Er is helaas maar één zwak wachtwoord nodig voor een hacker om toegang te krijgen tot uw bedrijfsmiddelen. Hackers kunnen wachtwoorden vaak raden, omdat gewone gebruikers redelijk voorspelbaar zijn. Gewone gebruikers maken gemakkelijk te onthouden wachtwoorden en hergebruiken dezelfde wachtwoorden of nauw verwante wachtwoorden steeds weer opnieuw. Hackers gebruiken brute force-technieken zoals wachtwoordsprayaanvallen om accounts met gemeenschappelijke wachtwoorden te vinden en compromitteren.
Deze week heeft Microsoft de openbare preview van Azure AD Password Protection en Smart Lockout aangekondigd. Azure AD Password Protection helpt u bij het elimineren van gemakkelijk te raden wachtwoorden uit uw omgeving, wat het risico op aantasting door een wachtwoordsprayaanval aanzienlijk kan verminderen. Met name kunt u met deze functies:
- Accounts beschermen in Azure AD en Windows Server Active Directory door te voorkomen dat gebruikers wachtwoorden gebruiken uit een lijst met meer dan 500 van de meest gebruikte wachtwoorden, plus meer dan 1 miljoen tekensubstitutievariaties van die wachtwoorden.
- Azure AD Wachtwoordbeveiliging beheren voor Azure AD en lokale Windows Server Active Directory vanuit een uniforme beheerervaring in de Azure Active Directory-portal.
- Uw Azure AD-instellingen aanpassen voor Smart Lockout aan en geef een lijst met aanvullende bedrijfsspecifieke wachtwoorden op die u wilt blokkeren.
Waarom u Azure AD Password Protection nodig heeft
Verboden wachtwoorden
De meeste gebruikers denken dat als ze een wachtwoord hebben gekozen dat aan een complexiteitsvereiste voldoet, zoiets als P@$$w0rd1!, ze veilig zijn, wat simpelweg niet waar is. Aanvallers weten hoe gebruikers wachtwoorden maken en er zijn drie algemene regels om op te letten.
- Ze weten rekenschap te geven voor tekensubstituties zoals “$” voor “s”. “P@$$w0rd” houdt niemand voor de gek.
- Ze zijn ook van mening dat als er complexiteitsregels zijn, de meeste mensen ze op dezelfde manier toepassen: door een woord met een hoofdletter te beginnen en het wachtwoord te beëindigen met een cijfer of interpunctie.
- Ze weten dat het verplichten van gebruikers om hun wachtwoord periodiek te wijzigen, leidt tot andere voorspelbare patronen. Als gebruikers bijvoorbeeld elk kwartaal hun wachtwoord moeten wijzigen, kiezen ze vaak wachtwoorden op basis van sportteams, maanden of seizoenen en combineren ze met het lopende jaar.
De oplossing voor dit alles is om een verboden wachtwoordsysteem toe te passen wanneer gebruikers hun wachtwoord wijzigen, zoals Azure AD Password Protection. De public preview biedt zowel de mogelijkheid om dit in de cloud te doen als on-premises, waar uw gebruikers hun wachtwoorden ook wijzigen, en ook ongekende configuratiemogelijkheden. Al deze functionaliteiten worden mogelijk gemaakt door Azure AD die de gegevens van geblokkeerde wachtwoorden regelmatig bijwerkt door te leren van miljarden verificaties en analyse van gelekte inloggegevens op internet.
Door het controleren van alle wachtwoord instelingen en resets binnen uw organisatie zorgt Azure AD Password Protection ervoor dat alleen wachtwoorden die aan uw, en Microsoft’s, normen voldoen, in uw directory staan. Azure AD Password Protection biedt ook een geïntegreerde admin ervaring voor het controleren van wachtwoorden in uw organisatie, in Azure en on-premises.
Let op: Azure AD Premium Password Protection is een Azure AD Premium 1-functie.
Smart Lockout
Smart Lockout is het uitsluitingsysteem van Microsoft dat cloud-informatie gebruikt om slechte actoren te blokkeren die proberen de wachtwoorden van uw gebruikers te raden. Die intelligentie kan sign-ins herkennen die afkomstig zijn van geldige gebruikers en behandelt die anders dan die van aanvallers en andere onbekende bronnen. Dit betekent dat smart lockout de aanvallers kan uitsluiten, terwijl uw gebruikers toegang blijven houden tot hun accounts en productief blijven.
Smart lockout is altijd ingeschakeld voor alle Azure AD-klanten met standaardinstellingen die de juiste mix van beveiliging en bruikbaarheid bieden, maar u kunt deze instellingen ook aanpassen met de juiste waarden voor uw omgeving.
Met verbannen wachtwoorden en slimme vergrendeling samen, zorgt Azure AD Password Protection ervoor dat uw gebruikers moeilijk te raden wachtwoorden hebben en slechteriken niet genoeg mogelijkheden krijgen om in te breken.
Let op: Azure AD Smart Lockout is opgenomen in alle versies van Azure AD (inclusief de versies in Office365).
Ga aan de slag in drie eenvoudige stappen
Standaard zijn alle Azure AD wachtwoord instellingen en resets voor Azure AD Premium-gebruikers geconfigureerd om Azure AD Password Protection te gebruiken. Als u een aangepaste lijst met verboden wachtwoordreeksen voor uw organisatie wilt configureren en Azure AD Password Protection voor Windows Server Active Directory wilt configureren, volgt u de onderstaande eenvoudige stappen:
Configureer de wachtwoordbeveiliging voor uw tenant
Ga naar Azure AD Active Directory> Beveiliging> Verificatiemethoden.
Pas uw instellingen aan
- Stel uw aangepaste Smart Lockout-drempel in (aantal mislukkingen tot de eerste uitsluiting) en duur (hoe lang de lock-outperiode duurt)
- Voer de verboden wachtwoordstrings voor uw organisatie in het tekstvak in (één reeks per regel) en schakel handhaving van uw aangepaste lijst in
- Verleng wachtwoordbeveiliging naar Windows Server Active Directory door password protection in te schakelen in Active Directory. Begin met de audit modus, die u de mogelijkheid biedt om de huidige status in uw organisatie te evalueren. Zodra een actieprogramma is voltooid, switch dan de modus naar Enforced om gebruikers te beveiligen en te voorkomen dat zwakke wachtwoorden worden gebruikt.
Installeer de Azure AD-proxy voor wachtwoordbeveiliging en domeincontroller in uw lokale omgeving.
Download de Azure AD password protection for Windows Server Active Directory (preview) via het downloadcentrum en gebruik de instructies in de implementatiegids voor wachtwoordbeveiliging.
Dat is het! U bent nu geconfigureerd om Azure AD password protection te gebruiken in Azure AD en on-premises. Lees de gedetailleerde documentatie voor meer informatie over deze functionaliteit.
