Protect user accounts from attacks with Microsoft Entra smart lockout

Smart lockout helps lock out bad actors that try to guess your users' passwords or use brute-force methods to get in. Smart lockout can recognize sign-ins that come from valid users and treat them differently than ones of attackers and other unknown sources. Attackers get locked out, while your users continue to access their accounts and be productive.

Az intelligens zárolás működése

Alapértelmezés szerint az intelligens zárolás zárol egy fiókot a bejelentkezés után:

• 10 sikertelen kísérlet a 21Vianet-bérlők által üzemeltetett Azure Public és Microsoft Azure-ban
• 3 sikertelen kísérlet az Azure US Government-bérlők esetében

A fiók minden későbbi sikertelen bejelentkezési kísérlet után ismét zárolva lesz. A zárolási időszak először egy perc, a későbbi kísérleteknél pedig hosszabb. Annak érdekében, hogy a támadók minimálisra csökkentsék a viselkedés megkerülésének módját, nem fedjük fel, hogy a sikertelen bejelentkezési kísérletek után milyen sebességgel nő a zárolási időszak.

Az intelligens zárolás nyomon követi az utolsó három rossz jelszókivonatot, hogy elkerülje a zárolási számláló növelését ugyanazon jelszó esetében. Ha valaki többször is ugyanazt a rossz jelszót adja meg, ez a viselkedés nem okozza a fiók zárolását.

Megjegyzés:

A kivonatkövetési funkció nem érhető el az átmenő hitelesítést engedélyező ügyfelek számára, mivel a hitelesítés nem a felhőben, hanem a helyszínen történik.

A Active Directory összevonási szolgáltatások (AD FS) (AD FS) 2016-ot és az AD FS 2019-et használó összevont telepítések hasonló előnyöket tehetnek lehetővé az AD FS extranetes zárolásával és az extranetes intelligens zárolással. Ajánlott áttérni a felügyelt hitelesítésre.

Az intelligens zárolás minden Microsoft Entra-ügyfél számára mindig be van kapcsolva az alapértelmezett beállításokkal, amelyek a biztonság és a használhatóság megfelelő kombinációját kínálják. Az intelligens zárolási beállítások szervezetre vonatkozó értékekkel való testreszabásához a Microsoft Entra ID P1 vagy magasabb licenc szükséges a felhasználók számára.

Az intelligens zárolás nem garantálja, hogy egy valódi felhasználó soha nem lesz kizárva. Amikor az intelligens zárolás zárol egy felhasználói fiókot, megpróbáljuk a legjobb megoldást arra, hogy ne zárjuk ki az eredeti felhasználót. A zárolási szolgáltatás megpróbálja biztosítani, hogy a rossz szereplők ne férhessenek hozzá egy valódi felhasználói fiókhoz. A következő szempontokat kell figyelembe venni:

• A Microsoft Entra-adatközpontok zárolási állapota szinkronizálva van. A fiók zárolása előtt engedélyezett sikertelen bejelentkezési kísérletek teljes száma azonban kis mértékben eltér a konfigurált zárolási küszöbértéktől. Ha egy fiók ki van zárva, mindenhol zárolva lesz az összes Microsoft Entra-adatközpontban.
• Az intelligens zárolás ismerős és ismeretlen helyet használ a rosszindulatú és a hiteles felhasználó megkülönböztetésére. Az ismeretlen és a jól ismert helyek is külön zárolási számlálókkal rendelkeznek.
• A fiókzárolás után a felhasználó kezdeményezheti az önkiszolgáló jelszó-visszaállítást (SSPR) az újbóli bejelentkezéshez. Ha a felhasználó úgy dönt, hogy elfelejtettem a jelszavamat az SSPR során, a zárolás időtartama 0 másodpercre lesz visszaállítva. Ha a felhasználó úgy dönt , hogy tudom a jelszavamat az SSPR során, a zárolás időzítője folytatódik, és a zárolás időtartama nem állítható vissza. Az időtartam alaphelyzetbe állításához és a bejelentkezéshez a felhasználónak módosítania kell a jelszavát.

Az intelligens zárolás integrálható olyan hibrid telepítésekkel, amelyek jelszókivonat-szinkronizálást vagy átmenő hitelesítést használnak annak érdekében, hogy megvédjék helyi Active Directory Tartományi szolgáltatások (AD DS) fiókokat attól, hogy a támadók kizárják őket. A Microsoft Entra ID intelligens zárolási szabályzatainak megfelelő beállításával a támadások kiszűrhetők, mielőtt elérnék a helyszíni AD DS-t.

Átmenő hitelesítés használata esetén a következő szempontokat kell figyelembe venni:

• A Microsoft Entra zárolási küszöbértéke kisebb, mint az AD DS-fiók zárolási küszöbértéke. Állítsa be az értékeket úgy, hogy az AD DS-fiók zárolási küszöbértéke legalább két-háromszor nagyobb legyen, mint a Microsoft Entra zárolási küszöbértéke.
• A Microsoft Entra zárolási időtartamának hosszabbnak kell lennie, mint az AD DS-fiók zárolási időtartama. A Microsoft Entra időtartama másodpercben van beállítva, míg az AD DS időtartama percekben van beállítva.

