Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Интеллектуальная блокировка помогает блокировать злоумышленников, которые пытаются угадать пароли пользователей или используют методы грубой силы для входа. Интеллектуальная блокировка может распознавать попытки входа от действительных пользователей и относиться к ним иначе, чем к злоумышленникам и другим неизвестным источникам. Доступ для злоумышленников блокируется. При этом обычные пользователи могут спокойно получать доступ к учетным записям и продолжать работу.
Как работает интеллектуальная блокировка
По умолчанию, умная блокировка предотвращает вход в учетную запись после:
- 10 неудачных попыток в общедоступной среде Azure и Microsoft Azure, управляемых клиентами 21Vianet
- 3 неудачные попытки для клиентов Azure для государственных организаций США
Учетная запись снова блокируется после каждой последующей неудачной попытки входа. Период блокировки составляет одну минуту сначала, а при последующих попытках он дольше. Чтобы свести к минимуму способы, с помощью которых злоумышленник может обойти это поведение, мы не раскрываем частоту, по которой период блокировки увеличивается после неудачных попыток входа.
Умная блокировка отслеживает последние три неверных хэша пароля во избежание повторного увеличения счетчика блокировки для одного и того же пароля. Если кто-то вводит один и тот же неправильный пароль несколько раз, это поведение не приводит к блокировке учетной записи.
Примечание.
Функция отслеживания хэшей недоступна для клиентов, использующих сквозную проверку подлинности, так как проверка подлинности выполняется локально, а не в облаке.
Федеративные развертывания, использующие службы федерации Active Directory (AD FS) 2016 и AD FS 2019, могут обеспечить аналогичные преимущества, используя функции AD FS Extranet Lockout и Extranet Smart Lockout. Рекомендуется перейти к управляемой проверке подлинности.
Смарт-блокировка всегда включена для всех клиентов Microsoft Entra с этими параметрами по умолчанию, которые предлагают правильный набор безопасности и удобства использования. Настройка параметров смарт-блокировки с значениями, характерными для вашей организации, требует лицензии Microsoft Entra ID P1 или более поздней версии для пользователей.
Использование интеллектуальной блокировки не гарантирует, что разрешенный пользователь никогда не будет заблокирован. Если смарт-блокировка блокирует учетную запись пользователя, мы сделаем все возможное, чтобы разрешенный пользователь не был заблокирован. Служба блокировки пытается ограничить доступ злоумышленников к учетной записи настоящего пользователя. Действуют следующие ограничения:
Состояние блокировки в центрах обработки данных Microsoft Entra синхронизируется. Однако общее количество неудачных попыток входа, разрешенных до блокировки учетной записи, будет иметь небольшое отклонение от заданного порога блокировки. После блокировки учетной записи она блокируется везде во всех центрах обработки данных Microsoft Entra.
Smart Lockout использует знакомое расположение и незнакомое расположение для различия между плохим субъектом и подлинным пользователем. Как незнакомые, так и знакомые места имеют отдельные счетчики блокировок.
Чтобы система не блокировала пользователя, входящего из незнакомого местоположения, он должен использовать правильный пароль, чтобы избежать блокировки, и иметь малое количество предыдущих попыток входа из таких мест. Если пользователь заблокирован из незнакомого местоположения, он должен рассмотреть возможность использования самостийной сброса пароля (SSPR), чтобы сбросить счетчик блокировки.
После блокировки учетной записи пользователь может инициировать самостоятельный сброс пароля (SSPR) для повторного входа. Если пользователь выбирает Я забыл свой пароль во время процедуры самовосстановления пароля (SSPR), длительность блокировки сбрасывается до 0 секунд. Если пользователь выбирает Я знаю свой пароль во время SSPR, таймер блокировки продолжает отсчитывать время, а длительность блокировки не сбрасывается. Чтобы сбросить длительность и снова войти, пользователю необходимо изменить пароль.
Смарт-блокировку можно интегрировать в гибридные среды с помощью синхронизации хэшей паролей или сквозной проверки подлинности для защиты локальных учетных записей доменных служб Active Directory Domain Services от блокировки злоумышленниками. Установив политики умной блокировки в Microsoft Entra ID, можно отфильтровать атаки, прежде чем они достигнут локальных AD DS.
При использовании сквозной проверки подлинности применяются следующие рекомендации.
- Порог блокировки Microsoft Entra должен быть меньше порога блокировки учетной записи AD DS. Задайте значения таким образом, чтобы порог блокировки учетной записи AD DS был не менее двух или трех раз больше порога блокировки Microsoft Entra.
