Microsoft Entra 스마트 잠금을 사용하여 공격으로부터 사용자 계정 보호
스마트 잠금을 사용하면 사용자의 암호를 추측하거나 무차별 암호 대입 공격 방법을 사용하여 로그인하려는 잘못된 행위자를 잠글 수 있습니다. 스마트 잠금을 사용하면 유효한 사용자의 로그인을 인식하고 공격자 및 기타 알 수 없는 원본 중 하나와 다르게 취급할 수 있습니다. 공격자는 잠기지만 사용자는 계속해서 계정에 액세스하여 생산성을 유지할 수 있습니다.
스마트 잠금 작동 방법
기본적으로 스마트 잠금은 다음 이후에 로그인할 때 계정을 잠급니다.
- Azure Public 및 21Vianet에서 운영하는 Microsoft Azure 테넌트에서 10번의 시도 실패
- Azure US Gov 테넌트에 대한 3번의 시도 실패
이후 로그인 시도가 실패할 때마다 계정이 다시 잠깁니다. 잠금 기간은 처음에는 1분이고 이후 시도에서는 더 길어집니다. 공격자가 이 문제를 해결할 수 있는 방법을 최소화하기 위해 로그인 시도 실패 후 잠금 기간이 증가하는 비율을 공개하지 않습니다.
스마트 잠금 기능은 동일한 암호에 대해 잠금 카운터가 증가하는 것을 방지하기 위해 마지막 세 개의 잘못된 암호 해시를 추적합니다. 누군가가 동일한 잘못된 암호를 여러 번 입력하더라도 이 동작으로 인해 계정이 잠기는 것은 아닙니다.
참고 항목
통과 인증을 사용하는 고객은 클라우드에서 온-프레미스에서 인증을 수행하지 않으므로 해시 추적 기능을 사용할 수 없습니다.
AD FS(Active Directory Federation Services) 2016 및 AD FS 2019를 사용하는 페더레이션된 배포에서는 AD FS 엑스트라넷 잠금 및 엑스트라넷 스마트 잠금을 사용하여 유사한 이점을 활용할 수 있습니다. 관리형 인증으로 이동하는 것이 좋습니다.
스마트 잠금은 보안 및 유용성의 적절한 혼합을 제공하는 기본 설정으로 모든 Microsoft Entra 고객에 대해 항상 활성 상태입니다. 조직에 특수한 값이 있는 스마트 잠금 설정의 사용자 지정에는 Microsoft Entra ID P1 또는 사용자에 대한 높은 라이선스가 필요합니다.
스마트 잠금 사용은 정상적 사용자가 절대 잠기지 않는다고 보장하지 않습니다. 스마트 잠금이 사용자 계정을 잠그는 경우 Azure는 정상적 사용자가 잠기지 않도록 최선을 다합니다. 잠금 서비스는 악의적 행위자가 진정한 사용자 계정에 액세스할 수 없도록 합니다. 고려 사항은 다음과 같습니다.
- Microsoft Entra 데이터 센터의 잠금 상태가 동기화됩니다. 그러나 계정이 잠기기 전에 허용되는 실패한 로그인 시도의 총 수는 구성된 잠금 임계값과 약간 차이가 있습니다. 계정이 잠기면 모든 Microsoft Entra 데이터 센터 전체에서 계정이 잠깁니다.
- 스마트 잠금은 익숙한 위치 및 낯선 위치를 사용하여 악의적 행위자와 진정한 사용자를 구별합니다. 낯선 위치와 익숙한 위치 모두 별도의 잠금 카운터가 있습니다.
- 계정이 잠긴 후 사용자는 SSPR(셀프 서비스 암호 재설정)을 시작하여 다시 로그인할 수 있습니다. SSPR 중에 사용자가 암호를 잊어버렸습니다를 선택하면 잠금 기간이 0초로 초기화됩니다. SSPR 중에 사용자가 암호를 알고 있습니다를 선택하면 잠금 타이머가 계속되고 잠금 기간은 초기화되지 않습니다. 기간을 초기화하고 다시 로그인하려면 사용자는 암호를 변경해야 합니다.
스마트 잠금은 암호 해시 동기화 또는 통과 인증을 사용하여 공격자가 온-프레미스 AD DS(Active Directory Domain Services) 계정을 잠그지 않도록 보호하는 하이브리드 배포와 통합될 수 있습니다. Microsoft Entra ID에서 스마트 잠금 정책을 적절하게 설정하여 공격자가 온-프레미스 AD DS에 도달하기 전에 필터링할 수 있습니다.
통과 인증을 사용하는 경우 다음 사항을 고려해야 합니다.
- Microsoft Entra 잠금 임계값이 AD DS 계정 잠금 임계값보다 작습니다. AD DS의 계정 잠금 임계값을 Microsoft Entra의 잠금 임계값보다 최소 2~3배 이상 크게 설정합니다.
