Описание возможностей защиты паролей и управления ими

  • 4 мин

Защита паролем — это функция Microsoft Entra ID, которая снижает риск использования ненадежных паролей. Защита паролей Microsoft Entra обнаруживает и блокирует известные слабые пароли и их варианты, а также может блокировать другие слабые термины, относящиеся к вашей организации.

При защите паролей Microsoft Entra глобальные списки запрещенных паролей по умолчанию автоматически применяются ко всем пользователям в клиенте Microsoft Entra. Для обеспечения безопасности своего бизнеса можно добавлять в этот список заблокированных паролей собственные записи. Когда пользователь изменяет или сбрасывает пароль, то пароль проверяется по этим спискам, чтобы принудительно использовать надежные пароли.

Следует использовать дополнительные функции, такие как многофакторная проверка подлинности, а не только надежные пароли, применяемые защитой паролей Microsoft Entra.

Список глобально запрещенных паролей

Список глобально заблокированных паролей с известными ненадежными паролями автоматически обновляется и применяется корпорацией Майкрософт. Этот список поддерживается командой Защита идентификации Microsoft Entra, которая анализирует данные телеметрии безопасности для поиска слабых или скомпрометированных паролей. Примеры паролей, которые могут быть заблокированы: P@$$w0rd или Passw0rd1, а также все их варианты.

Варианты генерируются с помощью алгоритма, который переставляет буквы и цифры в текстовом регистре, например, "1" в "l". Вариации Password1 могут включать Passw0rd1, Pass0rd1 и др. Затем эти пароли проверяются и добавляются в список глобально запрещенных паролей. Глобальный список запрещенных паролей автоматически применяется ко всем пользователям в клиенте Microsoft Entra и не может быть отключен.

Если пользователь Microsoft Entra пытается задать пароль одному из этих слабых паролей, он получает уведомление, чтобы выбрать более безопасный. Список глобально заблокированных паролей пополняется на основе реально используемых паролей и фактических атак путем распыления пароля. Такой подход повышает общую безопасность и эффективность, а алгоритм проверки пароля также использует интеллектуальные методы нечеткого соответствия для поиска строк, приблизительно соответствующих шаблону. Защита паролей Microsoft Entra эффективно обнаруживает и блокирует миллионы наиболее распространенных слабых паролей от использования в вашей организации.

Настраиваемые списки запрещенных паролей

Администраторы также могут создавать настраиваемые списки заблокированных паролей с учетом конкретных потребностей в обеспечении безопасности бизнеса. Настраиваемый список заблокированных паролей содержит запрещенные пароли, такие как пароли, в которых используется название организации или ее расположение. Пароли, добавленные в настраиваемый список заблокированных паролей, должны учитывать характеристики конкретной организации, например:

  • Названия торговых марок
  • Названия продуктов
  • расположения подразделений компании, например штаб-квартиры;
  • характерные для организации слова внутреннего употребления;
  • аббревиатуры, имеющие важное значение для конкретной организации.

Настраиваемый список заблокированных паролей в сочетании со списком глобально заблокированных паролей позволяет блокировать вариации всех паролей.

Списки запрещенных паролей — это функция лицензирования Microsoft Entra ID P1 или P2.

Снимок экрана, показывающий экран конфигурации для настройки настраиваемого списка запрещенных паролей.

Защита от распыления пароля

Защита паролем Microsoft Entra помогает защититься от атак путем распыления пароля. В большинстве атак с распылением пароля отправляется лишь несколько известных ненадежных паролей для каждой учетной записи предприятия. Такой подход позволяет злоумышленнику быстро найти скомпрометированную учетную запись и избежать возможных пороговых значений обнаружения.

Защита паролем Microsoft Entra позволяет эффективно блокировать все известные ненадежные пароли, которые, скорее всего, будут использоваться при атаках путем распыления пароля. Эта защита основана на реальных данных телеметрии безопасности из Microsoft Entra ID, которые используются для создания списка глобально запрещенных паролей.

Гибридная защита

Для организации гибридной защиты можно интегрировать защиту паролем Microsoft Entra с локальной средой Active Directory. Установленный в локальной среде компонент получает из Microsoft Entra ID список глобально запрещенных паролей и настраиваемые политики защиты паролем. Затем контроллеры домена используют их для обработки событий изменения паролей. Такой гибридный подход гарантирует, что при изменении пароля пользователем применяется защита паролем Microsoft Entra.

Хотя защита паролей повышает надежность паролей, рекомендуется использовать такие функции, как многофакторная проверка подлинности. Использование одних лишь паролей, даже самых надежных, не обеспечивает того уровня защиты, который гарантируют несколько уровней безопасности.