Melindungi akun pengguna dari serangan dengan penguncian cerdas Microsoft Entra

  • Artikel

Penguncian cerdas membantu mengunci pelaku jahat yang mencoba menebak kata sandi pengguna Anda atau menggunakan metode brute-force untuk masuk. Penguncian cerdas dapat mengenali aktivitas masuk yang berasal dari pengguna yang valid dan memperlakukan mereka secara berbeda dari penyerang dan sumber lain yang tidak diketahui. Penyerang dikunci, sementara pengguna Anda akan tetap bisa mengakses akun mereka dan tetap produktif.

Cara kerja penguncian cerdas

Secara default, penguncian cerdas mengunci akun dari masuk setelah:

  • 10 upaya gagal di Azure Public dan Microsoft Azure yang dioperasikan oleh penyewa 21Vianet
  • 3 upaya gagal untuk penyewa Azure PEMERINTAH AS

Akun mengunci lagi setelah setiap upaya masuk yang gagal berikutnya. Periode penguncian adalah satu menit pada awalnya, dan lebih lama dalam upaya berikutnya. Untuk meminimalkan cara penyerang dapat mengatasi perilaku ini, kami tidak mengungkapkan tingkat peningkatan periode penguncian setelah upaya masuk yang gagal.

Penguncian cerdas melacak tiga hash kata sandi buruk terakhir untuk menghindari penambahan penghitung penguncian untuk kata sandi yang sama. Jika seseorang memasukkan kata sandi buruk yang sama beberapa kali, perilaku ini tidak menyebabkan akun terkunci.

Catatan

Fungsi pelacakan hash tidak tersedia untuk pelanggan dengan autentikasi pass-through diaktifkan karena autentikasi terjadi di lokal bukan di cloud.

Penyebaran federasi yang menggunakan Active Directory Federation Services (AD FS) 2016 dan AD FS 2019 dapat mengaktifkan manfaat serupa dengan menggunakan Ad FS Extranet Lockout dan Extranet Smart Lockout. Disarankan untuk pindah ke autentikasi terkelola.

Penguncian cerdas selalu aktif, untuk semua pelanggan Microsoft Entra, dengan pengaturan default ini yang menawarkan campuran keamanan dan kegunaan yang tepat. Kustomisasi pengaturan penguncian cerdas, dengan nilai khusus untuk organisasi Anda, memerlukan Microsoft Entra ID P1 atau lisensi yang lebih tinggi untuk pengguna Anda.

Menggunakan penguncian cerdas tidak menjamin bahwa pengguna asli tidak pernah dikunci. Jika penguncian cerdas mengunci akun pengguna, kami mencoba yang terbaik untuk tidak mengunci pengguna asli. Layanan penguncian berusaha memastikan bahwa pelaku yang jahat tidak dapat memperoleh akses ke akun pengguna asli. Pertimbangan berikut berlaku:

  • Status penguncian di seluruh pusat data Microsoft Entra disinkronkan. Namun, jumlah total upaya masuk gagal yang diizinkan sebelum akun dikunci akan memiliki sedikit varians dari ambang batas penguncian yang dikonfigurasi. Setelah akun dikunci, akun dikunci di mana-mana di semua pusat data Microsoft Entra.
  • Penguncian Cerdas menggunakan lokasi yang dikenal vs lokasi yang tidak dikenal untuk membedakan antara pelaku yang jahat dan pengguna asli. Lokasi yang tidak dikenal dan akrab memiliki penghitung penguncian terpisah.
  • Setelah penguncian akun, pengguna dapat memulai pengaturan ulang kata sandi mandiri (SSPR) untuk masuk lagi. Jika pengguna memilih Saya lupa kata sandi saya selama SSPR, durasi penguncian diatur ulang menjadi 0 detik. Jika pengguna memilih Saya tahu kata sandi saya selama SSPR, timer penguncian berlanjut, dan durasi penguncian tidak diatur ulang. Untuk mengatur ulang durasi dan masuk lagi, pengguna perlu mengubah kata sandi mereka.

Penguncian cerdas dapat diintegrasikan dengan penyebaran hibrid yang menggunakan sinkronisasi hash kata sandi atau autentikasi pass-through untuk melindungi akun Active Directory Domain Services (AD DS) lokal agar tidak dikunci oleh penyerang. Dengan mengatur kebijakan penguncian cerdas di ID Microsoft Entra dengan tepat, serangan dapat difilter sebelum mencapai AD DS lokal.

Saat menggunakan autentikasi pass-through, pertimbangkan hal-hal berikut:

  • Ambang batas penguncian Microsoft Entra kurang dari ambang penguncian akun AD DS. Atur nilai sehingga ambang batas penguncian akun AD DS setidaknya dua atau tiga kali lebih besar dari ambang batas penguncian Microsoft Entra.
  • Durasi penguncian Microsoft Entra harus diatur lebih lama dari durasi penguncian akun AD DS. Durasi Microsoft Entra diatur dalam hitungan detik, sementara durasi AD DS diatur dalam hitungan menit.

