Verwalten von Bedrohungen für Ressourcen in Azure Active Directory B2CManage threats to resources and data in Azure Active Directory B2C

Azure Active Directory B2C (Azure AD B2C) verfügt über integrierte Features, mit denen Sie Ihre Ressourcen und Daten vor Bedrohungen schützen können.Azure Active Directory B2C (Azure AD B2C) has built-in features that can help you protect against threats to your resources and data. Zu diesen Bedrohungen gehören Denial-of-Service- und Kennwortangriffe.These threats include denial-of-service attacks and password attacks. Denial-of-Service-Angriffe können dazu führen, dass Ressourcen nicht mehr für die vorgesehenen Benutzer zur Verfügung stehen.Denial-of-service attacks might make resources unavailable to intended users. Kennwortangriffe führen zu nicht autorisiertem Zugriff auf Ressourcen.Password attacks lead to unauthorized access to resources.

Denial-of-Service-AngriffeDenial-of-service attacks

Azure AD B2C dient zur Abwehr von SYN-Flutangriffen über ein SYN-Cookie.Azure AD B2C defends against SYN flood attacks using a SYN cookie. Außerdem schützt Azure AD B2C vor Denial-of-Service-Angriffen, indem Einschränkungen für Raten und Verbindungen festgelegt werden.Azure AD B2C also protects against denial-of-service attacks by using limits for rates and connections.

KennwortangriffePassword attacks

Benutzerkennwörter müssen ausreichend komplex sein.Passwords that are set by users are required to be reasonably complex. Azure AD B2C umfasst Abwehrmaßnahmen für Kennwortangriffe.Azure AD B2C has mitigation techniques in place for password attacks. Diese decken unter anderem die Erkennung von Brute-Force-Kennwortangriffen und Wörterbuchangriffen ab.Mitigation includes detection of brute-force password attacks and dictionary password attacks. Anhand verschiedener Signale analysiert Azure AD B2C die Integrität von Anforderungen.By using various signals, Azure AD B2C analyzes the integrity of requests. Azure AD B2C kann auf intelligente Weise zwischen vorgesehenen Benutzern und Hackern oder Botnetzen unterscheiden.Azure AD B2C is designed to intelligently differentiate intended users from hackers and botnets.

Azure AD B2C verwendet eine ausgereifte Strategie zum Sperren von Konten.Azure AD B2C uses a sophisticated strategy to lock accounts. Die Konten werden basierend auf der IP-Adresse der Anforderung und den eingegebenen Kennwörtern gesperrt.The accounts are locked based on the IP of the request and the passwords entered. Die Dauer der Sperre wird zudem gemäß der Wahrscheinlichkeit erhöht, dass es sich um einen Angriff handelt.The duration of the lockout also increases based on the likelihood that it's an attack. Nachdem ein Kennwort 10 Mal (der Standardschwellenwert für fehlgeschlagene Versuche) erfolglos eingegeben wurde, kommt es zu einer Sperre von einer Minute.After a password is tried 10 times unsuccessfully (the default attempt threshold), a one-minute lockout occurs. Bei der nächsten fehlgeschlagenen Anmeldung nach der Entsperrung des Kontos (d. h., nachdem das Konto nach Ablauf des Sperrzeitraums automatisch vom Dienst entsperrt wurde) erfolgt eine weitere Sperre von 1 Minute für jede fehlgeschlagene Anmeldung.The next time a login is unsuccessful after the account is unlocked (that is, after the account has been automatically unlocked by the service once the lockout period expires), another one-minute lockout occurs and continues for each unsuccessful login. Die wiederholte Eingabe des gleichen Kennworts wird nicht als mehrere erfolglose Anmeldungen gezählt.Entering the same password repeatedly doesn't count as multiple unsuccessful logins.

Die ersten 10 Sperrzeiträume sind eine Minute lang.The first 10 lockout periods are one minute long. Die nächsten 10 Sperrzeiträume sind etwas länger, und die Dauer wird jeweils nach 10 Sperrzeiträumen verlängert.The next 10 lockout periods are slightly longer and increase in duration after every 10 lockout periods. Der Zähler für die Kontosperrung wird nach einer erfolgreichen Anmeldung auf null zurückgesetzt, wenn das Konto nicht gesperrt ist.The lockout counter resets to zero after a successful login when the account isn’t locked. Sperrzeiträume können bis zu fünf Stunden dauern.Lockout periods can last up to five hours.

Verwalten der KennwortschutzeinstellungenManage password protection settings

So verwalten Sie die Kennwortschutzeinstellungen, einschließlich des Sperrschwellenwerts:To manage password protection settings, including the lockout threshold:

  1. Melden Sie sich beim Azure-PortalSign in to the Azure portal

  2. Wählen Sie im Hauptmenü über den Filter Verzeichnis + Abonnement das Verzeichnis aus, das Ihren Azure AD B2C-Mandanten enthält.Use the Directory + subscription filter in the top menu to select the directory that contains your Azure AD B2C tenant.

  3. Wählen Sie im linken Menü die Option Azure AD B2C aus.In the left menu, select Azure AD B2C. Oder wählen Sie Alle Dienste aus, suchen Sie nach dem Eintrag Azure AD B2C, und wählen Sie ihn aus.Or, select All services and search for and select Azure AD B2C.

  4. Wählen Sie unter Sicherheit die Option Authentifizierungsmethoden (Vorschau) und dann Kennwortschutz aus.Under Security, select Authentication methods (Preview), then select Password protection.

  5. Geben Sie die gewünschten Kennwortschutzeinstellungen ein, und klicken Sie dann auf Speichern.Enter your desired password protection settings, then select Save.

    Seite „Kennwortschutz“ in den Azure AD-Einstellungen des Azure-Portals Azure portal Password protection page in Azure AD settings
    Festlegen des Sperrschwellenwerts auf 5 in den Einstellungen für Kennwortschutz .Setting the lockout threshold to 5 in Password protection settings.

Anzeigen gesperrter KontenView locked-out accounts

Informationen zu gesperrten Konten finden Sie im Anmeldeaktivitätsbericht von Active Directory.To obtain information about locked-out accounts, you can check the Active Directory sign-in activity report. Klicken Sie unter Status auf Fehler.Under Status, select Failure. Fehlgeschlagene Anmeldungen mit dem Anmeldefehlercode50053 geben ein gesperrtes Konto an:Failed sign-in attempts with a Sign-in error code of 50053 indicate a locked account:

Abschnitt des Azure AD-Anmeldeberichts, in dem ein gesperrtes Konto angezeigt wird

Informationen zum Anzeigen des Anmeldeaktivitätsberichts in Azure Active Directory finden Sie unter Fehlercodes des Berichts mit den Anmeldeaktivitäten.To learn about viewing the sign-in activity report in Azure Active Directory, see Sign-in activity report error codes.