Konfigurieren einer Kennwortrichtlinie

Die folgenden Gruppenrichtlinieneinstellungen können für Konten eine geeignete Kennwortrichtlinie implementieren:

Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Kontorichtlinien | Kennwortrichtlinien

GruppenrichtlinieneinstellungEmpfohlene Option
Minimale Kennwortlänge10 Zeichen
Kennwort muss Komplexitätsvoraussetzungen entsprechenAktiviert

Deaktivieren des Zwischenspeicherns von Anmeldeinformationen

In den Standardeinstellungen werden die Anmeldeinformationen der Nutzer bei einem Neustart durch Windows Update auf dem Gerät gespeichert, um die automatische Anmeldung zu ermöglichen. Das Deaktivieren des Zwischenspeicherns von Anmeldeinformationen für diesen Zweck empfiehlt Microsoft selbst:

Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Windows-Anmeldeoptionen

GruppenrichtlinieneinstellungEmpfohlene Option
Automatisches Anmelden des letzten interaktiven Benutzers nach einem vom System initiierten NeustartDeaktiviert

Limits für Anmeldeversuche

In den Standardeinstellungen hat ein Angreifer beliebig viele Versuche, das Bitlocker-Passwort oder das Windows-Passwort zu erraten. Es sollte daher jeweils ein Limit für Anmeldeversuche definiert werden.

Für Bitlocker erreichen Sie diesen Schutz durch Zuweisen eines Schwellwerts, wie in der Anleitung beschrieben. Wird dieses Limit an erfolglosen Versuchen überschritten, kann der Zugriff auf den Computer mittels des Bitlocker-Recovery-Schlüssels reaktiviert werden.

Für das Windows-Passwort wird der Schwellwert in der Richtlinieneinstellung zugewiesen. Wird dieses Limit an Versuchen überschritten, wird das jeweilige Konto für die eingestellte Dauer gesperrt. Wird die Kontosperrdauer auf 0 festlegen, wird das Konto gesperrt, bis ein Administrator die Sperre explizit aufhebt.

Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Kontorichtlinien | Kontosperrungsrichtlinien

GruppenrichtlinieneinstellungEmpfohlene Option
Kontosperrungsschwelle6 (Versuche)
Kontosperrdauer 30 (Minuten)

Sperrung der Sitzung bei Inaktivität

Den Computer zu sperren und das Büro zu verschließen, wenn der Arbeitsplatz verlassen wird, sollte auch bei kurzer Abwesenheit selbstverständlich sein. Die Konfiguration eines passwortgeschützten Sperrbildschirms nach einer Wartezeit dient zusätzlich als Fail-Safe-Mechanismus. Diesen Schutz erreichen Sie durch Zuweisen eines Schwellwerts:

Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen

GruppenrichtlinieneinstellungEmpfohlene Option
Interaktive Anmeldung: Inaktivitätsgrenze des Computers320 Sekunden

Nur sichere Netzwerk-Authentifizierungsverfahren zulassen

Die folgenden Gruppenrichtlinieneinstellungen können zur Konfiguration von Kerberos und (sofern aus Kompatibilitätsgründen erforderlich) NTLMv2 implementiert werden:

Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen

GruppenrichtlinieneinstellungEmpfohlene Option
Netzwerksicherheit: Für Kerberos zulässige Verschlüsselungstypen konfigurierenAES128_HMAC_SHA1, AES256_HMAC_SHA1, Künftige Verschlüsselungstypen
Netzwerksicherheit: LAN Manager-AuthentifizierungsebeneNur NTLMv2-Antwort senden. LM & NTLM verweigern
Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Clients (einschließlich sicherer RPC-Clients)NTLMv2-Sitzungssicherheit erfordern, 128-Bit-Verschlüsselung erfordern
Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Server (einschließlich sicherer RPC-Server)NTLMv2-Sitzungssicherheit erfordern, 128-Bit-Verschlüsselung erfordern

Administratorpasswortverwaltung im Domänen-Betrieb

Mit LAPS (Local Administrator Password Solution) stellt Microsoft ein kostenloses Tool bereit, mit dem sichere, einzigartige Passwörter für die lokalen Administratorkonten einfach per Active Directory automatisch generiert und verwaltete werden können. So wird es einem Angreifer erschwert, sich von einem kompromittierten IT-System zum nächsten lateral weiter zu bewegen.[1]

Fußnoten

[1]

vgl. https://technet.microsoft.com/en-us/mt227395.asp; Anleitung in c't: "Passwort-Auswürfler", 14/2019 S. 158-160.