Azure Smart lockout ile saldırganlar devre dışı!

Smart lockout, hesabınızı ele geçirmeye çalışan saldırganları ayırt etmek ve devre dışı bırakmak için kullanılan bir hizmettir. Smart lockout gerçek kullanıcı ve saldırgan arasında bir ayrım yapabilir. Böylece siz çalışmanıza devam ederken saldırganlar devre dışı bırakılır. Smart lockout varsayılan olarak tüm Azure AD kullanıcıları için aktif durumdadır. Varsayılan ayarları düzenlemek ve kuruluşunuza göre özelleştirmek için ise Azure AD Premium 1 veya daha kapsamlı bir lisansınızın olması gerekir.

Peki Smart lockout nasıl çalışır?

Smart lockout varsayılan olarak 10 hatalı erişim denemesi sonrası hesabı saldırgan için 1 dakikalığına kilitler. Sonrasında süregelen hatalı denemeler için başta 1 dakika ve sonrasında daha uzun süreler olmak üzere tekrar hesabı kilitler. Fakat hatalı denemeler aynı parolayı içeriyorsa bu bir kilitlenmeye yol açmaz. Smart lockout bunu password hash takibi yaptığı için anlayabiliyor. Bu özellik pass-through authentication kullanılan Hybrid yapılarda çalışmaz. Oturum açma on-prem tarafta gerçekleştiği için Smart lockout hash takibi yapamaz ve gerekli ayrımını gerçekleştiremez. Ancak hash sync kullanırsanız bu mümkün olabilir. Her iki senaryoda da Smart lockout Hybrid yapınızla entegre bir şekilde çalışarak On-prem hesaplarınızı da saldırganlara karşı koruyabilir.

Gerçek kullanıcılar da istenmeyen nedenler ve farklı koşullar altında şüpheli işlemler ve hatalı oturum açma denemeleri gerçekleştirebilir. Eğer bu denemeler Smart lockout politikaları ile uyuşuyorsa gerçek kullanıcıların da hesaba erişimi kısıtlanabilir. Neticede Smart lockout saldırganların hesaba erişmesini minimize etmek için tasarlanmış bir servis. Bu uğurda gerçek erişim hataları da bazen araya kaynayabilir ?

Her Azure AD veri merkezi kilitlenme olaylarını birbirinden bağımsız olarak izler. Kullanıcının her veri merkezinde ayrı bir deneme limiti vardır.

Ayrıca oturum açma denemelerinin gerçekleştiği lokasyonlar bilindik ve bilinmedik lokasyonlar olarak da iki bağlamda incelenir. Bilindik ve beklenen bir lokasyondan gelen oturum açma denemelerinin tolerans eşiği daha yüksektir. Örneğin; bilindik bir lokasyondan gelen (Istanbul) 5 farklı hatalı oturum açma talebine karşın hesabınız kilitlenmez ve 6. Denemede doğru parola ile hesabınıza giriş yapabilirken bilinmedik bir lokasyondan (Amsterdam) gerçekleştireceğiniz 5. Hatalı oturum açma denemesi sonrası hesabınız kilitlenecektir. Bu esnada Amsterdam’dan gelecek her bir hatalı deneme için kilitlenme süresi artarak devam ederken İstanbul’dan gelen oturum açma talepleri karşılanmaya devam edecektir.

Smart lockout’un öne çıkan ve ana amacını oluşturan özelliği de budur. Kötü amaçlı aktörü devre dışı bırakırken sizin çalışmanıza devam etmenize olanak sağlar.

Smart lockout’a göz atalım

Başta da bahsettiğimiz gibi eğer Azure AD Premium1 veya daha kapsamlı bir lisansınız varsa size sunulan varsayılan Smart lockout ayarlarında düzenleme yapabilirsiniz. Bunun için Azure AD portalından Güvenlik>>Kimlik Doğrulama Yöntemleri>>Parola koruması menülerini takip edin.

Burada Kilitleme eşiği değeri kaç tane hatalı deneme ardından hesabın kilitleneceğini belirtmekte. Yukarıda da belirttiğimiz gibi hatalı parola denemeleri her bir datacenter tarafından birbirinden bağımsız olarak takip edilmektedir. Bazen hatalı denemelerinizin sayısı 10’u geçmesine ragmen hesabınız kilitlenmeyebilir. Bunun nedeni tek bir datacenter’da 10 adet hatalı oturum açma talebine ulaşmamış olmanızdır. Bazı talepleriniz farklı datacenterler tarafından ele alınmış olabilir.

Saniye cinsinden kilileme süresi kısmında ise her bir kilitlenmenin kaç saniye süreceğini belirtebilirsiniz. Eğer kilitlenme sonrası ilk oturum açma da hatalı olursa bu kilitlenme süresi otomatik olarak artacaktır.

Kuruluşunuzda kullanılmasını istemediğiniz veya sık tercih edilen kolay tahmin edilebilir parolalardan kaçınmak için Özel yasakli parola listesi özelliğini kullanabilirsiniz.

Eğer bir Hybrid yapınız varsa on-prem AD hesaplarınız için Windows Server Active Directory için parola koruması özelliğini etkinleştirebilirsiniz.

Gerçekleştirdiğiniz yapılandırmaları devreye almak yapınızda bir karmaşa veya kesintiye yol açabilir. Bu nedenle Mod kısmında Denetim seçeneğini tercih ederek sadece eşleşen olaylar ile ilgili logları izleyebilirsiniz. Eğer Zorunlu seçeneğini aktif ederseniz tüm yapılandırmalar eşleşen olaylara uygulanacaktır.

Şimdi hızlı bir örnek yapacak olursak,

Saldırgan ve kötü niyetli arkadaşımız Hollanda’da barınıyor olsun. Gerçek kullancımız ise İstanbul’da yaşıyor ve kendi halinde ona verilen işler ile ilgileniyor olsun.

Saldırgan arkadaşımızın Hollanda’da bulunan bir sunucu üzerinden yaptığı ard arda hatalı denemeler sonrası jack@tayfuntech.com hesabı geçici olarak kilitlendi.

Fakat bu esnada Jack arkadaşımızın hesabına kendisi tarafından İstanbul’dan sağlanan mevcut ve yeni oturum açmalar bu durumdan etkilenmedi. Kendisi kesintisiz şekilde işine gücüne devam edebildi.

Söz konusu oturum açma hataları ve hesap kilitlenme işlemini Azure Active Directory Oturum açma günlükleri menüsünden de takip edebilir ve inceleyebilirsiniz. Oturum açma işlemleri ile ilgili cihaz, konum vb bir çok ek detaya buradan ulaşabilirsiniz.

DİKKAT! Bu hatalı denemeler ardından hesap muhtemelen Riskli kullanıcılar listesine girecektir. Parola sıfırlama, MFA aktif etme gibi önlemleri alıp gerekli kontrolleri yaptıktan sonra hesabı riskli kullanıcılar menüsünden çıkartmayı da unutmayın.

Umarım anlatım ve örnekler ile servisin daha anlaşılır hale gelmesini sağlamışımdır. Kolaylıklar dilerim.

Exit mobile version