że ​​hasło to nie jest aktualnie używane przez któregoś z użytkowników.

Zablokowane filtry haseł w usłudze Active Directory: jakie są rozwiązania techniczne?

Wykraczając poza domyślną politykę haseł, możemy przyjrzeć się konkretnym narzędziom, które wyraźnie uniemożliwiają użytkownikom lub administratorom ustawianie określonych haseł.

Jak wspomniano wcześniej, potrzeba ta często pojawia się po włamaniu, teście penetracyjnym, audycie haseł w usłudze Active Directory lub zmianie procedur przypisywania haseł.

Często wprowadzanym usprawnieniem w praktykach konfigurowania kont jest decyzja: „Nie będziemy już używać tego domyślnego hasła, zamiast tego będą generowane losowo nowe”. Niestety, złe nawyki są trudne do przełamania i w wielu przypadkach do skutecznego egzekwowania takich ograniczeń niezbędne są narzędzia techniczne.

Korzystanie z ochrony hasłem Microsoft Entra

Jeśli lokalna usługa Active Directory jest połączona z dzierżawcą platformy Azure za pośrednictwem usługi Entra ID Connect, możesz wykorzystać funkcję Microsoft Entra Password Protection (dawniej Azure AD Password Protection) do blokowania popularnych lub słabych haseł za pomocą list niestandardowych. Opiera się ona na zarządzanej przez firmę Microsoft bazie danych niedozwolonych haseł, którą można rozszerzyć o własną listę zablokowanych haseł.

Oto jak wygląda interfejs konfiguracji tej funkcji:

Ochrona haseł w Microsoft Entra

Chociaż lokalna usługa AD może być chroniona za pomocą tej funkcji, należy pamiętać, że Microsoft Entra Password Protection nie jest narzędziem darmowym. W rzeczywistości, aby korzystać z tej ochrony, zsynchronizowani użytkownicy muszą posiadać licencję Microsoft Entra ID Premium P1 lub P2.

Jeśli nie możesz zablokować określonych haseł za pomocą Microsoft Entra Password Protection, dostępne są alternatywne rozwiązania.

Rozwiązanie polityki haseł Specops

Jako płatna alternatywa oferowana przez firmy trzecie, Specops Password Policy (SPP) oferuje szeroką gamę funkcji służących do zabezpieczania i audytu haseł w usługach AD, w tym:

  • Wykrywanie zagrożonych haseł już obecnych w usłudze Active Directory,
  • Tworzenie nieograniczonego, niestandardowego słownika zablokowanych słów i haseł, specyficznych dla Twojej organizacji,
  • Blokowanie używania nazw użytkowników, kolejnych znaków lub haseł przyrostowych podczas ustawiania hasła,
  • Zapobieganie używaniu zagrożonych haseł (podczas trwających ataków),
  • Zarządzanie wygasaniem haseł i pomoc dla użytkowników

Funkcja umożliwiająca administratorom jawne blokowanie określonych haseł jest w tym kontekście szczególnie istotna. Poniżej znajduje się przykład, jak polityka haseł Specops radzi sobie z tym ograniczeniem:

Blokowanie haseł SPP

To rozwiązanie umożliwia zbudowanie obszernego słownika słów i haseł do zablokowania. Wpisy dodawane do tej listy powinny oczywiście obejmować te zidentyfikowane w scenariuszach wymienionych wcześniej: złe nawyki tworzenia haseł, resetowanie kont, a także hasła, o których wiadomo, że są zagrożone. Należy również rozważyć uwzględnienie słabych wariantów tych haseł na liście blokowanych.

W związku z tym, Specops Password Policy zawiera funkcję, która automatycznie blokuje warianty haseł znajdujących się na czarnej liście. Generuje ona możliwe pochodne, wykorzystując typowe wzorce podstawiania lub przyrostowe nazewnictwo (np. „Welcome2025!” staje się „Wel3ome2O25!” lub „Welcome2026”). Eliminuje to konieczność ręcznego przewidywania każdego możliwego przypadku.

Blokowanie pochodnych haseł

Polityka haseł Specops wykracza daleko poza proste blokowanie określonych haseł. Pozwala na przykład administratorom zabronić używania identycznych lub następujących po sobie znaków, a nawet definiować niestandardowe wyrażenia regularne, aby zapobiec używaniu określonych wzorców w hasłach.

