Partilhar via


Proteja as contas de utilizador contra ataques com o bloqueio inteligente do Microsoft Entra

O bloqueio inteligente ajuda a bloquear pessoas mal-intencionadas que tentam adivinhar as palavras-passe dos utilizadores ou utilizar métodos de força bruta para entrar. O bloqueio inteligente consegue reconhecer inícios de sessão provenientes de utilizadores válidos e tratá-los de forma diferente dos atacantes e de outras origens desconhecidas. Os atacantes são bloqueados, enquanto os utilizadores continuam a aceder às contas e a ser produtivos.

Como funciona o bloqueio inteligente

Por padrão, o bloqueio inteligente bloqueia uma conta do login após:

  • 10 tentativas falhadas no Azure Public e no Microsoft Azure operadas por inquilinos 21Vianet
  • 3 tentativas falhadas para inquilinos do Azure US Government

A conta é bloqueada novamente após cada tentativa de início de sessão subsequente com falha. O período de bloqueio é de um minuto no início, e mais longo nas tentativas subsequentes. Para minimizar as maneiras como um invasor poderia contornar esse comportamento, não divulgamos a taxa na qual o período de bloqueio aumenta após tentativas de entrada malsucedidas.

O bloqueio inteligente rastreia os últimos três hashes de palavras-passe incorretos para evitar o incremento do contador de bloqueio para a mesma palavra-passe. Se alguém digitar a mesma senha incorreta várias vezes, esse comportamento não fará com que a conta seja bloqueada.

Nota

A funcionalidade de rastreio de hashes não está disponível para os clientes com a autenticação pass-through ativada, uma vez que a autenticação ocorre no local e não na cloud.

As implantações federadas que usam os Serviços de Federação do Ative Directory (AD FS) 2016 e o AD FS 2019 podem habilitar benefícios semelhantes usando o Bloqueio de Extranet do AD FS e o Bloqueio Inteligente de Extranet. Recomenda-se mudar para a autenticação gerenciada.

O bloqueio inteligente está sempre ativado, para todos os clientes do Microsoft Entra, com essas configurações padrão que oferecem a combinação certa de segurança e usabilidade. A personalização das configurações de bloqueio inteligente, com valores específicos para sua organização, requer licenças do Microsoft Entra ID P1 ou superior para seus usuários.

Usar o bloqueio inteligente não garante que um usuário genuíno nunca seja bloqueado. Quando o bloqueio inteligente bloqueia uma conta de usuário, tentamos ao máximo não bloquear o usuário genuíno. O serviço de bloqueio tenta garantir que agentes mal-intencionados não possam ter acesso a uma conta de usuário genuína. As seguintes considerações são aplicáveis:

  • O estado de bloqueio nos data centers do Microsoft Entra é sincronizado. No entanto, o número total de tentativas de entrada com falha permitidas antes que uma conta seja bloqueada terá uma pequena variação em relação ao limite de bloqueio configurado. Quando uma conta é bloqueada, ela é bloqueada em todos os data centers do Microsoft Entra.

  • O Smart Lockout usa a localização familiar da localização desconhecida para diferenciar um ator mal-intencionado do usuário genuíno. Ambos os locais desconhecidos e familiares têm contadores de bloqueio separados.

    Para evitar que o sistema bloqueie um usuário que entra em um local desconhecido, ele deve usar a senha correta para evitar ser bloqueado e ter um número baixo de tentativas de bloqueio anteriores de locais desconhecidos. Se o usuário estiver bloqueado de um local desconhecido, o usuário deve considerar SSPR para redefinir o contador de bloqueio.

  • Após um bloqueio de conta, o usuário pode iniciar a redefinição de senha de autoatendimento (SSPR) para entrar novamente. Se o usuário escolher Esqueci minha senha durante o SSPR, a duração do bloqueio será redefinida para 0 segundos. Se o usuário escolher Eu sei minha senha durante o SSPR, o temporizador de bloqueio continuará e a duração do bloqueio não será redefinida. Para redefinir a duração e entrar novamente, o usuário precisa alterar sua senha.

O bloqueio inteligente pode ser integrado com implementações híbridas que utilizam sincronização do hash de palavras-passe ou autenticação pass-through para proteger as contas do Active Directory Domain Services (AD DS) no local de serem bloqueadas por atacantes. Ao definir políticas de bloqueio inteligente no Microsoft Entra ID adequadamente, os ataques podem ser filtrados antes de chegarem ao AD DS local.

