Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Чтобы предотвратить повторяющиеся попытки вредоносного входа, управляемый домен Microsoft Entra Domain Services блокирует учетные записи после достижения определенного порогового значения. Эта блокировка учетной записи также может произойти случайно без инцидента атаки при входе. Например, если пользователь неоднократно вводит неправильный пароль или служба пытается использовать старый пароль, учетная запись блокируется.
В этой статье рассматривается, почему происходит блокировка учетных записей, как можно настроить параметры поведения системы и как проверять аудиты безопасности для устранения неполадок, связанных с событиями блокировки.
Что такое блокировка учетной записи?
Учетная запись пользователя в управляемом домене доменных служб заблокирована при выполнении определенного порогового значения неудачных попыток входа. Методы блокировки учетной записи предназначены для защиты вас от повторных попыток входа в систему методом подбора, которые могут указывать на автоматическую цифровую атаку.
По умолчанию при наличии 5 неудачных попыток пароля в течение 2 минут учетная запись будет заблокирована. Он автоматически разблокируется через 30 минут.
Пороговые значения блокировки учетных записей по умолчанию настраиваются с помощью детальной политики паролей. Если у вас есть определенный набор требований, можно переопределить эти пороговые значения блокировки учетной записи по умолчанию. Однако не рекомендуется увеличивать пороговые ограничения, чтобы попытаться уменьшить количество блокировок учетных записей. Сначала определите причину блокировки учетной записи.
Детальная политика паролей
Подробные политики паролей (FGPP) позволяют применять определенные ограничения для политик блокировки паролей и учетных записей для разных пользователей в домене. FGPP влияет только на пользователей в управляемом домене. Облачные пользователи и пользователи домена, синхронизированные с управляемым доменом из идентификатора Microsoft Entra, затрагиваются только политиками паролей в управляемом домене. Их учетные записи в Microsoft Entra ID или локальном каталоге не затронуты.
Политики распределяются через ассоциацию групп в управляемом домене, и внесенные вами изменения применяются при следующем входе пользователя. Изменение политики не разблокирует учетную запись пользователя, которая уже заблокирована.
Дополнительные сведения о подробных политиках паролей и различия между пользователями, созданными непосредственно в доменных службах, и синхронизированными с идентификатором Microsoft Entra, см. в статье Настройка политик блокировки паролей и учетных записей.
Распространенные причины блокировки учетной записи
Наиболее распространенные причины блокировки учетной записи без каких-либо вредоносных намерений или факторов включают следующие сценарии:
-
пользователь сам заблокировал себе доступ.
- После недавнего изменения пароля пользователь продолжал использовать предыдущий пароль? Политика блокировки учетной записи по умолчанию из пяти неудачных попыток в течение 2 минут может быть вызвана непреднамеренно повторным повтором старого пароля.
-
Есть приложение или служба с старым паролем.
- Если учетная запись используется приложениями или службами, эти ресурсы могут многократно пытаться войти с помощью старого пароля. Это поведение приводит к блокировке учетной записи.
- Попробуйте свести к минимуму использование учетной записи в нескольких разных приложениях или службах, а также запишите, где используются учетные данные. Если пароль учетной записи изменен, обновите соответствующие приложения или службы соответствующим образом.
-
пароль был изменен в другой среде, и новый пароль еще не синхронизирован.
- Если пароль учетной записи изменяется за пределами управляемого домена, например в локальной среде AD DS, может потребоваться несколько минут для синхронизации пароля с помощью идентификатора Microsoft Entra и управляемого домена.
- Пользователь, который пытается войти в ресурс в управляемом домене до завершения процесса синхронизации паролей, приведет к блокировке учетной записи.
Устранение неполадок с блокировками учетных записей с помощью аудита безопасности
Чтобы устранить неполадки, возникающие при блокировке учетных записей и определить их источник, включите аудит безопасности для доменных служб. События аудита записываются только с момента включения функции. В идеале необходимо включить аудиты безопасности , прежде чем возникла проблема блокировки учетной записи для устранения неполадок. Если у учетной записи пользователя неоднократно возникают проблемы с блокировкой, можно включить аудиты безопасности, готовые к следующему возникновению ситуации.
После включения аудита безопасности в следующих примерах запросов показано, как просмотреть события блокировки учетной записи, код 4740.
Просмотрите все события блокировки учетной записи за последние семь дней:
AADDomainServicesAccountManagement
| where TimeGenerated >= ago(7d)
| where OperationName has "4740"
Просмотрите все события блокировки учетной записи за последние семь дней для учетной записи с именем driley.
AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where OperationName has "4740"
| where "driley" == tolower(extract("Logon Account:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))
Просмотрите все события блокировки учетной записи в период с 26 июня 2020 г. в 9:00 и 1 июля 2020 г., отсортированные по дате и времени:
AADDomainServicesAccountManagement
| where TimeGenerated >= datetime(2020-06-26 09:00) and TimeGenerated <= datetime(2020-07-01)
| where OperationName has "4740"
| sort by TimeGenerated asc
Вы можете найти сведения о событии 4776 и 4740 "Исходная рабочая станция: " пустая. Это связано с тем, что неверный пароль был введен при сетевом входе с некоторых других устройств.
Например, сервер RADIUS может перенаправить проверку подлинности в доменные службы.
03/04 19:07:29 [LOGON] [10752] contoso: SamLogon: Транзитивный сетевой вход в систему contoso\Nagappan.Veerappan с (через LOB11-RADIUS) зарегистрирован
03/04 19:07:29 [LOGON] [10752] contoso: SamLogon: Транзитивный сетевой вход в систему contoso\Nagappan.Veerappan из (через LOB11-RADIUS) завершился с кодом 0xC000006A
03/04 19:07:35 [LOGON] [10753] contoso: SamLogon: Транзитивный сетевой вход contoso\Nagappan.Veerappan из (через LOB11-RADIUS) записан
03/04 19:07:35 [LOGON] [10753] contoso: SamLogon: Транзитивный сетевой вход в систему contoso\Nagappan.Veerappan из (через LOB11-RADIUS) завершился с кодом 0xC000006A
Включите RDP для контроллеров домена через NSG, чтобы настроить захват диагностики (netlogon). Дополнительные сведения о требованиях см. в правила безопасности для входящего трафика.
Если вы уже изменили NSG по умолчанию, следуйте указаниям по управлению портом 3389 через удаленный рабочий стол.
Чтобы включить журнал Netlogon на любом сервере, выполните включение ведения журнала отладки для службы Netlogon.
Дальнейшие действия
Дополнительные сведения о более подробных политиках паролей для настройки пороговых значений блокировки учетных записей см. в статье Настройка политик блокировки паролей и учетных записей.
Если у вас по-прежнему возникли проблемы с присоединением виртуальной машины к управляемому домену, обратитесь за справкой и откройте запрос в службу поддержки Microsoft Entra ID.