Azure Active Directory akıllı kilitleme özelliğiyle kullanıcı hesaplarını saldırılardan koruma

Akıllı kilitleme kullanıcılarınızın parolalarını tahmin etmeye çalışan veya bunun için deneme yanılma yöntemlerini kullanan kötü aktörleri engellemeye yardımcı olur. Akıllı kilitleme geçerli kullanıcılardan gelen oturum açma işlemlerini tanıyabilir ve bunlara, saldırganlara ve diğer bilinmeyen kaynaklara davrandığından farklı davranır. Saldırganlar engellenirken kullanıcılarınız hesaplarına erişmeye ve üretken olmaya devam eder.

Akıllı kilitleme nasıl çalışır?

Varsayılan olarak akıllı kilitleme, Azure Genel ve Azure Çin 21Vianet kiracıları için 10 ve Azure US Government kiracıları için 3 başarısız denemeden sonra hesabı bir dakika boyunca oturum açma girişimlerine karşı kilitler. Hesap, sonraki her başarısız oturum açma girişiminden sonra ilk başta bir dakika ve sonraki denemelerde daha uzun süre kilitler. Saldırganın bu davranışa çözüm getirme yöntemlerini en aza indirmek için, ek başarısız oturum açma girişimlerine göre kilitleme süresinin büyüme hızını açıklamayız.

Akıllı kilitleme, aynı parola için kilitleme sayacının artırılmasını önlemek için son üç hatalı parola karmasını izler. Birisi aynı hatalı parolayı birden çok kez girerse, bu davranış hesabın kilitlenmesine neden olmaz.

Not

Bulutta olmayan şirket içinde kimlik doğrulaması gerçekleştiğinden doğrudan kimlik doğrulaması etkinleştirilmiş müşteriler için karma izleme işlevi kullanılamaz.

AD FS 2016 ve AD FS 2019 kullanan federasyon dağıtımları , AD FS Extranet Kilitleme ve Extranet Akıllı Kilitleme'yi kullanarak benzer avantajlar sağlayabilir.

Doğru güvenlik ve kullanılabilirlik karışımını sunan bu varsayılan ayarlarla akıllı kilitleme tüm Azure AD müşteriler için her zaman açıktır. Kuruluşunuza özgü değerlerle akıllı kilitleme ayarlarının özelleştirilmesi için kullanıcılarınız için Azure AD Premium P1 veya daha yüksek lisanslar gerekir.

Akıllı kilitleme kullanmak, orijinal bir kullanıcının hiçbir zaman kilitlenmediğini garanti etmez. Akıllı kilitleme bir kullanıcı hesabını kilitlediğinde, orijinal kullanıcıyı kilitlememek için elimizden geleni yapıyoruz. Kilitleme hizmeti, kötü aktörlerin orijinal bir kullanıcı hesabına erişim sağlayabilmesini sağlamaya çalışır. Aşağıdaki noktalara dikkat edilmelidir:

  • Her Azure AD veri merkezi kilitlemeyi bağımsız olarak izler. Kullanıcının her veri merkezine isabet ederse deneme sayısı (threshold_limit * datacenter_count) vardır.
  • Akıllı Kilitleme, kötü bir oyuncu ile gerçek kullanıcı arasında ayrım yapmak için bilindik konum ile bilindik olmayan konum arasındaki farkı kullanır. Bilindik olmayan ve bilindik konumların her ikisinin de ayrı kilitleme sayaçları vardır.

Akıllı kilitleme, şirket içi Active Directory Etki Alanı Hizmetleri (AD DS) hesaplarının saldırganlar tarafından kilitlenmesini korumak için parola karması eşitleme veya doğrudan kimlik doğrulaması kullanan karma dağıtımlarla tümleştirilebilir. Azure AD'de akıllı kilitleme ilkeleri uygun şekilde ayarlanarak, saldırılar şirket içi AD DS'ye ulaşmadan önce filtrelenebilir.

Doğrudan kimlik doğrulaması kullanılırken aşağıdaki noktalar geçerlidir:

  • Azure AD kilitleme eşiği, AD DS hesabı kilitleme eşiğinden daha azdır. AD DS hesabı kilitleme eşiğinin Azure AD kilitleme eşiğinden en az iki veya üç kat daha büyük olması için değerleri ayarlayın.
  • Azure AD kilitleme süresi AD DS hesabı kilitleme süresinden daha uzun ayarlanmalıdır. ad süresi dakika cinsinden ayarlanırken Azure AD süresi saniye cinsinden ayarlanır.

Örneğin, Azure AD akıllı kilitleme sürenizin AD DS'den yüksek olmasını istiyorsanız, şirket içi AD'niz 1 dakika (60 saniye) olarak ayarlanırken Azure AD 120 saniye (2 dakika) olur. Azure AD kilitleme eşiğinizin 5 olmasını istiyorsanız, şirket içi AD kilitleme eşiğinizin 10 olmasını istersiniz. Bu yapılandırma, akıllı kilitlemenin şirket içi AD hesaplarınızın Azure AD hesaplarınıza deneme yanılma saldırıları ile kilitlenmesini engellemesini sağlar.

