Melindungi akun pengguna dari serangan dengan penguncian cerdas Azure Active Directory

Penguncian cerdas membantu mengunci pelaku jahat yang mencoba menebak kata sandi pengguna Anda atau menggunakan metode brute-force untuk masuk. Penguncian cerdas dapat mengenali aktivitas masuk yang berasal dari pengguna yang valid dan memperlakukan mereka secara berbeda dari penyerang dan sumber lain yang tidak diketahui. Penyerang dikunci, sementara pengguna Anda akan tetap bisa mengakses akun mereka dan tetap produktif.

Cara kerja penguncian cerdas

Secara default, penguncian pintar mengunci akun dari upaya masuk selama satu menit setelah 10 upaya gagal untuk penyewa Azure Public dan Azure Tiongkok dan 3 untuk penyewa Azure US Government. Akun mengunci lagi setelah setiap upaya masuk yang gagal berikutnya, selama satu menit pada awalnya dan lebih lama dalam upaya berikutnya. Untuk meminimalkan cara penyerang dapat mengatasi perilaku ini, kami tidak mengungkapkan tingkat di mana periode penguncian berkembang selama upaya masuk tambahan yang gagal.

Penguncian cerdas melacak tiga hash kata sandi buruk terakhir untuk menghindari penambahan penghitung penguncian untuk kata sandi yang sama. Jika seseorang memasukkan kata sandi buruk yang sama beberapa kali, perilaku ini tidak akan menyebabkan akun dikunci.

Catatan

Fungsi pelacakan hash tidak tersedia untuk pelanggan dengan autentikasi pass-through diaktifkan karena autentikasi terjadi di lokal bukan di cloud.

Penyebaran gabungan yang menggunakan Layanan Federasi Direktori Aktif 2016 dan AF FS 2019 dapat mengaktifkan manfaat serupa menggunakan Penguncian Cerdas Ekstranet Layanan Federasi Direktori Aktif dan Penguncian Cerdas Ekstranet.

Penguncian cerdas selalu aktif, untuk semua pelanggan Azure Active Directory, dengan pengaturan default ini yang menawarkan campuran keamanan dan kegunaan yang tepat. Kustomisasi pengaturan penguncian cerdas, dengan nilai khusus untuk organisasi Anda, memerlukan Azure Active Directory Premium P1 atau lisensi yang lebih tinggi untuk pengguna Anda.

Menggunakan penguncian cerdas tidak menjamin bahwa pengguna asli tidak pernah dikunci. Jika penguncian cerdas mengunci akun pengguna, kami mencoba yang terbaik untuk tidak mengunci pengguna asli. Layanan penguncian berusaha memastikan bahwa pelaku yang jahat tidak dapat memperoleh akses ke akun pengguna asli. Pertimbangan berikut berlaku:

  • Setiap pusat data Azure Active Directory melacak penguncian secara independen. Pengguna memiliki jumlah upaya (threshold_limit * datacenter_count), jika pengguna mencapai tiap pusat data.
  • Penguncian Cerdas menggunakan lokasi yang dikenal vs lokasi yang tidak dikenal untuk membedakan antara pelaku yang jahat dan pengguna asli. Lokasi yang tidak dikenal dan dikenal keduanya memiliki penghitung penguncian terpisah.

Penguncian cerdas dapat diintegrasikan dengan penyebaran hibrid yang menggunakan sinkronisasi hash kata sandi atau autentikasi pass-through untuk melindungi akun Active Directory Domain Services (AD DS) lokal agar tidak dikunci oleh penyerang. Dengan mengatur kebijakan penguncian cerdas di Azure Active Directory dengan tepat, serangan dapat difilter sebelum mencapai AD DS lokal.

Saat menggunakan autentikasi pass-through, pertimbangkan hal-hal berikut:

  • Ambang batas penguncian Azure Active Directory kurang dari ambang batas penguncian akun AD DS. Atur nilai agar ambang batas penguncian akun AD DS setidaknya dua atau tiga kali lebih lama dibandingkan ambang batas penguncian Azure Active Directory.
  • Durasi penguncian Azure Active Directory harus diatur lebih lama daripada penghitung penguncian akun reset AD DS setelah durasi. Durasi Azure Active Directory diatur dalam detik, sedangkan durasi AD diatur dalam menit.

Misalnya, jika ingin agar durasi penguncian cerdas Azure Active Directory lebih lama dibandingkan AD DS, Azure Active Directory akan memiliki durasi 120 detik (2 menit), sedangkan AD lokal diatur ke 1 menit (60 detik). Jika ingin agar ambang penguncian Azure AD diatur ke 5, Anda perlu mengatur ambang penguncian AD lokal ke 10. Konfigurasi ini memastikan penguncian cerdas tidak akan dapat melakukan penguncian akun AD lokal yang disebabkan oleh serangan brute force pada akun Azure AD.

