Schützen von Benutzerkonten vor Angriffen mithilfe von Smart Lockout von Microsoft Entra

Smart Lockout unterstützt Sie dabei, Angreifer auszusperren, die versuchen, Benutzerkennwörter zu erraten oder sich mithilfe von Brute-Force-Methoden Zugang zu verschaffen. Smart Lockout kann Anmeldungen gültiger Benutzer erkennen und anders behandeln als Anmeldungen von Angreifern und anderen unbekannten Quellen. Angreifer werden ausgesperrt, während Ihre Benutzer weiterhin auf ihre Konten zugreifen und produktiv arbeiten können.

Funktionsweise von Smart Lockout

Standardmäßig sperrt Smart Lock ein Konto für die Anmeldung nach:

• 10 fehlgeschlagenen Versuche in Azure Public und Microsoft Azure, betrieben von 21Vianet-Mandanten
• 3 fehlgeschlagenen Versuche für Azure US Government-Mandanten

Das Konto wird nach jedem nachfolgenden fehlgeschlagenen Anmeldeversuch erneut gesperrt. Der Sperrzeitraum beträgt zunächst eine Minute und ist bei nachfolgenden Versuchen länger. Um die Möglichkeiten eines Angreifers zum Umgehen dieses Verhaltens auf ein Minimum zu beschränken, geben wir nicht bekannt, mit welcher Rate der Sperrzeitraum bei weiteren erfolglosen Anmeldeversuchen verlängert wird.

Smart Lockout verfolgt die letzten drei fehlerhaften Kennworthashes, um zu vermeiden, dass der Sperrungszähler für dasselbe Kennwort erhöht wird. Wenn eine Person mehrmals das falsche Kennwort eingibt, hat dies keine Sperrung des Kontos zur Folge.

Hinweis

Für Kunden mit aktivierter Passthrough-Authentifizierung ist die Hashnachverfolgung nicht verfügbar, da die Authentifizierung lokal und nicht in der Cloud stattfindet.

Verbundbereitstellungen mit Active Directory-Verbunddienste (AD FS) 2016 und AD FS 2019 können mit AD FS Extranet Lockout und Extranet Smart Lockout ähnliche Vorteile bieten. Es wird empfohlen, zur verwalteten Authentifizierung zu wechseln.

Smart Lockout ist für alle Microsoft Entra -Kunden ständig aktiv und bietet standardmäßig die richtige Mischung aus Sicherheit und Benutzerfreundlichkeit. Wenn Sie die Smart Lockout-Einstellungen mit spezifischen Werten für Ihre Organisation konfigurieren möchten, benötigen Sie mindestens Microsoft Entra  Premium P1-Lizenzen für Ihre Benutzer.

Die Verwendung von Smart Lockout garantiert nicht, dass ein echter Benutzer niemals ausgesperrt wird. Wenn ein Benutzerkonto durch Smart Lockout gesperrt wird, versuchen wir unser Bestes, nicht den echten Benutzer auszusperren. Der Sperrdienst versucht sicherzustellen, dass Angreifer keinen Zugriff auf die Konten echter Benutzer erhalten. Es gelten die folgenden Bedingungen:

• Sperrzustände werden zwischen Microsoft Entra-Rechenzentren synchronisiert. Die Gesamtzahl der fehlgeschlagenen Anmeldeversuche, die zulässig sind, bevor ein Konto gesperrt wird, weist jedoch eine geringfügige Abweichung vom konfigurierten Sperrschwellenwert auf. Nachdem ein Konto gesperrt wurde, ist es überall und in allen Microsoft Entra-Rechenzentren gesperrt.
• Ein böswilliger Benutzer und ein echter Benutzer werden von Smart Lockout über einen bekannten/unbekannten Standort unterschieden. Unbekannte und bekannte Standorte verfügen jeweils über separate Zähler für Sperren.
• Nach einer Kontosperrung kann der Benutzer die Self-Service-Kennwortzurücksetzung (Self-Service Password Reset, SSPR) initiieren, um sich erneut anzumelden. Wenn der Benutzer Ich habe mein Kennwort vergessen während SSPR auswählt, wird die Dauer der Sperre auf 0 Sekunden zurückgesetzt. Wenn der Benutzer während SSPR Ich kenne mein Kennwort auswählt, wird der Sperrtimer fortgesetzt, und die Dauer der Sperre wird nicht zurückgesetzt. Um die Dauer zurückzusetzen und sich erneut anzumelden, muss der Benutzer sein Kennwort ändern.

Smart Lockout ist in Hybridbereitstellungen integrierbar und kann mittels Kennworthashsynchronisierung oder Passthrough-Authentifizierung verhindern, dass lokale AD DS-Konten (Active Directory Domain Services) durch Angreifer gesperrt werden. Durch korrektes Festlegen von Smart Lockout-Richtlinien in Microsoft Entra können Angriffe herausgefiltert werden, bevor sie die lokale AD DS-Instanz erreichen.

Bei Verwendung der Passthrough-Authentifizierung gilt Folgendes:

• Der Microsoft Entra-Sperrschwellenwert ist kleiner als der Schwellenwert für eine AD DS-Kontosperrung. Legen Sie die Werte so fest, dass der Schwellenwert für eine AD DS-Kontosperrung mindestens doppelt oder dreimal so hoch ist wie der Microsoft Entra-Sperrschwellenwert.
• Die Microsoft Entra-Sperrdauer muss auf einen längeren Zeitraum als die des AD DS-Kontos festgelegt werden. Die Microsoft Entra-Dauer wird in Sekunden festgelegt, die AD DS-Dauer dagegen in Minuten.

