Kennwortregeln nutzen
Vor Windows Server 2008 konnten Gruppenrichtlinien zum Steuern von Kennwörtern nur für einzelne Domänen zentral gesetzt werden. Ab Windows Server 2008 sind auch mehrere Kennwortregeln möglich. Allerdings war die Verwaltung extrem umständlich. In den Verwaltungs-Tools von Windows 8/8.1 und Windows Server 2012/2012 R2 ist jetzt die Verwendung mehrerer Richtlinien explizit vorgesehen, und die Verwaltung wurde erleichtert.
In Windows Server 2008 mussten Sie die Richtlinien mit ADSI-Edit oder ldifde.exe setzen, die Konfiguration im Gruppenrichtlinieneditor war nicht möglich. Wichtig ist außerdem, dass Sie die Funktionsebene der Domäne auf Windows Server 2008 setzen. Microsoft beschreibt diese Vorgänge im TechNet. Sie können für die Konfiguration in diesem Zusammenhang auch das Tool Specops Password Policy Basic nutzen.
In Domänen mit Windows Server 2012/2012 R2 können Administratoren jetzt effizient verschiedene Vorgaben nutzen, um zu bestimmen welche Kennwortgrundlagen die einzelnen Anwender nutzen sollen. So kann man beispielsweise festlegen, dass Benutzer, die mit besonders heiklen Daten arbeiten, kompliziertere Kennwörter nutzen als Anwender mit weniger wichtigen Daten.
Sie können in Windows Server 2012/2012 R2 weiterhin die Einstellungen für die komplette Domäne vorgeben, indem Sie die Default Domain Policy nutzen, oder Sie geben die Einstellungen über das Active-Directory-Verwaltungscenter vor. In der Default Domain Policy finden Sie die Einstellungen. Navigieren Sie zu den Einstellungen der Kennwörter unter Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Kontorichtlinien/Kennwortrichtlinien. Wie Sie das Active-Directory-Verwaltungscenter zur Einstellung nutzen, zeigen wir Ihnen nachfolgend.
Gruppenrichtlinien für Kennwörter steuern
Gruppenrichtlinien, die Einstellungen für Kennwörter vorgeben, behandelt Windows anders als andere Einstellungen, die Sie in den Richtlinien setzen. Daher reicht es nicht einfach aus, wenn Sie Kennworteinstellungen vornehmen und diese dann einzelnen Organisationseinheiten zuordnen.
In Windows Server 2012/2012 R2 und Windows 8/8.1 nehmen Sie diese Einstellungen im Active-Directory-Verwaltungscenter vor. Sie können daher die Einstellungen auf den Domänencontrollern oder auf Arbeitsstationen durchführen, auf denen Sie die Remoteserver-Verwaltungstools für Windows 8 installiert haben. Arbeiten Sie mit Windows Server 2012 R2 und Windows 8.1, dann brauchen Sie die RSAT für Windows 8.1 (http://www.microsoft.com/de-de/download/details.aspx?id=39296).
Wenn das Active-Directory-Verwaltungscenter gestartet wurde, finden Sie die Möglichkeit zur Steuerung der Kennwortrichtlinien über <Domäne>\System\Password Settings Container. Haben Sie den Container geöffnet, erstellen Sie mit Neu\Kennworteinstellungen eine neue Kennworteinstellung. Hier haben Sie verschiedene Möglichkeiten, die wir nachfolgend erläutern.
Einstellungen festlegen
Im ersten Schritt geben Sie einen Namen für die Einstellung ein und legen danach die notwendigen Einstellungen fest:
• Kennwort muss Komplexitätsvoraussetzungen entsprechen - Bei dieser Option muss das Kennwort mindestens sechs Zeichen lang sein. Es darf maximal zwei Zeichen enthalten, die auch in der Zeichenfolge des Benutzernamens vorkommen Außerdem müssen drei der fünf Kriterien von komplexen Kennwörtern erfüllt sein:
o Großbuchstaben (A bis Z)
o Klein geschriebene Buchstaben (a bis z)
o Ziffern (0 bis 9)
o Sonderzeichen (zum Beispiel !, &, /, %)
o Unicodezeichen (€, @, ®)
• Kennwortchronik erzwingen - Hier können Sie festlegen, wie viele Kennwörter im Active Directory gespeichert bleiben sollen, die ein Anwender bisher bereits verwendet hat. Wenn Sie diese Option, wie empfohlen, auf 24 setzen, darf sich ein Kennwort erst nach 24 Änderungen wiederholen.
