Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Om herhaalde schadelijke aanmeldingspogingen te voorkomen, vergrendelt een door Microsoft Entra Domain Services beheerd domein accounts na een gedefinieerde drempelwaarde. Deze accountvergrendeling kan ook per ongeluk gebeuren zonder dat er een aanvallende aanmeldingspoging plaatsvindt. Als een gebruiker bijvoorbeeld herhaaldelijk het verkeerde wachtwoord invoert of een service probeert een oud wachtwoord te gebruiken, wordt het account vergrendeld.
In dit artikel over probleemoplossing wordt beschreven waarom accountvergrendelingen optreden en hoe u het gedrag kunt configureren en hoe u beveiligingscontroles kunt controleren om problemen met vergrendelingsevenementen op te lossen.
Wat is een accountvergrendeling?
Een gebruikersaccount in een beheerd domein van Domain Services is vergrendeld wanneer aan een gedefinieerde drempelwaarde voor mislukte aanmeldingspogingen is voldaan. Dit accountvergrendelingsgedrag is ontworpen om u te beschermen tegen herhaalde brute-force aanmeldingspogingen die kunnen duiden op een geautomatiseerde digitale aanval.
Als er binnen 2 minuten vijf ongeldige wachtwoordpogingen zijn, wordt het account standaard vergrendeld. Het wordt na 30 minuten automatisch ontgrendeld.
De standaarddrempelwaarden voor accountvergrendeling worden geconfigureerd met behulp van fijnmazig wachtwoordbeleid. Als u een specifieke set vereisten hebt, kunt u deze standaarddrempelwaarden voor accountvergrendeling overschrijven. Het is echter niet raadzaam om de drempelwaarden te verhogen om de accountvergrendelingen te verminderen. Los eerst de bron van het accountvergrendelingsgedrag op.
Fijnmazig wachtwoordbeleid
Met fijnmazige wachtwoordbeleidsregels (FGPP's) kunt u specifieke beperkingen toepassen voor wachtwoord- en accountvergrendelingsbeleid voor verschillende gebruikers in een domein. FGPP is alleen van invloed op gebruikers binnen een beheerd domein. Cloudgebruikers en domeingebruikers die vanuit Microsoft Entra ID zijn gesynchroniseerd in het beheerde domein, worden alleen beïnvloed door het wachtwoordbeleid binnen het beheerde domein. Hun accounts in Microsoft Entra ID of een on-premises directory worden niet beïnvloed.
Beleidsregels worden gedistribueerd via groepskoppeling in het beheerde domein en eventuele wijzigingen die u aanbrengt, worden toegepast bij de volgende gebruikersaanmelding. Als u het beleid wijzigt, wordt een gebruikersaccount dat al is vergrendeld, niet ontgrendeld.
Zie Wachtwoord- en accountvergrendelingsbeleid configurerenvoor meer informatie over gedetailleerd wachtwoordbeleid en de verschillen tussen gebruikers die rechtstreeks zijn gemaakt in Domain Services versus gesynchroniseerd in Microsoft Entra-id.
Veelvoorkomende redenen voor accountvergrendeling
De meest voorkomende redenen waarom een account wordt vergrendeld, zonder schadelijke bedoelingen of factoren, zijn de volgende scenario's:
-
De gebruiker heeft zichzelf vergrendeld.
- Heeft de gebruiker na een recente wachtwoordwijziging een eerder wachtwoord gebruikt? Het standaardbeleid voor accountvergrendeling van vijf mislukte pogingen in 2 minuten kan worden veroorzaakt doordat de gebruiker per ongeluk een oud wachtwoord opnieuw probeert.
-
Er is een toepassing of service met een oud wachtwoord.
- Als een account wordt gebruikt door toepassingen of services, proberen deze resources zich mogelijk herhaaldelijk aan te melden met een oud wachtwoord. Dit gedrag zorgt ervoor dat het account wordt vergrendeld.
- Probeer het gebruik van accounts in meerdere verschillende toepassingen of services te minimaliseren en noteer waar referenties worden gebruikt. Als een accountwachtwoord wordt gewijzigd, werkt u de bijbehorende toepassingen of services dienovereenkomstig bij.
-
Wachtwoord is gewijzigd in een andere omgeving en het nieuwe wachtwoord nog niet is gesynchroniseerd.