- Длительность блокировки Microsoft Entra должна превышать продолжительность блокировки учетной записи AD DS. Длительность Microsoft Entra устанавливается в секундах, а длительность AD DS — в минутах.
Подсказка
Эта конфигурация обеспечивает, что Microsoft Entra смарт-блокировка останавливает локальные учетные записи AD DS от блокировки вследствие атак перебора, таких как атаки типа распыления паролей на учетные записи Microsoft Entra.
Например, если требуется, чтобы длительность смарт-блокировки Microsoft Entra была выше AD DS, то идентификатор Microsoft Entra будет 120 секунд (2 минуты), а для локальной службы AD задано значение 1 минуты (60 секунд). Если вы хотите, чтобы порог блокировки Microsoft Entra был 10, то вы хотите, чтобы порог блокировки локальных AD DS был 5.
Внимание
Администратор может разблокировать облачную учетную запись пользователей, если они были заблокированы функцией Smart Lockout без необходимости ожидания истечения срока действия блокировки. Дополнительные сведения см. в разделе "Сброс пароля пользователя с помощью идентификатора Microsoft Entra".
Проверка локальных политик блокировки учетных записей
Чтобы проверить политику блокировки учетных записей локальных доменных служб Active Directory, выполните следующие действия из системы, присоединенной к домену, с правами администратора:
- Откройте средства управления групповыми политиками.
- Измените групповую политику, которая включает политику блокировки учетной записи вашей организации, например политику домена по умолчанию.
- Перейдите к Конфигурация компьютера>Политики>Настройки Windows>Настройки безопасности>Политики учетных записей>Политика блокировки учетной записи.
- Проверьте значения порога блокировки учетной записи и сброса счетчика блокировки учетной записи после.
Управление значениями интеллектуальной блокировки Microsoft Entra
В соответствии с требованиями вашей организации можно настроить значения интеллектуальной блокировки Microsoft Entra. Настройка параметров смарт-блокировки с значениями, характерными для вашей организации, требует лицензии Microsoft Entra ID P1 или более поздней версии для пользователей. Настройка параметров смарт-блокировки недоступна для клиентов Microsoft Azure, управляемых клиентами 21Vianet.
Чтобы проверить или изменить значения параметров смарт-блокировки для организации, выполните следующие действия.
Войдите в Центр администрирования Microsoft Entra как минимум с правами Администратора политики аутентификации.
Перейдите к Entra ID>методам проверки подлинности>Защита паролей.
Задайте порог блокировки в зависимости от того, сколько неудачных входов разрешено в учетной записи перед первой блокировкой.
Значение по умолчанию — 10 для клиентов общедоступного облака Azure и 3 — для клиентов облака Azure для государственных организаций США.
Установите продолжительность блокировки в секундах, соответствующую длительности каждой блокировки.
Значение по умолчанию — 60 секунд (одна минута).
Примечание.
Если первый вход после истечения срока блокировки также завершается ошибкой, учетная запись снова блокируется. Если учетная запись будет заблокирована несколько раз, продолжительность блокировки увеличится.
Тестирование смарт-блокировки
При активации порога интеллектуальной блокировки вы получите следующее сообщение во время блокировки учетной записи:
Ваша учетная запись временно заблокирована, чтобы предотвратить ее несанкционированное использование. Повторите попытку позже. Если проблема не устранена, обратитесь к администратору.
При тестировании интеллектуальной блокировки запросы на вход могут обрабатываться различными центрами обработки данных в связи с географическим распределением и балансировкой нагрузки службы проверки подлинности Microsoft Entra.
Умная блокировка отслеживает последние три неверных хэша пароля во избежание повторного увеличения счетчика блокировки для одного и того же пароля. Если кто-то вводит один и тот же неправильный пароль несколько раз, это поведение не приводит к блокировке учетной записи.
Защита по умолчанию
Помимо смарт-блокировки идентификатор Microsoft Entra также защищает от атак, анализируя сигналы, включая IP-трафик и определяя аномальное поведение. Идентификатор Microsoft Entra блокирует эти вредоносные входы по умолчанию и возвращает AADSTS50053 — код ошибки IdsLocked независимо от допустимости пароля.
Следующие шаги
Чтобы дополнительно настроить интерфейс, можно настроить настраиваемые запрещенные пароли для защиты паролей Microsoft Entra.
Чтобы помочь пользователям сбросить или изменить пароль из веб-браузера, можно настроить самостоятельный сброс пароля Microsoft Entra.