Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Az intelligens zárolás segít kizárni azokat a kártékony elemeket, amelyek megpróbálják kitalálni a felhasználó jelszavát, vagy találgatásos módszerrel próbálnak meg bejutni. Az intelligens zárolás felismeri az érvényes felhasználóktól érkező bejelentkezéseket, és a támadóktól és más ismeretlen forrásoktól érkező bejelentkezésektől eltérően kezeli őket. A támadók ki lesznek zárva, miközben a felhasználók továbbra is hozzáférnek a fiókjukhoz, és folytathatják a hatékony munkavégzést.
Az intelligens zárolás működése
Alapértelmezés szerint az intelligens zárolás zárol egy fiókot a bejelentkezés után:
- 10 sikertelen kísérlet a 21Vianet-bérlők által üzemeltetett Azure Public és Microsoft Azure-ban
- 3 sikertelen kísérlet az Azure US Government-bérlők esetében
A fiók minden későbbi sikertelen bejelentkezési kísérlet után ismét zárolva lesz. A zárolási időszak először egy perc, a későbbi kísérleteknél pedig hosszabb. Annak érdekében, hogy a támadók minimálisra csökkentsék a viselkedés megkerülésének módját, nem fedjük fel, hogy a sikertelen bejelentkezési kísérletek után milyen sebességgel nő a zárolási időszak.
Az intelligens zárolás nyomon követi az utolsó három rossz jelszókivonatot, hogy elkerülje a zárolási számláló növelését ugyanazon jelszó esetében. Ha valaki többször is ugyanazt a rossz jelszót adja meg, ez a viselkedés nem okozza a fiók zárolását.
Feljegyzés
A kivonatkövetési funkció nem érhető el az átmenő hitelesítést engedélyező ügyfelek számára, mivel a hitelesítés nem a felhőben, hanem a helyszínen történik.
A Active Directory összevonási szolgáltatások (AD FS) (AD FS) 2016-ot és az AD FS 2019-et használó összevont telepítések hasonló előnyöket tehetnek lehetővé az AD FS extranetes zárolásával és az extranetes intelligens zárolással. Ajánlott áttérni a felügyelt hitelesítésre.
Az intelligens zárolás minden Microsoft Entra-ügyfél számára mindig be van kapcsolva az alapértelmezett beállításokkal, amelyek a biztonság és a használhatóság megfelelő kombinációját kínálják. Az intelligens zárolási beállítások szervezetre vonatkozó értékekkel való testreszabásához a Microsoft Entra ID P1 vagy magasabb licenc szükséges a felhasználók számára.
Az intelligens zárolás nem garantálja, hogy egy valódi felhasználó soha nem lesz kizárva. Amikor az intelligens zárolás zárol egy felhasználói fiókot, megpróbáljuk a legjobb megoldást arra, hogy ne zárjuk ki az eredeti felhasználót. A zárolási szolgáltatás megpróbálja biztosítani, hogy a rossz szereplők ne férhessenek hozzá egy valódi felhasználói fiókhoz. A következő szempontokat kell figyelembe venni:
A Microsoft Entra-adatközpontok zárolási állapota szinkronizálva van. A fiók zárolása előtt engedélyezett sikertelen bejelentkezési kísérletek teljes száma azonban kis mértékben eltér a konfigurált zárolási küszöbértéktől. Ha egy fiók ki van zárva, mindenhol zárolva lesz az összes Microsoft Entra-adatközpontban.
Az intelligens zárolás ismerős hely és ismeretlen hely használatával különbözteti meg a rossz szereplőt és az eredeti felhasználót. Az ismeretlen és a jól ismert helyek is külön zárolási számlálókkal rendelkeznek.
Ahhoz, hogy a rendszer ne zárjon ki egy ismeretlen helyről bejelentkező felhasználót, a megfelelő jelszóval kell elkerülnie a kizárást, és kevés korábbi zárolási kísérlettel kell rendelkeznie ismeretlen helyekről. Ha a felhasználó ismeretlen helyről van kizárva, a felhasználónak érdemes megfontolnia az SSPR használatát a zárolási számláló alaphelyzetbe állításához.
A fiókzárolás után a felhasználó kezdeményezheti az önkiszolgáló jelszó-visszaállítást (SSPR) az újbóli bejelentkezéshez. Ha a felhasználó úgy dönt , hogy elfelejtettem a jelszavamat az SSPR során, a zárolás időtartama 0 másodpercre lesz visszaállítva. Ha a felhasználó úgy dönt, hogy tudom a jelszavamat az SSPR során, a zárolás időzítője folytatódik, és a zárolás időtartama nem állítható vissza. Az időtartam alaphelyzetbe állításához és a bejelentkezéshez a felhasználónak módosítania kell a jelszavát.
Az intelligens zárolás integrálható olyan hibrid telepítésekkel, amelyek jelszókivonat-szinkronizálást vagy átmenő hitelesítést használnak annak érdekében, hogy megvédjék helyi Active Directory Tartományi szolgáltatások (AD DS) fiókokat attól, hogy a támadók kizárják őket. A Microsoft Entra ID intelligens zárolási szabályzatainak megfelelő beállításával a támadások kiszűrhetők, mielőtt elérnék a helyszíni AD DS-t.
Átmenő hitelesítés használata esetén a következő szempontokat kell figyelembe venni:
- A Microsoft Entra zárolási küszöbértékének kisebbnek kell lennie az AD DS-fiók zárolási küszöbértékénél. Állítsa be az értékeket úgy, hogy az AD DS-fiók zárolási küszöbértéke legalább két-háromszor nagyobb legyen, mint a Microsoft Entra zárolási küszöbértéke.
