Bildirimler
Hepsini Temizle

Office365 kullanıcılarının AD hesapları Lock oluyor  

  RSS
akinbeslan
(@akinbeslan)
Üye

Arkadaşlar Merhaba,

Son günlerde kullanıcılardan sürekli olarak hesaplarının lock olduğuna dair şikayet geliyor. Kontrollerimiz sırasında dışardan bir attack ile office365 portalına girip kullanıcıların user ve şifresini defalarca deneyip lock eden birşey  tespit ettik.

Bu konuda en etkin şekilde nasıl bir çözüm sağlayabiliriz. Tecrübelerinizi paylaşabilirseniz sevinirim.

 

Teşekkürler.

Alıntı
Gönderildi : 27/12/2018 14:27
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Merhaba

Öncelikle şifreleri nasıl çalmışlar bunu bulmanız gerekli, eğer ortamda virüs ve benzeri kötü içerikli kodlar var ise öncelikle bunları temizlemeniz lazım.

Sosyal mühendislik gibi basit şifreler yüzünden ise özellikle bu sorunu yaşayan kullanıcılar için MFA açın sorun kalmaz.

Ek olarak oltalama mailleri için farkındalık araçlarından yararlanın.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 27/12/2018 22:31
Umit SEYHAN
(@umitseyhan)
Saygın Üye Forum Yöneticisi

Merhaba Akın Bey,

 

Kullanıcıların kimlik doğrulaması Azure AD üzerinden mi? Yoksa local AD üzerinde mi yapılıyor.

Local AD üzerinde ADFS kullanıyorsanız ADFS üzerinde ip bazlı engelleme yapabilir veya firewall üzerinden office 365 ip adreslerine ve Türkiye'deki ip adres bloğuna izin vererek önlem alabilirsiniz. Yada ADFS üzerinde Azure MFA aktif edebilirsiniz.

 

Kullanıcılar Azure AD üzerinde ise conditional access servisini kullanabilirsiniz Azure AD Premium Plan 1 paketinde bu özellik yer almaktadır. Bu özellik ile kullanıcı davranışları izlenerek anormal bir login olma işlemi olduğunda kullanıcıyı MFA'e zorlamaktadır.

 

Bilginize.

CevapAlıntı
Gönderildi : 27/12/2018 23:47
Hakan Marangoz
(@hakanmarangoz-2)
Üye

Office 365 üzerinde Bruce Force attack ile kullanıcıların Lockout olma durumu varsa öncelikle Azure AD üzerindeki alabileceğiniz güvenlik önlemleri bulunmaktadır.Azure Active Directory üzerinde Password Protection altındaki Custom Smart Lockout değerini kontrol ediniz. Eğer kullanıcılarınız Local Active Directory üzerinden Azure Active Directory'e ADConnect aracılığı ile sync oluyorsa Lockout Thresold değerini Local AD üzerindeki Gpo ile uygulanan Lockout değerinden daha düşük bir sayı olacak şekilde değiştirerek devreye girmesini sağlayabilirsiniz.

Örneğin : Local AD GPO üzerinde account Lockout ayarı 5 ise Azure AD üzerindeki değeri 3 yapınız böylelikle Bruce Force gibi Identity ataklarında Azure AD direk account'ı lock etmek yerine isteğin geldiği yeri block'luyor olacak.

Daha fazla bilgi için :

https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-password-smart-lockout

CevapAlıntı
Gönderildi : 29/12/2018 20:45
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

[quote user="Hakan UZUNER"]

Merhaba

Öncelikle şifreleri nasıl çalmışlar bunu bulmanız gerekli, eğer ortamda virüs ve benzeri kötü içerikli kodlar var ise öncelikle bunları temizlemeniz lazım.

Sosyal mühendislik gibi basit şifreler yüzünden ise özellikle bu sorunu yaşayan kullanıcılar için MFA açın sorun kalmaz.

Ek olarak oltalama mailleri için farkındalık araçlarından yararlanın.

[/quote]

Bu arada Ümit ve Hakan' ın cevaplarından sonra ben portu şifre çalınmış gibi okuduğumu fark ettim 🙂 bu aralar ne yazık ki bir kaç müşteride üst üste geldi ve yine benzer bir soru olunca dikkatsiz davranmışım. Arkadaşlarımın tavsiyeleri daha geçerlidir bu durumda. Benimkisi de olurda böyle bir durum olur ise kulağınıza küpe olsun diye yazmışmış olsun 🙂

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 29/12/2018 21:08
Paylaş: