Punti chiave
- La blacklist delle password blocca gli attacchi di tipo spraying: Bloccando le password conosciute, riutilizzate e specifiche a livello di azienda, è più difficile effettuare lo spraying di password.
- Active Directory non può bloccare autonomamente le password personalizzate: Active Directory on-premise non supporta elenchi di password vietate personalizzate senza aiuto.
- Entra ID può applicare le regole senza possedere l’elenco: Microsoft Entra ID è in grado di bloccare le password non permesse, consentendo alle organizzazioni di mantenere il controllo su ciò che è presente nell’elenco.
- Mantenere un proprio elenco evita il blocco degli strumenti: Disporre di una tua blacklist ti consente di riutilizzarla su tutte le piattaforme e di evitare la dipendenza da un unico prodotto di sicurezza.
- La blacklist funziona meglio come parte di un processo operativo: Il monitoraggio delle password rifiutate, l’abilitazione del reset self-service e l’aggiornamento degli elenchi dopo gli incidenti ne garantiscono l’efficacia nel tempo
Imparare a creare e implementare una blacklist delle password in Active Directory è possibile con la giusta combinazione di strumenti. Questa guida spiega come creare un elenco di password vietate che impedisca agli utenti di utilizzare password facilmente intuibili, comuni o violate.
Che cos’è un attacco di spraying della password?
La creazione di una blacklist di password o di un filtro che impedisca agli utenti di utilizzare le password vietate aiuta a proteggere l’organizzazione dagli attacchi di password spraying. Questi attacchi consistono nel provare password comunemente utilizzate o facilmente indovinabili, o password precedentemente esposte durante una violazione. Gli aggressori possono tentare di accedere a più account federati che utilizzano le credenziali di Active Directory per una serie di servizi cloud o ospitati privatamente.
Un elenco di password vietate personalizzato per la tua organizzazione va oltre gli elenchi generici: per esempio, puoi includere il nome e l’indirizzo della tua azienda per impedirne l’uso nelle password e inserire nella blacklist le password che sai essere state violate, divulgate o condivise (per esempio, da dipendenti che condividono account utente).
Come creare una blacklist di password in Active Directory
Active Directory, quando è ospitato sui controller di dominio Windows, non supporta autonomamente le blacklist di password personalizzate. Sebbene i prodotti di terze parti abbiano tradizionalmente assunto questo ruolo, ciò si traduce in un lock-in. Microsoft Entra ID sta rapidamente diventando il metodo preferito per gestire l’autenticazione di livello enterprise con Active Directory grazie alla sua stretta integrazione con Microsoft 365 e ai suoi migliori strumenti di gestione basati sul cloud, e ha ora introdotto la funzionalità di blacklist delle password.
Utilizzando Microsoft Entra hybrid join per collegare l’Active Directory on-premise con Microsoft Entra ID, i dispositivi e gli utenti vengono sincronizzati tra i due servizi e puoi sfruttare le funzionalità aggiuntive offerte da Entra ID. Queste includono la protezione personalizzata delle password con la possibilità di definire i tuoi elenchi di password bloccate quando installi l’agente richiesto sui controller di dominio. Dovresti anche abilitare il writeback della password per sincronizzare le modifiche della password da Entra ID all’infrastruttura Active Directory.
Evitare il lock-in mantenendo un proprio elenco di password
Potresti dover utilizzare la blacklist delle password anche su altre piattaforme al di fuori di Active Directory o dell’ecosistema Microsoft, quindi è importante mantenere una tua copia della blacklist per fare in modo che sia sempre disponibile all’uso. Questo può essere fatto utilizzando una piattaforma di documentazione IT.
È indispensabile che la blacklist delle password sia mantenuta al sicuro utilizzando la crittografia e il controllo degli accessi, poiché potrebbe fornire agli aggressori indizi vitali sulle password da provare in un attacco di password spraying. Assicurati che la piattaforma di documentazione IT scelta supporti una solida sicurezza e un accesso basato sui ruoli e che consenta il caricamento di file crittografati, in modo che solo i tecnici che necessitano di accedere alla lettura e all’aggiornamento delle blacklist possano farlo.
Creare una strategia di blacklist delle password di Active Directory
Quando stai decidendo cosa inserire nell’elenco delle password vietate, tieni conto di quanto segue:
- Password violate, comunemente utilizzate, facilmente indovinabili e loro varianti banali (come l’aggiunta di un numero sequenziale o di una data). Per esempio, termini aziendali legati a brand e gergo locale.
- Rimani concentrato sulle password vulnerabili uniche del tuo ambiente: evita termini comuni come “password”, poiché questi attacchi dizionario dovrebbero essere coperti dal tuo fornitore di autenticazione e/o dal criterio di complessità delle password, e cercare di gestire manualmente ogni possibile password debole è un compito impossibile.
- Normalizzare e de-duplicare gli elenchi di password per la gestibilità
Dovresti rivedere periodicamente l’elenco delle password, soprattutto dopo una violazione, per assicurarti che tutte le password divulgate siano coperte.
Come garantire l’efficacia dell’elenco di password vietate di Active Directory
Gli utenti dovrebbero essere incoraggiati a reimpostare la password in modalità self-service utilizzando l’interfaccia web di Entra ID per fare in modo che le loro password siano aggiornate nei servizi federati il più rapidamente possibile. Se si scopre che una password facilmente indovinabile viene utilizzata da più utenti, che si è verificata una violazione o che gli account vengono condivisi, sarà necessario reimpostare le password dopo aver aggiornato la blacklist delle password per assicurarsi che tutti gli account utilizzino password nuove e sicure.
Microsoft Entra ID consente di monitorare i rifiuti di password. Microsoft Entra ID può essere usato in combinazione con una soluzione di monitoraggio e gestione da remoto (RMM) per identificare gli utenti che hanno difficoltà a impostare una nuova password, in modo che un tecnico dell’assistenza possa contattarli in modo proattivo. Tieni informato il personale dell’help desk sui criteri e le modifiche relative alle password, in modo che disponga delle informazioni necessarie per assistere rapidamente gli utenti.
Monitoraggio degli attacchi spray alle password e blacklist di password sicure con NinjaOne
La suite di strumenti di gestione IT di NinjaOne si integra con le implementazioni Windows on-premise e con strumenti Microsoft 365 e Azure come Entra ID, oltre che con le piattaforme di protezione e sicurezza degli endpoint. NinjaOne include soluzioni RMM, MDM e di sicurezza degli endpoint, oltre a strumenti di helpdesk e documentazione. Questo ti offre tutto ciò che ti serve per automatizzare e monitorare il rilevamento e il blocco degli attacchi spray alle password, documentare in modo sicuro le blacklist delle password e tenere informati gli utenti sui criteri relativi alle password.
