Ochrana uživatelských účtů před útoky s využitím inteligentního uzamykání Microsoft Entra
Inteligentní uzamykání pomáhá blokovat pochybné aktéry, kteří se pokouší uhádnout hesla uživatelů nebo získat přístup hrubou silou. Inteligentní uzamykání dokáže rozpoznat pokusy o přihlášení, které pochází od platných uživatelů, a pracuje s nimi jinak než s pokusy o přihlášení útočníků nebo pokusy o přihlášení z neznámých zdrojů. Útočníci se zablokují, zatímco uživatelé získají přístup ke svým účtům, aby mohli být produktivní.
Jak inteligentní uzamčení funguje
Ve výchozím nastavení inteligentní uzamčení uzamkne účet od přihlášení po:
- 10 neúspěšných pokusů ve veřejných službách Azure a Microsoft Azure provozovaných tenanty 21Vianet
- 3 neúspěšné pokusy o tenanty Azure US Government
Účet se znovu uzamkne po každém následném neúspěšném pokusu o přihlášení. Doba uzamčení je nejprve jedna minuta a v dalších pokusech delší. Abychom minimalizovali způsoby, jak by útočník mohl toto chování obejít, nezveřejňujeme míru, s jakou se období uzamčení zvyšuje po neúspěšných pokusech o přihlášení.
Inteligentní uzamčení sleduje poslední tři chybné hodnoty hash hesel, aby se zabránilo zvýšení čítače uzamčení pro stejné heslo. Pokud někdo několikrát zadá stejné chybné heslo, toto chování nezpůsobí uzamčení účtu.
Poznámka:
Funkce sledování hodnot hash není dostupná pro zákazníky s povoleným předávacím ověřováním, protože ověřování probíhá místně, ne v cloudu.
Federovaná nasazení, která používají Active Directory Federation Services (AD FS) (AD FS) 2016 a AD FS 2019, můžou díky uzamčení extranetu a inteligentnímu uzamčení extranetu služby AD FS povolit podobné výhody. Doporučujeme přejít na spravované ověřování.
Inteligentní uzamčení je vždy zapnuté pro všechny zákazníky Microsoft Entra s těmito výchozími nastaveními, která nabízejí správnou kombinaci zabezpečení a použitelnosti. Přizpůsobení nastavení inteligentního uzamčení s hodnotami specifickými pro vaši organizaci vyžaduje microsoft Entra ID P1 nebo vyšší licence pro vaše uživatele.
Použití inteligentního uzamčení nezaručuje, že skutečný uživatel není nikdy uzamčen. Když inteligentní uzamčení uzamkne uživatelský účet, snažíme se, abychom skutečného uživatele nezamkli. Služba uzamčení se pokusí zajistit, aby špatní aktéři nemohli získat přístup k skutečnému uživatelskému účtu. Vezměte na vědomí následující:
Stav uzamčení v datových centrech Microsoft Entra se synchronizuje. Celkový počet neúspěšných pokusů o přihlášení povolených před uzamčením účtu se ale mírně liší od nakonfigurované prahové hodnoty uzamčení. Jakmile je účet uzamčený, je uzamčen všude ve všech datových centrech Microsoft Entra.
Inteligentní uzamčení používá známé umístění a neznámé umístění k rozlišení mezi špatným aktérem a skutečným uživatelem. Neznámé i známé umístění mají samostatné čítače uzamčení.
Aby se systém vyhnul uzamčení přihlášení uživatele z neznámého umístění, musí použít správné heslo, aby se zabránilo uzamčení a měl nízký počet předchozích pokusů o uzamčení z neznámých umístění. Pokud je uživatel uzamčený z neznámého umístění, měl by uživatel zvážit samoobslužné resetování čítače uzamčení.
Po uzamčení účtu může uživatel znovu zahájit samoobslužné resetování hesla (SSPR). Pokud uživatel zvolí , že během SSPR zapomněl heslo , doba trvání uzamčení se resetuje na 0 sekund. Pokud uživatel zvolí , že během SSPR znám heslo , časovač uzamčení bude pokračovat a doba trvání uzamčení se resetuje. Pokud chcete obnovit dobu trvání a znovu se přihlásit, musí uživatel změnit heslo.
Inteligentní uzamčení je možné integrovat s hybridními nasazeními, která používají synchronizaci hodnot hash hesel nebo předávací ověřování k ochraně účtů služby místní Active Directory Domain Services (AD DS) před uzamčením útočníky. Nastavením zásad inteligentního uzamčení v MICROSOFT Entra ID je možné útoky vyfiltrovat dříve, než se dostanou k místní službě AD DS.
Při použití předávacího ověřování platí následující aspekty:
- Prahová hodnota uzamčení služby Microsoft Entra je menší než prahová hodnota uzamčení účtu SLUŽBY AD DS. Nastavte hodnoty tak, aby prahová hodnota uzamčení účtu SLUŽBY AD DS byla alespoň dvě nebo třikrát větší než prahová hodnota uzamčení Microsoft Entra.
