Поделиться через

Устранение атак учетных данных в Azure AD B2C с помощью интеллектуальной блокировки

Это важно

Начиная с 1 мая 2025 г. Azure AD B2C больше не будет доступен для приобретения для новых клиентов. Дополнительные сведения см. в разделе "Вопросы и ответы".

Атаки учетных данных приводят к несанкционированным доступу к ресурсам. Пароли, заданные пользователями, должны быть достаточно сложными. Azure AD B2C имеет методы устранения рисков для атак учетных данных. Устранение рисков включает обнаружение атак учетных данных подбора и атак учетных данных словаря. С помощью различных сигналов Azure Active Directory B2C (Azure AD B2C) анализирует целостность запросов. Azure AD B2C предназначен для интеллектуального отличия предполагаемых пользователей от хакеров и ботнетов.

Как работает интеллектуальная блокировка

Azure AD B2C использует сложную стратегию для блокировки учетных записей. Учетные записи блокируются на основе IP-адреса запроса и введенных паролей. Если есть вероятность того, что это атака, длительность блокировки увеличивается. После неудачной попытки пароля (порогового значения попытки по умолчанию) происходит одноминутная блокировка. При следующем неудачном входе после разблокировки учетной записи (т. е. после автоматической разблокировки учетной записи службой после истечения срока блокировки) происходит еще одна минута блокировки и продолжается для каждого неудачного входа. Ввод одного и того же или аналогичного пароля многократно не учитывается как несколько неудачных имен входа.

Замечание

Эта функция поддерживается потоками пользователей, пользовательскими политиками и потоками ROPC . Он активируется по умолчанию, поэтому его не нужно настраивать в пользовательских потоках или настраиваемых политиках.

Разблокировка учетных записей

Первые 10 периодов блокировки — одна минута. Следующие 10 периодов блокировки немного длиннее и увеличиваются после каждых 10 периодов блокировки. Счетчик блокировки сбрасывается до нуля после успешного входа, когда учетная запись не заблокирована. Периоды блокировки могут длиться до пяти часов. Пользователи должны ждать истечения срока блокировки. Однако пользователь может разблокировать с помощью потока пользователя самостоятельного пароля.

Управление параметрами смарт-блокировки

Для управления параметрами смарт-блокировки, включая пороговое значение блокировки:

  1. Войдите на портал Azure.

  2. Если у вас есть доступ к нескольким клиентам, щелкните значок Настройки в верхнем меню, чтобы переключиться на клиент Azure AD B2C из меню Каталоги и подписки.

  3. В меню слева выберите Azure AD B2C. Или выберите все службы и найдите и выберите Azure AD B2C.

  4. В разделе "Безопасность" выберите методы проверки подлинности (предварительная версия) и выберите защиту паролей.

  5. В разделе "Настраиваемая интеллектуальная блокировка" введите нужные параметры смарт-блокировки:

    • Порог блокировки: количество неудачных попыток входа, разрешенных до первой блокировки учетной записи. Если первый вход после блокировки также завершается ошибкой, учетная запись снова блокируется.

    • Длительность блокировки в секундах: минимальная длительность каждого блокировки в секундах. Если учетные записи блокируются неоднократно, эта длительность увеличивается.

      Страница защиты паролей портала Azure в параметрах Microsoft Entra
      Установка порогового значения блокировки 5 в параметрах защиты паролей.

  6. Нажмите кнопку "Сохранить".

Тестирование смарт-блокировки

Функция интеллектуальной блокировки использует множество факторов, чтобы определить, когда учетная запись должна быть заблокирована, но основной фактор — шаблон пароля. Функция интеллектуальной блокировки рассматривает небольшие варианты пароля как набор, и они считаются одной попыткой. Рассмотрим пример.

  • Пароли, такие как 12456! и 1234567! (или newAccount1234 и newaccount1234) настолько похожи, что алгоритм интерпретирует их как человеческую ошибку и подсчитывает их как одну попытку.
  • Более крупные варианты в шаблоне, например 12456! и ABCD2!, считаются отдельными попытками.

При тестировании функции интеллектуальной блокировки используйте отличительный шаблон для каждого введенного пароля. Рассмотрите возможность использования веб-приложений создания паролей, таких как https://password-gen.com/.

При достижении порогового значения смарт-блокировки вы увидите следующее сообщение, пока учетная запись заблокирована: ваша учетная запись временно заблокирована, чтобы предотвратить несанкционированное использование. Повторите попытку позже. Сообщения об ошибках можно локализовать.

Замечание

При тестировании интеллектуальной блокировки запросы на вход могут обрабатываться различными центрами обработки данных в связи с географическим распределением и балансировкой нагрузки службы проверки подлинности Microsoft Entra. В этом сценарии, поскольку каждый центр обработки данных Microsoft Entra отслеживает блокировку независимо от других, для блокировки может потребоваться больше неудачных попыток, чем заданное пороговое значение. У пользователя есть максимальное (threshold_limit * datacenter_count) количество неудачных попыток, прежде чем полностью заблокировано. Дополнительные сведения см. в статье о глобальной инфраструктуре Azure.

Просмотр заблокированных учетных записей

Чтобы получить сведения о заблокированных учетных записях, можно проверить отчет о действиях входа в Active Directory. В разделе "Состояние" выберите "Сбой". Неудачные попытки входа с кодом 50053 указывают заблокированную учетную запись:

Раздел отчета о входе в Microsoft Entra с заблокированной учетной записью

Дополнительные сведения о просмотре отчета об активности входа в идентификаторе Microsoft Entra см. в разделе коды ошибок отчета об ошибках отчета о действиях входа.