Microsoft Entra akıllı kilitleme ile kullanıcı hesaplarını saldırılardan koruma

  • Makale

Akıllı kilitleme kullanıcılarınızın parolalarını tahmin etmeye çalışan veya bunun için deneme yanılma yöntemlerini kullanan kötü aktörleri engellemeye yardımcı olur. Akıllı kilitleme geçerli kullanıcılardan gelen oturum açma işlemlerini tanıyabilir ve bunlara, saldırganlara ve diğer bilinmeyen kaynaklara davrandığından farklı davranır. Saldırganlar engellenirken kullanıcılarınız hesaplarına erişmeye ve üretken olmaya devam eder.

Akıllı kilitleme nasıl çalışır?

Akıllı kilitleme, varsayılan olarak bir hesabı oturum açmadan sonra kilitler:

  • 21Vianet kiracıları tarafından sağlanan Azure Genel ve Microsoft Azure'da 10 başarısız deneme
  • Azure US Government kiracıları için 3 başarısız deneme

Hesap, sonraki her başarısız oturum açma girişiminden sonra yeniden kilitler. Kilitleme süresi ilk başta bir dakika, sonraki denemelerde ise daha uzundur. Bir saldırganın bu davranışa geçici çözüm yollarını en aza indirmek için başarısız oturum açma girişimlerinden sonra kilitleme süresinin ne kadar arttığını açıklamıyoruz.

Akıllı kilitleme, aynı parola için kilitleme sayacının artırılmasını önlemek için son üç hatalı parola karmasını izler. Birisi aynı hatalı parolayı birden çok kez girerse, bu davranış hesabın kilitlenmesine neden olmaz.

Dekont

Bulutta olmayan şirket içinde kimlik doğrulaması gerçekleştiğinden doğrudan kimlik doğrulaması etkinleştirilmiş müşteriler için karma izleme işlevi kullanılamaz.

Active Directory Federasyon Hizmetleri (AD FS) (AD FS) 2016 ve AD FS 2019 kullanan federasyon dağıtımları, AD FS Extranet Kilitleme ve Extranet Akıllı Kilitleme kullanarak benzer avantajlar sağlayabilir. Yönetilen kimlik doğrulamasına geçmenizi öneririz.

Tüm Microsoft Entra müşterileri için, doğru güvenlik ve kullanılabilirlik karışımını sunan bu varsayılan ayarlarla akıllı kilitleme her zaman açıktır. Kuruluşunuza özgü değerlerle akıllı kilitleme ayarlarının özelleştirilmesi için kullanıcılarınız için Microsoft Entra Id P1 veya üzeri lisanslar gerekir.

Akıllı kilitleme kullanmak, orijinal bir kullanıcının hiçbir zaman kilitlenmediğini garanti etmez. Akıllı kilitleme bir kullanıcı hesabını kilitlediğinde, orijinal kullanıcıyı kilitlememek için elimizden geleni yapıyoruz. Kilitleme hizmeti, kötü aktörlerin orijinal bir kullanıcı hesabına erişim sağlayabilmesini sağlamaya çalışır. Aşağıdaki noktalara dikkat edilmelidir:

  • Microsoft Entra veri merkezlerinde kilitleme durumu eşitlenir. Ancak, bir hesap kilitlenmeden önce izin verilen başarısız oturum açma denemelerinin toplam sayısı, yapılandırılan kilitleme eşiğinden küçük bir farka sahip olacaktır. Bir hesap kilitlendiğinde, tüm Microsoft Entra veri merkezlerinde her yerde kilitlenir.
  • Akıllı Kilitleme, kötü bir oyuncu ile gerçek kullanıcı arasında ayrım yapmak için bilindik konum ile bilindik olmayan konum arasındaki farkı kullanır. Hem tanıdık olmayan hem de tanıdık konumların ayrı kilitleme sayaçları vardır.
  • Hesap kilitlenmesinin ardından kullanıcı, yeniden oturum açmak için self servis parola sıfırlama (SSPR) başlatabilir. Kullanıcı SSPR sırasında parolamı unuttum'u seçerse kilitleme süresi 0 saniyeye sıfırlanır. Kullanıcı SSPR sırasında parolamı biliyorum'u seçerse kilitleme süreölçeri devam eder ve kilitleme süresi sıfırlanır. Süreyi sıfırlamak ve yeniden oturum açmak için kullanıcının parolasını değiştirmesi gerekir.

Akıllı kilitleme, şirket içi Active Directory Etki Alanı Hizmetleri (AD DS) hesaplarının saldırganlar tarafından kilitlenmesini korumak için parola karması eşitleme veya geçiş kimlik doğrulaması kullanan karma dağıtımlarla tümleştirilebilir. Microsoft Entra ID'de akıllı kilitleme ilkeleri uygun şekilde ayarlanarak, saldırılar şirket içi AD DS'ye ulaşmadan önce filtrelenebilir.

Doğrudan kimlik doğrulaması kullanılırken aşağıdaki noktalar geçerlidir:

  • Microsoft Entra kilitleme eşiği, AD DS hesabı kilitleme eşiğinden daha azdır. AD DS hesabı kilitleme eşiğinin Microsoft Entra kilitleme eşiğinden en az iki veya üç kat daha büyük olması için değerleri ayarlayın.
  • Microsoft Entra kilitleme süresi AD DS hesabı kilitleme süresinden daha uzun ayarlanmalıdır. Microsoft Entra süresi saniye, AD DS süresi ise dakika cinsinden ayarlanır.

