Gebruikersaccounts beveiligen tegen aanvallen met Smart Lockout van Azure Active Directory

Smart Lockout helpt bij het vergrendelen van kwaadwillende actoren die de wachtwoorden van gebruikers proberen te raden of die brute-forcemethoden gebruiken om binnen te komen. Smart Lockout kan aanmeldingen herkennen die afkomstig zijn van geldige gebruikers. Deze worden anders behandelt dan die van aanvallers en andere onbekende bronnen. Aanvallers worden buitengesloten, terwijl uw gebruikers hun accounts kunnen blijven gebruiken en productief kunnen zijn.

Hoe de slimme vergrendeling werkt

Met slimme vergrendeling wordt het account na 10 mislukte pogingen voor Azure Public- en Azure China 21Vianet-tenants en 3 voor Azure US Government-tenants standaard één minuut na vergrendeld. Het account wordt na elke volgende mislukte aanmeldingspoging, gedurende één minuut en langer opnieuw vergrendeld in volgende pogingen. Om de manieren te minimaliseren waarop een aanvaller dit gedrag kan omzeilen, maken we niet de snelheid bekend waarmee de vergrendelingsperiode toeneemt ten opzichte van aanvullende mislukte aanmeldingspogingen.

Slimme vergrendeling houdt de laatste drie ongeldige wachtwoord-hashes bij om te voorkomen dat het aantal vergrendelingen voor hetzelfde wachtwoord wordt verhoogd. Als iemand meerdere keren hetzelfde ongeldige wachtwoord invoert, zorgt dit gedrag er niet voor dat het account wordt vergrendeld.

Notitie

De functionaliteit voor het bijhouden van hashs is niet beschikbaar voor klanten met passthrough-verificatie ingeschakeld, omdat verificatie on-premises niet in de cloud plaatsvindt.

Federatieve implementaties die gebruikmaken van AD FS 2016 en AD FS 2019 kunnen vergelijkbare voordelen met ad FS extranetvergrendeling en slimme vergrendeling van extranets mogelijk maken.

Slimme vergrendeling is altijd ingeschakeld voor alle Azure AD-klanten, met deze standaardinstellingen die de juiste combinatie van beveiliging en bruikbaarheid bieden. Aanpassing van de instellingen voor slimme vergrendeling, met waarden die specifiek zijn voor uw organisatie, vereist Azure AD Premium P1 of hogere licenties voor uw gebruikers.

Het gebruik van slimme vergrendeling garandeert niet dat een echte gebruiker nooit wordt vergrendeld. Wanneer slimme vergrendeling een gebruikersaccount vergrendelt, proberen we ons best om de legitieme gebruiker niet te vergrendelen. De vergrendelingsservice probeert te zorgen dat schadelijke factoren geen toegang kunnen krijgen tot een echt gebruikersaccount. De volgende overwegingen zijn van toepassing:

  • Elk Azure AD-datacenter houdt de vergrendeling onafhankelijk bij. Een gebruiker heeft (threshold_limit * datacenter_count) aantal pogingen als de gebruiker elk datacenter bereikt.
  • Bij slimme vergrendeling wordt gebruik gemaakt van een vertrouwde in plaats van een onbekende locatie om een kwaadwillende gebruiker te kunnen onderscheiden van een legitieme gebruiker. Onbekende en vertrouwde locaties hebben beide afzonderlijke vergrendelingstellers.

Slimme vergrendeling kan worden geïntegreerd met hybride implementaties die gebruikmaken van synchronisatie van wachtwoord-hash of passthrough-verificatie om on-premises Active Directory AD DS-accounts (Domain Services) te beschermen tegen vergrendeld door aanvallers. Door slim vergrendelingsbeleid in Azure AD op de juiste manier in te stellen, kunnen aanvallen worden gefilterd voordat ze on-premises AD DS bereiken.

Wanneer u passthrough-verificatie gebruikt, zijn de volgende overwegingen van toepassing:

  • De drempelwaarde van Azure AD-vergrendeling is kleiner dan de drempelwaarde voor vergrendeling van het AD DS-account. Stel de waarden zo in dat de drempelwaarde voor vergrendeling voor het AD DS-account tenminste twee of drie keer groter is dan de drempelwaarde voor Azure AD-vergrendeling.
  • De Azure AD vergrendelingsduur moet langer zijn ingesteld dan de vergrendelingsduur van het AD DS-account. De duur voor Azure AD wordt ingesteld in seconden, terwijl de AD-duur in minuten is ingesteld.

Als u bijvoorbeeld wilt dat de duur van de slimme vergrendeling van uw Azure AD hoger is dan AD DS, is Azure AD 120 seconden (2 minuten) terwijl uw on-premises AD is ingesteld op 1 minuut (60 seconden). Als u wilt dat de drempelwaarde voor uw Azure AD-vergrendeling 5 is, wilt u dat de drempelwaarde voor uw on-premises AD-vergrendeling 10 is. Deze configuratie zorgt ervoor dat slimme vergrendeling voorkomt dat uw on-premises AD-accounts worden vergrendeld door beveiligingsaanvallen op uw Azure AD-accounts.

