Felhasználói fiókok támadások elleni védelme az Azure Active Directory intelligens zárolással

Az intelligens zárolás segít kizárni azokat a kártékony elemeket, amelyek megpróbálják kitalálni a felhasználó jelszavát, vagy találgatásos módszerrel próbálnak meg bejutni. Az intelligens zárolás felismeri az érvényes felhasználóktól érkező bejelentkezéseket, és a támadóktól és más ismeretlen forrásoktól érkező bejelentkezésektől eltérően kezeli őket. A támadók ki lesznek zárva, miközben a felhasználók továbbra is hozzáférnek a fiókjukhoz, és folytathatják a hatékony munkavégzést.

Az intelligens zárolás működése

Alapértelmezés szerint az intelligens zárolás egy percre zárolja a fiókot a bejelentkezési kísérletektől, miután 10 sikertelen kísérlet történt az Azure Public és az Azure China 21Vianet bérlői, 3 pedig az Azure US Government-bérlők esetében. A fiók minden későbbi sikertelen bejelentkezési kísérlet után újra zárolva lesz, az azt követő próbálkozások során egy percig, a későbbi próbálkozások során pedig hosszabb ideig. Annak érdekében, hogy a támadók minimálisra csökkentsék a viselkedés megkerülésének módját, nem fedjük fel, hogy a zárolási időszak milyen mértékben nő a további sikertelen bejelentkezési kísérletek során.

Az intelligens zárolás nyomon követi az utolsó három hibás jelszókivonatot, hogy elkerülje a zárolási számláló növelését ugyanazon jelszó esetében. Ha valaki többször is ugyanazt a rossz jelszót adja meg, ez a viselkedés nem eredményezi a fiók zárolását.

Megjegyzés

A kivonatkövetési funkció nem érhető el az átmenő hitelesítést engedélyező ügyfelek számára, mivel a hitelesítés a helyszínen történik, nem a felhőben.

Az AD FS 2016-ot és az AF FS 2019-et használó összevont üzemelő példányok hasonló előnyöket érhetnek el az AD FS extranetes zárolás és az extranetes intelligens zárolás használatával.

Az intelligens zárolás minden Azure AD-ügyfél számára mindig be van kapcsolva, és ezek az alapértelmezett beállítások biztosítják a biztonság és a használhatóság megfelelő kombinációját. Az intelligens zárolási beállítások szervezetre jellemző értékekkel történő testreszabásához Prémium P1 szintű Azure AD vagy magasabb licenc szükséges a felhasználók számára.

Az intelligens zárolás használata nem garantálja, hogy egy valódi felhasználó soha nem lesz kizárva. Amikor az intelligens zárolás zárol egy felhasználói fiókot, megpróbáljuk a lehető legjobban kizárni az eredeti felhasználót. A zárolási szolgáltatás megpróbálja biztosítani, hogy a rossz szereplők ne férhessenek hozzá egy eredeti felhasználói fiókhoz. A következő szempontokat kell figyelembe venni:

  • Minden Azure AD-adatközpont egymástól függetlenül követi a zárolást. A felhasználó (threshold_limit * datacenter_count) hány kísérletet kísérel meg, ha a felhasználó eléri az egyes adatközpontokat.
  • Az intelligens zárolás ismerős és ismeretlen helyet használ a rosszindulatú és a hiteles felhasználó megkülönböztetésére. Az ismeretlen és ismerős helyeken is külön zárolási számlálók vannak.

Az intelligens zárolás integrálható olyan hibrid környezetekkel, amelyek jelszókivonat-szinkronizálást vagy átmenő hitelesítést használnak, hogy megvédjék helyi Active Directory Tartományi szolgáltatások (AD DS) fiókokat a támadók elől. Az intelligens zárolási szabályzatok megfelelő beállításával az Azure AD-ben a támadások kiszűrhetők, mielőtt elérnék a helyszíni AD DS-t.

Átmenő hitelesítés használatakor a következő szempontok érvényesek:

  • Az Azure AD zárolási küszöbértéke kisebb , mint az AD DS-fiók zárolási küszöbértéke. Állítsa be az értékeket úgy, hogy az AD DS-fiók zárolási küszöbértéke legalább két vagy háromszor nagyobb legyen az Azure AD zárolási küszöbértékénél.
  • Az Azure AD zárolási időtartamát hosszabb ideig kell beállítani, mint az AD DS alaphelyzetbe állítási fiók zárolási számlálója az időtartam után. Az Azure AD-időtartam másodpercben van beállítva, míg az AD-időtartam percekben van megadva.

Ha például azt szeretné, hogy az Azure AD intelligens zárolási időtartama magasabb legyen az AD DS-nél, akkor az Azure AD 120 másodperc (2 perc), míg a helyszíni AD 1 percre (60 másodpercre) van állítva. Ha azt szeretné, hogy az Azure AD zárolási küszöbértéke 5 legyen, akkor azt szeretné, hogy a helyszíni AD zárolási küszöbértéke 10 legyen. Ez a konfiguráció biztosítaná, hogy az intelligens zárolás megakadályozza, hogy a helyszíni AD-fiókokat az Azure AD-fiókok találgatásos támadásai kizárják.

