REVIEW: Azure AD Password Protection and Smart Lockout

Publicado a 6/29/2018 por Knowledge Inside em Review
image

A Microsoft anunciou recentemente duas novas ferramentas de segurança (ainda em Public Preview) para quem utiliza Active Directory na sua organização: Azure Password Protection e Smart Lockout. Com estas duas ferramentas podemos baixar dramaticamente o risco de a organização ser comprometida por técnicas de brute force, ao eliminarmos o uso passwords fáceis de descobrir por parte dos utilizadores.

A grande maioria dos utilizadores pensa que ao utilizar palavras comuns, substituindo certas letras por carateres, cria uma password segura, o que é um erro comum. Também se verifica que ao obrigar a requisitos de complexidade, a grande maioria dos utilizadores vai simplesmente escolher uma maiúscula como letra inicial, e acabar a mesma palavra com um número ou pontuação. Obrigar os utilizadores a mudar as passwords frequentemente também leva a que os mesmos simplesmente alterem o número presente no final da mesma, o que se torna um padrão previsível.

AZURE PASSWORD PROTECTION
A primeira das ferramentas, Azure Password Protection, permite bloquear o uso de passwords fáceis de descobrir pelos utilizadores. Isto é de extrema utilidade uma vez que a tendência dos utilizadores é a de utilizarem palavras comuns e alterarem certos carateres por “$” ou “#”, pensando que isso aumenta a complexidade da password.

No entanto, com as novas técnicas de brute force ao dispor dos hackers, essas combinações são fáceis de adivinhar. Com esta ferramenta, podemos aplicar um sistema de passwords banidas, tanto para Cloud como para On-premises, alimentada pela Azure AD, que regularmente atualiza a base de dados de passwords banidas ao aprender com os biliões de autenticações que são efetuados, bem como analisando as fugas de credenciais que regularmente ocorrem pela web.

Neste momento a lista de password proibidas contém cerca de 500 das passwords mais comuns, sendo que com as variações de carateres este número sobre para mais de um milhão de combinações proibidas. A esta lista, os administradores podem adicionar passwords customizadas, sendo recomendado proibir palavras comuns na empresa, nomes de equipas desportivas, locais comuns entre outras.

Esta ferramenta está incluída na subscrição Azure AD Premium 1.

SMART LOCKOUT
A segunda das ferramentas, o Smart Lockout, permite diferenciar entre utilizadores que se enganam na password e pessoas externas que tentem adivinhar as passwords dos colaboradores, bloqueando as últimas e permitindo que as primeiras continuem o seu trabalho. Isto é possível através do uso de cloud intelligence. Esta ferramenta está disponível em todas as subscrições da Azure AD.

FUNCIONAMENTO
Por defeito, todas as operações de definição e reset de password para utilizadores Azure Premium estão configuradas para usar Azure AD Password Protection. No entanto é possível configurar uma lista customizada de passwords proibidas para a sua organização, e configurar esta ferramenta para Windows Server Active Directory, através da instalação de agentes nos Domain Controllers e de servidores com o serviço Azure AD Password Protection Proxy Service. Estes últimos validam os pedidos de alteração de password dos Domain Controllers tendo em conta a lista de passwords banidas presente na Azure AD.

Para se efetuar esta configuração devemos entrar no painel de gestão da Azure Active Directory, e ir à secção de Security, mais especificamente ao separador Authentication Methods.

Aqui podemos configurar os seguintes parâmetros:

  • Lockout Threshold: o número de tentativas de autenticação falhadas até a conta ficar bloqueada. Caso a primeira tentativa de autenticação após o desbloqueio da conta falhe, a conta é novamente bloqueada.
  • Lockout duration in seconds: duração mínima, em segundos, de cada bloqueio. Caso a conta bloqueie repetidamente, esta duração vai aumentando.
  • Enforce custom list: Quando ativado, permite customizar a lista de passwords banidas.
  • Custom banned password list: lista de palavras banidas que os utilizadores não poderão utilizar nas suas passwords. Pode conter até 1000 palavras
  • Enable password protection on Windows Server Active Directory: Quando ativado, é ativada a password protection para os Domain Controllers que possuem o agente instalado.
  • Mode: No modo Enforced, os utilizadores serão proibidos de utilizarem passwords banidas, e essa tentativa de alteração será registada. No modo Audit, a alteração passa a ser permitida, mas a mesma fica registada.
  • Para implementações em Windows Server Active Directory, a solução funciona do seguinte modo:

    O que nós dizemos

    Pela análise inicial, estas novas ferramentas de segurança da Microsoft parecem constituir uma enorme mais-valia no que toca a protegermos a nossa organização de ataques brute force protagonizados por hackers ou outros intervenientes.
    O facto de permitir uma utilização tanto na Cloud como em Windows Server Active Directory, é sem dúvida uma excelente novidade para todas as organizações que ainda dependem de infra-estruturas On-Premise e permite abranger uma maior fatia do mercado.
    Gostámos também de saber que a ferramenta Smart Lockout está disponível para todas as subscrições de Azure AD, incluindo a gratuita e que a outra ferramenta (Password Protection) está disponível a partir da subscrição Azure AD Premium 1 e não apenas na subscrição mais cara Premium 2.
    Nesta altura não conseguimos encontrar qualquer ponto negativo com estas soluções, e não hesitamos em recomendar a sua utilização. Gostaríamos de salientar que estas mesmas ferramentas ainda estão em modo de Public Preview, pelo que até passarem para General Release é expectável que sejam adicionadas novas funcionalidades e aprimorado o seu funcionamento.

    Comments