Penting

Saat ini, administrator tidak dapat membuka kunci akun cloud pengguna jika akun tersebut telah dikunci oleh kemampuan Penguncian Cerdas. Administrator harus menunggu hingga durasi penguncian berakhir. Namun, pengguna dapat membuka kunci dengan menggunakan pengaturan ulang kata sandi mandiri (SSPR) dari perangkat atau lokasi tepercaya.

Memverifikasi kebijakan penguncian akun lokal

Untuk memverifikasi kebijakan penguncian akun AD DS lokal Anda, selesaikan langkah-langkah berikut dari sistem yang bergabung dengan domain dengan hak istimewa administrator:

  1. Buka alat Pengelolaan Kebijakan Grup.
  2. Edit kebijakan grup yang menyertakan kebijakan penguncian akun organisasi, seperti Kebijakan Domain Default.
  3. Telusuri Konfigurasi KomputerKebijakanPengaturan WindowsPengaturan KeamananKebijakan AkunKebijakan Penguncian Akun.
  4. Verifikasi ambang batas penguncian Akun dan Atur ulang nilai penghitung penguncian akun setelahnya.

Modify the on-premises Active Directory account lockout policy

Mengelola nilai penguncian cerdas Azure Active Directory

Berdasarkan persyaratan organisasi, Anda dapat menyesuaikan nilai penguncian cerdas Azure Active Directory. Kustomisasi pengaturan penguncian cerdas, dengan nilai khusus untuk organisasi Anda, memerlukan Azure Active Directory Premium P1 atau lisensi yang lebih tinggi untuk pengguna Anda. Kustomisasi pengaturan penguncian pintar tidak tersedia untuk penyewa Azure Tiongkok.

Untuk memeriksa atau mengubah nilai penguncian cerdas untuk organisasi Anda, selesaikan langkah-langkah berikut:

  1. Masuk ke portal Microsoft Azure.

  2. Cari dan pilih Azure Active Directory, lalu pilih KeamananMetode autentikasiProteksi sandi.

  3. Atur Ambang batas penguncian, berdasarkan jumlah kegagalan proses masuk yang diizinkan pada akun sebelum penguncian pertamanya.

    Defaultnya adalah 10 untuk penyewa Azure Public dan 3 untuk penyewa Azure US Government.

  4. Atur Durasi penguncian dalam detik, ke durasi dalam detik dari setiap penguncian.

    Durasi defaultnya adalah 60 detik (satu menit).

Catatan

Jika proses masuk pertama setelah penguncian juga gagal, akun akan dikunci lagi. Jika akun terkunci berulang kali, durasi penguncian akan bertambah.

Customize the Azure AD smart lockout policy in the Azure portal

Menguji penguncian pintar

Jika ambang batas penguncian cerdas dipicu, Anda akan menerima pesan berikut saat akun dikunci:

Akun Anda dikunci sementara untuk mencegah penggunaan tidak sah. Coba lagi nanti. Coba lagi nanti, dan jika masih mengalami masalah, hubungi admin Anda.

Saat Anda menguji penguncian cerdas, permintaan masuk Anda mungkin ditangani oleh pusat data yang berbeda karena sifat terdistribusi geografis dan beban seimbang dari layanan autentikasi Azure Active Directory. Dalam skenario tersebut, karena setiap pusat data Azure Active Directory melacak penguncian secara independen, pemicuan penguncian mungkin memerlukan waktu lebih lama daripada jumlah upaya ambang batas penguncian yang Anda tentukan. Seorang pengguna memiliki jumlah maksimum (threshold_limit * datacenter_count) percobaan buruk sebelum benar-benar terkunci.

Penguncian cerdas melacak tiga hash kata sandi buruk terakhir untuk menghindari penambahan penghitung penguncian untuk kata sandi yang sama. Jika seseorang memasukkan kata sandi buruk yang sama beberapa kali, perilaku ini tidak akan menyebabkan akun dikunci.

Perlindungan default

Selain penguncian pintar, Azure AD juga melindungi terhadap serangan dengan menganalisis sinyal termasuk lalu lintas IP dan mengidentifikasi perilaku anomali. Azure AD akan memblokir proses masuk berbahaya ini secara default dan menampilkan kode kesalahan AADSTS50053 - IdsLocked, terlepas dari validitas sandi.

Langkah berikutnya

Untuk menyesuaikan pengalaman lebih lanjut, Anda dapat mengonfigurasi kata sandi kustom yang diblokir untuk proteksi kata sandi Azure Active Directory.

Untuk memudahkan pengguna mengatur ulang atau mengubah kata sandi dari browser web, Anda dapat mengonfigurasi pengaturan ulang kata sandi mandiri Azure Active Directory.