Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Untuk mencegah upaya masuk berbahaya berulang, domain terkelola Microsoft Entra Domain Services mengunci akun setelah ambang yang ditentukan. Penguncian akun ini juga dapat terjadi secara tidak sengaja tanpa insiden serangan masuk. Misalnya, jika pengguna berulang kali memasukkan kata sandi yang salah atau layanan mencoba menggunakan kata sandi lama, akun akan terkunci.
Artikel pemecahan masalah ini menguraikan mengapa penguncian akun terjadi dan bagaimana Anda dapat mengonfigurasi perilaku, dan cara meninjau audit keamanan untuk memecahkan masalah peristiwa penguncian.
Apa itu penguncian akun?
Akun pengguna di domain terkelola Domain Services dikunci saat ambang batas yang ditentukan untuk upaya masuk yang gagal telah terpenuhi. Perilaku penguncian akun ini dirancang untuk melindungi Anda dari upaya masuk paksa berulang yang mungkin merupakan indikasi serangan digital otomatis.
Secara default, jika ada 5 upaya kata sandi yang buruk dalam waktu 2 menit, akun akan dikunci. Ini akan secara otomatis membuka kunci setelah 30 menit.
Ambang batas penguncian akun standar dikonfigurasi menggunakan kebijakan kata sandi yang mendetail. Jika Anda memiliki serangkaian persyaratan tertentu, Anda dapat mengubah ambang penguncian akun default ini. Namun, tidak disarankan untuk meningkatkan batas ambang demi mengurangi penguncian akun. Memecahkan masalah sumber perilaku penguncian akun terlebih dahulu.
Kebijakan kata sandi yang terperinci
Kebijakan kata sandi terperinci (FGPP) memungkinkan Anda menerapkan pembatasan khusus untuk kebijakan penguncian kata sandi dan akun ke pengguna yang berbeda di domain. FGPP hanya memengaruhi pengguna dalam domain terkelola. Pengguna cloud dan pengguna domain yang disinkronkan ke domain terkelola dari ID Microsoft Entra hanya terpengaruh oleh kebijakan kata sandi dalam domain terkelola. Akun mereka di ID Microsoft Entra atau direktori lokal tidak terpengaruh.
Kebijakan didistribusikan melalui asosiasi grup di domain terkelola, dan perubahan apa pun yang Anda buat diterapkan pada kali berikutnya pengguna masuk. Mengubah kebijakan tidak membuka kunci akun pengguna yang sudah dikunci.
Untuk informasi selengkapnya tentang kebijakan kata sandi terperinci, dan perbedaan antara pengguna yang dibuat langsung di Layanan Domain versus disinkronkan dari ID Microsoft Entra, lihat Mengonfigurasi kebijakan penguncian kata sandi dan akun.
Alasan penguncian akun umum
Alasan paling umum untuk akun dikunci, tanpa niat atau faktor berbahaya, termasuk skenario berikut:
-
Pengguna mengunci diri.
- Setelah perubahan kata sandi baru-baru ini, apakah pengguna terus menggunakan kata sandi sebelumnya? Kebijakan penguncian akun default dari lima upaya yang gagal dalam 2 menit dapat disebabkan oleh pengguna secara tidak sengaja mencoba kembali kata sandi lama.
-
Ada aplikasi atau layanan yang memiliki kata sandi lama.
- Jika akun digunakan oleh aplikasi atau layanan, sumber daya tersebut dapat berulang kali mencoba masuk menggunakan kata sandi lama. Perilaku ini menyebabkan akun dikunci.
- Cobalah untuk meminimalkan penggunaan akun di beberapa aplikasi atau layanan yang berbeda, dan rekam tempat kredensial digunakan. Jika kata sandi akun diubah, perbarui aplikasi atau layanan terkait yang sesuai.
-
Kata Sandi telah diubah di lingkungan yang berbeda dan kata sandi baru belum disinkronkan.