Misalnya, jika Anda ingin durasi penguncian cerdas Microsoft Entra Anda lebih tinggi dari AD DS, maka ID Microsoft Entra akan menjadi 120 detik (2 menit) saat AD lokal Anda diatur ke 1 menit (60 detik). Jika Anda ingin ambang penguncian Microsoft Entra Anda menjadi 5, maka Anda ingin ambang penguncian AD DS lokal Anda menjadi 10. Konfigurasi ini akan memastikan penguncian cerdas mencegah akun AD DS lokal Anda dikunci oleh serangan brute force pada akun Microsoft Entra Anda.

Penting

Administrator dapat membuka kunci akun cloud pengguna jika mereka telah dikunci oleh kemampuan Penguncian Cerdas, tanpa perlu menunggu durasi penguncian kedaluwarsa. Untuk informasi selengkapnya, lihat Mereset kata sandi pengguna menggunakan ID Microsoft Entra.

Memverifikasi kebijakan penguncian akun lokal

Untuk memverifikasi kebijakan penguncian akun AD DS lokal Anda, selesaikan langkah-langkah berikut dari sistem yang bergabung dengan domain dengan hak istimewa administrator:

  1. Buka alat Pengelolaan Kebijakan Grup.
  2. Edit kebijakan grup yang menyertakan kebijakan penguncian akun organisasi, seperti Kebijakan Domain Default.
  3. Telusuri Konfigurasi Komputer>Kebijakan>Pengaturan Windows>Pengaturan Keamanan>Kebijakan Akun>Kebijakan Penguncian Akun.
  4. Verifikasi ambang batas penguncian Akun dan Atur ulang nilai penghitung penguncian akun setelahnya.

Modify the on-premises Active Directory account lockout policy

Mengelola nilai penguncian cerdas Microsoft Entra

Berdasarkan persyaratan organisasi, Anda dapat menyesuaikan nilai penguncian cerdas Microsoft Entra. Kustomisasi pengaturan penguncian cerdas, dengan nilai khusus untuk organisasi Anda, memerlukan Microsoft Entra ID P1 atau lisensi yang lebih tinggi untuk pengguna Anda. Kustomisasi pengaturan penguncian cerdas tidak tersedia untuk Microsoft Azure yang dioperasikan oleh penyewa 21Vianet.

Untuk memeriksa atau mengubah nilai penguncian cerdas untuk organisasi Anda, selesaikan langkah-langkah berikut:

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Autentikasi.

  2. Telusuri perlindungan kata sandi metode>Autentikasi Perlindungan.>

  3. Atur Ambang batas penguncian, berdasarkan jumlah kegagalan proses masuk yang diizinkan pada akun sebelum penguncian pertamanya.

    Defaultnya adalah 10 untuk penyewa Azure Public dan 3 untuk penyewa Azure US Government.

  4. Atur Durasi penguncian dalam detik, ke durasi dalam detik dari setiap penguncian.

    Durasi defaultnya adalah 60 detik (satu menit).

Catatan

Jika rincian masuk pertama setelah periode penguncian kedaluwarsa juga gagal, akun akan terkunci lagi. Jika akun terkunci berulang kali, durasi penguncian akan bertambah.

Customize the Microsoft Entra smart lockout policy in the Microsoft Entra admin center

Menguji penguncian pintar

Saat ambang batas penguncian cerdas dipicu, Anda akan mendapatkan pesan berikut saat akun dikunci:

Akun Anda dikunci sementara untuk mencegah penggunaan tidak sah. Coba lagi nanti. Coba lagi nanti, dan jika masih mengalami masalah, hubungi admin Anda.

Saat Anda menguji penguncian cerdas, permintaan masuk Anda mungkin ditangani oleh pusat data yang berbeda karena sifat terdistribusi geografis dan beban seimbang dari layanan autentikasi Microsoft Entra.

Penguncian cerdas melacak tiga hash kata sandi buruk terakhir untuk menghindari penambahan penghitung penguncian untuk kata sandi yang sama. Jika seseorang memasukkan kata sandi buruk yang sama beberapa kali, perilaku ini tidak menyebabkan akun terkunci.

Perlindungan default

Selain Penguncian cerdas, ID Microsoft Entra juga melindungi dari serangan dengan menganalisis sinyal termasuk lalu lintas IP dan mengidentifikasi perilaku anomali. ID Microsoft Entra memblokir rincian masuk berbahaya ini secara default dan mengembalikan kode kesalahan AADSTS50053 - IdsLocked, terlepas dari validitas kata sandi.

Langkah berikutnya