Tags: Gruppenrichtlinien, Privileged Access Management, Passwort
Microsoft führte mit dem Oktober-Update eine lokale Gruppenrichtlinie ein, die das eingebaute Administrator-Konto gegen Brute-Force-Angriffe schützen soll. Sie ist per Default deaktiviert, aber wenn man künftig einen neuen PC installiert, dann wird sie automatisch aktiviert. Zusätzlich setzt Microsoft auch für diesen Account die Passwortregeln durch.
Die zeitlich begrenzte Sperrung eines Kontos nach mehreren erfolglosen Anmeldeversuchen ist ein gängiges Mittel, um Brute-Force-Angriffe durch Ausprobieren zahlreicher Passwörter zu verhindern. Allerdings birgt es auch die Gefahr, dass solche Kontosperren für Denial-of-Service-Angriffe missbraucht werden.
Richtlinie nach Update deaktiviert
Während die Gruppenrichtlinien im Active Directory schon bisher eine Einstellung für die Kontosperrung des Administrators enthielt, fehlte ein solche für die lokalen Richtlinien. Das kumulative Update für Oktober (KB5020282) rüstet diese für Windows 10 / 11 und Windows Server nach.
Bei bestehenden Installation bleibt sie jedoch deaktiviert. Setzt man hingegen einen neuen PC mit Installationsmedien auf, die das Oktober-Update enthalten, dann wird diese Richtlinie aktiviert.
Kombination mit drei weiteren Policies
Microsoft empfiehlt, zusätzlich die anderen drei Richtlinien unter Computerkonfiguration => Windows-Einstellungen => Sicherheitseinstellungen => Kontorichtlinien => Kontosperrungsrichtlinien zu konfigurieren.
Dabei sollte man der Security Baseline folgen und die Werte 10/10/10 wählen. Dadurch würde das Konto nach 10 fehlerhaften Anmeldeversuchen innerhalb von 10 Minuten für 10 Minuten gesperrt.
Passwortrichtlinie für Administrator
In Windows-Domänen hat die Neuerung nur insofern eine Bedeutung, als sie künftig durch die lokale Richtlinie standardmäßig aktiviert ist und bei Bedarf mittels GPO überschrieben werden müsste.
Grundsätzlich sollten Unternehmen das integrierte Administrator-Konto, das per Voreinstellung deaktiviert ist, nicht verwendet.
Lässt sich das nicht vermeiden, dann sichert Microsoft dieses nun zusätzlich ab, indem dessen Passwort der normalen Richtlinie folgen muss (Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen).
In Domänen-Umgebung bietet indes LAPS eine bessere Lösung. Sie vergibt automatisch starke Kennwörter für lokale Admin-Konten und speichert diese im Active Directory.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Passwort-Manager in Chrome, Edge und Firefox über Gruppenrichtlinien konfigurieren
- LAPS in Windows 11: Verschlüsselung von Passwörtern, Management von DSRM-Konten
- UAC-Prompt über GPO für Administratoren und User konfigurieren
- UAC: Sicherheit der Benutzerkontensteuerung auf Vista-Level erhöhen statt abschalten
- Neue Policies: SMB NTLM blockieren, minimale SMB-Version erzwingen
Weitere Links