Смарт-блокировка Azure Active DirectoryAzure Active Directory smart lockout

Смарт-блокировка помогает блокировать злоумышленников, которые пытаются угадать пароли пользователей или использовать методы подбора пароля для входа.Smart lockout assists in locking out bad actors who are trying to guess your users’ passwords or use brute-force methods to get in. Эта функция позволяет распознавать входные сигналы от действительных пользователей и относиться к ним иначе, нежели к злоумышленникам и другим неизвестным источникам.It can recognize sign-ins coming from valid users and treat them differently than ones of attackers and other unknown sources. Механизм смарт-блокировки блокирует доступ для злоумышленников, пытающихся войти в систему. При этом обычные пользователи могут спокойно получать доступ к учетным записям и продолжать работу.Smart lockout locks out the attackers, while letting your users continue to access their accounts and be productive.

По умолчанию после 10 неудачных попыток смарт-блокировка блокирует учетную запись от попыток входа в систему на одну минуту.By default, smart lockout locks the account from sign-in attempts for one minute after 10 failed attempts. Учетная запись повторно блокируется после каждой последующей неудачной попытки входа (сначала доступ отсутствует одну минуту, а при последующих попытках — дольше).The account locks again after each subsequent failed sign-in attempt, for one minute at first and longer in subsequent attempts.

Смарт-блокировка отслеживает хэши последних трех попыток неправильного ввода пароля во избежание повторного увеличения счетчика блокировки для того же пароля.Smart lockout tracks the last three bad password hashes to avoid incrementing the lockout counter for the same password. Если кто-то введет тот же неверный пароль несколько раз, это не вызовет блокировку учетной записи.If someone enters the same bad password multiple times, this behavior will not cause the account to lockout.

Примечание

Функция отслеживания хэшей недоступна для клиентов, использующих сквозную аутентификацию, так как аутентификация выполняется локально, а не в облаке.Hash tracking functionality is not available for customers with pass-through authentication enabled as authentication happens on-premises not in the cloud.

Федеративные развертывания, использующие AD FS 2016 и AF FS 2019, могут обеспечить аналогичные преимущества с помощью AD FS блокировки экстрасети и Smart-блокировки экстрасети.Federated deployments using AD FS 2016 and AF FS 2019 can enable similar benefits using AD FS Extranet Lockout and Extranet Smart Lockout.

Для всех клиентов Azure AD, у которых установлены эти настройки по умолчанию, обеспечивающие оптимальное сочетание безопасности и удобства в использовании, смарт-блокировка всегда включена.Smart lockout is always on for all Azure AD customers with these default settings that offer the right mix of security and usability. Настройка параметров смарт-блокировки со значениями, характерными для вашей организации, требует платных лицензий Azure AD для пользователей.Customization of the smart lockout settings, with values specific to your organization, requires paid Azure AD licenses for your users.

Использование смарт-блокировки не гарантирует, что подлинный пользователь никогда не заблокируется. Если смарт-блокировка блокирует учетную запись пользователя, мы стараемся не блокировать подлинного пользователя.Using smart lockout does not guarantee that a genuine user will never be locked out. When smart lockout locks a user account, we try our best to not lockout the genuine user. Служба блокировки пытается ограничить доступ злоумышленников к учетной записи настоящего пользователя.The lockout service attempts to ensure that bad actors can’t gain access to a genuine user account.

  • Каждый центр обработки данных Azure Active Directory отслеживает блокировку независимо друг от друга.Each Azure Active Directory data center tracks lockout independently. У пользователя есть определенное число попыток (threshold_limit * datacenter_count) для каждого центра обработки данных.A user will have (threshold_limit * datacenter_count) number of attempts, if the user hits each data center.
  • Смарт-блокировка различает злоумышленников и подлинных пользователей по расположению (неизвестное и известное).Smart Lockout uses familiar location vs unfamiliar location to differentiate between a bad actor and the genuine user. Для каждого типа расположения будут предусмотрены отдельные счетчики блокировки.Unfamiliar and familiar locations will both have separate lockout counters.

Смарт-блокировку можно интегрировать в гибридные среды, используя синхронизацию хэшей паролей или сквозную проверку подлинности для защиты локальных учетных записей Active Directory от блокировки злоумышленниками.Smart lockout can be integrated with hybrid deployments, using password hash sync or pass-through authentication to protect on-premises Active Directory accounts from being locked out by attackers. Если правильно установить политики смарт-блокировки в Azure AD, то прежде, чем атаки смогут достичь локальной среды Active Directory, они будут отфильтрованы.By setting smart lockout policies in Azure AD appropriately, attacks can be filtered out before they reach on-premises Active Directory.

