Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Интеллектуальная блокировка помогает блокировать злоумышленников, которые пытаются угадать пароли пользователей или используют методы грубой силы для входа. Смарт-блокировка может распознавать входы, поступающие от допустимых пользователей, и обрабатывать их не так, как входы от злоумышленников и других неизвестных источников. Злоумышленники будут заблокированы, пока пользователи продолжают получать доступ к своим учетным записям и быть продуктивными.
Как работает интеллектуальная блокировка
По умолчанию, умная блокировка предотвращает вход в учетную запись после:
- 10 неудачных попыток в общедоступной среде Azure и Microsoft Azure, управляемых клиентами 21Vianet
- Три неудачные попытки для арендаторов Azure US Government
Учетная запись снова блокируется после каждой последующей неудачной попытки входа. Период блокировки составляет одну минуту сначала, а при последующих попытках он дольше. Чтобы свести к минимуму способы, с помощью которых злоумышленник может обойти это поведение, мы не раскрываем частоту, по которой период блокировки увеличивается после неудачных попыток входа.
Умная блокировка отслеживает последние три неверных хэша пароля во избежание повторного увеличения счетчика блокировки для одного и того же пароля. Если кто-то вводит один и тот же неправильный пароль несколько раз, это поведение не приводит к блокировке учетной записи.
Примечание.
Функции отслеживания хэша недоступны для клиентов с включенной сквозной проверкой подлинности, так как проверка подлинности выполняется локально, а не в облаке.
Федеративные развертывания, использующие службы федерации Active Directory (AD FS) 2016 и AD FS 2019, могут обеспечить аналогичные преимущества, используя функции AD FS Extranet Lockout и Extranet Smart Lockout. Рекомендуется перейти к управляемой проверке подлинности.
Функция интеллектуальной блокировки всегда включена для всех клиентов Microsoft Entra с параметрами по умолчанию, которые обеспечивают оптимальный баланс между безопасностью и удобством использования. Настройка параметров интеллектуальной блокировки со значениями, характерными для вашей организации, требует Microsoft Entra ID P1 или более поздних лицензий для пользователей.
Использование интеллектуальной блокировки не гарантирует, что разрешенный пользователь никогда не будет заблокирован. Если смарт-блокировка блокирует учетную запись пользователя, мы сделаем все возможное, чтобы разрешенный пользователь не был заблокирован. Служба блокировки пытается ограничить доступ злоумышленников к учетной записи настоящего пользователя. Действуют следующие ограничения:
Состояние блокировки в центрах обработки данных Microsoft Entra синхронизируется. Однако общее количество неудачных попыток входа, разрешенных до блокировки учетной записи, будет немного отличаться от заданного порога блокировки. После блокировки учетной записи она блокируется везде во всех центрах обработки данных Microsoft Entra.
Smart Lockout использует знакомое расположение и незнакомое расположение для различия между плохим субъектом и подлинным пользователем. Как незнакомые, так и знакомые места имеют отдельные счетчики блокировок.
Чтобы система не заблокировала пользователя при входе из незнакомого местоположения, пользователь должен ввести правильный пароль, чтобы избежать блокировки, а количество предыдущих попыток блокировки из незнакомых местоположений должно быть небольшим. Если пользователь не может войти из незнакомого местоположения, ему следует воспользоваться SSPR, чтобы сбросить счетчик блокировки учетной записи.
- После блокировки учетной записи пользователь может инициировать самостоятельный сброс пароля (SSPR) для повторного входа. SSPR позволяет пользователям сбрасывать или изменять свои пароли без обращения в службу поддержки или к администратору. Если пользователь выбирает Я забыл пароль в ходе SSPR, длительность блокировки сбрасывается до 0 секунд, поэтому пользователю не нужно ждать, пока истечет срок блокировки. Если пользователь выбирает Я знаю свой пароль в процессе SSPR, отсчёт таймера блокировки продолжается, а длительность блокировки не сбрасывается. В этом случае для восстановления доступа пользователю следует изменить пароль или ждать, пока не истекает настроенная длительность блокировки.
Вы можете интегрировать смарт-блокировку с гибридными развертываниями, которые используют синхронизацию хэша паролей или сквозную проверку подлинности для защиты локальных учетных записей доменные службы Active Directory (AD DS) от блокировки злоумышленниками. Установив политики смарт-блокировки в Microsoft Entra ID соответствующим образом, вы можете отфильтровать атаки, прежде чем они будут получать доступ к локальным AD DS.
При использовании сквозной проверки подлинности применяются следующие рекомендации.
