Bloquear usuários

A aba Block Users inclui configurações que aumentam a segurança da conta ao impedir tentativas de acesso não autorizadas. Quando os usuários excedem um número predefinido de verificações de identidade inválidas ou tentativas de ações de autoatendimento, o ADSelfService Plus pode bloquear automaticamente o acesso deles — seja temporariamente ou até que um administrador intervenha. Isso minimiza ataques de força bruta e fortalece a postura geral de autenticação em todos os endpoints protegidos pelo ADSelfService Plus.

Limitações

Falhas de MFA com Duo Security ou autenticação por smart card não contam para o limite de bloqueio porque esses autenticadores implementam seus próprios mecanismos de bloqueio e bloqueio temporário.
O bloqueio é aplicado apenas para operações e endpoints protegidos pelo ADSelfService Plus; ele não substitui nem sobrepõe as políticas nativas de bloqueio de conta configuradas no seu domínio AD.

Configurar bloqueio de usuários

Faça login no ADSelfService Plus com credenciais administrativas.
Navegue até Configuration > Self-Service > Policy configuration.
Na lista de políticas, clique no ícone Advanced da política para a qual deseja ativar o bloqueio de usuários.
Na janela pop-up, selecione Block Users.

Aba de usuários bloqueados no ADSelfService Plus

Under Bloquear usuários que falharem na verificação de identidade, configure the following settings:
- Definir o limite
  Use Allow a maximum of X invalid attempts within Y minutes para especificar o número de falhas na verificação de identidade permitidas dentro de uma janela de tempo específica.
- Definir o limite de bloqueio
  Use Block users for a period of X mins para definir por quanto tempo o usuário deve permanecer bloqueado. Após o tempo especificado expirar, o usuário será desbloqueado automaticamente. Você pode definir um período específico em minutos ou selecionar Forever para manter o usuário bloqueado até que um administrador o desbloqueie manualmente.
Clique em OK para salvar suas alterações.

Nota

Cada tentativa falha de verificação de identidade conta para o limite, incluindo:

Entrada incorreta de senha
Códigos de backup inválidos
Submissões incorretas ou expiradas de OTP, inclusive durante o cadastro
Falhas em verificações MFA, exceto para Duo Security e smart card

Enquanto bloqueado, o usuário:

Não pode redefinir senhas nem desbloquear contas pelo ADSelfService Plus
Não pode fazer login em aplicações ou dispositivos endpoint que dependem do ADSelfService Plus para autenticação/MFA

Restringir ações de autoatendimento

Para mitigar ainda mais ataques automatizados, você pode limitar a frequência com que os usuários realizam operações de autoatendimento.

Na mesma janela pop-up de Advanced settings, navegue até a seção Restrict Self-Service Actions.
Configure the following:
- Allow users to reset passwords only X times within Y days: Defina um limite para redefinições de senha dentro de um número específico de dias. Por exemplo, permitir três redefinições em sete dias impede que os usuários redefinam a senha mais de três vezes por semana.
- Allow users to unblock accounts only X times within Y days: Defina um limite para desbloqueios de conta dentro de um número específico de dias. Por exemplo, cinco desbloqueios em 30 dias significa que os usuários não podem desbloquear a conta mais de cinco vezes por mês.
Clique em OK para salvar suas alterações.

Restringir ações de autoatendimento no ADSelfService Plus

Auditar usuários bloqueados

Você pode revisar a lista de usuários que falharam na verificação de identidade e foram bloqueados de acessar o ADSelfService Plus.

No portal administrativo do ADSelfService Plus, navegue até Reports > Password Self-Service Reports > Blocked Users Report.
Selecione a política relevante para a qual deseja visualizar a lista de usuários bloqueados e especifique o período.
Clique em Generate.
Review:
- Usuários atualmente bloqueados
- Usuários bloqueados anteriormente e seu histórico de bloqueio ou desbloqueio
- Registros de data e hora mostrando quando os usuários foram bloqueados
Clique aqui para saber mais sobre o Blocked Users Report.

Desbloquear usuários

Para desbloquear usuários,

Navegue até Reports > Password Self-Service Reports > Blocked Users Report.
Escolha a política e clique em Generate.
Selecione as caixas de seleção ao lado dos usuários que deseja desbloquear da lista.
Clique em Unblock, e depois clique em OK para confirmar.

Desbloqueando usuários no Relatório de Usuários Bloqueados do ADSelfService Plus.

Dicas

Defina limites razoáveis para tentativas inválidas para equilibrar usabilidade e segurança.
Revise periodicamente o Blocked Users Report para identificar padrões que possam indicar ataques direcionados.
Incentive os usuários a se inscreverem em métodos MFA e manterem suas informações de recuperação atualizadas para reduzir tentativas de verificação falhas.
Use bloqueio temporário em vez de bloqueio permanente, a menos que seja exigido pela política de segurança.
Aplique políticas separadas para contas de alto privilégio para impor limites de verificação mais rigorosos.

Tópico Anterior Próximo Tópico

Obrigado!

Sua solicitação foi enviada para a equipe de suporte técnico do ADSelfService Plus. Nossa equipe técnica irá assisti-lo o mais breve possível.

Precisa de assistência técnica?

Digite seu e-mail
Fale com especialistas

Não encontrou o que procura?

Visite nossa comunidade

Publique suas perguntas no fórum.
Solicite recursos adicionais

Envie-nos suas necessidades.
Precisa de assistência para implementação?

Experimente o OnboardPro