Aracılığıyla paylaş

Akıllı kilitleme ile Azure AD B2C'de kimlik bilgisi saldırılarını azaltma

  • Makale

Kimlik bilgisi saldırıları kaynaklara yetkisiz erişime yol açar. Kullanıcılar tarafından ayarlanan parolaların makul derecede karmaşık olması gerekir. Azure AD B2C,kimlik bilgisi saldırıları için risk azaltma tekniklerine sahiptir. Azaltma, deneme yanılma kimlik bilgisi saldırılarını ve sözlük kimlik bilgisi saldırılarını algılamayı içerir. Azure Active Directory B2C (Azure AD B2C), çeşitli sinyalleri kullanarak isteklerin bütünlüğünü analiz eder. Azure AD B2C, hedeflenen kullanıcıları bilgisayar korsanlarından ve botnetlerden akıllı bir şekilde ayırt etmek için tasarlanmıştır.

Akıllı kilitleme nasıl çalışır?

Azure AD B2C, hesapları kilitlemek için gelişmiş bir strateji kullanır. Hesaplar, isteğin IP'sine ve girilen parolalara göre kilitlenir. Kilitleme süresi, saldırı olma olasılığına bağlı olarak da artar. Parola 10 kez başarısız olarak denendikten sonra (varsayılan deneme eşiği), bir dakikalık kilitleme gerçekleşir. Hesabın kilidi açıldığında bir sonraki oturum açma işlemi başarısız olduğunda (yani, kilitleme süresi sona erdiğinde hesabın kilidi hizmet tarafından otomatik olarak açıldığında), bir dakikalık başka bir kilitleme gerçekleşir ve başarısız olan her oturum açma işlemi için devam eder. Aynı veya benzer parolayı tekrar tekrar girmek birden çok başarısız oturum açma işlemi olarak sayılmaz.

Dekont

Bu özellik kullanıcı akışları, özel ilkeler ve ROPC akışları tarafından desteklenir. Kullanıcı akışlarınızda veya özel ilkelerinizde yapılandırmanız gerekmeyecek şekilde varsayılan olarak etkinleştirilir.

Hesapların kilidini açma

İlk 10 kilitleme süresi bir dakika uzunluğundadır. Sonraki 10 kilitleme dönemi biraz daha uzundur ve her 10 kilitleme döneminden sonra süre artar. Kilitleme sayacı, hesap kilitlenmediğinde başarılı bir oturum açma işlemi sonrasında sıfıra sıfırlanır. Kilitleme süreleri beş saate kadar sürebilir. Kullanıcıların kilitleme süresinin dolmasını beklemesi gerekir. Ancak, kullanıcı self servis parola kullanıcı akışını kullanarak kilidini açabilir.

Akıllı kilitleme ayarlarını yönetme

Kilitleme eşiği dahil olmak üzere akıllı kilitleme ayarlarını yönetmek için:

  1. Azure Portal oturum açın.

  2. Birden çok kiracıya erişiminiz varsa, Dizinler + abonelikler menüsünden Azure AD B2C kiracınıza geçmek için üstteki menüden Ayarlar simgesini seçin.

  3. Soldaki menüden Azure AD B2C'yi seçin. Ya da Tüm hizmetler'i seçip Azure AD B2C'yi arayıp seçin.

  4. Güvenlik'in altında Kimlik doğrulama yöntemleri (Önizleme)'yi ve ardından Parola koruması'yı seçin.

  5. Özel akıllı kilitleme altında, istediğiniz akıllı kilitleme ayarlarını girin:

    • Kilitleme eşiği: Hesap ilk kez kilitlenmeden önce izin verilen başarısız oturum açma denemelerinin sayısı. Kilitlemeden sonraki ilk oturum açma işlemi de başarısız olursa hesap yeniden kilitler.

    • Saniye cinsinden kilitleme süresi: Her kilitlemenin saniye cinsinden en düşük süresi. Bir hesap tekrar tekrar kilitlenirse, bu süre artar.

      Azure portal Password protection page in Microsoft Entra settings
      Parola koruma ayarlarında kilitleme eşiğini 5 olarak ayarlayın.

  6. Kaydet'i seçin.

Akıllı kilitlemeyi test etme

Akıllı kilitleme özelliği, bir hesabın ne zaman kilitlenmesi gerektiğini belirlemek için birçok faktör kullanır, ancak birincil faktör parola düzenidir. Akıllı kilitleme özelliği, parolanın küçük çeşitlemelerini küme olarak değerlendirir ve bunlar tek deneme olarak sayılır. Örnek:

  • 12456 gibi parolalar! ve 1234567! (veya newAccount1234 ve newaccount1234) o kadar benzerdir ki algoritma bunları insan hatası olarak yorumlar ve bunları tek deneme olarak sayar.
  • Desende 12456 gibi daha büyük varyasyonlar! ve ABCD2!, ayrı denemeler olarak sayılır.

Akıllı kilitleme özelliğini test ederken, girdiğiniz her parola için ayırt edici bir desen kullanın. gibi https://password-gen.com/parola oluşturma web uygulamalarını kullanmayı göz önünde bulundurun.

Akıllı kilitleme eşiğine ulaşıldığında, hesap kilitliyken şu iletiyi görürsünüz: Hesabınız yetkisiz kullanımı önlemek için geçici olarak kilitlenir. Daha sonra yeniden deneyin. Hata iletileri yerelleştirilebilir.

Dekont

Akıllı kilitlemeyi test ettiğinizde, Microsoft Entra kimlik doğrulama hizmetinin coğrafi olarak dağıtılmış ve yük dengeli yapısı nedeniyle oturum açma istekleriniz farklı veri merkezleri tarafından işlenebilir. Bu senaryoda, her Microsoft Entra veri merkezi kilitlemeyi bağımsız olarak izlediğinden, kilitlemeye neden olmak için tanımlanan kilitleme eşiği deneme sayısından daha fazla sürebilir. Kullanıcının tamamen kilitlenmeden önce en fazla (threshold_limit * datacenter_count) hatalı deneme sayısı vardır. Daha fazla bilgi için bkz . Azure genel altyapısı.

Kilitli hesapları görüntüleme

Kilitlenen hesaplar hakkında bilgi edinmek için Active Directory oturum açma etkinlik raporunu de kontrol edebilirsiniz. Durum'un altında Hata'yı seçin. Oturum açma hata koduyla 50053 başarısız oturum açma denemeleri kilitli bir hesabı gösterir:

Section of Microsoft Entra sign-in report showing locked-out account

Microsoft Entra Id'de oturum açma etkinlik raporunu görüntüleme hakkında bilgi edinmek için bkz . Oturum açma etkinliği raporu hata kodları.