Wenn der Wert für die Smart Lockout-Dauer für Microsoft Entra beispielsweise höher sein soll als der AD DS-Wert, muss der Wert für Microsoft Entra auf 120 Sekunden (2 Minuten) und der Wert Ihrer lokalen AD-Instanz auf 1 Minute (60 Sekunden) festgelegt werden. Wenn Sie den Microsoft Entra-Sperrschwellenwert auf 5 festlegen möchten, sollte der Sperrschwellenwert Ihrer lokalen AD DS-Instanz auf 10 festgelegt werden. Durch diese Konfiguration würde sichergestellt, dass Smart Lockout verhindert, dass Ihre lokalen AD DS-Konten durch Brute-Force-Angriffe auf Ihre Microsoft Entra-Konten gesperrt werden.

Wichtig

Ein Administrator kann das Cloudkonto des Benutzers entsperren, wenn er durch die Smart Lockout-Funktion gesperrt wurde, ohne darauf warten zu müssen, dass die Sperrdauer abläuft. Weitere Informationen finden Sie unter Zurücksetzen eines Benutzerkennworts mit Microsoft Entra ID.

Überprüfen der lokalen Kontosperrungsrichtlinie

Führen Sie auf einem in die Domäne eingebundenen System mit Administratorrechten die folgenden Schritte aus, um Ihre lokale AD DS-Kontosperrungsrichtlinie zu überprüfen:

1. Öffnen Sie das Gruppenrichtlinienverwaltungstool.
2. Bearbeiten Sie die Gruppenrichtlinie, die die Kontosperrungsrichtlinie Ihrer Organisation enthält (beispielsweise die Standarddomänenrichtlinie).
3. Navigieren Sie zu Computerkonfiguration>Richtlinien>Windows-Einstellungen>Sicherheitseinstellungen>Kontorichtlinien>Kontosperrungsrichtlinien.
4. Überprüfen Sie Ihre Werte für Kontensperrungsschwelle und Zurücksetzungsdauer des Kontosperrungszählers.

Verwalten von Smart Lockout-Werten für Microsoft Entra

Sie können die Werte für Microsoft Entra Smart Lockout auf die Anforderungen Ihrer Organisation abstimmen. Wenn Sie die Smart Lockout-Einstellungen mit spezifischen Werten für Ihre Organisation konfigurieren möchten, benötigen Sie mindestens Microsoft Entra  Premium P1-Lizenzen für Ihre Benutzer. Die Anpassung der Smart Lockout-Einstellungen ist für Mandanten von Microsoft Azure des Betreibers 21Vianet nicht verfügbar.

Gehen Sie wie folgt vor, um die Smart Lockout-Werte zu überprüfen und ggf. für Ihre Organisation anzupassen:

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Authentifizierungsadministrator an.

2. Navigieren Sie zu Schutz>Authentifizierungsmethoden>Kennwortschutz.

3. Legen Sie Schwellenwert für Sperre auf die Anzahl nicht erfolgreicher Anmeldeversuche fest, nach der das Konto erstmals gesperrt werden soll.

   Die Standardeinstellung liegt bei zehn Versuchen für öffentliche Azure-Mandanten und drei Versuchen für Azure Government-Mandanten für US-Behörden.

4. Legen unter Sperrdauer in Sekunden fest, wie viele Sekunden die Sperre jeweils dauern soll.

   Der Standardwert ist 60 Sekunden (eine Minute).

Hinweis

Wenn auch die erste Anmeldung nach Ablauf der Sperrfrist fehlschlägt, wird das Konto erneut gesperrt. Bei wiederholter Kontosperrung erhöht sich die Sperrdauer.

Testen von Smart Lockout

Wenn der Schwellenwert von Smart Lockout ausgelöst wird, wird das Konto gesperrt und die folgende Meldung angezeigt:

Ihr Konto wurde vorübergehend gesperrt, um eine unbefugte Nutzung zu verhindern. Versuchen Sie es später noch mal. Wenden Sie sich an Ihren Administrator, wenn das Problem weiterhin besteht.

Wenn Sie Smart Lockout testen, werden Ihre Anmeldeanforderungen möglicherweise von unterschiedlichen Rechenzentren verarbeitet, da der Microsoft Entra-Authentifizierungsdienst geografisch verteilt ist und über einen Lastenausgleich verfügt.

Smart Lockout verfolgt die letzten drei fehlerhaften Kennworthashes, um zu vermeiden, dass der Sperrungszähler für dasselbe Kennwort erhöht wird. Wenn eine Person mehrmals das falsche Kennwort eingibt, hat dies keine Sperrung des Kontos zur Folge.

Standardschutz

Zusätzlich zu Smart Lockout schützt Microsoft Entra ID auch durch Analysieren von Signalen einschließlich IP-Datenverkehr und Identifizierung anomaler Verhaltensweisen vor Angriffen. Microsoft Entra ID blockiert diese schädlichen Anmeldungen standardmäßig und gibt unabhängig von der Gültigkeit des Kennworts den Fehlercode AADSTS50053 – IdsLocked zurück.

Nächste Schritte

• Zur weiteren Anpassung können Sie benutzerdefinierte gesperrte Kennwörter für den Microsoft Entra-Kennwortschutz konfigurieren.

• Um Benutzer beim Zurücksetzen oder Ändern ihres Kennworts über einen Webbrowser zu unterstützen, können Sie die Self-Service-Kennwortzurücksetzung in Microsoft Entra konfigurieren.