En relación a la configuración de bloqueos tras XX intentos fallidos en la introducción de la contraseña, hay algunos aspectos interesantes que cabe destacar y analizar.
Por defecto, tenemos el umbral de bloqueo de usuario tras 10 intentos fallidos en sector privado y 3 intentos en los tenants de sector público. Este usuario se desbloqueará de forma automática, tras 60 segundos.
Como he dicho, la cuenta se bloquea tras 10 contraseñas no correctas y se bloquea de nuevo tras cada intento extra, o sea se bloqueará de nuevo en el intento 11 y de nuevo en el 12.
El tiempo de desbloqueo de la cuenta, aumenta. Siendo de 1 minuto tras 10 intentos y más de 1 minuto tiempo tras el intento 11. Por seguridad, Microsoft no ofrece información sobre el tiempo de aumento del bloqueo de usuario.
El bloqueo inteligente además realiza una comprobación de los tres últimos intentos y no considera intento fallido si se repite la contraseña. Por ejemplo, si un usuario escribe 10 veces mal la misma contraseña la cuenta no se bloquea.
El administrador no puede desbloquear el usuario. Hay que esperar el tiempo de rigor. De hecho, el único proceso que desbloquea al usuario, que puede lanzar un humano es el desbloqueo tras un proceso SSPR de reseteo de contraseña.
Hay dos contadores diferentes, si el usuario erra la contraseña desde un lugar que para ese usuario es habitual, y otro contador para cuando el usuario está intentando acceder desde un lugar no habitual para él/ella. Apareciendo en este segundo caso más sensible el MFA entre intento fallidos.
Hybrid Scenario con ADConnect
A tener en cuenta en Windows Active Directory GPOS
Es importante que las GPOS, bloqueen la cuenta de Windows
Active Directory, tras un número de fallos mayor que lo que hay configurado en
Azure AD, para evitar que antes de que llegue el contador de Azure AD a su
umbral, la cuenta se haya bloqueado por Windows Active Directory y con ello la
cuenta de Azure AD también.
El tiempo de desbloqueo en Windows Active Directory ha de
ser alto en la GPO para conseguir que Azure AD sea el que desbloquea la cuenta
antes. Según la configuración, la primera vez será de 60 segundos, pero tened en
cuenta que luego si se vuelve a fallar la contraseña, los tiempos de bloqueo de
la cuenta serán mayores de 60 segundos, ya que van aumentando.
Se aconseja que en Windows Active Directory local el umbral de bloqueo de cuenta sea al menos dos o tres veces mayor que el umbral de bloqueo de Azure AD
La duración del bloqueo de Azure AD (en segundos) debe ser mayor que la duración de restablecer el contador de bloqueos en Windows Active Directory (que se establece en minutos)