Kontosperrung über Gruppenrichtlinien konfigurieren

Wenn man sich für den Einsatz der Kontosperrung entscheidet, dann stellt sich die Frage, welche Werte man für die drei Einstellungen wählt, um einen Kompromiss zwischen einem effizienten Schutz gegen Password-Guessing und möglichst geringer Anfälligkeit gegen DoS-Attacken zu finden. Microsoft hat seine empfohlenen Werte für Windows 8.1 und Server 2012 aktualisiert und in der Baseline für den Security Compliance Manager umgesetzt.

Die Einstellungen für Account Lockout finden sich im GPO-Editor unter Computerkonfiguration => Windows-Einstellungen => Sicherheits­einstellungen => Kontorichtlinien => Kontosperrungsrichtlinien. Sie haben keine Entsprechung im Zweig Benutzerkonfiguration, weil das Feature ja schon greifen soll, bevor ein User angemeldet ist.

Die erste Einstellung lautet Kontosperrungsschwelle und legt fest, wie viele ungültige Anmeldeversuche man tolerieren will, bevor ein Account gesperrt wird. Der zulässige Bereich bewegt sich zwischen 0 und 999, wobei 0 unbegrenzt viele Fehlversuche zulässt. Setzt man den Wert zu niedrig, kann dies zu vermehrten Helpdesk-Anfragen führen.

Kontosperrung automatisch wieder aufheben

Konfiguriert man nur die Kontosperrungsschwelle mit einem Wert größer Null, dann bleibt ein Benutzer dauerhaft ausgesperrt, wenn er die Zahl der erlaubten Fehlanmeldungen überschreitet. Um das Konto wieder freizuschalten, muss ein Administrator intervenieren und die Sperre aufheben.

Um jedoch die Zahl der Anfragen an den Helpdesk in Grenzen zu halten, kann man mit einer weiteren Einstellung namens Kontosperrdauer dafür sorgen, dass gesperrte Konten nach einem bestimmten Zeitintervall wieder zugänglich sind. Die Angabe der Dauer erfolgt in Minuten, gültige Werte liegen zwischen 0 und 99.999, wobei Null die automatische Aufhebung der Sperre außer Kraft setzt. Es liegt auf der Hand, dass eine zu kurze Sperrfrist keine ausreichende Abwehr gegen Angreifer bietet, während zu lange Intervalle den Helpdesk stärker beschäftigen werden.

Zähler für fehlgeschlagene Logins zurücksetzen

Schließlich besteht noch die Möglichkeit, den Zähler für fehlgeschlagene Anmeldungen über die Einstellung Zurücksetzungsdauer des Kontosperrungszählers auf Null zurückzusetzen. Normalerweise erfolgt dies automatisch, wenn sich der Benutzer erfolgreich anmeldet oder wenn die Kontosperrung automatisch abläuft. Wenn eine Kontosperrdauer festgelegt wurde, dann muss daher der Wert für den Zähler-Reset kleiner oder gleich der Zeit sein, nach der die Sperre automatisch aufgehoben wird (zulässig sind auch hier Eingaben zwischen 0 und 99.999).

Der Stand des Zählers erhöht sich übrigens nicht nur durch die Eingabe von falschen Passwörtern bei einem regulären Login, sondern auch dann, wenn man versucht, einen Bildschirmschoner oder die Bildschirmsperre nach Strg - Alt - Entf mit einem ungültigen Kennwort zu beenden.

Troubleshooting mit den ALTools

Sollten Accounts nach der Konfiguration der Kontosperrung immer wieder aus ungeklärten Gründen unzugänglich sein, dann bietet Microsoft eigene Werkzeuge an, um die Ursachen dafür zu ermitteln. Die kostenlosen Account Lockout and Management Tools helfen unter anderem dabei, Prozesse und Anwendungen aufzuspüren, die falsche Anmeldeinformationen versenden. Außerdem sammeln sie aus der Ereignisanzeige mehrerer Computer alle Einträge, die im Zusammenhang mit der Kontosperrung stehen.