Ha például azt szeretné, hogy a Microsoft Entra intelligens zárolási időtartama magasabb legyen az AD DS-nél, akkor a Microsoft Entra-azonosító 120 másodperc (2 perc), míg a helyszíni AD értéke 1 perc (60 másodperc). Ha azt szeretné, hogy a Microsoft Entra zárolási küszöbértéke 5 legyen, akkor azt szeretné, hogy a helyszíni AD DS zárolási küszöbértéke 10 legyen. Ez a konfiguráció biztosítaná, hogy az intelligens zárolás megakadályozza, hogy a helyszíni AD DS-fiókokat a Microsoft Entra-fiókok találgatásos támadásai kizárják.

Fontos

A rendszergazdák feloldhatják a felhasználók felhőbeli fiókját, ha az intelligens zárolási funkció kizárta őket anélkül, hogy várniuk kellene a zárolási időtartam lejáratára. További információ: Felhasználó jelszavának alaphelyzetbe állítása a Microsoft Entra-azonosítóval.

Helyszíni fiókzárolási szabályzat ellenőrzése

A helyszíni AD DS-fiók zárolási szabályzatának ellenőrzéséhez végezze el a következő lépéseket egy tartományhoz csatlakoztatott, rendszergazdai jogosultságokkal rendelkező rendszerből:

1. Nyissa meg a Csoportházirend-kezelési eszközt.
2. Szerkessze a szervezet fiókzárolási szabályzatát tartalmazó csoportházirendet, például az Alapértelmezett tartományházirendet.
3. Keresse meg a Windows>>Gépház> Security Gépház> Account Policies>fiókzárolási szabályzatát.
4. Ellenőrizze a fiókzárolási küszöbértéket , és állítsa alaphelyzetbe a fiók zárolási számlálóját az értékek után .

A Microsoft Entra intelligens zárolási értékeinek kezelése

A szervezeti követelményeknek megfelelően testre szabhatja a Microsoft Entra intelligens zárolási értékeit. Az intelligens zárolási beállítások szervezetre vonatkozó értékekkel való testreszabásához a Microsoft Entra ID P1 vagy magasabb licenc szükséges a felhasználók számára. Az intelligens zárolási beállítások testreszabása nem érhető el a 21Vianet-bérlők által üzemeltetett Microsoft Azure-ban.

A szervezet intelligens zárolási értékeinek ellenőrzéséhez vagy módosításához hajtsa végre az alábbi lépéseket:

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hitelesítési Rendszergazda istratorként.

2. Keresse meg a Védelmi>hitelesítési módszerek jelszóvédelem parancsát.>

3. Állítsa be a zárolási küszöbértéket annak alapján, hogy hány sikertelen bejelentkezés engedélyezett egy fiókon az első zárolás előtt.

   Az alapértelmezett érték az Azure Public Tenants esetében 10, az Azure US Government-bérlők esetében pedig 3.

4. Állítsa a zárolás időtartamát másodpercben az egyes zárolások másodpercben megadott hosszára.

   Az alapértelmezett érték 60 másodperc (egy perc).

Megjegyzés:

Ha a zárolási időszak lejárta után az első bejelentkezés is meghiúsul, a fiók ismét zárolva lesz. Ha egy fiók többször zárol, a zárolás időtartama nő.

Intelligens zárolás tesztelése

Az intelligens zárolási küszöbérték aktiválásakor a fiók zárolt állapotában a következő üzenet fog kapni:

A fiók ideiglenesen zárolva van a jogosulatlan használat megakadályozása érdekében. Később próbálkozzon újra, és ha továbbra is problémát tapasztal, forduljon a rendszergazdához.

Az intelligens lezárás tesztelésekor a bejelentkezési kérelmeket a Microsoft Entra hitelesítési szolgáltatás földrajzi eloszlású és terhelés-kiegyenlített jellege miatt különböző adatközpontok kezelhetik.

Az intelligens zárolás nyomon követi az utolsó három rossz jelszókivonatot, hogy elkerülje a zárolási számláló növelését ugyanazon jelszó esetében. Ha valaki többször is ugyanazt a rossz jelszót adja meg, ez a viselkedés nem okozza a fiók zárolását.

Alapértelmezett védelem

Az intelligens zárolás mellett a Microsoft Entra ID a támadások ellen is védelmet nyújt azáltal, hogy elemzi a jeleket, köztük az IP-forgalmat, és azonosítja a rendellenes viselkedést. A Microsoft Entra ID alapértelmezés szerint blokkolja ezeket a rosszindulatú bejelentkezéseket, és a jelszó érvényességétől függetlenül AADSTS50053 – IdsLocked hibakódot ad vissza.

További lépések

• A felhasználói élmény további testreszabásához egyéni tiltott jelszavakat konfigurálhat a Microsoft Entra jelszóvédelemhez.

• Annak érdekében, hogy a felhasználók visszaállíthassák vagy módosíthassák jelszavukat egy webböngészőből, konfigurálhatja a Microsoft Entra önkiszolgáló jelszó-visszaállítást.