Örneğin, Microsoft Entra akıllı kilitleme sürenizin AD DS'den yüksek olmasını istiyorsanız, Şirket içi AD'niz 1 dakika (60 saniye) olarak ayarlanırken Microsoft Entra Kimliği 120 saniye (2 dakika) olur. Microsoft Entra kilitleme eşiğinizin 5 olmasını istiyorsanız, şirket içi AD DS kilitleme eşiğinizin 10 olmasını istersiniz. Bu yapılandırma, akıllı kilitlemenin şirket içi AD DS hesaplarınızın Microsoft Entra hesaplarınıza deneme yanılma saldırıları ile kilitlenmesini engellemesini sağlar.

Önemli

Yönetici, akıllı kilitleme özelliği tarafından kilitlenmişse, kilitleme süresinin dolmasına gerek kalmadan kullanıcıların bulut hesabının kilidini açabilir. Daha fazla bilgi için bkz . Microsoft Entra Id kullanarak kullanıcı parolasını sıfırlama.

Şirket içi hesap kilitleme ilkesini doğrulama

Şirket içi AD DS hesabı kilitleme ilkenizi doğrulamak için, yönetici ayrıcalıklarıyla etki alanına katılmış bir sistemden aşağıdaki adımları tamamlayın:

  1. Grup İlkesi Yönetimi aracını açın.
  2. Varsayılan Etki Alanı İlkesi gibi kuruluşunuzun hesap kilitleme ilkesini içeren grup ilkesini düzenleyin.
  3. Bilgisayar Yapılandırma>İlkeleri> Windows Ayarlar> Güvenlik Ayarlar> Hesap İlkeleri>Hesap Kilitleme İlkesi'ne göz atın.
  4. Hesap kilitleme eşiğinizi ve Hesap kilitleme sayacını sıfırla değerlerini doğrulayın.

Modify the on-premises Active Directory account lockout policy

Microsoft Entra akıllı kilitleme değerlerini yönetme

Kuruluş gereksinimlerinize bağlı olarak Microsoft Entra akıllı kilitleme değerlerini özelleştirebilirsiniz. Kuruluşunuza özgü değerlerle akıllı kilitleme ayarlarının özelleştirilmesi için kullanıcılarınız için Microsoft Entra Id P1 veya üzeri lisanslar gerekir. Akıllı kilitleme ayarlarını özelleştirme, 21Vianet kiracıları tarafından sağlanan Microsoft Azure'da kullanılamaz.

Kuruluşunuzun akıllı kilitleme değerlerini denetlemek veya değiştirmek için aşağıdaki adımları tamamlayın:

  1. Microsoft Entra yönetim merkezinde en azından Bir Kimlik Doğrulama Yönetici istrator olarak oturum açın.

  2. Koruma>Kimlik Doğrulaması yöntemleri>Parola koruması'na göz atın.

  3. İlk kilitlenmeden önce bir hesapta kaç başarısız oturum açma işlemine izin verildiğinden, Kilitleme eşiğini ayarlayın.

    Varsayılan değer Azure Genel kiracıları için 10 ve Azure US Government kiracıları için 3'dür.

  4. Kilitleme süresini saniye cinsinden, her kilitlemenin saniye cinsinden uzunluğuna ayarlayın.

    Varsayılan değer 60 saniyedir (bir dakika).

Dekont

Kilitleme süresi dolduktan sonra ilk oturum açma işlemi de başarısız olursa hesap yeniden kilitler. Hesap tekrar tekrar kilitlenirse kilitleme süresi artar.

Customize the Microsoft Entra smart lockout policy in the Microsoft Entra admin center

Akıllı kilitlemeyi test etme

Akıllı kilitleme eşiği tetiklendiğinde, hesap kilitliyken aşağıdaki iletiyi alırsınız:

Hesabınız, yetkisiz kullanımı önlemek için geçici olarak kilitlenir. Daha sonra yeniden deneyin ve sorun yaşamaya devam ediyorsanız yöneticinize başvurun.

Akıllı kilitlemeyi test ettiğinizde, Microsoft Entra kimlik doğrulama hizmetinin coğrafi olarak dağıtılmış ve yük dengeli yapısı nedeniyle oturum açma istekleriniz farklı veri merkezleri tarafından işlenebilir.

Akıllı kilitleme, aynı parola için kilitleme sayacının artırılmasını önlemek için son üç hatalı parola karmasını izler. Birisi aynı hatalı parolayı birden çok kez girerse, bu davranış hesabın kilitlenmesine neden olmaz.

Varsayılan korumalar

Microsoft Entra ID, Akıllı kilitlemeye ek olarak IP trafiği de dahil olmak üzere sinyalleri analiz ederek ve anormal davranışları belirleyerek saldırılara karşı koruma sağlar. Microsoft Entra Id, bu kötü amaçlı oturum açmaları varsayılan olarak engeller ve parola geçerliliğinden bağımsız olarak AADSTS50053 - IdsLocked hata kodunu döndürür.

Sonraki adımlar