Memecahkan masalah penguncian akun dengan domain terkelola Microsoft Entra Domain Services

  • Artikel

Untuk mencegah upaya masuk berbahaya berulang, domain terkelola Microsoft Entra Domain Services mengunci akun setelah ambang yang ditentukan. Penguncian akun ini juga dapat terjadi secara tidak sengaja tanpa insiden serangan rincian masuk. Misalnya, jika pengguna berulang kali memasukkan kata sandi yang salah atau layanan mencoba menggunakan kata sandi lama, akun akan dikunci.

Artikel pemecahan masalah ini menguraikan alasan terjadinya penguncian akun, cara mengonfigurasi perilakunya, dan cara meninjau audit keamanan untuk memecahkan masalah peristiwa penguncian.

Apa itu penguncian akun?

Akun pengguna di domain terkelola Domain Services dikunci saat ambang batas yang ditentukan untuk upaya masuk yang gagal telah terpenuhi. Perilaku penguncian akun ini dirancang untuk melindungi Anda dari upaya masuk brute-force berulang yang mungkin mengindikasikan serangan digital otomatis.

Secara default, jika ada 5 upaya kata sandi yang buruk dalam 2 menit, akun akan dikunci selama 30 menit.

Ambang penguncian akun default dikonfigurasi menggunakan kebijakan kata sandi terperinci. Jika Anda memiliki seperangkat persyaratan tertentu, Anda dapat mengambil alih ambang penguncian akun default ini. Namun, tidak disarankan untuk meningkatkan batas ambang untuk mencoba mengurangi jumlah penguncian akun. Pecahkan masalah sumber perilaku penguncian akun terlebih dahulu.

Kebijakan kata sandi terperinci

Kebijakan kata sandi terperinci (FGPP) memungkinkan Anda menerapkan pembatasan khusus untuk kebijakan penguncian kata sandi dan akun untuk pengguna yang berbeda di domain. FGPP hanya memengaruhi pengguna dalam domain terkelola. Pengguna cloud dan pengguna domain yang disinkronkan ke domain terkelola dari ID Microsoft Entra hanya terpengaruh oleh kebijakan kata sandi dalam domain terkelola. Akun mereka di ID Microsoft Entra atau direktori lokal tidak terpengaruh.

Kebijakan didistribusikan melalui asosiasi grup di domain terkelola, dan setiap perubahan yang Anda buat diterapkan pada percobaan masuk pengguna berikutnya. Mengubah kebijakan tidak membuka kunci akun pengguna yang sudah dikunci.

Untuk informasi selengkapnya tentang kebijakan kata sandi terperinci, dan perbedaan antara pengguna yang dibuat langsung di Layanan Domain versus disinkronkan dari ID Microsoft Entra, lihat Mengonfigurasi kebijakan penguncian kata sandi dan akun.

Alasan penguncian akun secara umum

Alasan paling umum akun dikunci, selain adanya niat atau faktor berbahaya, meliputi skenario berikut:

  • Pengguna mengunci akunnya sendiri.
    • Setelah perubahan kata sandi baru-baru ini, apakah pengguna terus menggunakan kata sandi sebelumnya? Kebijakan penguncian akun default dari lima upaya yang gagal dalam 2 menit dapat disebabkan oleh pengguna secara tidak sengaja mencoba kembali kata sandi lama.
  • Ada aplikasi atau layanan yang memiliki kata sandi lama.
    • Jika akun digunakan oleh aplikasi atau layanan, sumber daya tersebut dapat berulang kali mencoba masuk menggunakan kata sandi lama. Perilaku ini menyebabkan akun dikunci.
    • Cobalah untuk meminimalkan penggunaan akun di beberapa aplikasi atau layanan yang berbeda, dan catat di mana info masuk digunakan. Jika kata sandi akun diubah, perbarui aplikasi atau layanan terkait yang sesuai.
  • Kata sandi telah diubah di lingkungan yang berbeda dan kata sandi baru belum disinkronkan.
    • Jika kata sandi akun diubah di luar domain terkelola, seperti di lingkungan AD DS lokal, diperlukan waktu beberapa menit agar perubahan kata sandi disinkronkan melalui Microsoft Entra ID dan ke domain terkelola.
    • Pengguna yang mencoba masuk ke sumber daya di domain terkelola sebelum proses sinkronisasi kata sandi selesai menyebabkan akun mereka dikunci.

