مشاركة عبر

تخفيف هجمات بيانات الاعتماد في Azure AD B2C مع تأمين ذكي

  • مقالة

تؤدي هجمات بيانات الاعتماد إلى الوصول غير المصرح به إلى الموارد. يلزم أن تكون كلمات المرور التي يتم تعيينها من قبل المستخدمين معقدة بشكل معقول. تحتوي Azure AD B2C على تقنيات تخفيف مطبقة لهجمات بيانات الاعتماد. يتضمن التخفيف الكشف عن هجمات بيانات الاعتماد الغاشمة وهجمات بيانات الاعتماد بالقاموس. باستخدام إشارات مختلفة، تحلل Azure Active Directory B2C (Azure AD B2C) تكامل الطلبات. تم تصميم Azure AD B2C للتمييز بذكاء بين المستخدمين المقصودين والمتسللين وشبكات الروبوتات.

كيف يعمل التأمين الذكي

تستخدم Azure AD B2C استراتيجية متطورة لتأمين الحسابات. يتم تأمين الحسابات استنادا إلى IP الطلب وكلمات المرور التي تم إدخالها. كما تزداد مدة التأمين بناءً على احتمال وقوع هجوم. بعد محاولة كلمة مرور 10 مرات دون جدوى (الحد الأدنى الافتراضي المسموح به للمحاولة)، يحدث تأمين لدقيقة واحدة. في المرة التالية التي لا ينجح فيها تسجيل الدخول بعد إلغاء تأمين الحساب (أي بعد إلغاء تأمين الحساب تلقائيًا بواسطة الخدمة بمجرد انتهاء فترة التأمين)، يحدث تأمين آخر لمدة دقيقة واحدة ويستمر لكل تسجيل دخول غير ناجح. لا يتم احتساب إدخال كلمة المرور نفسها أو أخرى مشابهة لها مرارًا وتكرارًا على أنها تسجيلات دخول متعددة غير ناجحة.

إشعار

يتم اعتماد هذه الميزة بواسطة تدفقات المستخدمين، والنُهج المخصصة، وتدفقات ROPC. يتم تنشيطه بشكل افتراضي بحيث لا تحتاج إلى تكوينه في تدفقات المستخدم أو النُهج المخصصة.

إلغاء تأمين الحسابات

يدوم كل من فترات التأمين الـ 10 الأولى دقيقة واحدة. وتدوم فترات التأمين الـ 10 التالية مدة أطول قليلاً وتزيد في المدة بعد كل 10 فترات تأمين. تتم إعادة ضبط عداد التأمين إلى الصفر بعد عملية تسجيل دخول ناجحة عندما يكون الحساب غير مؤمن. يمكن أن تستمر فترات التأمين لمدة تصل إلى خمس ساعات. يجب على المستخدمين الانتظار حتى تنتهي مدة التأمين. ومع ذلك، يمكن للمستخدم إلغاء التأمين باستخدام تدفق كلمات مرور المستخدمين ذاتي الخدمة.

إدارة إعدادات التأمين الذكية

لإدارة إعدادات التأمين الذكية، بما في ذلك حد التأمين:

  1. سجل الدخول إلى مدخل Azure.

  2. إذا كان لديك حق الوصول إلى عدة مستأجرين، فحدد رمز الإعدادات في القائمة العلوية للتبديل إلى مستأجر Azure AD B2C من قائمة Directories + subscriptions.

  3. في القائمة اليمنى، حدد «Azure AD B2C». أو حدد جميع الخدمات وابحث عن واختر Azure AD B2C.

  4. ضمن Security، حدد Authentication methods (Preview)، ثم حدد Password protection.

  5. ضمن تخصيص التأمين الذكي، أدخل إعدادات تأمين كلمة المرور المرغوب فيها:

    • Lockout threshold: عدد محاولات تسجيل الدخول الفاشلة المسموح بها قبل تأمين الحساب لأول مرة. وإذا فشل تسجيل الدخول الأول بعد التأمين أيضًا، فسيتم تأمين الحساب مرة أخرى.

    • Lockout threshold: الحد الأدنى لمدة كل تأمين بالثواني. إذا تم تأمين حساب بشكل متكرر، تزيد هذه المدة.

      Azure portal Password protection page in Microsoft Entra settings
      تعيين الحد الأدنى المسموح به للتأمين إلى 5 في إعدادات Password protection.

  6. حدد حفظ.

اختبار التأمين الذكي

تستخدم ميزة التأمين الذكية العديد من العوامل لتحديد متى يجب تأمين حساب ما، ولكن العامل الأساسي هو نمط كلمة المرور. تضع ميزة التأمين الذكية الاختلافات الطفيفة فيما يخص كلمة مرور كمجموعة في اعتبارها، ويتم احتسابها كمحاولة واحدة. على سبيل المثال:

  • تُعد كلمات السر مثل ‏12456! و1234567! (أو newAccount1234 وnewaccount1234) متشابهة بحيث تفسرها الخوارزمية كخطأ بشري وتحسبها كمحاولة واحدة.
  • ويتم احتساب الاختلافات الأكبر في النمط، مثل ‏12456! وABCD2!، على أنها محاولات منفصلة.

عند اختبار ميزة التأمين الذكية، استخدم نمطًا مميزًا لكل كلمة مرور تدخلها. فكّر في استخدام تطبيقات ويب لإنشاء كلمات المرور، مثل https://password-gen.com/.

عند بلوغ حد التأمين الذكي، ستظهر لك الرسالة التالية في أثناء تأمين الحساب: حسابك مغلق مؤقتًا لمنع الاستخدام غير المصرح به. حاول مرة أخرى لاحقًا. يمكن ترجمة رسائل الخطأ

إشعار

عند اختبار التأمين الذكي، قد تتم معالجة طلبات تسجيل الدخول بواسطة مراكز بيانات مختلفة بسبب الطبيعة الموزعة جغرافيا ومتوازنة التحميل لخدمة مصادقة Microsoft Entra. في هذا السيناريو، نظرا لأن كل مركز بيانات Microsoft Entra يتعقب التأمين بشكل مستقل، فقد يستغرق الأمر أكثر من عدد عتبة التأمين المحددة للمحاولات للتسبب في تأمين. المستخدم بلغ الحد الأقصى من (threshold_limit * datacenter_count) عدد المحاولات الفاشلة قبل أن يتم الإغلاق بشكلٍ كامل. لمزيدٍ من المعلومات، راجع بنية Azure الأساسية العمومية.

عرض الحسابات التي تم تأمينها

للحصول على معلومات حول الحسابات المؤمنة، يمكنك التحقق من تقرير نشاط تسجيل الدخول إلى Active Directory. ضمن Status، حدد Failure. تشير محاولات تسجيل الدخول الفاشلة مع Sign-in error code كـ 50053 إلى حساب مؤمن:

Section of Microsoft Entra sign-in report showing locked-out account

للتعرف على عرض تقرير نشاط تسجيل الدخول في معرف Microsoft Entra، راجع رموز خطأ تقرير نشاط تسجيل الدخول.