Gebruikersaccounts beveiligen tegen aanvallen met Smart Lockout van Microsoft Entra
Smart Lockout helpt bij het vergrendelen van kwaadwillende actoren die de wachtwoorden van gebruikers proberen te raden of die brute-forcemethoden gebruiken om binnen te komen. Smart Lockout kan aanmeldingen herkennen die afkomstig zijn van geldige gebruikers. Deze worden anders behandelt dan die van aanvallers en andere onbekende bronnen. Aanvallers worden buitengesloten, terwijl uw gebruikers hun accounts kunnen blijven gebruiken en productief kunnen zijn.
Hoe de slimme vergrendeling werkt
Smart Lockout vergrendelt standaard een account na het aanmelden:
- 10 mislukte pogingen in Azure Public en Microsoft Azure beheerd door 21Vianet-tenants
- 3 mislukte pogingen voor Azure US Government-tenants
Het account wordt opnieuw vergrendeld na elke volgende mislukte aanmeldingspoging. De vergrendelingsperiode is in eerste instantie één minuut en langer in volgende pogingen. Om de manieren te minimaliseren waarop een aanvaller dit gedrag kan omzeilen, geven we niet de snelheid bekend waarmee de vergrendelingsperiode toeneemt na mislukte aanmeldingspogingen.
Slimme vergrendeling houdt de laatste drie ongeldige wachtwoord-hashes bij om te voorkomen dat het aantal vergrendelingen voor hetzelfde wachtwoord wordt verhoogd. Als iemand meerdere keren hetzelfde ongeldige wachtwoord invoert, zorgt dit gedrag er niet voor dat het account wordt vergrendeld.
Notitie
De functionaliteit voor het bijhouden van hashs is niet beschikbaar voor klanten met passthrough-verificatie ingeschakeld, omdat verificatie on-premises niet in de cloud plaatsvindt.
Federatieve implementaties die gebruikmaken van Active Directory Federation Services (AD FS) 2016 en AD FS 2019 kunnen vergelijkbare voordelen inschakelen met behulp van AD FS Extranet Lockout en Extranet Smart Lockout. Het is raadzaam om over te stappen op beheerde verificatie.
Slimme vergrendeling is altijd ingeschakeld voor alle Microsoft Entra-klanten, met deze standaardinstellingen die de juiste combinatie van beveiliging en bruikbaarheid bieden. Aanpassing van de instellingen voor slimme vergrendeling, met waarden die specifiek zijn voor uw organisatie, vereist Microsoft Entra ID P1 of hogere licenties voor uw gebruikers.
Het gebruik van slimme vergrendeling garandeert niet dat een echte gebruiker nooit wordt vergrendeld. Wanneer slimme vergrendeling een gebruikersaccount vergrendelt, proberen we ons best om de legitieme gebruiker niet te vergrendelen. De vergrendelingsservice probeert te zorgen dat schadelijke factoren geen toegang kunnen krijgen tot een echt gebruikersaccount. De volgende overwegingen zijn van toepassing:
De vergrendelingsstatus tussen Microsoft Entra-datacenters wordt gesynchroniseerd. Het totale aantal mislukte aanmeldingspogingen dat is toegestaan voordat een account wordt vergrendeld, heeft echter een kleine variantie van de geconfigureerde drempelwaarde voor vergrendeling. Zodra een account is vergrendeld, is het overal vergrendeld in alle Microsoft Entra-datacenters.
Smart Lockout maakt gebruik van vertrouwde locatie versus onbekende locatie om onderscheid te maken tussen een slechte actor en de legitieme gebruiker. Zowel onbekende als vertrouwde locaties hebben afzonderlijke vergrendelingstellers.
Als u wilt voorkomen dat het systeem zich afmeldt bij een gebruiker die zich aanmeldt vanaf een onbekende locatie, moet het juiste wachtwoord worden gebruikt om te voorkomen dat deze wordt vergrendeld en een laag aantal eerdere vergrendelingspogingen hebt vanaf onbekende locaties. Als de gebruiker is vergrendeld vanaf een onbekende locatie, moet de gebruiker SSPR overwegen om de vergrendelingsteller opnieuw in te stellen.
Na een accountvergrendeling kan de gebruiker selfservice voor wachtwoordherstel (SSPR) initiëren om zich opnieuw aan te melden. Als de gebruiker kiest dat ik mijn wachtwoord ben vergeten tijdens SSPR, wordt de duur van de vergrendeling opnieuw ingesteld op 0 seconden. Als de gebruiker kiest dat ik mijn wachtwoord ken tijdens SSPR, wordt de vergrendelingstimer voortgezet en wordt de duur van de vergrendeling niet opnieuw ingesteld. Als u de duur opnieuw wilt instellen en u opnieuw wilt aanmelden, moet de gebruiker het wachtwoord wijzigen.
Slimme vergrendeling kan worden geïntegreerd met hybride implementaties die gebruikmaken van synchronisatie van wachtwoord-hash of passthrough-verificatie om on-premises Active Directory AD DS-accounts (Domain Services) te beschermen tegen vergrendeld door aanvallers. Door slim vergrendelingsbeleid in te stellen in Microsoft Entra ID, kunnen aanvallen worden gefilterd voordat ze on-premises AD DS bereiken.
Wanneer u passthrough-verificatie gebruikt, zijn de volgende overwegingen van toepassing:
- De drempelwaarde voor microsoft Entra-vergrendeling is kleiner dan de drempelwaarde voor vergrendeling van het AD DS-account. Stel de waarden zo in dat de vergrendelingsdrempel van het AD DS-account minstens twee of drie keer groter is dan de drempel voor Microsoft Entra-vergrendeling.
