Proteggere gli account utente da attacchi con il blocco intelligente di Microsoft Entra

La funzione di blocco intelligente blocca gli attori malintenzionati che tentano di indovinare le password degli utenti o usano metodi di forza bruta per ottenere l'accesso. Questa funzione è in grado di riconoscere i tentativi di accesso eseguiti da utenti validi e di gestirli in modo diverso da quelli di utenti malintenzionati e di altre origini sconosciute. La funzione di blocco intelligente blocca gli utenti malintenzionati, consentendo al contempo a quelli validi di accedere ai propri account senza effetti negativi sulla produttività.

Funzionamento del blocco intelligente

Per impostazione predefinita, il blocco intelligente impedisce l’accesso di un account dopo:

• 10 tentativi non riusciti in Azure Pubblico e Microsoft Azure gestiti dai tenant 21Vianet
• 3 tentativi non riusciti per i tenant di Azure US Gov

L'account si blocca nuovamente dopo ogni tentativo di accesso non riuscito successivo. Il periodo di blocco è inizialmente di un minuto, e diventa più lungo nei tentativi successivi. Per ridurre al minimo i modi in cui un utente malintenzionato potrebbe aggirare questo comportamento, non viene divulgata la frequenza di aumento del periodo di blocco dopo i tentativi di accesso non riusciti.

Il blocco intelligente tiene traccia degli ultimi tre hash delle password non validi per evitare l'incremento del contatore dei blocchi per la stessa password. Se un utente immette più volte la stessa password non valida, questo comportamento non causa il blocco dell'account.

Nota

La funzionalità di rilevamento hash non è disponibile per i clienti con autenticazione pass-through abilitata, poiché l'autenticazione avviene in locale e non nel cloud.

Le distribuzioni federate che usano Active Directory Federation Services (AD FS) 2016 e AD FS 2019 possono consentire vantaggi simili usando Blocco Extranet AD FS e blocco intelligente Extranet. È consigliabile passare all'autenticazione gestita.

Il blocco intelligente è sempre attivo, per tutti i clienti di Microsoft Entra, con le impostazioni predefinite che offrono la giusta combinazione di sicurezza e usabilità. Per personalizzare le impostazioni del blocco intelligente con valori specifici per un'organizzazione, è necessario disporre di licenze di Microsoft Entra ID P1 o superiori per i propri utenti.

L'uso del blocco intelligente non garantisce che un utente originale non venga mai bloccato, nonostante sia stato profuso grande impegno perché non vengano bloccati utenti originali. Il servizio di blocco cerca di garantire che un utente non autorizzato non possano accedere all'account di un utente originale. Si applicano le considerazioni seguenti:

• Lo stato di blocco nei data center di Microsoft Entra viene sincronizzato. Tuttavia, il numero totale di tentativi di accesso non riusciti consentiti prima che un account venga bloccato avrà un leggero scostamento rispetto alla soglia di blocco configurata. Una volta bloccato un account, viene bloccato ovunque in tutti i data center di Microsoft Entra.

• Il blocco intelligente usa una posizione familiare rispetto alla posizione sconosciuta per distinguere un attore non valido e l'utente autentico. Le posizioni conosciute e quelle sconosciute disporranno entrambe di contatori di blocco distinti.

  Per evitare che il sistema blocchi un utente che accede da una posizione sconosciuta, deve usare la password corretta per evitare di essere bloccata e avere un numero ridotto di tentativi di blocco precedenti da posizioni sconosciute. Se l'utente è bloccato da una posizione non familiare, l'utente deve prendere in considerazione la reimpostazione della password self-service per reimpostare il contatore del blocco.

• Dopo il blocco di un account, l'utente può avviare la reimpostazione della password self-service (SSPR) per eseguire di nuovo l'accesso. Se durante la reimpostazione della password self-service (SSPR) l'utente sceglie ho dimenticato la password, la durata del blocco viene reimpostata su 0 secondi. Se invece l'utente sceglie conosco la password, il timer di blocco continua e la sua durata non viene reimpostata. Per reimpostare la durata e accedere di nuovo, l'utente dovrà modificare la password.

Il blocco intelligente può essere integrato con distribuzioni ibride che usano la sincronizzazione degli hash delle password o l'autenticazione pass-through, per impedire il blocco degli account Active Directory Domain Services locali da parte di utenti malintenzionati. Impostando criteri di blocco intelligente adeguati in Microsoft Entra ID, è possibile filtrare gli attacchi prima che raggiungano l'istanza locale di Active Directory Domain Services.