Belangrijk

Op dit moment kan een beheerder de cloudaccounts van de gebruikers niet ontgrendelen als deze zijn vergrendeld door de slimme-vergrendelingfunctie. De beheerder moet wachten tot de duur van de vergrendeling is verstreken. De gebruiker kan echter ontgrendelen met behulp van selfservice voor wachtwoordherstel (SSPR) vanaf een vertrouwd apparaat of een vertrouwde locatie.

Beleid voor vergrendeling van on-premises accounts controleren

Als u het vergrendelingsbeleid voor uw on-premises AD DS-account wilt controleren, voert u de volgende stappen uit vanuit een systeem dat lid is van een domein met beheerdersbevoegdheden:

  1. Open het hulpprogramma voor Groepsbeleidsbeheer.
  2. Bewerk het groepsbeleid dat het beleid voor accountvergrendeling van uw organisatie bevat, zoals het standaard domeinbeleid.
  3. Blader naar Computerconfiguratie>Beleid>Windows-instellingen>Beveiligingsinstellingen>Accountbeleid>Beleid voor accountvergrendeling.
  4. Controleer de Drempelwaarde voor accountvergrendeling en Stel het aantal accountvergrendelingen opnieuw in na waarden.

Het beleid voor on-premises Active Directory-accountvergrendeling wijzigen

Waarden voor slimme vergrendeling voor Azure AD beheren

Op basis van de vereisten van uw organisatie kunt u de Azure AD-waarden voor slimme vergrendeling aanpassen. Aanpassing van de instellingen voor slimme vergrendeling, met waarden die specifiek zijn voor uw organisatie, vereist Azure AD Premium P1 of hogere licenties voor uw gebruikers. Aanpassing van de instellingen voor slimme vergrendeling is niet beschikbaar voor Azure China 21Vianet-tenants.

Voer de volgende stappen uit om de waarden voor slimme vergrendeling voor uw organisatie te controleren of te wijzigen:

  1. Meld u aan bij de Azure-portal.

  2. Zoek en selecteer Azure Active Directory en selecteer vervolgensBeveiliging>voor beveiligingsverificatie>Wachtwoordbeveiliging.

  3. Stel de Drempelwaarde voor vergrendeling in op basis van het aantal mislukte aanmeldingen dat is toegestaan voor een account vóór de eerste vergrendeling.

    De standaardwaarde is 10 voor openbare Azure-tenants en 3 voor Azure US Government-tenants.

  4. Stel de Vergrendelingsduur in seconden in op de lengte in seconden van elke vergrendeling.

    De standaardwaarde is 60 seconden (één minuut).

Notitie

Als de eerste aanmelding na het verlopen van een vergrendelingsperiode ook mislukt, wordt het account opnieuw vergrendeld. Als een account herhaaldelijk wordt vergrendeld, dan neemt de duur van de vergrendeling toe.

Pas het Azure AD-beleid voor slimme vergrendeling aan in de Azure Portal

Slimme vergrendeling testen

Wanneer de drempelwaarde voor slimme vergrendeling wordt geactiveerd, krijgt u het volgende bericht terwijl het account is vergrendeld:

Uw account is tijdelijk vergrendeld om niet-gemachtigd gebruik te voorkomen. Probeer het later opnieuw en neem contact op met uw beheerder als u nog steeds problemen ondervindt.

Wanneer u slimme vergrendeling test, worden uw aanmeldingsaanvragen mogelijk verwerkt door verschillende datacenters omdat Azure AD-verificatieservice wordt gekenmerkt door zowel de mogelijkheid tot taakverdeling als geografisch distributie. Omdat in dat scenario elk Azure AD-datacenter vergrendelingen onafhankelijk bijhoudt, kunnen er meer pogingen worden ondernomen dan de drempelwaarde die u hebt gedefinieerd om pas tot een vergrendeling over te gaan. Een gebruiker mag een maximumaantal van (maximaal threshold_limit * datacenter_count) mislukte pogingen ondernemen voordat volledige vergrendeling plaatsvindt.

Slimme vergrendeling houdt de laatste drie ongeldige wachtwoord-hashes bij om te voorkomen dat het aantal vergrendelingen voor hetzelfde wachtwoord wordt verhoogd. Als iemand meerdere keren hetzelfde ongeldige wachtwoord invoert, zorgt dit gedrag er niet voor dat het account wordt vergrendeld.

Standaardbeveiligingen

Naast slimme vergrendeling beschermt Azure AD ook tegen aanvallen door signalen, waaronder IP-verkeer, te analyseren en afwijkend gedrag te identificeren. Azure AD blokkeert deze schadelijke aanmeldingen standaard en retourneert AADSTS50053 - IdsLocked-foutcode, ongeacht de geldigheid van het wachtwoord.

Volgende stappen

Als u de ervaring verder wilt aanpassen, kunt u aangepaste verboden wachtwoorden configureren voor Azure AD wachtwoordbeveiliging.

Om gebruikers te helpen hun wachtwoord opnieuw in te stellen of te wijzigen vanuit een webbrowser, kunt u Azure AD-selfservice voor wachtwoordherstel configureren.