- De vergrendelingsduur van Microsoft Entra moet langer zijn ingesteld dan de vergrendelingsduur van het AD DS-account. De Duur van Microsoft Entra wordt ingesteld in seconden, terwijl de AD DS-duur in minuten is ingesteld.
Als u bijvoorbeeld wilt dat de duur van de slimme vergrendeling van Microsoft Entra hoger is dan AD DS, is Microsoft Entra-id 120 seconden (2 minuten) terwijl uw on-premises AD is ingesteld op 1 minuut (60 seconden). Als u wilt dat uw Microsoft Entra-vergrendelingsdrempel 5 is, wilt u dat uw on-premises AD DS-vergrendelingsdrempel 10 is. Deze configuratie zorgt ervoor dat slimme vergrendeling voorkomt dat uw on-premises AD DS-accounts worden vergrendeld door beveiligingsaanvallen op uw Microsoft Entra-accounts.
Belangrijk
Een beheerder kan het cloudaccount van de gebruikers ontgrendelen als ze zijn vergrendeld door de functie Smart Lockout, zonder dat er hoeft te worden gewacht tot de vergrendelingsduur is verlopen. Zie Het wachtwoord van een gebruiker opnieuw instellen met behulp van Microsoft Entra-id voor meer informatie.
Beleid voor vergrendeling van on-premises accounts controleren
Als u het vergrendelingsbeleid voor uw on-premises AD DS-account wilt controleren, voert u de volgende stappen uit vanuit een systeem dat lid is van een domein met beheerdersbevoegdheden:
- Open het hulpprogramma voor Groepsbeleidsbeheer.
- Bewerk het groepsbeleid dat het beleid voor accountvergrendeling van uw organisatie bevat, zoals het standaard domeinbeleid.
- Blader naar Computerconfiguratie>Beleid>Windows-instellingen>Beveiligingsinstellingen>Accountbeleid>Beleid voor accountvergrendeling.
- Controleer de Drempelwaarde voor accountvergrendeling en Stel het aantal accountvergrendelingen opnieuw in na waarden.
Slimme vergrendelingswaarden van Microsoft Entra beheren
Op basis van de vereisten van uw organisatie kunt u de waarden voor slimme vergrendeling van Microsoft Entra aanpassen. Aanpassing van de instellingen voor slimme vergrendeling, met waarden die specifiek zijn voor uw organisatie, vereist Microsoft Entra ID P1 of hogere licenties voor uw gebruikers. Aanpassing van de instellingen voor slimme vergrendeling is niet beschikbaar voor Microsoft Azure beheerd door 21Vianet-tenants.
Voer de volgende stappen uit om de waarden voor slimme vergrendeling voor uw organisatie te controleren of te wijzigen:
Meld u als verificatiebeheerder aan bij het Microsoft Entra-beheercentrum.
Blader naar >beveiligingsverificatiemethoden>voor wachtwoordbeveiliging.
Stel de Drempelwaarde voor vergrendeling in op basis van het aantal mislukte aanmeldingen dat is toegestaan voor een account vóór de eerste vergrendeling.
De standaardwaarde is 10 voor openbare Azure-tenants en 3 voor Azure US Government-tenants.
Stel de Vergrendelingsduur in seconden in op de lengte in seconden van elke vergrendeling.
De standaardwaarde is 60 seconden (één minuut).
Notitie
Als de eerste aanmelding nadat een vergrendelingsperiode is verlopen, ook mislukt, wordt het account weer vergrendeld. Als een account herhaaldelijk wordt vergrendeld, dan neemt de duur van de vergrendeling toe.
Slimme vergrendeling testen
Wanneer de drempelwaarde voor slimme vergrendeling wordt geactiveerd, krijgt u het volgende bericht terwijl het account is vergrendeld:
Uw account is tijdelijk vergrendeld om niet-gemachtigd gebruik te voorkomen. Probeer het later opnieuw en neem contact op met uw beheerder als u nog steeds problemen ondervindt.
Wanneer u slimme vergrendeling test, worden uw aanmeldingsaanvragen mogelijk verwerkt door verschillende datacenters omdat Microsoft Entra-verificatieservice wordt gekenmerkt door zowel de mogelijkheid tot taakverdeling als geografisch distributie.
Slimme vergrendeling houdt de laatste drie ongeldige wachtwoord-hashes bij om te voorkomen dat het aantal vergrendelingen voor hetzelfde wachtwoord wordt verhoogd. Als iemand meerdere keren hetzelfde ongeldige wachtwoord invoert, zorgt dit gedrag er niet voor dat het account wordt vergrendeld.
Standaardbeveiligingen
Naast Slimme vergrendeling beschermt Microsoft Entra ID ook tegen aanvallen door signalen te analyseren, waaronder IP-verkeer en afwijkend gedrag te identificeren. Microsoft Entra ID blokkeert deze schadelijke aanmeldingen standaard en retourneert AADSTS50053 - IdsLocked-foutcode, ongeacht de geldigheid van het wachtwoord.
Volgende stappen
Als u de ervaring verder wilt aanpassen, kunt u aangepaste verboden wachtwoorden configureren voor Microsoft Entra-wachtwoordbeveiliging.
Om gebruikers te helpen hun wachtwoord opnieuw in te stellen of te wijzigen vanuit een webbrowser, kunt u selfservice voor wachtwoordherstel van Microsoft Entra configureren.