使用 Microsoft Entra 智慧鎖定防止使用者帳戶遭受攻擊

  • 文章

智慧鎖定會協助鎖定嘗試猜測使用者密碼或使用暴力方法登入的不良執行者。 此外,智慧鎖定也會辨識來自有效使用者的登入,並將其視為不同於攻擊者和其他不明來源所進行的登入。 攻擊者會遭到鎖定,但您的使用者仍可繼續存取其帳戶並保有生產力。

智慧鎖定的運作方式

根據預設,智慧鎖定會鎖定帳戶在之後登入:

  • 21Vianet 租使用者運作的 Azure 公用和 Microsoft Azure 中的 10 次失敗嘗試
  • Azure 美國政府租使用者的 3 次失敗嘗試

每次後續登入嘗試失敗之後,帳戶會再次鎖定。 鎖定期間一開始為一分鐘,後續嘗試的時間更長。 為了將攻擊者因應此行為的方式降到最低,我們不會透露鎖定期間在登入嘗試失敗後增加的速率。

智慧鎖定會追蹤最後三個不正確的密碼雜湊,以避免增加相同密碼的鎖定計數器。 如果有人多次輸入相同的錯誤密碼,此行為不會造成帳戶鎖定。

注意

雜湊追蹤功能不適用於已啟用傳遞驗證的客戶,因為驗證發生在內部部署,而不是在雲端中。

使用 Active Directory 同盟服務 (AD FS) 2016 和 AD FS 2019 的同盟部署可以使用 AD FS 外部網路鎖定和外部網路智慧鎖定 來啟用類似的優點 。 建議移至 受控驗證

任何 Microsoft Entra 客戶只要採用兼具適當安全性和可用性的預設設定,智慧鎖定就一律會啟用。 要使用組織的特定值自訂智慧鎖定設定,您的使用者必須具有 Microsoft Entra ID P1 或更高的授權。

使用智慧鎖定並不保證實際使用者絕對不會遭到鎖定。當智慧鎖定將使用者帳戶鎖定時,我們會竭盡所能不鎖定實際使用者。 鎖定服務會嘗試確保不良執行者無法取得實際使用者帳戶的存取權。 下列考量適用:

  • 跨 Microsoft Entra 資料中心的鎖定狀態已同步處理。 不過,鎖定帳戶之前允許的失敗登入嘗試總數將會與設定的鎖定閾值稍有差異。 一旦帳戶遭到鎖定,就會鎖定所有 Microsoft Entra 資料中心的任何地方。
  • 智慧鎖定會使用熟悉的位置與不熟悉的位置來區分不良動作專案與真實使用者。 不熟悉和熟悉的位置都有個別的鎖定計數器。
  • 帳戶鎖定之後,使用者可以起始自助式密碼重設 (SSPR) 再次登入。 如果使用者選擇 我在 SSPR 期間忘記密碼 ,鎖定的持續時間會重設為 0 秒。 如果使用者選擇 我在 SSPR 期間知道密碼 ,鎖定計時器會繼續,而且鎖定的持續時間不會重設。 若要重設持續時間並再次登入,使用者必須變更其密碼。

智慧鎖定可與混合式部署整合,使用密碼雜湊同步或傳遞驗證保護內部部署 Active Directory Domain Services (AD DS) 帳戶不被攻擊者鎖定。 藉由適當地在 Microsoft Entra ID 中設定智慧鎖定原則,攻擊將會在到達內部部署 AD DS 之前遭到篩除。

使用 傳遞驗證 時,適用下列考慮:

  • Microsoft Entra 鎖定閾值 小於 AD DS 帳戶鎖定閾值。 請適當設定這些值,使 AD DS 帳戶的鎖定閾值比 Microsoft Entra 的鎖定閾值至少長兩到三倍。
  • Microsoft Entra 鎖定持續時間,必須設定為比 AD DS 帳戶鎖定持續時間還要長。 Microsoft Entra 持續時間是以秒為單位設定,而 AD DS 持續時間則以分鐘為單位設定。

例如,如果您希望 Microsoft Entra 智慧鎖定持續時間高於 AD DS,則可以將 Microsoft Entra ID 設定 120 秒 (2 分鐘),並將內部部署 AD 設定為 1 分鐘 (60 秒)。 如果您想要將 Microsoft Entra 鎖定閾值設為 5,則您希望內部部署 AD DS 鎖定閾值為 10。 此設定可確保智慧鎖定可防止內部部署 AD DS 帳戶遭到 Microsoft Entra 帳戶的暴力密碼破解攻擊鎖定。

重要

如果使用者已被智慧鎖定功能鎖定,系統管理員就可以解除鎖定使用者的雲端帳戶,而不需要等待鎖定持續時間到期。 如需詳細資訊,請參閱 使用 Microsoft Entra ID 重設使用者的密碼。

確認內部部署帳戶鎖定原則

若要確認您的內部部署 AD DS 帳戶鎖定原則,請從具有系統管理員許可權的已加入網域的系統中完成下列步驟:

  1. 開啟群組原則管理工具。
  2. 編輯包含組織帳戶鎖定原則的群組原則,例如 預設網域原則
  3. 流覽至 [電腦設定 > 原則 > ][Windows 設定 > 安全性設定 > 帳戶 > 原則帳戶鎖定原則]。
  4. 確認您的帳戶 鎖定閾值 ,並在 值之後 重設帳戶鎖定計數器。

Modify the on-premises Active Directory account lockout policy

管理 Microsoft Entra 智慧鎖定值

根據您的組織需求,您可以自訂 Microsoft Entra 智慧鎖定值。 要使用組織的特定值自訂智慧鎖定設定,您的使用者必須具有 Microsoft Entra ID P1 或更高的授權。 自訂智慧鎖定設定不適用於由 21Vianet 租使用者運作的 Microsoft Azure。

若要檢查或修改貴組織的智慧鎖定值,請完成下列步驟:

  1. 以至少驗證管理員istrator 身分登入 Microsoft Entra 系統管理中心

  2. 流覽至 [保護 > 驗證方法 > 密碼保護]。

  3. 根據帳戶第一次鎖定之前允許多少個失敗的登入來設定鎖定閾值

    Azure 公用租使用者的預設值為 10,而 Azure US Government 租使用者的預設值為 3。

  4. 鎖定持續時間以秒 為單位,設定為每個鎖定的秒數長度。

    預設值為 60 秒(一分鐘)。

注意

如果鎖定期間過後的第一次登入也失敗,帳戶會再次鎖定。 如果帳戶重複鎖定,鎖定持續時間就會增加。

Customize the Microsoft Entra smart lockout policy in the Microsoft Entra admin center

測試智慧鎖定

觸發智慧鎖定閾值時,您會在帳戶鎖定時收到下列訊息:

您的帳戶已暫時鎖定,以防止未經授權的使用。 請稍後再試,如果此問題持續發生,請連絡您的系統管理員。

當您測試智慧鎖定時,由於 Microsoft Entra 驗證服務的地理位置分散和負載平衡的本質,您的登入要求可能會由不同的資料中心處理。

智慧鎖定會追蹤最後三個不正確的密碼雜湊,以避免增加相同密碼的鎖定計數器。 如果有人多次輸入相同的錯誤密碼,此行為不會造成帳戶鎖定。

預設保護

除了智慧鎖定之外,Microsoft Entra ID 也會藉由分析包括 IP 流量和識別異常行為的訊號來防範攻擊。 Microsoft Entra ID 預設會封鎖這些惡意登入,並傳回 AADSTS50053 - IdsLocked 錯誤碼 ,不論密碼有效性為何。

下一步