• Kennwörter mit umkehrbarer Verschlüsselung speichern - Bei dieser Option speichert Windows die Kennwörter so, dass die Administratoren sie auslesen können. Sie sollten diese Option deaktivieren. Dazu müssen Sie die Richtlinieneinstellung definieren und diese auf Deaktiviert setzen.
• Maximales Kennwortalter - Hier legen Sie fest, wie lange ein Kennwort gültig bleibt, bis der Anwender es selbst ändern muss.
• Minimale Kennwortlänge - Der Wert bestimmt, wie viele Zeichen ein Kennwort mindestens enthalten muss. Dafür wird ein Wert von acht Zeichen empfohlen.
• Minimales Kennwortalter - Hier steuern Sie, wann ein Anwender ein Kennwort frühestens ändern darf, also wie lange es mindestens aktuell sein muss. Diese Option ist zusammen mit der Kennwortchronik sinnvoll, damit die Anwender das Kennwort nicht so oft ändern, dass sie wieder ihr altes verwenden können. Microsoft empfiehlt an dieser Stelle einen Wert von 2.
Außerdem steuern Sie über das Active Directory die Kontosperrungsrichtlinie. Auch hier stehen Ihnen verschiedene Möglichkeiten offen. Haben Sie festlegt, welche Einstellungen Sie nutzen wollen, weisen Sie der Richtlinie im unteren Bereich eine Benutzergruppe zu. Künftig müssen Benutzer in dieser Gruppe die fixen Einstellungen nutzen.
Bildschirm automatisch sperren
Zusätzlich zu den Kennwortrichtlinien sollten Sie veranlassen, dass sich Computer nach einiger Zeit automatisch sperren. Sie können zum Beispiel die Einstellung aktivieren, dass nach einer bestimmten Zeit der Bildschirmschoner auf den Arbeitsstationen aktiviert wird und die Anwender ein Kennwort eingeben müssen, wenn der Bildschirm entsperrt werden soll.
Falls der Bildschirm nicht gesperrt ist, können ungehindert andere Anwender unter dem Namen des angemeldeten Benutzers Aktionen durchführen. Sie finden die Einstellungen für Bildschirmschoner unter Benutzerkonfiguration/Richtlinien/Administrative Vorlagen/Systemsteuerung/Anpassung in den Gruppenrichtlinien. Diese Einstellung müssen Sie unabhängig von den Einstellungen der Kennwörter festlegen. Zur Konfiguration können Sie entweder eine neue GPO (Gruppenrichtlinie) erstellen oder eine bereits vorhandene konfigurieren. Die Standardrichtlinien im Windows-Server-2012-Netzwerk sollten Sie möglichst auch bei einer solchen Konfiguration nicht ändern. Passen Sie die folgenden Einstellungen an:
1. Bildschirmschoner aktivieren auf Aktiviert.
2. Kennwortschutz für den Bildschirmschoner verwenden ebenfalls auf Aktiviert.
3. Zeitlimit für Bildschirmschoner auf Aktiviert und als Einstellung beispielsweise 600 Sekunden bis zur Aktivierung.
Haben Sie die gewünschten Eintragungen vorgenommen, können Sie den Gruppenrichtlinienverwaltungs-Editor wieder schließen. Verknüpfen Sie die erstellte Richtlinie wieder mit der Domäne oder einer OU (Organisationseinheit).
Wenn Sie die Richtlinie erstellt und verknüpft haben, klicken Sie die Domäne in der Gruppenrichtlinienverwaltung an. Auf der rechten Seite sehen Sie alle Gruppenrichtlinien, die direkt mit der Domäne verknüpft sind. Markieren Sie die Verknüpfung der Bildschirmschonerrichtlinie auf der rechten Seite der Gruppenrichtlinienverwaltung und klicken Sie auf die Pfeile, bis die Verknüpfung ganz oben angeordnet ist. Dadurch ist sichergestellt, dass diese Verknüpfung und die Einstellungen des verknüpften GPOs zuerst angewendet werden.