- Doba uzamčení účtu Microsoft Entra musí být nastavena déle než doba uzamčení účtu SLUŽBY AD DS. Doba trvání služby Microsoft Entra se nastavuje v sekundách, zatímco doba trvání služby AD DS je nastavená v minutách.
Pokud například chcete, aby doba trvání inteligentního uzamčení Microsoft Entra byla vyšší než AD DS, pak by ID Microsoft Entra bylo 120 sekund (2 minuty), zatímco vaše místní služba AD je nastavená na 1 minutu (60 sekund). Pokud chcete, aby prahová hodnota uzamčení Microsoft Entra byla 5, pak chcete, aby vaše místní prahová hodnota uzamčení služby AD DS byla 10. Tato konfigurace zajistí, že inteligentní uzamčení zabrání tomu, aby vaše místní účty AD DS byly uzamčeny útoky hrubou silou na vaše účty Microsoft Entra.
Důležité
Správce může odemknout cloudový účet uživatelů, pokud je funkce Inteligentní uzamčení uzamkne, aniž by musel čekat na vypršení doby trvání uzamčení. Další informace naleznete v tématu Resetování hesla uživatele pomocí Microsoft Entra ID.
Ověření zásad uzamčení místního účtu
Pokud chcete ověřit zásady uzamčení místního účtu SLUŽBY AD DS, proveďte následující kroky ze systému připojeného k doméně s oprávněními správce:
- Otevřete nástroj pro správu zásad skupiny.
- Upravte zásady skupiny, které zahrnují zásady uzamčení účtu vaší organizace, například výchozí zásady domény.
- Přejděte do části Zásady konfigurace>počítače – Zásady>zabezpečení nastavení>nastavení účtu>– Zásady>uzamčení účtu.
- Ověřte prahovou hodnotu uzamčení účtu a po hodnotách obnovte čítač uzamčení účtu.
Správa hodnot inteligentního uzamčení Microsoft Entra
Na základě požadavků vaší organizace můžete přizpůsobit hodnoty inteligentního uzamčení Microsoft Entra. Přizpůsobení nastavení inteligentního uzamčení s hodnotami specifickými pro vaši organizaci vyžaduje microsoft Entra ID P1 nebo vyšší licence pro vaše uživatele. Přizpůsobení nastavení inteligentního uzamčení není dostupné pro Microsoft Azure provozované tenanty 21Vianet.
Pokud chcete zkontrolovat nebo upravit hodnoty inteligentního uzamčení pro vaši organizaci, proveďte následující kroky:
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce ověřování.
Přejděte k metodám>ověřování ochrany> heslem.
Nastavte prahovou hodnotu uzamčení na základě toho, kolik neúspěšných přihlášení je u účtu povolené před prvním uzamčením.
Výchozí hodnota je 10 pro veřejné tenanty Azure a 3 pro tenanty Azure US Government.
Nastavte dobu uzamčení v sekundách na délku v sekundách každého uzamčení.
Výchozí hodnota je 60 sekund (jedna minuta).
Poznámka:
Pokud první přihlášení po uplynutí doby uzamčení také selže, účet se znovu uzamkne. Pokud se účet zamkne opakovaně, doba uzamčení se zvýší.
Testování inteligentního uzamčení
Když se aktivuje prahová hodnota inteligentního uzamčení, zobrazí se při uzamčení účtu následující zpráva:
Váš účet je dočasně uzamčen, aby se zabránilo neoprávněnému použití. Zkuste to znovu později a pokud máte stále potíže, obraťte se na správce.
Při testování inteligentního uzamčení můžou vaše požadavky na přihlášení zpracovávat různá datová centra z důvodu geografické distribuce a vyrovnávání zatížení služby ověřování Microsoft Entra.
Inteligentní uzamčení sleduje poslední tři chybné hodnoty hash hesel, aby se zabránilo zvýšení čítače uzamčení pro stejné heslo. Pokud někdo několikrát zadá stejné chybné heslo, toto chování nezpůsobí uzamčení účtu.
Výchozí ochrana
Kromě inteligentního uzamčení microsoft Entra ID také chrání před útoky analýzou signálů, včetně provozu PROTOKOLU IP a identifikace neobvyklého chování. Id Microsoft Entra blokuje tato škodlivá přihlášení ve výchozím nastavení a vrací AADSTS50053 – kód chyby IdsLocked bez ohledu na platnost hesla.
Další kroky
Pokud chcete prostředí dále přizpůsobit, můžete nakonfigurovat vlastní zakázaná hesla pro ochranu heslem Microsoft Entra.
Pokud chcete uživatelům pomoct resetovat nebo změnit heslo z webového prohlížeče, můžete nakonfigurovat samoobslužné resetování hesla Microsoft Entra.