Wracając do wcześniejszego punktu dotyczącego blokowania zagrożonych haseł, Polityka haseł Specops oferuje funkcję o nazwie Ochrona przed złamaniem hasła. Usługa ta porównuje skróty haseł użytkowników Active Directory z stale aktualizowaną listą znanych zagrożonych skrótów haseł.

Ta baza danych zawiera ponad 4 miliardy wpisów zebranych z poważnych naruszeń danych oraz haseł użytych w rzeczywistych atakach. Specops wzbogaca również tę listę o informacje pochodzące z własnych honeypotów.

Za każdym razem, gdy w Active Directory podejmowana jest próba zmiany hasła, usługa sprawdza nowe hasło w tej bazie danych. Jeśli pasuje ono do zablokowanego wpisu, system blokuje zmianę i powiadamia użytkownika.

Świadomość użytkownika

Świadomość użytkowników to kolejne, niedoskonałe, ale niezbędne narzędzie do wzmocnienia odporności haseł w usłudze Active Directory. Chociaż polityki bezpieczeństwa i filtry haseł można egzekwować, czynnik ludzki często pozostaje najsłabszym ogniwem w łańcuchu bezpieczeństwa. Dlatego kluczowe jest szkolenie użytkowników poprzez wyjaśnienie, co stanowi silne hasło i dlaczego konieczne jest stosowanie solidnych, unikatowych praktyk dotyczących haseł.

Skutecznym sposobem na podniesienie świadomości jest oparcie się na konkretnych przykładach, zwłaszcza jeśli organizacja była już celem ataku. Użytkownicy są o wiele bardziej podatni na ataki, gdy zdają sobie sprawę, że te zagrożenia nie są teoretyczne, lecz bardzo realne.

Statystyki wewnętrzne mogą być również szczególnie istotne, jeśli dostępne są wyniki audytu bezpieczeństwa systemu informatycznego. Jeśli użytkownicy zostali już zmuszeni do zresetowania haseł, demonstracja na żywo podczas sesji szkoleniowej może być bardzo skuteczna. Na przykład pokazanie problematycznych przykładów, takich jak „Welcome2025!”, a następnie „Welcome2025!”, pomaga zilustrować, dlaczego niewielkie różnice w tym samym haśle nie zapewniają odpowiedniego poziomu bezpieczeństwa.

Oprócz szkoleń podnoszących świadomość, cenne może okazać się aktywne testowanie odporności haseł, zarówno poprzez szersze audyty techniczne (takie jak testy penetracyjne), jak i ukierunkowane audyty skupiające się konkretnie na hasłach usługi Active Directory.

Podsumowanie

W tym wpisie przeanalizowaliśmy sytuacje, w których hasła, mimo że technicznie zgodne i pozornie silne, mogą być współdzielone przez wiele kont użytkowników, stwarzając tym samym poważne zagrożenia bezpieczeństwa. Omówiliśmy również konsekwencje takich praktyk i, co najważniejsze, dostępne rozwiązania umożliwiające blokowanie określonych haseł dla kont użytkowników Active Directory.

Zapobieganie używaniu określonych haseł w Active Directory jest zatem niezbędnym środkiem bezpieczeństwa, który pozwala zmniejszyć ryzyko naruszenia bezpieczeństwa kont i wzmocnić ogólną odporność organizacji na cyberataki.

Print Friendly, PDF & Email

Dziękuję Ci, za poświęcony czas na przeczytanie tego artykułu. Jeśli był on dla Ciebie przydatny, to gorąco zachęcam Cię do zapisania się na mój newsletter, jeżeli jeszcze Cię tam nie ma. Proszę Cię także o “polubienie” mojego bloga na Facebooku oraz kanału na YouTube – pomoże mi to dotrzeć do nowych odbiorców. Raz w tygodniu (niedziela punkt 17.00) otrzymasz powiadomienia o nowych artykułach / projektach zanim staną się publiczne. Możesz również pozostawić całkowicie anonimowy pomysł na wpis/nagranie.

Link do formularza tutaj: https://beitadmin.pl/pomysly

Pozostaw również komentarz lub napisz do mnie wiadomość odpisuję na każdą, jeżeli Masz jakieś pytania:).

Dodaj komentarz

beitadmin.pl - Droga Administratora IT