Felhasználói fiókok támadások elleni védelme az Azure Active Directory intelligens zárolással

Az intelligens zárolás segít kizárni azokat a kártékony elemeket, amelyek megpróbálják kitalálni a felhasználó jelszavát, vagy találgatásos módszerrel próbálnak meg bejutni. Az intelligens zárolás felismeri az érvényes felhasználóktól érkező bejelentkezéseket, és a támadóktól és más ismeretlen forrásoktól érkező bejelentkezésektől eltérően kezeli őket. A támadók ki lesznek zárva, miközben a felhasználók továbbra is hozzáférnek a fiókjukhoz, és folytathatják a hatékony munkavégzést.

Az intelligens zárolás működése

Alapértelmezés szerint az intelligens zárolás egy percre zárolja a fiókot a bejelentkezési kísérletektől, miután 10 sikertelen kísérlet történt az Azure nyilvános és Azure China 21Vianet-bérlőkre, és 3-ra az USA kormányzati Azure-bérlői számára. A fiók minden későbbi sikertelen bejelentkezési kísérlet után ismét zárolva lesz, egy percig az elsőnél, majd a későbbi kísérleteknél tovább. Annak érdekében, hogy minimálisra csökkentsük a támadók viselkedésének lehetséges módjait, nem fedjük fel, hogy a zárolási időszak milyen sebességgel nő a további sikertelen bejelentkezési kísérletek során.

Az intelligens zárolás nyomon követi az utolsó három hibás jelszó-előjelet, így elkerülhető, hogy ugyanazon jelszó zárolási számlálója nőni fog. Ha valaki többször is ugyanazt a rossz jelszót adja meg, ez a viselkedés nem fogja zárolni a fiókot.

Megjegyzés

A kivonatkövetési funkció nem érhető el az átmenő hitelesítéssel rendelkező ügyfelek számára, mivel a hitelesítés a helyszínen történik, nem a felhőben.

A 2016-os és AD FS AF FS 2019-et használó összevont üzemelő példányok hasonló előnyöket kínálnak az AD FS extraneteszárolás és az extranetes intelligens zárolás használatával.

Az intelligens zárolás mindig be van kapcsolva az összes Azure AD-ügyfél számára, ezekkel az alapértelmezett beállításokkal, amelyek a biztonság és a használhatóság megfelelő kombinációját kínálják. Az intelligens zárolási beállítások vállalatspecifikus értékekkel való testreszabásához Prémium P1 szintű Azure AD vagy magasabb szintű licenc szükséges a felhasználók számára.

Az intelligens zárolás nem garantálja, hogy egy valódi felhasználó soha nem lesz kizárva. Amikor az intelligens zárolás zárol egy felhasználói fiókot, mindent megpróbálunk, hogy ne zárjuk ki az eredeti felhasználót. A zárolási szolgáltatás megkísérli biztosítani, hogy a rossz a szereplők ne férnek hozzá egy eredeti felhasználói fiókhoz. A következő szempontokat kell figyelembe venni:

  • Minden Azure AD-adatközpont külön követi nyomon a zárolást. A felhasználónak (threshold_limit * datacenter_count) száma van, ha a felhasználó eléri az egyes adatközpontokat.
  • Az intelligens zárolás ismerős és ismeretlen helyet használ a rossz szereplő és az eredeti felhasználó megkülönböztetésére. Az ismeretlen és ismerős helyeken is külön zárolási számlálók vannak.

Az intelligens zárolás integrálható olyan hibrid telepítésekkel, amelyek jelszó kivonatszinkronizálást vagy átmenő hitelesítést használnak a helyi Active Directory Domain Services- (AD DS-) fiókok támadók által való zárolásának a védelméhez. Az intelligens zárolási szabályzatok megfelelő beállításával az Azure AD-ban a támadások kiszűrhetők, mielőtt azok elérnék a AD DS.

Átmenő hitelesítés használata eseténa következő szempontokat kell figyelembe venni:

  • Az Azure AD zárolási küszöbértéke kisebb, mint AD DS fiókzárolás küszöbértéke. Állítsa be az értékeket úgy, hogy AD DS fiók zárolási küszöbértéke legalább kettő vagy háromszor nagyobb legyen az Azure AD-zárolási küszöbértéknél.
  • Az Azure AD-zárolás időtartamát hosszabbra kell állítani, mint AD DS fiókzárolási számlálót az időtartam után. Az Azure AD időtartama másodpercben, az AD-időtartam pedig percekben van megállítva.

Ha például azt szeretné, hogy az Azure AD intelligens zárolásának időtartama hosszabb legyen az AD DS-hoz, akkor az Azure AD 120 másodperc (2 perc), a helyszíni AD pedig 1 percre (60 másodperc) van beállítva. Ha azt szeretné, hogy az Azure AD-zárolási küszöbérték 5 legyen, akkor a helyszíni AD-zárolás küszöbértéke 10 legyen. Ez a konfiguráció biztosítja, hogy az intelligens zárolás megakadályozza a helyszíni AD-fiókok zárolását az Azure AD-fiókokra vonatkozó találgatásos támadásokkal.