- Als een accountwachtwoord buiten het beheerde domein wordt gewijzigd, zoals in een on-premises AD DS-omgeving, kan het enkele minuten duren voordat de wachtwoordwijziging wordt gesynchroniseerd via Microsoft Entra-id en in het beheerde domein.
- Een gebruiker die zich probeert aan te melden bij een resource in het beheerde domein voordat dat wachtwoordsynchronisatieproces is voltooid, zorgt ervoor dat het account is vergrendeld.
Problemen met accountvergrendelingen oplossen met beveiligingscontroles
Om problemen op te lossen wanneer er accountvergrendelingsgebeurtenissen optreden en hun oorsprong te identificeren, beveiligingsaudits voor Domain Services inschakelen. Controlegebeurtenissen worden alleen vastgelegd vanaf het moment dat u de functie inschakelt. In het ideale geval moet u beveiligingscontroles inschakelen voordat er een accountvergrendelingsprobleem is om het probleem op te lossen. Als een gebruikersaccount herhaaldelijk vergrendelingsproblemen heeft, kunt u beveiligingscontroles inschakelen die gereed zijn voor de volgende keer dat de situatie zich voordoet.
Zodra u beveiligingscontroles hebt ingeschakeld, ziet u in de volgende voorbeeldquery's hoe u accountvergrendelingsgebeurtenissen, code 4740kunt bekijken.
Bekijk alle accountvergrendelingsevenementen voor de afgelopen zeven dagen:
AADDomainServicesAccountManagement
| where TimeGenerated >= ago(7d)
| where OperationName has "4740"
Bekijk alle accountvergrendelingsgebeurtenissen van de afgelopen zeven dagen voor het account driley.
AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where OperationName has "4740"
| where "driley" == tolower(extract("Logon Account:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))
Bekijk alle vergrendelingsgebeurtenissen van het account tussen 26 juni 2020 om 9 uur en 1 juli 2020 middernacht, oplopend gesorteerd op de datum en tijd:
AADDomainServicesAccountManagement
| where TimeGenerated >= datetime(2020-06-26 09:00) and TimeGenerated <= datetime(2020-07-01)
| where OperationName has "4740"
| sort by TimeGenerated asc
U kunt bij gebeurtenissen 4776 en 4740 de informatie over 'Bronwerkstation: ' leeg vinden. Dit komt doordat het incorrecte wachtwoord is opgetreden bij netwerkaanmelding vanaf andere apparaten.
Een RADIUS-server kan bijvoorbeeld de verificatie doorsturen naar Domain Services.
03/04 19:07:29 [LOGON] [10752] contoso: SamLogon: Transitief Netwerklogon van contoso\Nagappan.Veerappan van (via LOB11-RADIUS) Ingevoerd
03/04 19:07:29 [LOGON] [10752] contoso: SamLogon: Transitive Network logon of contoso\Nagappan.Veerappan vanuit (via LOB11-RADIUS) retourneert 0xC000006A
03/04 19:07:35 [LOGON] [10753] contoso: SamLogon: Transitief Netwerk aanmelding van contoso\Nagappan.Veerappan van (via LOB11-RADIUS) Ingevoerd
03/04 19:07:35 [LOGON] [10753] contoso: SamLogon: Transitorische netwerklogon van contoso\Nagappan.Veerappan vanaf (via LOB11-RADIUS) retourneert 0xC000006A
Schakel RDP in op uw DC's in het NSG naar de back-end om de registratie van diagnostische gegevens (netlogon) te configureren. Zie beveiligingsregels voor inkomend verkeervoor meer informatie over vereisten.
Als u de standaard-NSG al hebt gewijzigd, volgt u poort 3389 - beheer met behulp van extern bureaublad.
Om Netlogon-logboeken op een server in te schakelen, volgt u Het inschakelen van foutopsporingslogboekregistratie voor de Netlogon-service.
Volgende stappen
Zie Wachtwoord- en accountvergrendelingsbeleid configurerenvoor meer informatie over fijnmazig wachtwoordbeleid om de drempelwaarden voor accountvergrendeling aan te passen.
Als u nog steeds problemen ondervindt bij het koppelen van uw virtuele machine aan het beheerde domein, zoek hulp en open een ondersteuningsticket voor Microsoft Entra ID.