Detecte, Proteja e Elimine as senhas fracas do seu Azure AD e do AD DS

Com a proteção de senha do Azure AD podemos detectar e bloquear as senhas fracas em nossa organização e assim manter nosso ambiente mais forte e seguro.

Em um ambiente híbrido podemos utilizar as mesmas configurações do ambiente de nuvem no ambiente local do AD DS.

Princípios de design

A proteção de senha do Azure AD foi projetada com os seguintes princípios em mente:

  • Os controladores de domínio (DCs) nunca precisam se comunicar diretamente com a Internet.
  • Nenhuma nova porta de rede é aberta em DCs.
  • Nenhuma alteração de esquema do AD DS é necessária. O software usa o contêiner do AD DS existente e os objetos de esquema serviceConnectionPoint .
  • Nenhum domínio mínimo do AD DS ou nível funcional de floresta (DFL/FFL) é necessário.
  • O software não cria nem exige contas nos domínios AD DS que ele protege.
  • As senhas de texto não criptografado do usuário nunca saem do controlador de domínio, seja durante as operações de validação de senha ou em qualquer outro momento.
  • O software não depende de outros recursos do Azure AD. Por exemplo, a sincronização de hash de senha do Azure AD (PHS) não está relacionada ou necessária para a proteção de senha do Azure AD.
  • A implantação incremental é suportada, mas a política de senha só é aplicada onde o Domain Controller Agent (DC Agent) está instalado.

                A proteção completa de suas senhas não é uma senha forte, mas, a utilização de recursos adicionais como a autenticação multifator do Azure AD associada com uma cultura organizacional voltada a conscientização dos usuários na proteção cibernética.

Proteção de Password

Vamos considerar um cliente chamado Chesley. A empresa está sediada em Brasília e atua no ramo de atividades fundiárias. Recentemente essa organização passou por alguns processos internos e os usuários tiveram suas senhas alteradas e muitos ainda permanecem com a mesma senha.

Devido a falta de cultura organizacional e falta de gestão dessa empresa os usuários estão expostos e não tem as informações necessárias para se protegerem e nem existe nesta organização uma política de senhas efetivas.

A alta gestão está mais preocupada com sessões de navegadores abertas, infelizmente essa realidade atinge muitas organizações, falta conhecimento, falta gestão, falta vontade.

Para este cliente, seria um desperdício e menos seguro tentar bloquear variações específicas desses termos, como as seguintes:

  • “chesley!1”
  • “Chesley@Brasilia”
  • “chesleyterras”
  • “!grileiros”
  • “teste”

Em vez disso, é muito mais eficiente e seguro bloquear apenas os principais termos básicos, como os exemplos a seguir:

  • “chesley”
  • “brasilia”
  • “grileiros”
  • “chesley@123”

O algoritmo de validação de senha bloqueia automaticamente variantes e combinações fracas.

Pré-requisitos para essa solução

Senhas proibidas

 O Azure AD possui uma lista de senhas proibidas, uma lista global.

O conteúdo dessa lista é o resultado da análise do time de segurança do Azure AD, portanto, são os nomes mais comuns e mais inseguros que são alvos de ataques no mundo inteiro.

Nós também podemos criar nossa própria lista de senhas proibidas, nossa lista personalizada vai funcionar lado a lado com a lista global.

Termos específicos da organização podem ser adicionados à lista personalizada de senhas proibidas, como os exemplos a seguir:

  • Nomes de marcas
  • Nomes de produtos
  • Locais, como a sede da empresa
  • Termos internos específicos da empresa
  • Abreviaturas que têm significado específico da empresa
  • Meses e dias da semana com os idiomas locais da sua empresa

Quando um usuário tenta redefinir uma senha para algo que está na lista de senhas banidas global ou personalizada, ele vê uma das seguintes mensagens de erro:

  • Infelizmente, sua senha contém uma palavra, frase ou padrão que a torna fácil de adivinhar. Por favor, tente novamente com uma senha diferente.
  • Infelizmente, você não pode usar essa senha porque ela contém palavras ou caracteres que foram bloqueados pelo administrador. Por favor, tente novamente com uma senha diferente.

Configurando a proteção de Password

Acesso o portal de Administração do Azure e depois clique em Security, após isso localize e clique em Authentication methods

  1. Entre no portal do Azure usando uma conta com permissões de administrador global .
  2. Pesquise e selecione Azure Active Directory e escolha Segurança no menu à esquerda.

No cabeçalho do menu Gerenciar , selecione Métodos de autenticação 

  1. Clique em Proteção por senha .
  2. Defina a opção para Impor lista personalizada como Sim .
  3. Adicione strings à lista de senhas banidas personalizadas , uma string por linha. As seguintes considerações e limitações se aplicam à lista personalizada de senhas banidas:
    1. A lista personalizada de senhas proibidas pode conter até 1.000 termos.
    1. A lista de senhas banidas personalizadas não diferencia maiúsculas de minúsculas.
    1. A lista personalizada de senhas proibidas considera a substituição de caracteres comuns, como “o” e “0” ou “a” e “@”.
    1. O comprimento mínimo da string é de quatro caracteres e o máximo é de 16 caracteres.

Especifique suas próprias senhas personalizadas para banir, conforme mostrado no exemplo a seguir

Entendendo os Critérios

Lockout Threshold: Quantos logins com falha são permitidos em uma conta antes de seu primeiro bloqueio. Se o primeiro login após um bloqueio também falhar, a conta será bloqueada novamente.

Lockout Duration In Seconds: é o tempo de bloqueio em segundos

Passwords banidos

Enforce Custom List: Quando ativado, as palavras na lista abaixo são usadas no sistema de senhas proibidas para evitar senhas fáceis de adivinhar.

Custom Banned Password list: é sua lista de senhas banidas

Enable password protection on Windows Server AD DS: Se definida como Sim, a proteção por senha será ativada para controladores de domínio do Active Directory quando o agente apropriado estiver instalado.

Mode: Se definido como Impor, os usuários serão impedidos de definir senhas proibidas e a tentativa será registrada. Se definida como Auditoria, a tentativa será registrada apenas.

Para habilitar as senhas banidas personalizadas e suas entradas, selecione Salvar .

Testar a lista de senhas banidas

Ao logar no portal o usuário solicita a alteração de senha

Alterando a senha

Após colocar a senha, e se a nova senha for pega na política, ele recebe a seguinte mensagem:

Conclusão

Apesar bastante ampla a Proteção de Senhas do Azure AD não deve ser usada isoladamente, procure associar a política de senhas com o MFA e uma cultura forte de proteção da organização.

Todo cuidado é pouco, não se permita e nem permita que seus usuários fiquem vulneráveis.

Referencias

https://docs.microsoft.com/en-us/azure/active-directory/authentication/concept-password-ban-bad


Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s