Fontos

Jelenleg a rendszergazda nem tudja feloldani a felhasználók felhőbeli fiókjait, ha az intelligens zárolás funkció zárolta őket. A rendszergazdának meg kell várnia a zárolás időtartamát. A felhasználó azonban feloldhatja a zárolást egy megbízható eszközről vagy helyről az önkiszolgáló jelszó-visszaállítás (SSPR) használatával.

Helyszíni fiókzárolási szabályzat ellenőrzése

A helyszíni és AD DS fiókzárolási szabályzat ellenőrzéséhez kövesse az alábbi lépéseket egy rendszergazdai jogosultságokkal rendelkező, tartományhoz csatlakozott rendszerről:

  1. Nyissa meg az Csoportházirend Management eszközt.
  2. Szerkessze a szervezet fiókzárolási szabályzatát tartalmazó csoportházirendet, például az Alapértelmezett tartományi házirendet.
  3. Keresse meg a Számítógép-konfigurációsházirendekWindows GépházaGépház-szabályzatokfiókzárolási házirendet.
  4. Ellenőrizze a Fiókzárolás küszöbértékét és a Fiókzárolás alaphelyzetbe állítása számlálót az értékek után.

Modify the on-premises Active Directory account lockout policy

Az Azure AD intelligens zárolási értékeinek kezelése

A szervezeti követelmények alapján testre szabhatja az Azure AD intelligens zárolási értékeit. Az intelligens zárolási beállítások vállalatspecifikus értékekkel való testreszabásához Prémium P1 szintű Azure AD vagy magasabb szintű licenc szükséges a felhasználók számára. Az intelligens zárolási beállítások testreszabása nem érhető el a Azure China 21Vianet számára.

A szervezet intelligens zárolási értékeinek ellenőrzéséhez vagy módosításához kövesse az alábbi lépéseket:

  1. Jelentkezzen be az Azure Portalra.

  2. Keresse meg és válassza a Azure Active Directory,majd válassza a Biztonságihitelesítési módszerekJelszóvédelem lehetőséget.

  3. Állítsa be a Zárolási küszöbértéketaz alapján, hogy hány sikertelen bejelentkezés engedélyezett egy fiókon az első zárolás előtt.

    Az alapértelmezett érték 10 nyilvános Azure-bérlők esetén és 3 az USA kormányzati Azure-bérlői esetén.

  4. A Zárolás időtartama másodpercbenlegyen az egyes zárolások másodpercben meghosszúsodva.

    Az alapértelmezett érték 60 másodperc (egy perc).

Megjegyzés

Ha a zárolás utáni első bejelentkezés is sikertelen, a fiók ismét zárolva lesz. Ha egy fiók többször zárolva van, a zárolás időtartama nő.

Customize the Azure AD smart lockout policy in the Azure portal

Intelligens zárolás tesztelése

Az intelligens zárolás küszöbértékének aktiválódása esetén a következő üzenet jelenik meg a fiók zárolt zárolt rendszerében:

A fiókja ideiglenesen zárolva van, hogy megakadályozza a jogosulatlan használatot. Próbálkozzon újra később, és ha továbbra is problémái vannak, forduljon a rendszergazdához.

Az intelligens zárolás tesztelése során előfordulhat, hogy a bejelentkezési kéréseket különböző adatközpontok kezelik az Azure AD hitelesítési szolgáltatás földrajzi elosztott és elosztott terhelésű jellege miatt. Ebben a forgatókönyvben, mivel minden Azure AD-adatközpont külön követi nyomon a zárolást, a zárolást megkísérlő kísérletek megadott küszöbérték-számnál többe is lehet. A felhasználó legfeljebb (threshold_limit * datacenter_count) számú rossz kísérlettel rendelkezik, mielőtt teljesen zárolva lenne.

Az intelligens zárolás nyomon követi az utolsó három hibás jelszó-előjelet, így elkerülhető, hogy ugyanazon jelszó zárolási számlálója nőni fog. Ha valaki többször is ugyanazt a rossz jelszót adja meg, ez a viselkedés nem fogja zárolni a fiókot.

Alapértelmezett védelmi beállítások

Az intelligens zárolás mellett az Azure AD a támadások ellen is védelmet nyújt a jelek, például az IP-forgalom elemzésével és a rendellenes viselkedés azonosításával. Az Azure AD alapértelmezés szerint letiltja ezeket a rosszindulatú bejelentkezéseket, és AADSTS50053 – IdsLockedhibakódot ad vissza, a jelszó érvényességétől függetlenül.

Következő lépések

A felhasználói élmény további testreszabásához konfigurálhat egyéni tiltott jelszavakat az Azure AD-jelszóvédelemhez.

Annak érdekében, hogy a felhasználók visszaállítsa vagy módosítják a jelszavukat egy webböngészőben, konfigurálhatja az Azure AD önkiszolgáló jelszó-visszaállítási szolgáltatását.