При использовании сквозной аутентификации необходимо убедиться, что:When using pass-through authentication, you need to make sure that:

  • Пороговое значение блокировки Azure AD должно быть меньше, чем пороговое значение блокировки учетных записей Active Directory.The Azure AD lockout threshold is less than the Active Directory account lockout threshold. Необходимо, чтобы пороговое значение блокировки учетных записей Active Directory как минимум в два-три раза превышало пороговое значение блокировки Azure AD.Set the values so that the Active Directory account lockout threshold is at least two or three times longer than the Azure AD lockout threshold.
  • Длительность блокировки Azure AD должна быть задана дольше, чем счетчик блокировки Active Directory сброса учетной записи после длительности.The Azure AD lockout duration must be set longer than the Active Directory reset account lockout counter after duration. Имейте в виду, что длительность Azure AD задается в секундах, а длительность рекламы задается в минутах.Be aware that the Azure AD duration is set in seconds, while the AD duration is set in minutes.

Например, если вы хотите, чтобы значение счетчика Azure AD было выше, чем AD, то Azure AD будет 120 секунд (2 минуты), а локальное AD — 1 минута (60 секунд).For example, if you want your Azure AD counter to be higher than AD, then Azure AD would be 120 seconds (2 minutes) while your on prem AD is set to 1 minute (60 seconds).

Важно!

Сейчас администраторы не могут разблокировать учетные записи пользователей в облаке, если они заблокированы с помощью смарт-блокировки.Currently an administrator can't unlock the users' cloud accounts if they have been locked out by the Smart Lockout capability. Администраторы должны подождать, пока не завершится срок действия блокировки.The administrator must wait for the lockout duration to expire.

Проверка локальных политик блокировки учетных записейVerify on-premises account lockout policy

Чтобы проверить локальную политику блокировки учетных записей Active Directory, сделайте следующее:Use the following instructions to verify your on-premises Active Directory account lockout policy:

  1. Откройте средства управления групповыми политиками.Open the Group Policy Management tool.
  2. Измените групповую политику, которая включает в себя политики блокировки учетных записей организации, например политику домена по умолчанию.Edit the group policy that includes your organization's account lockout policy, for example, the Default Domain Policy.
  3. Последовательно выберите Конфигурация компьютера > Политики > Параметры Windows > Параметры безопасности > Политики учетных записей > Политика блокировки учетной записи.Browse to Computer Configuration > Policies > Windows Settings > Security Settings > Account Policies > Account Lockout Policy.
  4. Проверьте пороговое значение блокировки учетных записей и время до сброса счетчика блокировки учетных записей.Verify your Account lockout threshold and Reset account lockout counter after values.

Изменение политики блокировки локальной учетной записи Active Directory

Управление значениями смарт-блокировки Azure ADManage Azure AD smart lockout values

Исходя из требований организации, возможно потребуется настроить значение смарт-блокировки.Based on your organizational requirements, smart lockout values may need to be customized. Настройка параметров смарт-блокировки со значениями, характерными для вашей организации, требует платных лицензий Azure AD для пользователей.Customization of the smart lockout settings, with values specific to your organization, requires paid Azure AD licenses for your users.

Чтобы проверить или изменить значения смарт-блокировки для организации, выполните следующие действия.To check or modify the smart lockout values for your organization, use the following steps:

  1. Войдите на портал Azure и щелкните Azure Active Directory, а затем Методы проверки подлинности.Sign in to the Azure portal, and click on Azure Active Directory, then Authentication Methods.
  2. В зависимости от того, сколько попыток неудачного входа разрешено до первой блокировки учетной записи, установите пороговое значение блокировки.Set the Lockout threshold, based on how many failed sign-ins are allowed on an account before its first lockout. По умолчанию задано значение 10.The default is 10.
  3. Чтобы указать время для каждой блокировки (в секундах), установите параметр Длительность блокировки в секундах.Set the Lockout duration in seconds, to the length in seconds of each lockout. Значение по умолчанию — 60 секунд (одна минута).The default is 60 seconds (one minute).

Примечание

Если первый вход после блокировки завершится ошибкой, учетная запись будет снова заблокирована.If the first sign-in after a lockout also fails, the account locks out again. Если учетная запись будет заблокирована несколько раз, продолжительность блокировки увеличится.If an account locks repeatedly, the lockout duration increases.

Настройка политики смарт-блокировки Azure AD на портале Azure

Как определить, работает ли функция смарт-блокировкиHow to determine if the Smart lockout feature is working or not

При активации порога Smart-блокировки при блокировке учетной записи будет получено следующее сообщение:When the smart lockout threshold is triggered, you will get the following message while the account is locked:

Ваша учетная запись временно заблокирована, чтобы предотвратить ее несанкционированное использование. Повторите попытку позже. Если проблема не устранена, обратитесь к администратору.Your account is temporarily locked to prevent unauthorized use. Try again later, and if you still have trouble, contact your admin.

Следующие шагиNext steps