Fontos

Jelenleg a rendszergazda nem tudja feloldani a felhasználók felhőbeli fiókjait, ha az intelligens zárolási funkció zárolta őket. A rendszergazdának meg kell várnia, amíg lejár a zárolás időtartama. Azonban a felhasználó feloldhatja a zárolást egy megbízható készülékről vagy helyszínről az Új jelszó önkiszolgáló kérése (SSPR) funkció használatával.

Helyszíni fiókzárolási szabályzat ellenőrzése

A helyszíni AD DS-fiók zárolási szabályzatának ellenőrzéséhez hajtsa végre a következő lépéseket egy rendszergazdai jogosultságokkal rendelkező tartományhoz csatlakoztatott rendszerből:

  1. Nyissa meg a Csoportházirend Felügyeleti eszközt.
  2. Szerkessze a szervezet fiókzárolási szabályzatát tartalmazó csoportházirendet, például az alapértelmezett tartományi házirendet.
  3. Keresse meg a ComputerConfigurationPolicies>>Windows Gépház>Security Gépház>Account PoliciesAccount>Lockout Policy webhelyet.
  4. Ellenőrizze a fiókzárolási küszöbértéket , és állítsa alaphelyzetbe a fiók zárolási számlálóját az értékek után.

Modify the on-premises Active Directory account lockout policy

Az Azure AD intelligens zárolási értékeinek kezelése

A szervezeti követelmények alapján testre szabhatja az Azure AD intelligens zárolási értékeit. Az intelligens zárolási beállítások szervezetre jellemző értékekkel történő testreszabásához Prémium P1 szintű Azure AD vagy magasabb licenc szükséges a felhasználók számára. Az intelligens zárolási beállítások testreszabása nem érhető el az Azure China 21Vianet-bérlők számára.

A szervezet intelligens zárolási értékeinek ellenőrzéséhez vagy módosításához hajtsa végre az alábbi lépéseket:

  1. Jelentkezzen be az Azure Portalra.

  2. Keresse meg és válassza ki a Azure Active Directory, majd válassza a SecurityAuthentication>methodsPassword> protection lehetőséget.

  3. Állítsa be a zárolási küszöbértéket annak alapján, hogy hány sikertelen bejelentkezés engedélyezett egy fiókon az első zárolás előtt.

    Az alapértelmezett érték az Azure Nyilvános bérlők esetében 10, az Azure US Government-bérlők esetében pedig 3.

  4. Állítsa a zárolás időtartamát másodpercben az egyes zárolások másodpercben megadott hosszára.

    Az alapértelmezett érték 60 másodperc (egy perc).

Megjegyzés

Ha a zárolás után az első bejelentkezés is sikertelen, a fiók újra zárolva lesz. Ha egy fiók többször zárol, a zárolás időtartama nő.

Customize the Azure AD smart lockout policy in the Azure portal

Intelligens zárolás tesztelése

Az intelligens zárolási küszöbérték aktiválásakor a fiók zárolt állapotában a következő üzenet jelenik meg:

Fiókja ideiglenesen zárolva van, hogy megakadályozza a jogosulatlan használatot. Próbálkozzon újra később, és ha továbbra is problémákat tapasztal, forduljon a rendszergazdához.

Az intelligens zárolás tesztelése során előfordulhat, hogy a bejelentkezési kéréseket különböző adatközpontok kezelik az Azure AD hitelesítési szolgáltatás földrajzilag elosztott és elosztott terhelésű jellege miatt. Ebben az esetben minden Azure AD-adatközpont külön követi nyomon a zárolást, ezért elképzelhető, hogy a zárolási küszöbértékben meghatározott kísérletek számánál több kell a zárolás előidézéséhez. A felhasználó legfeljebb (threshold_limit * datacenter_count) számú rossz kísérletet hajt végre, mielőtt teljesen kizárják.

Az intelligens zárolás nyomon követi az utolsó három hibás jelszókivonatot, hogy elkerülje a zárolási számláló növelését ugyanazon jelszó esetében. Ha valaki többször is ugyanazt a rossz jelszót adja meg, ez a viselkedés nem eredményezi a fiók zárolását.

Alapértelmezett védelem

Az Intelligens zárolás mellett az Azure AD a jelek , köztük az IP-forgalom elemzésével és a rendellenes viselkedés azonosításával is védelmet nyújt a támadások ellen. Az Azure AD alapértelmezés szerint blokkolja ezeket a rosszindulatú bejelentkezéseket, és visszaadja az AADSTS50053 – IdsLocked hibakódot a jelszó érvényességétől függetlenül.

Következő lépések

A felhasználói élmény további testreszabásához egyéni tiltott jelszavakat konfigurálhat az Azure AD jelszóvédelemhez.

Az Azure AD önkiszolgáló jelszó-alaphelyzetbe állításának konfigurálásához vagy a jelszavuk webböngészőből való módosításához konfigurálhatja a felhasználókat.