Ao usar a autenticação de passagem, as seguintes considerações se aplicam:

  • O limite de bloqueio do Microsoft Entra é menor do que o limite de bloqueio de conta do AD DS. Defina os valores para que o limite de bloqueio de conta do AD DS seja pelo menos duas ou três vezes maior do que o limite de bloqueio do Microsoft Entra.
  • A duração do bloqueio do Microsoft Entra deve ser definida por mais tempo do que a duração do bloqueio de conta do AD DS. A duração do Microsoft Entra é definida em segundos, enquanto a duração do AD DS é definida em minutos.

Por exemplo, se você quiser que a duração do bloqueio inteligente do Microsoft Entra seja maior do que o AD DS, a ID do Microsoft Entra será de 120 segundos (2 minutos) enquanto o AD local será definido como 1 minuto (60 segundos). Se você quiser que o limite de bloqueio do Microsoft Entra seja 5, então você deseja que o limite de bloqueio do AD DS local seja 10. Essa configuração garantiria que o bloqueio inteligente evitasse que suas contas do AD DS locais fossem bloqueadas por ataques de força bruta às suas contas do Microsoft Entra.

Importante

Um administrador pode desbloquear a conta na nuvem dos usuários se eles tiverem sido bloqueados pelo recurso Smart Lockout, sem a necessidade de esperar que a duração do bloqueio expire. Para obter mais informações, consulte Redefinir a senha de um usuário usando a ID do Microsoft Entra.

Verificar a política de bloqueio de conta local

Para verificar sua política de bloqueio de conta do AD DS local, conclua as seguintes etapas de um sistema associado a um domínio com privilégios de administrador:

  1. Abra a ferramenta Gerenciamento de Diretiva de Grupo.
  2. Edite a política de grupo que inclui a política de bloqueio de conta da sua organização, como a Política de Domínio Padrão.
  3. Navegue até Políticas>de Configuração do>Computador, Configurações do Windows,>Configurações>de Segurança, Políticas>de Conta, Política de Bloqueio de Conta.
  4. Verifique o limite de bloqueio de conta e o contador Redefinir bloqueio de conta após os valores.

Modificar a política de bloqueio de conta do Ative Directory local

Gerenciar valores de bloqueio inteligente do Microsoft Entra

Com base em seus requisitos organizacionais, você pode personalizar os valores de bloqueio inteligente do Microsoft Entra. A personalização das configurações de bloqueio inteligente, com valores específicos para sua organização, requer licenças do Microsoft Entra ID P1 ou superior para seus usuários. A personalização das configurações de bloqueio inteligente não está disponível para o Microsoft Azure operado por locatários 21Vianet.

Para verificar ou modificar os valores de bloqueio inteligente para sua organização, conclua as seguintes etapas:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Autenticação.

  2. Navegue até Proteção>Métodos>de autenticação Proteção por senha.

  3. Defina o limite de Bloqueio, com base em quantas entradas com falha são permitidas em uma conta antes de seu primeiro bloqueio.

    O padrão é 10 para locatários públicos do Azure e 3 para locatários do Azure US Government.

  4. Defina a duração do bloqueio em segundos, para o comprimento em segundos de cada bloqueio.

    O padrão é 60 segundos (um minuto).

Nota

Se o primeiro início de sessão após um período de bloqueio ter expirado também falhar, a conta será bloqueada novamente. Se uma conta for bloqueada repetidamente, a duração do bloqueio aumenta.

Personalizar a política de bloqueio inteligente do Microsoft Entra no centro de administração do Microsoft Entra

Testando o bloqueio inteligente

Quando o limite de bloqueio inteligente for acionado, você receberá a seguinte mensagem enquanto a conta estiver bloqueada:

A sua conta está temporariamente bloqueada para impedir a utilização não autorizada. Tente novamente mais tarde e, se ainda tiver problemas, entre em contato com o administrador.

Quando testa o bloqueio inteligente, os pedidos de início de sessão podem ser tratados por diferentes datacenters devido à natureza da distribuição geográfica e do balanceamento de carga do serviço de autenticação do Microsoft Entra.

O bloqueio inteligente rastreia os últimos três hashes de palavras-passe incorretos para evitar o incremento do contador de bloqueio para a mesma palavra-passe. Se alguém digitar a mesma senha incorreta várias vezes, esse comportamento não fará com que a conta seja bloqueada.

Proteções padrão

Além do bloqueio inteligente, o Microsoft Entra ID também protege contra ataques, analisando sinais, incluindo tráfego IP e identificando comportamentos anômalos. O Microsoft Entra ID bloqueia essas entradas maliciosas por padrão e retorna AADSTS50053 código de erro - IdsLocked, independentemente da validade da senha.

Próximos passos