Neue lokale Gruppenrichtlinie für die Sperrung des Administrators-Kontos


    Tags: , ,

    Account LockoutMicrosoft führte mit dem Oktober-Update eine lokale Gruppenrichtlinie ein, die das eingebaute Admini­strator-Konto gegen Brute-Force-Angriffe schützen soll. Sie ist per Default deaktiviert, aber wenn man künftig einen neuen PC instal­liert, dann wird sie auto­matisch aktiviert. Zusätzlich setzt Microsoft auch für diesen Account die Pass­­wort­­regeln durch.

    Die zeitlich begrenzte Sperrung eines Kontos nach mehreren erfolglosen Anmelde­versuchen ist ein gängiges Mittel, um Brute-Force-Angriffe durch Ausprobieren zahlreicher Passwörter zu verhindern. Allerdings birgt es auch die Gefahr, dass solche Kontosperren für Denial-of-Service-Angriffe missbraucht werden.

    Richtlinie nach Update deaktiviert

    Während die Gruppenrichtlinien im Active Directory schon bisher eine Einstellung für die Kontosperrung des Administrators enthielt, fehlte ein solche für die lokalen Richtlinien. Das kumulative Update für Oktober (KB5020282) rüstet diese für Windows 10 / 11 und Windows Server nach.

    Bei bestehenden Installation bleibt sie jedoch deaktiviert. Setzt man hingegen einen neuen PC mit Installations­medien auf, die das Oktober-Update enthalten, dann wird diese Richtlinie aktiviert.

    Kombination mit drei weiteren Policies

    Microsoft empfiehlt, zusätzlich die anderen drei Richtlinien unter Computer­konfiguration => Windows-Einstellungen => Sicherheits­einstellungen => Kontorichtlinien => Konto­sperrungs­richtlinien zu konfigurieren.

    Lokale Richtlinien zur Verwaltung der Kontosperrung

    Dabei sollte man der Security Baseline folgen und die Werte 10/10/10 wählen. Dadurch würde das Konto nach 10 fehlerhaften Anmelde­versuchen innerhalb von 10 Minuten für 10 Minuten gesperrt.

    Passwortrichtlinie für Administrator

    In Windows-Domänen hat die Neuerung nur insofern eine Bedeutung, als sie künftig durch die lokale Richtlinie standardmäßig aktiviert ist und bei Bedarf mittels GPO überschrieben werden müsste.

    Grundsätzlich sollten Unternehmen das integrierte Administrator-Konto, das per Voreinstellung deaktiviert ist, nicht verwendet.

    Das eingebaute Administrator-Konto ist standardmäßig deaktiviert

    Lässt sich das nicht vermeiden, dann sichert Microsoft dieses nun zusätzlich ab, indem dessen Passwort der normalen Richtlinie folgen muss (Groß- und Klein­buchstaben, Ziffern und Sonderzeichen).

    In Domänen-Umgebung bietet indes LAPS eine bessere Lösung. Sie vergibt automatisch starke Kennwörter für lokale Admin-Konten und speichert diese im Active Directory.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut
    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Verwandte Beiträge

    Weitere Links