Memecahkan masalah penguncian akun dengan audit keamanan

Untuk memecahkan masalah saat peristiwa penguncian akun terjadi dan dari mana asalnya, aktifkan audit keamanan untuk Domain Services. Peristiwa audit hanya diambil sejak Anda mengaktifkan fitur tersebut. Idealnya, Anda harus mengaktifkan audit keamanan sebelum ada masalah penguncian akun untuk dipecahkan. Jika akun pengguna berulang kali mengalami masalah penguncian, Anda dapat mengaktifkan audit keamanan yang siap saat situasi tersebut terjadi di lain waktu.

Setelah Anda mengaktifkan audit keamanan, kueri sampel berikut menunjukkan kepada Anda cara meninjau Peristiwa Penguncian Akun, kode 4740.

Lihat semua peristiwa penguncian akun selama tujuh hari terakhir:

AADDomainServicesAccountManagement
| where TimeGenerated >= ago(7d)
| where OperationName has "4740"

Lihat semua peristiwa penguncian akun selama tujuh hari terakhir untuk akun bernama driley.

AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where OperationName has "4740"
| where "driley" == tolower(extract("Logon Account:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))

Tampilkan semua peristiwa penguncian akun antara 26 Juni 2020 pukul 09.00 dan 1 Juli 2020 tengah malam, diurutkan naik berdasarkan tanggal dan waktu:

AADDomainServicesAccountManagement
| where TimeGenerated >= datetime(2020-06-26 09:00) and TimeGenerated <= datetime(2020-07-01)
| where OperationName has "4740"
| sort by TimeGenerated asc

Anda mungkin menemukan pada detail peristiwa 4776 dan 4740 "Source Workstation: " kosong. Ini karena kata sandi buruk terjadi melalui log masuk Jaringan melalui beberapa perangkat lain.

Misalnya, server RADIUS dapat meneruskan autentikasi ke Domain Services.

03/04 19:07:29 [MASUK] [10752] contoso: SamLogon: Masuk Jaringan Transitif dari contoso\Nagappan.Veerappan dari (melalui LOB11-RADIUS) Masuk

03/04 19:07:29 [MASUK] [10752] contoso: SamLogon: Masuk Jaringan Transitif dari contoso\Nagappan.Veerappan dari (melalui LOB11-RADIUS) Menampilkan 0xC000006A

03/04 19:07:35 [MASUK] [10753] contoso: SamLogon: Masuk Jaringan Transitif dari contoso\Nagappan.Veerappan dari (melalui LOB11-RADIUS) Masuk

03/04 19:07:35 [MASUK] [10753] contoso: SamLogon: Masuk Jaringan Transitif dari contoso\Nagappan.Veerappan dari (melalui LOB11-RADIUS) Menampilkan 0xC000006A

Aktifkan RDP ke DC Anda di NSG ke backend untuk mengonfigurasi pengambilan diagnostik (netlogon). Untuk informasi selengkapnya tentang persyaratan, lihat Aturan keamanan masuk.

Jika Anda telah memodifikasi NSG default, ikuti Port 3389 - manajemen menggunakan desktop jarak jauh.

Untuk mengaktifkan log Netlogon di server mana pun, ikuti Mengaktifkan log debug untuk layanan Netlogon.

Langkah berikutnya

Untuk informasi selengkapnya tentang kebijakan kata sandi terperinci untuk menyesuaikan ambang penguncian akun, lihat Mengonfigurasi kebijakan penguncian kata sandi dan akun.

Jika Anda masih mengalami masalah saat bergabung dengan VM ke domain terkelola, temukan bantuan dan buka tiket dukungan untuk ID Microsoft Entra.