Önemli

Şu anda, bir yönetici, Akıllı Kilitleme özelliği tarafından kilitlenen kullanıcıların bulut hesaplarının kilidini açamaz. Yöneticinin, kilitleme süresinin dolmasını beklemesi gerekir. Ancak kullanıcı, güvenilir bir cihazdan veya konumdan self servis parola sıfırlamayı (SSPR) kullanarak kilidi açabilir.

Şirket içi hesap kilitleme ilkesini doğrulama

Şirket içi AD DS hesabı kilitleme ilkenizi doğrulamak için, yönetici ayrıcalıklarıyla etki alanına katılmış bir sistemden aşağıdaki adımları tamamlayın:

  1. grup ilkesi Yönetimi aracını açın.
  2. Varsayılan Etki Alanı İlkesi gibi kuruluşunuzun hesap kilitleme ilkesini içeren grup ilkesini düzenleyin.
  3. Bilgisayar Yapılandırma>İlkeleri>Windows Ayarları>Güvenlik Ayarları>Hesap İlkeleri>Hesap Kilitleme İlkesi'ne göz atın.
  4. Hesap kilitleme eşiğinizi ve Değerlerden sonra hesap kilitleme sayacını sıfırla'yı doğrulayın.

şirket içi Active Directory hesap kilitleme ilkesini değiştirme

Azure AD akıllı kilitleme değerlerini yönetme

Kuruluş gereksinimlerinize bağlı olarak, Azure AD akıllı kilitleme değerlerini özelleştirebilirsiniz. Kuruluşunuza özgü değerlerle akıllı kilitleme ayarlarının özelleştirilmesi için kullanıcılarınız için Azure AD Premium P1 veya daha yüksek lisanslar gerekir. Akıllı kilitleme ayarlarını özelleştirme, Azure China 21Vianet kiracıları için kullanılamaz.

Kuruluşunuzun akıllı kilitleme değerlerini denetlemek veya değiştirmek için aşağıdaki adımları tamamlayın:

  1. Azure Portal’ında oturum açın.

  2. Azure Active Directory'yi arayıp seçin, ardından Güvenlik>Kimlik Doğrulama yöntemleri>Parola koruması'yı seçin.

  3. İlk kilitlenmeden önce bir hesapta kaç başarısız oturum açma işlemine izin verilene bağlı olarak Kilitleme eşiğini ayarlayın.

    Varsayılan değer Azure Genel kiracıları için 10 ve Azure US Government kiracıları için 3'dür.

  4. Kilitleme süresini saniye cinsinden, her kilitlemenin saniye cinsinden uzunluğuna ayarlayın.

    Varsayılan değer 60 saniyedir (bir dakika).

Not

Kilitleme sonrasında ilk oturum açma işlemi de başarısız olursa hesap yeniden kilitler. Bir hesap art arda kilitlenirse kilitleme süresi artar.

Azure portal Azure AD akıllı kilitleme ilkesini özelleştirme

Akıllı kilitlemeyi test etme

Akıllı kilitleme eşiği tetiklendiğinde, hesap kilitliyken aşağıdaki iletiyi alırsınız:

Hesabınız yetkisiz kullanımı önlemek için geçici olarak kilitlendi. Daha sonra yeniden deneyin ve sorun yaşamaya devam ediyorsanız yöneticinize başvurun.

Akıllı kilitlemeyi test ettiğinizde, Azure AD kimlik doğrulama hizmetinin coğrafi olarak dağıtılmış ve yük dengeli yapısı nedeniyle oturum açma istekleriniz farklı veri merkezleri tarafından işlenebilir. Bu senaryoda, her Azure AD veri merkezi kilitlemeyi bağımsız olarak izlediğinden, bir kilitlemeye neden olmak için tanımlı kilitleme eşiğinizden daha fazla sayıda girişim gerekebilir. Bir kullanıcının tamamen kilitlenmeden önce en fazla (threshold_limit * datacenter_count) hatalı deneme sayısı vardır.

Akıllı kilitleme, aynı parola için kilitleme sayacının artırılmasını önlemek için son üç hatalı parola karmasını izler. Birisi aynı hatalı parolayı birden çok kez girerse, bu davranış hesabın kilitlenmesine neden olmaz.

Varsayılan korumalar

Akıllı kilitlemeye ek olarak, Azure AD IP trafiği de dahil olmak üzere sinyalleri analiz ederek ve anormal davranışları belirleyerek saldırılara karşı koruma sağlar. Azure AD bu kötü amaçlı oturum açmaları varsayılan olarak engeller ve parola geçerliliğinden bağımsız olarak AADSTS50053 - IdsLocked hata kodunu döndürür.

Sonraki adımlar

Deneyimi daha da özelleştirmek için, Azure AD parola koruması için özel yasaklanmış parolalar yapılandırabilirsiniz.

Kullanıcıların bir web tarayıcısından parolalarını sıfırlamasına veya değiştirmesine yardımcı olmak için self servis parola sıfırlama Azure AD yapılandırabilirsiniz.