Felhasználói fiókok támadások elleni védelme az Azure Active Directory intelligens zárolással

Az intelligens zárolás segít kizárni azokat a kártékony elemeket, amelyek megpróbálják kitalálni a felhasználó jelszavát, vagy találgatásos módszerrel próbálnak meg bejutni. Az intelligens zárolás felismeri az érvényes felhasználóktól érkező bejelentkezéseket, és a támadóktól és más ismeretlen forrásoktól érkező bejelentkezésektől eltérően kezeli őket. A támadók ki lesznek zárva, miközben a felhasználók továbbra is hozzáférnek a fiókjukhoz, és folytathatják a hatékony munkavégzést.

Az intelligens zárolás működése

Alapértelmezés szerint az intelligens zárolás egy percre zárolja a fiókot a bejelentkezési kísérletektől, miután 10 sikertelen kísérlet történt az Azure Public és az Azure China 21Vianet-bérlők esetében, valamint 3 az Azure US Government-bérlők esetében. A fiók minden későbbi sikertelen bejelentkezési kísérlet után újra zárolva lesz, első alkalommal egy percre, a későbbi próbálkozások során pedig hosszabb ideig. Annak érdekében, hogy minimálisra csökkentsük a támadók által e viselkedés megkerülésének módját, nem fedjük fel, hogy a zárolási időszak milyen mértékben nő a sikertelen bejelentkezési kísérletek során.

Az intelligens zárolás nyomon követi az utolsó három rossz jelszókivonatot, hogy elkerülje a zárolási számláló növelését ugyanahhoz a jelszóhoz. Ha valaki többször is ugyanazt a rossz jelszót adja meg, ez a viselkedés nem eredményezi a fiók zárolását.

Megjegyzés

A kivonatkövetési funkció nem érhető el az átmenő hitelesítést engedélyező ügyfelek számára, mivel a hitelesítés a helyszínen történik, nem a felhőben.

Az AD FS 2016-ot és az AD FS 2019-et használó összevont üzemelő példányok hasonló előnyöket tehetnek lehetővé az AD FS extranetes zárolás és az extranetes intelligens zárolás használatával.

Az intelligens zárolás minden Azure AD ügyfél számára mindig be van kapcsolva az alapértelmezett beállításokkal, amelyek a biztonság és a használhatóság megfelelő kombinációját kínálják. Az intelligens zárolási beállítások szervezetre jellemző értékekkel történő testreszabásához Prémium P1 szintű Azure AD vagy magasabb szintű licenc szükséges a felhasználók számára.

Az intelligens zárolás használata nem garantálja, hogy az eredeti felhasználók soha nem lesznek kizárva. Amikor az intelligens zárolás zárol egy felhasználói fiókot, mindent megteszünk, hogy ne zárjuk ki az eredeti felhasználót. A zárolási szolgáltatás megpróbálja biztosítani, hogy a rossz szereplők ne férhessenek hozzá egy eredeti felhasználói fiókhoz. A következő szempontokat kell figyelembe venni:

  • Minden Azure AD adatközpont egymástól függetlenül követi nyomon a zárolást. Egy felhasználónak (threshold_limit * datacenter_count) hány kísérlete van, ha a felhasználó eléri az egyes adatközpontokat.
  • Az intelligens zárolás ismerős és ismeretlen helyet használ a rosszindulatú és a hiteles felhasználó megkülönböztetésére. Az ismeretlen és ismerős helyeken is külön zárolási számlálók vannak.

Az intelligens zárolás integrálható olyan hibrid környezetekkel, amelyek jelszókivonat-szinkronizálást vagy átmenő hitelesítést használnak, hogy megvédjék helyi Active Directory Domain Services- (AD DS-) fiókokat a támadók általi kizárástól. Az intelligens zárolási szabályzatok megfelelő beállításával Azure AD a támadások kiszűrhetők, mielőtt elérnék a helyszíni AD DS-t.

Átmenő hitelesítés használata esetén a következő szempontokat kell figyelembe venni:

  • A Azure AD zárolási küszöbérték kisebb, mint az AD DS-fiók zárolási küszöbértéke. Állítsa be az értékeket úgy, hogy az AD DS-fiók zárolási küszöbértéke legalább kétszer-háromszor nagyobb legyen, mint a Azure AD zárolási küszöbérték.
  • A Azure AD zárolás időtartamának hosszabbnak kell lennie, mint az AD DS-fiók zárolásának időtartama. A Azure AD időtartam másodpercben van megadva, az AD-időtartam pedig percekben van megadva.

Ha például azt szeretné, hogy Azure AD intelligens zárolási időtartam magasabb legyen, mint az AD DS, akkor Azure AD 120 másodperc (2 perc), míg a helyszíni AD 1 percre (60 másodpercre) van állítva. Ha azt szeretné, hogy a Azure AD zárolási küszöbértéke 5 legyen, akkor a helyszíni AD zárolási küszöbértéke legyen 10. Ez a konfiguráció biztosítaná, hogy az intelligens zárolás megakadályozza, hogy a helyszíni AD-fiókokat a Azure AD-fiókokra irányuló találgatásos támadások kizárják.

Fontos

Jelenleg a rendszergazda nem tudja feloldani a felhasználók felhőbeli fiókjait, ha az intelligens zárolási funkció zárolta őket. A rendszergazdának meg kell várnia, amíg lejár a zárolás időtartama. Azonban a felhasználó feloldhatja a zárolást egy megbízható készülékről vagy helyszínről az Új jelszó önkiszolgáló kérése (SSPR) funkció használatával.

Helyszíni fiókzárolási szabályzat ellenőrzése

A helyszíni AD DS-fiók zárolási szabályzatának ellenőrzéséhez hajtsa végre a következő lépéseket egy rendszergazdai jogosultságokkal rendelkező tartományhoz csatlakoztatott rendszerből:

  1. Nyissa meg a Csoportházirend Management eszközt.
  2. Szerkessze a szervezet fiókzárolási szabályzatát tartalmazó csoportházirendet, például az Alapértelmezett tartományházirendet.
  3. Keresse meg a Számítógép-konfigurációs>házirendek>Windows-beállítások>Biztonsági beállítások>Fiókszabályzatok>Fiókzárolási házirend lehetőséget.
  4. Ellenőrizze a fiókzárolási küszöbértéket , és állítsa alaphelyzetbe a fiókzárolás számlálóját az értékek után.

A helyi Active Directory fiókzárolási szabályzatának módosítása

Azure AD intelligens zárolási értékek kezelése

A szervezeti követelmények alapján testre szabhatja az intelligens zárolási Azure AD értékeket. Az intelligens zárolási beállítások szervezetre jellemző értékekkel történő testreszabásához Prémium P1 szintű Azure AD vagy magasabb szintű licenc szükséges a felhasználók számára. Az intelligens zárolási beállítások testreszabása nem érhető el az Azure China 21Vianet-bérlők esetében.

A szervezet intelligens zárolási értékeinek ellenőrzéséhez vagy módosításához hajtsa végre az alábbi lépéseket:

  1. Jelentkezzen be az Azure Portalra.

  2. Keresse meg és válassza az Azure Active Directory, majd a Biztonsági>hitelesítési módszerek>Jelszóvédelem lehetőséget.

  3. Állítsa be a zárolási küszöbértéket annak alapján, hogy hány sikertelen bejelentkezés engedélyezett egy fiókban az első zárolás előtt.

    Az alapértelmezett érték az Azure Nyilvános bérlők esetében 10, az Azure US Government-bérlők esetében pedig 3.

  4. Állítsa a zárolás időtartamát másodpercben az egyes zárolások másodpercben megadott hosszára.

    Az alapértelmezett érték 60 másodperc (egy perc).

Megjegyzés

Ha a zárolást követő első bejelentkezés is sikertelen, a fiók újra zárolva lesz. Ha egy fiók többször zárol, a zárolás időtartama nő.

A Azure AD intelligens zárolási szabályzat testreszabása a Azure Portal

Intelligens zárolás tesztelése

Az intelligens zárolási küszöbérték aktiválásakor a következő üzenet jelenik meg a fiók zárolt állapotában:

A fiók ideiglenesen zárolva van a jogosulatlan használat megakadályozása érdekében. Próbálkozzon újra később, és ha továbbra is problémákat tapasztal, forduljon a rendszergazdához.

Az intelligens zárolás tesztelése során előfordulhat, hogy a bejelentkezési kéréseket különböző adatközpontok kezelik az Azure AD hitelesítési szolgáltatás földrajzilag elosztott és elosztott terhelésű jellege miatt. Ebben az esetben minden Azure AD-adatközpont külön követi nyomon a zárolást, ezért elképzelhető, hogy a zárolási küszöbértékben meghatározott kísérletek számánál több kell a zárolás előidézéséhez. A felhasználó legfeljebb (threshold_limit * datacenter_count) számú hibás kísérlettel rendelkezik, mielőtt teljesen kizárták.

Az intelligens zárolás nyomon követi az utolsó három rossz jelszókivonatot, hogy elkerülje a zárolási számláló növelését ugyanahhoz a jelszóhoz. Ha valaki többször is ugyanazt a rossz jelszót adja meg, ez a viselkedés nem eredményezi a fiók zárolását.

Alapértelmezett védelem

Az intelligens zárolás mellett a Azure AD a támadások ellen is védelmet nyújt azáltal, hogy elemzi a jeleket, beleértve az IP-forgalmat, és azonosítja a rendellenes viselkedést. Azure AD alapértelmezés szerint letiltja ezeket a rosszindulatú bejelentkezéseket, és a jelszó érvényességétől függetlenül visszaadja az AADSTS50053 – IdsLocked hibakódot.

Következő lépések

A felhasználói élmény további testreszabásához egyéni tiltott jelszavakat konfigurálhat Azure AD jelszóvédelemhez.

Ha segíteni szeretne a felhasználóknak a jelszó webböngészőből történő alaphelyzetbe állításában vagy módosításában, konfigurálhatja Azure AD önkiszolgáló jelszóátállítást.