- Порог блокировки Microsoft Entra должен быть меньше порога блокировки учетной записи AD DS. Задайте значения таким образом, чтобы порог блокировки учетной записи AD DS был не менее двух или трех раз больше порога блокировки Microsoft Entra.
- Длительность блокировки Microsoft Entra должна превышать продолжительность блокировки учетной записи AD DS. Длительность Microsoft Entra устанавливается в секундах, а длительность AD DS — в минутах.
Подсказка
Эта конфигурация обеспечивает, что Microsoft Entra смарт-блокировка останавливает локальные учетные записи AD DS от блокировки вследствие атак перебора, таких как атаки типа распыления паролей на учетные записи Microsoft Entra.
Например, если требуется, чтобы длительность смарт-блокировки Microsoft Entra была выше AD DS, то идентификатор Microsoft Entra будет 120 секунд (2 минуты), а для локальной службы AD задано значение 1 минуты (60 секунд). Если вы хотите, чтобы порог блокировки Microsoft Entra был 10, то вы хотите, чтобы порог блокировки локальных AD DS составил 20.
Внимание
Администратор может разблокировать облачную учетную запись пользователя, если Smart Lockout заблокировала ему доступ, не дожидаясь окончания периода блокировки. Дополнительные сведения см. в разделе "Сброс пароля пользователя".
Проверка локальных политик блокировки учетных записей
Чтобы проверить политику блокировки учетных записей локальных доменных служб Active Directory, выполните следующие действия из системы, присоединенной к домену, с правами администратора:
- Откройте средства управления групповыми политиками.
- Измените групповую политику, которая включает политику блокировки учетной записи вашей организации, например политику домена по умолчанию.
- Перейдите к Конфигурация компьютера>Политики>Настройки Windows>Настройки безопасности>Политики учетных записей>Политика блокировки учетной записи.
- Проверьте значения порога блокировки учетной записи и сброса счетчика блокировки учетной записи после.
Управление значениями интеллектуальной блокировки Microsoft Entra
В соответствии с требованиями вашей организации можно настроить значения интеллектуальной блокировки Microsoft Entra. Настройка параметров интеллектуальной блокировки со значениями, характерными для вашей организации, требует Microsoft Entra ID P1 или более поздних лицензий для пользователей. Настройка параметров смарт-блокировки недоступна для Microsoft Azure, управляемых клиентами 21Vianet.
Чтобы проверить или изменить значения параметров смарт-блокировки для организации, выполните следующие действия.
Войдите в Центр администрирования Microsoft Entra в роли как минимум администратора политики аутентификации.
Перейдите к Entra ID>методам проверки подлинности>Защита паролей.
Задайте порог блокировки в зависимости от того, сколько неудачных входов разрешено в учетной записи перед первой блокировкой.
Значение по умолчанию — 10 для общедоступных арендаторов Azure и 3 для арендаторов Azure US Government.
Установите продолжительность блокировки в секундах, соответствующую длительности каждой блокировки.
Значение по умолчанию — 60 секунд (одна минута).
Примечание.
Если первый вход после истечения срока блокировки также завершается ошибкой, учетная запись снова блокируется. Если учетная запись будет заблокирована несколько раз, продолжительность блокировки увеличится.
Тестирование смарт-блокировки
При активации порога интеллектуальной блокировки вы получите следующее сообщение во время блокировки учетной записи:
Ваша учетная запись временно заблокирована, чтобы предотвратить ее несанкционированное использование. Повторите попытку позже. Если проблема не устранена, обратитесь к администратору.
При тестировании интеллектуальной блокировки запросы на вход могут обрабатываться различными центрами обработки данных в связи с географическим распределением и балансировкой нагрузки службы проверки подлинности Microsoft Entra.
Умная блокировка отслеживает последние три неверных хэша пароля во избежание повторного увеличения счетчика блокировки для одного и того же пароля. Если кто-то вводит один и тот же неправильный пароль несколько раз, это поведение не приводит к блокировке учетной записи.
Защита по умолчанию
Помимо смарт-блокировки идентификатор Microsoft Entra также защищает от атак, анализируя сигналы, включая IP-трафик и определяя аномальное поведение. Идентификатор Microsoft Entra блокирует эти вредоносные входы по умолчанию и возвращает AADSTS50053 — код ошибки IdsLocked независимо от допустимости пароля.
Следующие шаги
Чтобы дополнительно настроить интерфейс, можно настроить настраиваемые запрещенные пароли для защиты паролей Microsoft Entra.
Чтобы помочь пользователям сбросить или изменить пароль из веб-браузера, можно настроить самостоятельный сброс пароля Microsoft Entra.