Benutzer sperren
Die Benutzer sperren Registerkarte enthält Einstellungen, die die Kontosicherheit verbessern, indem sie unautorisierte Zugriffsversuche verhindern. Wenn Benutzer eine vordefinierte Anzahl ungültiger Identitätsprüfungen oder Selbstbedienungsaktionen überschreiten, kann ADSelfService Plus ihren Zugriff automatisch sperren – entweder vorübergehend oder bis ein Administrator eingreift. Dies minimiert Brute-Force-Angriffe und stärkt die gesamte Authentifizierungsposition auf allen von ADSelfService Plus geschützten Endpunkten.
Einschränkungen
- MFA-Fehler mit Duo Security oder Smartcard-Authentifizierung zählen nicht zur Sperrschwelle, da diese Authentifikatoren eigene Sperr- und Sperrmechanismen implementieren.
- Die Sperrung wird nur für Operationen und Endpunkte durchgesetzt, die von ADSelfService Plus geschützt sind; sie ersetzt oder überschreibt keine nativen Kontosperrungsrichtlinien, die in Ihrer AD-Domäne konfiguriert sind.
Benutzer-Sperre konfigurieren
- Melden Sie sich bei ADSelfService Plus mit administrativen Anmeldedaten an.
- Navigieren Sie zu Konfiguration > Self-Service > Richtlinienkonfiguration.
- Klicken Sie in der Richtlinienliste auf das Erweiterte Symbol für die Richtlinie, für die Sie die Benutzersperre aktivieren möchten.
- Wählen Sie im Pop-up-Fenster Benutzer sperren.
- Unter Benutzer sperren, die die Identitätsprüfung nicht bestehen, konfigurieren Sie die folgenden Einstellungen:
- Definieren Sie den Schwellenwert
Verwenden Sie Erlaube maximal X ungültige Versuche innerhalb von Y Minuten , um die Anzahl der erlaubten Identitätsprüfungsfehler innerhalb eines bestimmten Zeitfensters festzulegen.
- Definieren Sie die Sperrdauer
Verwenden Sie Benutzer für X Minuten sperren , um festzulegen, wie lange der Benutzer gesperrt bleiben soll. Nach Ablauf der angegebenen Zeit wird der Benutzer automatisch entsperrt. Sie können entweder einen festgelegten Zeitraum in Minuten definieren oder Für immer auswählen, um den Benutzer gesperrt zu halten, bis ein Administrator ihn manuell entsperrt.
- Klicken Sie auf OK , um Ihre Änderungen zu speichern.
Hinweis
Jeder fehlgeschlagene Identitätsprüfungsversuch zählt zum Limit, einschließlich:
- Falsche Passworteingabe
- Ungültige Backup-Codes
- Falsche oder abgelaufene OTP-Eingaben, auch während der Registrierung
- Fehlgeschlagene MFA-Verifizierungen, außer bei Duo Security und Smartcard
Während der Sperrung:
- Kann der Benutzer keine Passwörter zurücksetzen oder Konten über ADSelfService Plus entsperren
- Kann sich der Benutzer nicht bei Anwendungen oder Endgeräten anmelden, die auf ADSelfService Plus zur Authentifizierung/MFA angewiesen sind
Selbstbedienungsaktionen einschränken
Um automatisierte Angriffe weiter zu mindern, können Sie die Häufigkeit der Selbstbedienungsaktionen von Benutzern begrenzen.
- Im gleichen Erweiterte Einstellungen Pop-up navigieren Sie zum Abschnitt Selbstbedienungsaktionen einschränken. Konfigurieren Sie Folgendes:
- Benutzer dürfen Passwörter nur X Mal innerhalb von Y Tagen zurücksetzen
- : Legen Sie eine Begrenzung für Passwortzurücksetzungen innerhalb eines bestimmten Zeitraums fest. Zum Beispiel verhindert das Zulassen von drei Zurücksetzungen in sieben Tagen, dass Benutzer ihr Passwort mehr als dreimal pro Woche zurücksetzen.Benutzer dürfen Konten nur X Mal innerhalb von Y Tagen entsperren
- : Legen Sie eine Begrenzung für Kontenentsperrungen innerhalb eines bestimmten Zeitraums fest. Beispielsweise bedeutet fünf Entsperrungen in 30 Tagen, dass Benutzer ihr Konto nicht mehr als fünfmal pro Monat entsperren können.Blockierte Benutzer überprüfen
- Klicken Sie auf OK , um Ihre Änderungen zu speichern.
Sie können die Liste der Benutzer einsehen, die die Identitätsprüfung nicht bestanden haben und daher vom Zugriff auf ADSelfService Plus gesperrt wurden.
Navigieren Sie im ADSelfService Plus Admin-Portal zu
- Berichte > Passwort-Selbstbedienungsberichte > Bericht über gesperrte Benutzer Wählen Sie die relevante Richtlinie aus, für die Sie die Liste gesperrter Benutzer anzeigen möchten, und geben Sie den Zeitraum an..
- Generieren
- Klicken Sie auf Prüfen Sie:.
- Aktuell gesperrte Benutzer
- Zuvor gesperrte Benutzer und deren Sperr- oder Entsperrungsverlauf
- Zeitstempel, wann Benutzer gesperrt wurden
- Klicken Sie hier, um mehr zu erfahren über
Bericht über gesperrte Benutzer Benutzer entsperren.
Um Benutzer zu entsperren,
Wählen Sie die Richtlinie und klicken Sie
- Navigieren Sie zu Wählen Sie die relevante Richtlinie aus, für die Sie die Liste gesperrter Benutzer anzeigen möchten, und geben Sie den Zeitraum an..
- Aktivieren Sie die Kontrollkästchen neben den Benutzern, die Sie aus der Liste entsperren möchten. Prüfen Sie:.
- Entsperren,
- Klicken Sie auf und klicken Sie dann auf , um zu bestätigen. OK Tipps
Setzen Sie angemessene Schwellenwerte für ungültige Versuche, um Benutzerfreundlichkeit und Sicherheit auszubalancieren.
- Überprüfen Sie regelmäßig die
- , um Muster zu erkennen, die auf gezielte Angriffe hindeuten könnten. Benutzer entsperren Ermutigen Sie Benutzer, sich für MFA-Methoden zu registrieren und ihre Wiederherstellungsinformationen aktuell zu halten, um fehlgeschlagene Verifizierungsversuche zu reduzieren.
- Verwenden Sie temporäre Sperren anstelle permanenter Sperren, sofern dies nicht durch Sicherheitsrichtlinien erforderlich ist.
- Wenden Sie separate Richtlinien für Konten mit hohen Berechtigungen an, um strengere Verifizierungslimits durchzusetzen.
- Vielen Dank!
Finden Sie nicht, was Sie suchen?
-
Besuchen Sie unsere Community
Stellen Sie Ihre Fragen im Forum.
-
Fordern Sie zusätzliche Ressourcen an
Senden Sie uns Ihre Anforderungen.
-
Benötigen Sie Unterstützung bei der Implementierung?
Probieren Sie OnboardPro
ADManager Plus
ADAudit Plus
Exchange Reporter Plus
M365 Manager Plus
Vorheriges Thema