Quando si usa l'autenticazione pass-through, si applicano le considerazioni seguenti:

• La soglia di blocco di Microsoft Entra deve essere inferiore alla soglia di blocco degli account di Active Directory Domain Services. Configurare i valori in modo che la soglia di blocco degli account di Active Directory Domain Services sia almeno due o tre volte superiore rispetto alla soglia di blocco di Microsoft Entra.
• La durata del blocco di Microsoft Entra deve essere più lunga della durata del blocco account di Active Directory Domain Services. La durata di Microsoft Entra è impostata in secondi, mentre quella di Active Directory Domain Services è impostata in minuti.

Se ad esempio si vuole che la durata del blocco intelligente di Microsoft Entra sia superiore rispetto ad Active Directory Domain Services, si può impostare una durata di 120 secondi (2 minuti) Microsoft Entra ID mentre per AD locale è impostata su 1 minuto (60 secondi). Se si desidera che soglia di blocco di Microsoft Entra sia 5, ne consegue che la soglia di blocco di Active Directory Domain Services locale sia 10. Questa configurazione garantisce che il blocco intelligente impedisca che gli account di Active Directory Domain Services locali vengano bloccati da attacchi di forza bruta sugli account Microsoft Entra.

Importante

Un amministratore può sbloccare l'account cloud degli utenti, se sono stati bloccati dalla funzionalità Blocco intelligente, senza dover attendere la scadenza della durata del blocco. Per altre informazioni, vedere Reimpostare la password di un utente usando Microsoft Entra ID.

Verificare i criteri di blocco degli account locali

Per verificare i criteri di blocco degli account di Active Directory Domain Services locali, completare i passaggi seguenti da un sistema aggiunto a un dominio con privilegi di amministratore:

1. Aprire lo strumento Gestione criteri di gruppo.
2. Modificare i criteri di gruppo che includono i criteri di blocco degli account dell'organizzazione, come ad esempio i criteri di dominio predefiniti.
3. Passare a Configurazione computer>Criteri>Impostazioni di Windows>Impostazioni di sicurezza>Criteri account>Criterio di blocco account.
4. Verificare i valori di Soglia di blocchi dell'account e Reimposta contatore blocco account dopo.

Gestire i valori di blocco intelligente di Microsoft Entra

In base ai requisiti dell'organizzazione, è possibile personalizzare i valori del blocco intelligente di Microsoft Entra. Per personalizzare le impostazioni del blocco intelligente con valori specifici per un'organizzazione, è necessario disporre di licenze Microsoft Entra ID P1 o superiori per i propri utenti. La personalizzazione delle impostazioni di blocco intelligente non è disponibile per Microsoft Azure gestito da tenant 21Vianet.

Per verificare o modificare i valori del blocco intelligente per l'organizzazione, completare questa procedura:

1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore autenticazione.

2. Passare a Protezione>Metodi di autenticazione>Password di protezione.

3. Impostare il valore di Soglia di blocco, in base al numero di accessi non riusciti consentiti per un account prima che venga applicato il primo blocco.

   Il valore predefinito è 10 per i tenant pubblici di Azure e 3 per i tenant di Azure US Gov.

4. Impostare il valore di Durata del blocco in secondi sulla durata in secondi di ogni blocco.

   Il valore predefinito è 60 secondi (1 minuto).

Nota

Se anche il primo accesso dopo la scadenza di periodo di blocco non riesce, l'account viene bloccato nuovamente. Se un account viene bloccato più volte, la durata del blocco aumenta.

Test di blocco intelligente

Quando viene attivata la soglia di blocco intelligente, sarà visualizzato il messaggio seguente mentre l'account viene bloccato:

L'account è stato temporaneamente bloccato per impedirne l'uso non autorizzato. Riprovare più tardi. Se il problema persiste, contattare l'amministratore.

Quando si testa il blocco intelligente, le richieste di accesso potrebbero essere gestite da data center diversi a causa delle caratteristiche di distribuzione geografica e bilanciamento del carico del servizio di autenticazione di Microsoft Entra.

Il blocco intelligente tiene traccia degli ultimi tre hash delle password non validi per evitare l'incremento del contatore dei blocchi per la stessa password. Se un utente immette più volte la stessa password non valida, questo comportamento non causa il blocco dell'account.

Protezioni predefinite

Oltre al blocco intelligente, Microsoft Entra ID protegge anche dagli attacchi analizzando i segnali, incluso il traffico IP, e identificando comportamenti anomali. Per impostazione predefinita, Microsoft Entra ID blocca questi accessi dannosi e restituisce AADSTS50053 - Codice di errore IdsLocked, indipendentemente dalla validità della password.

Passaggi successivi

• Per personalizzare ulteriormente l'esperienza, è possibile configurare password personalizzate escluse per la protezione password di Microsoft Entra.

• Per consentire agli utenti di reimpostare o modificare la password da un Web browser, è possibile configurare la reimpostazione della password self-service di Microsoft Entra.