- A Microsoft Entra zárolási időtartamának hosszabbnak kell lennie, mint az AD DS-fiók zárolási időtartama. A Microsoft Entra időtartama másodpercben van beállítva, míg az AD DS időtartama percekben van beállítva.
Jótanács
Ez a konfiguráció biztosítja, hogy a Microsoft Entra intelligens zárolása megakadályozza a helyszíni AD DS-fiókok kizárását, amelyek brute-force támadások, például a jelszópermetes támadások, célpontjai.
Ha például azt szeretné, hogy a Microsoft Entra intelligens zárolási időtartama magasabb legyen az AD DS-nél, akkor a Microsoft Entra-azonosító 120 másodperc (2 perc), míg a helyszíni AD értéke 1 perc (60 másodperc). Ha azt szeretné, hogy a Microsoft Entra zárolási küszöbértéke 10 legyen, akkor azt szeretné, hogy a helyszíni AD DS zárolási küszöbértéke 5 legyen.
Fontos
A rendszergazdák feloldhatják a felhasználók felhőbeli fiókját, ha az intelligens zárolási funkció kizárta őket anélkül, hogy várniuk kellene a zárolási időtartam lejáratára. További információ: Felhasználó jelszavának alaphelyzetbe állítása a Microsoft Entra-azonosítóval.
Helyszíni fiókzárolási szabályzat ellenőrzése
A helyszíni AD DS-fiók zárolási szabályzatának ellenőrzéséhez végezze el a következő lépéseket egy tartományhoz csatlakoztatott, rendszergazdai jogosultságokkal rendelkező rendszerből:
- Nyissa meg a Csoportházirend-kezelési eszközt.
- Szerkessze a szervezet fiókzárolási szabályzatát tartalmazó csoportházirendet, például az Alapértelmezett tartományházirendet.
- Keresse meg a számítógép-konfigurációs>házirendeket>a Windows-beállítások>biztonsági beállításai>fiókszabályzatok>fiókzárolási házirendje között.
- Ellenőrizze a fiókzárolási küszöbértéket , és állítsa alaphelyzetbe a fiók zárolási számlálóját az értékek után.
A Microsoft Entra intelligens zárolási értékeinek kezelése
A szervezeti követelményeknek megfelelően testre szabhatja a Microsoft Entra intelligens zárolási értékeit. Az intelligens zárolási beállítások szervezetre vonatkozó értékekkel való testreszabásához a Microsoft Entra ID P1 vagy magasabb licenc szükséges a felhasználók számára. Az intelligens zárolási beállítások testreszabása nem érhető el a 21Vianet-bérlők által üzemeltetett Microsoft Azure-ban.
A szervezet intelligens zárolási értékeinek ellenőrzéséhez vagy módosításához hajtsa végre az alábbi lépéseket:
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hitelesítési házirend-rendszergazdaként.
Keresse meg az Entra ID>Hitelesítési módszerek>Jelszóvédelem szakaszt.
Állítsa be a zárolási küszöbértéket annak alapján, hogy hány sikertelen bejelentkezés engedélyezett egy fiókon az első zárolás előtt.
Az alapértelmezett érték az Azure Public Tenants esetében 10, az Azure US Government-bérlők esetében pedig 3.
Állítsa a zárolás időtartamát másodpercben az egyes zárolások másodpercben megadott hosszára.
Az alapértelmezett érték 60 másodperc (egy perc).
Feljegyzés
Ha a zárolási időszak lejárta után az első bejelentkezés is meghiúsul, a fiók ismét zárolva lesz. Ha egy fiók többször zárol, a zárolás időtartama nő.
Intelligens zárolás tesztelése
Az intelligens zárolási küszöbérték aktiválásakor a fiók zárolt állapotában a következő üzenet fog kapni:
A fiók ideiglenesen zárolva van a jogosulatlan használat megakadályozása érdekében. Később próbálkozzon újra, és ha továbbra is problémát tapasztal, forduljon a rendszergazdához.
Az intelligens lezárás tesztelésekor a bejelentkezési kérelmeket a Microsoft Entra hitelesítési szolgáltatás földrajzi eloszlású és terhelés-kiegyenlített jellege miatt különböző adatközpontok kezelhetik.
Az intelligens zárolás nyomon követi az utolsó három rossz jelszókivonatot, hogy elkerülje a zárolási számláló növelését ugyanazon jelszó esetében. Ha valaki többször is ugyanazt a rossz jelszót adja meg, ez a viselkedés nem okozza a fiók zárolását.
Alapértelmezett védelem
Az intelligens zárolás mellett a Microsoft Entra ID a támadások ellen is védelmet nyújt azáltal, hogy elemzi a jeleket, köztük az IP-forgalmat, és azonosítja a rendellenes viselkedést. A Microsoft Entra ID alapértelmezés szerint blokkolja ezeket a rosszindulatú bejelentkezéseket, és a jelszó érvényességétől függetlenül visszaadja a AADSTS50053 – IdsLocked hibakódot.
Következő lépések
A felhasználói élmény további testreszabásához egyéni tiltott jelszavakat konfigurálhat a Microsoft Entra jelszóvédelemhez.
Annak érdekében, hogy a felhasználók visszaállíthassák vagy módosíthassák jelszavukat egy webböngészőből, konfigurálhatja a Microsoft Entra önkiszolgáló jelszó-visszaállítást.