Microsoft anunció la adición de una función de historial de inicio de sesión de Azure Active Directory (AD) que permitiría a los usuarios obtener una visión general de los inicios de sesión anteriores y detectar rápidamente cualquier actividad de inicio de sesión inusual.
Tener una descripción general simple de todos los intentos de inicio de sesión permite a los usuarios de Azure AD descubrir más fácilmente los posibles ataques basados en contraseña y tomar medidas para limitar cualquier efecto dañino que pueda tener un posible compromiso de la cuenta.
Se puede acceder a la actividad reciente de inicio de sesión de la cuenta de Azure AD a través del mosaico Mis inicios de sesión , que se puede cargar desde la hoja Descripción general de cada usuario.
Una vez que se cargue la página Mis registros, los usuarios podrán obtener información sobre:
- si alguien intenta adivinar su contraseña.
- si un atacante inició sesión con éxito en la cuenta desde una ubicación extraña.
- a qué aplicaciones intentó acceder el atacante.
Inicios de sesión exitosos y sin éxito
La actividad de inicio de sesión reciente de la cuenta permite tener rápidamente una visión general de todos los inicios de sesión exitosos y no exitosos, así como información adicional (SO, navegador, ubicación aproximada, dirección IP y aplicación) necesaria para comprender si las partes no autorizadas obtuvieron acceso a su cuenta.
La actividad inusual de la cuenta se puede detectar fácilmente si detecta un sistema operativo extraño, un navegador web o una ubicación que se está utilizando para uno de los eventos de inicio de sesión, lo que podría indicar que un atacante potencial ha accedido a su cuenta.
"En este caso, el usuario debe cambiar su contraseña de inmediato y luego ir a la página de información de Seguridad para actualizar su configuración de seguridad", dice Robyn Hicock, Gerente Senior de Programas de Microsoft Identity Security and Protection .
Los inicios de sesión fallidos también podrían ser una señal de que un atacante ha obtenido acceso a su cuenta de Azure AD. En este caso, un mensaje de actividad de sesión "error de verificación adicional, código no válido" significaría que el atacante adivinó la contraseña de la cuenta pero fue detenido por un desafío de MFA.
Si no se muestra ningún mensaje de actividad de sesión para el evento de inicio de sesión fallido, significa que escribió incorrectamente su contraseña al iniciar sesión o que un atacante intentaba adivinar que comprometía la cuenta.
En este caso, Hicock recomienda a los usuarios "que se registren para Azure Multi-Factor Authentication (MFA), por lo que incluso si el hacker finalmente adivina la contraseña, no será suficiente para acceder a la cuenta".
Según nuestros estudios, las cuentas protegidas por MFA tienen un 99.9 por ciento menos de probabilidades de verse comprometidas", agrega Hicock.
Los clientes de Azure AD que quieran aprovechar esta nueva capacidad para verificar sus historiales de signos en busca de posibles ataques continuos basados en contraseña también deben saber que los falsos positivos son una posibilidad.
Esto podría suceder dado que la ubicación del usuario se aproxima utilizando la geolocalización de la dirección IP. "Por ejemplo, si un usuario inicia sesión en su teléfono desde Washington, la ubicación podría mostrar el inicio de sesión desde California", afirma Hicock.
Esta es la razón exacta por la cual la información de actividad reciente en la página Mis registros también enumera información adicional, como el navegador web utilizado para iniciar sesión, el sistema operativo del usuario y la aplicación utilizada durante el proceso de inicio de sesión.
Los usuarios también pueden filtrar la actividad de inicio de sesión que se muestra en la página Mis inicios de sesión con la ayuda de la barra de búsqueda superior según el estado, el país, el navegador, el sistema operativo, la aplicación o la información de la cuenta.
Más mejoras de seguridad de Azure AD
Microsoft también anunció este mes que 16 nuevas funciones con privilegios inferiores de Azure Active Directory (Azure AD) ahora están disponibles en versión preliminar para ayudar a los administradores a aumentar la seguridad al disminuir el número total de administradores globales, así como para mejorar aún más la delegación granular de Azure y Microsoft 365 capacidades.
En agosto, la precisión de los algoritmos de detección de Azure AD Identity Protection aumentó en un 100% para aumentar las capacidades de detección de cuentas comprometidas, mientras que la tasa de falsos positivos disminuyó en aproximadamente un 30%.
Redmond también puso a disposición en abril la función de Protección de contraseña de Azure AD, por lo que es posible bloquear las contraseñas comúnmente utilizadas y comprometidas para reducir drásticamente los riesgos de ataque de rociado de contraseña.
Azure AD ahora también viene con soporte incorporado para las claves de seguridad FIDO2 que proporcionan a los usuarios capacidades de autenticación sin contraseña, además de permitirles usar contraseñas con un máximo de 256 caracteres como los servicios locales de Windows Active Directory.
Fecha actualización el 2021-10-18. Fecha publicación el 2019-10-18. Categoría: microsoft Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer Version movil