Inaktive Benutzer finden
Generell sollten Sie auch überprüfen, welche Benutzer nicht mehr aktiv im Einsatz sind. Dazu verwenden Sie auf dem Domänencontroller einfach den Befehl
dsquery user -inactive <Anzahl der Wochen>
So erkennen Sie auf einen Blick, welche Benutzerkonten eine bestimmte Anzahl an Tagen nicht mehr aktiv waren.
Sie können in diesem Zusammenhang auch auf die kostenlosen AD Admin Tools von Solarwinds setzen. Der Vorteil der AD-Admins-Tools und des Inactive-User-Account-Removal-Tools ist, dass sie wesentlich mehr inaktive Konten erfassen. Dsquery zeigt nur Konten an, die sich schon einmal angemeldet haben. Das Inactive-User-Account-Removal-Tool hingegen präsentiert auch Benutzerkonten, die sich noch nie angemeldet haben. Sie können diese Konten direkt im Tool entfernen lassen.
Windows-Clients vor Zugriff schützen
In Windows 8/8.1 Pro und Enterprise können Sie alle fehlgeschlagenen Anmeldeversuche an Arbeitsstationen auch lokal protokollieren lassen:
1. Tippen Sie auf der Startseite secpol.msc ein und bestätigen Sie mit der (Enter)-Taste.
2. Navigieren Sie zu Sicherheitseinstellungen/Lokale Richtlinien/Überwachungsrichtlinie.
3. Aktivieren Sie bei Anmeldeversuche überwachen die Option Fehler. Wenn Sie außerdem Erfolgreich aktivieren, protokolliert Windows auch erfolgreiche Anmeldungen.
Das Überwachungsprotokoll finden Sie in der Ereignisanzeige:
1. Tippen Sie auf der Startseite eventvwr.msc ein und bestätigen mit der (Enter)-Taste.
2. Klicken Sie auf Windows-Protokolle/Sicherheit.
Hier sehen Sie die verschiedenen Anmeldungen am Rechner, auch die Anmeldungen über andere Rechner, wenn Sie den Computer in eine Heimnetzwerkgruppe aufgenommen haben.
Setzen Sie Windows 8 Pro oder Enterprise ein, haben Sie die Möglichkeit, über lokale Richtlinien Sicherheitseinstellungen vorzunehmen. Eine dieser Möglichkeiten ist, festzulegen, dass sich Windows nach einer bestimmten Anzahl ungültiger Anmeldeversuche automatisch sperren kann:
1. Tippen Sie auf der Startseite gpedit.msc ein und bestätigen mit der (Enter)-Taste.
2. Navigieren Sie zu Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Kontorichtlinien/Kontosperrungsrichtlinien.
3. Klicken Sie doppelt auf Kontensperrungsschwelle.
4. Geben Sie die Anzahl zulässiger Login-Versuche bis zur Sperrung ein.
5. Mit Kontosperrdauer legen Sie fest, wie lange das Konto gesperrt sein soll.
6. Über Zurücksetzungsdauer des Kontosperrungszählers tragen Sie die Zeitspanne ein, nach der Windows erneut mit dem Zählen beginnt.
7. Auf der Registerkarte Erklärung finden Sie zu den Einstellungen eine ausführliche Hilfe.
Sie können diese Einstellungen natürlich auch zentral für die Domäne in den Kennworteinstellungen vorgeben. Gibt ein Benutzer das Kennwort so oft falsch ein, wie Sie in der Kontensperrungsschwelle festgelegt haben, wird es gesperrt. Der Anwender erhält dazu eine Information angezeigt.
Sie können als Administrator aber die Sperrung aufheben. Dazu melden Sie sich an, tippen auf der Startseite den Befehl lusrmgr.msc ein und bestätigen mit der (Enter)-Taste. Rufen Sie die Eigenschaften des Benutzers auf und entfernen das Häkchen bei Konto ist gesperrt. In Active Directory nehmen Sie diese Einstellung entweder über das Active-Directory-Verwaltungscenter oder in Active-Directory-Benutzer und -Computer vor. (mje)