- Microsoft Entra 잠금 기간은 AD DS 계정 잠금 해제 기간보다 길게 설정해야 합니다. Microsoft Entra 기간은 초 단위로 설정되고 AD DS 기간은 분 단위로 설정됩니다.
예를 들어 Microsoft Entra 스마트 잠금 기간이 AD DS보다 높은 경우, 온-프레미스 AD는 1분(60초)으로 설정되고, Microsoft Entra는 120초(2분)가 됩니다. Microsoft Entra 잠금 임계값을 5로 설정하려면 온-프레미스 AD DS 잠금 임계값은 10으로 설정해야 합니다. 이 구성은 스마트 잠금이 Microsoft Entra 계정에 대한 무차별 암호 대입 공격에 의해 온-프레미스 AD DS 계정이 잠기지 않도록 합니다.
Important
관리자는 스마트 잠금 기능으로 사용자가 잠긴 경우 잠금 기간이 만료될 때까지 기다릴 필요 없이 사용자의 클라우드 계정을 잠금 해제할 수 있습니다. 자세한 내용은 Microsoft Entra ID를 사용하여 사용자 암호 초기화를 참조하세요.
온-프레미스 계정 잠금 정책 확인
온-프레미스 AD DS 계정 잠금 정책을 확인하려면 관리자 권한으로 도메인에 가입된 시스템에서 다음 단계를 완료합니다.
- 그룹 정책 관리 도구를 엽니다.
- 조직의 계정 잠금 정책(예: 기본 도메인 정책)을 포함하는 그룹 정책을 편집합니다.
- 컴퓨터 구성>정책>Windows 설정>보안 설정>계정 정책>계정 잠금 정책으로 이동합니다.
- 계정 잠금 임계값과 다음 시간 후 계정 잠금 수를 원래대로 설정 값을 확인합니다.
Microsoft Entra 스마트 잠금 값 관리
조직의 요구 사항에 따라 Microsoft Entra 스마트 잠금 값을 사용자 지정할 수 있습니다. 조직에 특수한 값이 있는 스마트 잠금 설정의 사용자 지정에는 Microsoft Entra ID P1 또는 사용자에 대한 높은 라이선스가 필요합니다. 21Vianet에서 운영하는 Microsoft Azure 테넌트에서는 스마트 잠금 설정을 사용자 지정할 수 없습니다.
조직의 스마트 잠금 값을 확인하거나 수정하려면 다음 단계를 완료합니다.
최소한 인증 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
보호>인증 방법>암호 보호로 이동합니다.
첫 번째 잠금 전에 계정에서 허용되는 실패한 로그인 횟수에 따라 잠금 임계값을 설정합니다.
기본값은 Azure 공용 테넌트 10개, Azure 미국 정부 테넌트 3개입니다.
잠금 지속 기간(초)을 각 잠금의 길이(초)로 설정합니다.
기본값은 60초(1분)입니다.
참고 항목
잠금 기간이 만료된 이후의 첫 번째 로그인도 실패하는 경우 계정은 다시 잠깁니다. 계정이 반복적으로 잠기는 경우 잠금 지속 시간이 증가합니다.
스마트 잠금 테스트
스마트 잠금 임계값이 트리거되면 계정이 잠겨 있는 동안 다음 메시지가 표시됩니다.
권한 없는 사용을 방지하기 위해 계정이 일시적으로 잠겨 있습니다. 나중에 다시 시도하세요. 문제가 계속 발생하면 관리자에게 문의하세요.
스마트 잠금을 테스트할 때 Microsoft Entra 인증 서비스의 지리적 분산 및 부하 분산 특성으로 인해 여러 데이터 센터에서 로그인 요청을 처리할 수 있습니다.
스마트 잠금 기능은 동일한 암호에 대해 잠금 카운터가 증가하는 것을 방지하기 위해 마지막 세 개의 잘못된 암호 해시를 추적합니다. 누군가가 동일한 잘못된 암호를 여러 번 입력하더라도 이 동작으로 인해 계정이 잠기는 것은 아닙니다.
기본 보호
Microsoft Entra ID는 스마트 잠금 외에도 IP 트래픽을 비롯한 신호를 분석하고 비정상 동작을 식별하여 공격으로부터 보호합니다. Microsoft Entra ID는 기본적으로 이러한 악성 로그인을 차단하고 암호 유효성에 관계없이 AADSTS50053 - IdsLocked 오류 코드를 반환합니다.
다음 단계
환경을 추가로 사용자 지정하려면 Microsoft Entra 암호 보호를 위해 금지 암호를 사용자 지정하여 구성할 수 있습니다.
사용자가 웹 브라우저에서 암호를 재설정하거나 변경할 수 있도록 Microsoft Entra 셀프 서비스 암호 재설정을 구성할 수 있습니다.