- Jika kata sandi akun diubah di luar domain terkelola, seperti di lingkungan AD DS lokal, diperlukan waktu beberapa menit agar perubahan kata sandi disinkronkan melalui ID Microsoft Entra dan ke domain terkelola.
- Pengguna yang mencoba masuk ke sumber daya di domain terkelola sebelum proses sinkronisasi kata sandi selesai menyebabkan akun mereka dikunci.
Memecahkan masalah penguncian akun dengan audit keamanan
Untuk memecahkan masalah saat peristiwa akun terkunci terjadi dan dari mana asalnya, mengaktifkan audit keamanan untuk Domain Services. Peristiwa audit hanya diambil sejak Anda mengaktifkan fitur. Idealnya, Anda harus mengaktifkan audit keamanan sebelum ada masalah penguncian akun untuk memecahkan masalah. Jika akun pengguna berulang kali mengalami masalah penguncian, Anda dapat mengaktifkan audit keamanan agar siap menghadapi situasi berikutnya.
Setelah Anda mengaktifkan audit keamanan, kueri sampel berikut menunjukkan kepada Anda cara meninjau Peristiwa Penguncian Akun, kode 4740.
Lihat semua peristiwa penguncian akun selama tujuh hari terakhir:
AADDomainServicesAccountManagement
| where TimeGenerated >= ago(7d)
| where OperationName has "4740"
Lihat semua peristiwa penguncian akun selama tujuh hari terakhir untuk akun bernama driley.
AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where OperationName has "4740"
| where "driley" == tolower(extract("Logon Account:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))
Lihat semua peristiwa penguncian akun antara 26 Juni 2020 pukul 09.00 dan 1 Juli 2020 tengah malam, diurutkan naik menurut tanggal dan waktu:
AADDomainServicesAccountManagement
| where TimeGenerated >= datetime(2020-06-26 09:00) and TimeGenerated <= datetime(2020-07-01)
| where OperationName has "4740"
| sort by TimeGenerated asc
Anda mungkin menemukan detail peristiwa 4776 dan 4740 dari "Stasiun Kerja Sumber: " kosong. Ini karena kata sandi lemah terjadi saat masuk ke jaringan melalui perangkat lain.
Misalnya, server RADIUS dapat meneruskan autentikasi ke Domain Services.
03/04 19:07:29 [LOGON] [10752] contoso: SamLogon: Logon Jaringan Transitif dari contoso\Nagappan.Veerappan dari (via LOB11-RADIUS) Memasuki
03/04 19:07:29 [LOGON] [10752] contoso: SamLogon: Transitif logon jaringan dari contoso\Nagappan.Veerappan dari (melalui LOB11-RADIUS) Mengembalikan kode 0xC000006A
03/04 19:07:35 [LOGON] [10753] contoso: SamLogon: Masuk Jaringan Transitif dari contoso\Nagappan.Veerappan dari (via LOB11-RADIUS) Memasuki
03/04 19:07:35 [LOGON] [10753] contoso: SamLogon: Logon Jaringan Transitif dari contoso\Nagappan.Veerappan dari (melalui LOB11-RADIUS) Mengembalikan 0xC000006A
Aktifkan RDP ke DC Anda di NSG ke backend untuk mengonfigurasi pengambilan diagnostik (netlogon). Untuk informasi selengkapnya tentang persyaratan, lihat aturan keamanan masuk .
Jika Anda telah memodifikasi NSG default, ikuti Port 3389 - pengelolaan menggunakan desktop jarak jauh.
Untuk mengaktifkan log Netlogon di server apa pun, ikuti Mengaktifkan pencatatan debug untuk layanan Netlogon.
Langkah berikutnya
Untuk informasi selengkapnya tentang kebijakan kata sandi terperinci untuk menyesuaikan ambang penguncian akun, lihat Mengonfigurasi kebijakan penguncian kata sandi dan akun.
Jika Anda masih mengalami masalah saat menyambungkan VM ke domain terkelola, temukan bantuan dan buka tiket dukungan untuk Microsoft Entra ID.