jeudi, 28 mars 2024

Il est temps pour les entreprises de réévaluer la configuration 2FA sur les réseaux Microsoft

Crédit : Dreamstime

Du cloud à l’accès sur site, en ayant deux – L’authentification par facteur (2FA) peut aider à tenir les agresseurs à distance. L’objectif est d’amener les opposants à aller ailleurs et à laisser les affaires tranquilles.

Et si un agresseur souhaite cibler une organisation spécifique ? Leur implémentation 2FA est-elle suffisamment bonne pour les protéger en raison de ce scénario ?

Si les clients ont déjà présenté 2FA, ils ont probablement pris quelques-unes des mêmes décisions que moi lors de sa mise en œuvre. Il devait « juste fonctionner » et bien fonctionner, ne pas être trop invasif et ne pas permettre de nombreuses authentifications incorrectes. J’ai dû stabiliser les besoins de protection à l’intérieur du lieu de travail avec ceux de rendre possible l’accès à distance.

Identifiez les utilisateurs avec des téléphones portables

Lorsque j’ai établi les exigences pour 2FA, j’ai dû trouver qui avait et qui n’avait pas de téléphone portable. En règle générale, 2FA a besoin d’un porte-clés comme élément supplémentaire. Au début, un porte-clés ou un appareil physique était souvent le seul moyen de mettre en œuvre 2FA.

Vous produirez des clés manuelles supplémentaires qui pourraient être utilisées au cas où le porte-clés ne fonctionnerait pas et vous bloquerait l’accès. Puis vinrent les smartphones et les applications où vous pouviez télécharger une application sur votre téléphone qui poussait soit une approbation, un numéro ou une autre action que l’utilisateur devait saisir ou exécuter sur le système pour y accéder.

Certains se plaignent que la dépendance de 2FA sur un texte à un téléphone n’est pas protégée avec des adversaires capables de cloner ou d’échanger des cartes SIM pour usurper l’identité du numéro de contact d’un appareil. L’accès bancaire, par exemple, ne fournit généralement que des messages SMS comme deuxième aspect d’authentification.

Lors du choix entre un simple mot de passe pour protéger une application bancaire et un SMS sur un téléphone, je dirais qu’un SMS est plus sûr. Un attaquant devrait encore passer par la procédure de clonage ou de commutation SIM. Dans les affaires, néanmoins, même le NIST ne conseille pas les messages texte seuls pour protéger 2FA.

Débarrassez-vous des procédures « fail-open » 2FA

Suivant , les consommateurs doivent revoir la façon dont ils ont établi 2FA. Pour éviter le recul de la direction, ils ont probablement établi 2FA de manière à ce que la technologie cesse de fonctionner, il existait des méthodes autour du problème auxquelles l’offre pouvait accéder. Comme tous les autres administrateurs informatiques, j’ai configuré deux facteurs pour qu’ils fonctionnent même si le service était en panne.

Si le service cloud sur lequel 2FA s’appuie pour confirmer qu’il ne fonctionne pas pour une raison quelconque, ce processus « fail open » permet au système de continuer et de ne pas bloquer l’accès. Bien que cela semble formidable sur le papier, c’était une aubaine pour les ennemis. Comme le mentionne une alerte de cybersécurité actuelle, les agresseurs l’ont utilisé avec d’autres méthodes pour prendre le contrôle d’un réseau après s’être faufilé dans un poste de travail.

L’authentification à deux facteurs est plus mature et ne nécessite pas ces situations d’urgence. traitements du dos. Les principales parties prenantes comprennent désormais parfaitement ces applications pour comprendre qu’elles échouent rarement. Les clients évaluent surtout leur mise en œuvre de la sécurité pour s’assurer qu’ils ne seront pas soumis à cette série d’attaques.

Par exemple, les paramètres par défaut du logiciel 2FA de mon organisation (Duo) étaient configurés pour échouer s’il ne pouvait pas accéder au service d’authentification. D’autres fournisseurs 2FA utilisent les mêmes valeurs par défaut lors de la version préliminaire.

Pour modifier le mode d’arrêt de travail après l’installation, les utilisateurs peuvent utiliser l’éditeur de registre PC (regedit.exe) avec des avantages d’administrateur pour développer ou mettre à niveau le PC suivant valeur du registre dans HKEY_LOCAL_MACHINESOFTWAREDuo SecurityDuoCredProv :

Pc Registry Value Type Description

FailOpen DWORD Défini sur 1 pour autoriser "échec d'ouverture" ou 0 pour limiter à "échec fermé".

Par défaut : Échec de l'ouverture.

Les paramètres Duo gérés par la stratégie de groupe Windows remplacent toutes les modifications apportées via regedit. Mettez à jour le paramètre « Service Duo : Échec de l’ouverture si impossible de contacter Duo » dans les objets de stratégie de groupe (GPO) à la place. Les utilisateurs peuvent facilement créer un script de modification du registre sur l’ensemble de leur réseau si la stratégie de groupe n’est pas disponible.

Obtenir le type idéal de 2FA ?

Ensuite, les organisations doivent évaluer si le type de 2FA qu’ils utilisent est adapté à leur environnement. Doit-il nécessiter une approbation push ou plus de données actives provenant de l’utilisateur final ? Il s’agit toujours d’un équilibre entre les exigences de sécurité et les besoins de l’entreprise. Cet équilibre change dans le temps, alors faites-en une indication pour réanalyser quel est le meilleur équilibre pour l’entreprise.

Microsoft fabrique 2FA sur la base de la correspondance des numéros proposée aux consommateurs, mais n’a pas lancé l’innovation pour les entreprises/Azure exécutions. « La correspondance des numéros est une mise à niveau de sécurité clé des alertes traditionnelles à second facteur dans l’application Microsoft Authenticator qui sera activée par défaut pour tous les occupants quelques mois après l’horaire général (GA). »

Pour activer la correspondance des numéros sur le site Web de la publicité Azure, les utilisateurs doivent effectuer ces étapes :

  • Sélectionnez « Sécurité ».
  • Sélectionnez « Techniques d’authentification ».
  • Sélectionnez  » Microsoft Authenticator ».
  • Sélectionnez les utilisateurs cibles.
  • Cliquez sur les trois points à droite.
  • Sélectionnez « Configurer ».
  • Sélectionnez le mode d’authentification.
  • Pour « Require number matching (Sneak peek) », cliquez sur « Enable ».
  • Sélectionnez « Done ».

Les utilisateurs peuvent également souhaiter créer un groupe pour évaluer cette application. Une fois qu’ils autorisent ce paramètre, leurs utilisateurs devront lancer l’authentificateur Microsoft et faire correspondre les chiffres à l’invite à l’écran et les saisir dans l’application d’authentification sur le téléphone.

En fin de compte, même si un client a effectivement autorisé 2FA, il est maintenant temps de réévaluer la façon dont ils l’ont mis en place. Assurez-vous qu’un ennemi ne peut pas utiliser ses paramètres par défaut contre lui.

.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici