Megosztás a következőn keresztül:

Hitelesítő adatokkal kapcsolatos támadások elhárítása az Azure AD B2C-ben intelligens zárolással

  • Cikk

A hitelesítő adatok elleni támadások jogosulatlan hozzáféréshez vezetnek az erőforrásokhoz. A felhasználók által beállított jelszavaknak meglehetősen összetettnek kell lenniük. Az Azure AD B2C rendelkezik a hitelesítő adatokkal kapcsolatos támadások elhárítására szolgáló technikákkal. A kockázatcsökkentés magában foglalja a találgatásos hitelesítő adatokkal és a szótári hitelesítő adatokkal szembeni támadásokat. Az Azure Active Directory B2C (Azure AD B2C) különböző jelek használatával elemzi a kérések integritását. Az Azure AD B2C úgy lett kialakítva, hogy intelligensen megkülönböztetje a célfelhasználókat a hackerektől és a robotnetektől.

Az intelligens zárolás működése

Az Azure AD B2C kifinomult stratégiát használ a fiókok zárolására. A fiókok zárolva vannak a kérés IP-címe és a megadott jelszavak alapján. A zárolás időtartama a támadás valószínűsége alapján is nő. Miután egy jelszó tízszer sikertelenül próbálkozott (ez az alapértelmezett kísérlet küszöbértéke), egyperces zárolás következik be. Amikor a következő bejelentkezés sikertelen lesz a fiók zárolásának feloldása után (azaz miután a szolgáltatás a zárolási időszak lejárta után automatikusan feloldotta a fiókot), egy újabb egyperces zárolás történik, és minden sikertelen bejelentkezésnél folytatódik. Az azonos vagy hasonló jelszó ismételt megadása nem számít több sikertelen bejelentkezésnek.

Megjegyzés:

Ezt a funkciót a felhasználói folyamatok, az egyéni szabályzatok és a ROPC-folyamatok támogatják. Alapértelmezés szerint aktiválva van, így nem kell konfigurálnia azt a felhasználói folyamatokban vagy egyéni szabályzatokban.

Fiókok zárolásának feloldása

Az első 10 zárolási időszak egy perc hosszú. A következő 10 zárolási időszak valamivel hosszabb, és 10 zárolási időszak után megnő az időtartam. A zárolási számláló a sikeres bejelentkezés után nullára áll vissza, ha a fiók nincs zárolva. A zárolási időszakok legfeljebb öt óráig tarthatnak. A felhasználóknak meg kell várniuk, amíg a zárolási időtartam lejár. A felhasználó azonban feloldhatja a feloldást az önkiszolgáló jelszófelhasználói folyamat használatával.

Intelligens zárolási beállítások kezelése

Az intelligens zárolási beállítások, köztük a zárolási küszöbérték kezelése:

  1. Jelentkezzen be az Azure Portalra.

  2. Ha több bérlőhöz is hozzáfér, a felső menüben válassza a Gépház ikont az Azure AD B2C-bérlőre való váltáshoz a Címtárak + előfizetések menüből.

  3. A bal oldali menüben válassza az Azure AD B2C-t. Vagy válassza a Minden szolgáltatás lehetőséget, és keresse meg és válassza az Azure AD B2C-t.

  4. A Biztonság területen válassza a Hitelesítési módszerek (előzetes verzió) lehetőséget, majd válassza a Jelszóvédelem lehetőséget.

  5. Az Egyéni intelligens zárolás csoportban adja meg a kívánt intelligens zárolási beállításokat:

    • Zárolási küszöbérték: A fiók első zárolása előtt engedélyezett sikertelen bejelentkezési próbálkozások száma. Ha a zárolás után az első bejelentkezés is meghiúsul, a fiók ismét zárolva lesz.

    • Zárolás időtartama másodpercben: Az egyes zárolások minimális időtartama másodpercben. Ha egy fiók többször zárol, ez az időtartam nő.

      Azure portal Password protection page in Microsoft Entra settings
      A jelszóvédelmi beállításokban állítsa a zárolási küszöbértéket 5-re.

  6. Válassza a Mentés parancsot.

Intelligens zárolás tesztelése

Az intelligens zárolási funkció számos tényezőt használ annak meghatározásához, hogy mikor kell zárolni egy fiókot, de az elsődleges tényező a jelszóminta. Az intelligens zárolási funkció egy jelszó kisebb változatait tekinti készletnek, és egyetlen próbálkozásnak számít. Például:

  • Jelszavak, például 12456! és 1234567! (vagy a newAccount1234 és a newaccount1234) annyira hasonlóak, hogy az algoritmus emberi hibaként értelmezi őket, és egyetlen kísérletként számolja őket.
  • Nagyobb minták, például 12456! és az ABCD2!, külön próbálkozásnak számít.

Az intelligens zárolási funkció tesztelésekor minden megadott jelszóhoz használjon megkülönböztető mintát. Fontolja meg a jelszógenerálási webalkalmazások használatát, például https://password-gen.com/.

Az intelligens zárolási küszöbérték elérésekor a következő üzenet jelenik meg, amíg a fiók zárolva van: A fiók ideiglenesen zárolva van a jogosulatlan használat megakadályozása érdekében. Próbálkozzon újra később. A hibaüzenetek honosíthatók.

Megjegyzés:

Az intelligens zárolás tesztelése során előfordulhat, hogy a bejelentkezési kérelmeket különböző adatközpontok kezelik a Microsoft Entra hitelesítési szolgáltatás földrajzilag elosztott és terheléselosztásos jellege miatt. Ebben a forgatókönyvben, mivel minden Microsoft Entra-adatközpont egymástól függetlenül követi a zárolást, a zárolási kísérletek száma meghaladhatja a megadott zárolási küszöbértéket. A felhasználók legfeljebb (threshold_limit * datacenter_count) számú rossz kísérletet hajtanak végre, mielőtt teljesen kizárják őket. További információkért tekintse meg az Azure globális infrastruktúrát.

Zárolt fiókok megtekintése

A zárolt fiókokról az Active Directory bejelentkezési tevékenységjelentésében tájékozódhat. Az Állapot csoportban válassza a Hiba lehetőséget. Sikertelen bejelentkezési kísérletek egy zárolt fiók jelzésére szolgáló bejelentkezési hibakóddal:50053

Section of Microsoft Entra sign-in report showing locked-out account

A bejelentkezési tevékenység jelentésének a Microsoft Entra-azonosítóban való megtekintéséről a bejelentkezési tevékenység jelentésének hibakódjai című témakörben olvashat.