Kontosperrung über Gruppenrichtlinien konfigurieren


    Tags: , ,

    Account LockoutDie Kontosperrung ist eine etablierte Methode, um das (automatisierte) Erraten von Passwörtern zu verhindern. In zentral verwalteten Windows-Umgebungen lassen sich die insgesamt drei Einstellungen für dieses Feature mit Hilfe von GPOs steuern.

    Die Verwendung der Kontosperrung ist nicht unumstritten, da sie unerwünschte Nebenwirkungen haben kann. Zwar schützt sie verlässlich gegen das massenweise Ausprobieren von Kennwörtern, aber sie erhöht die Zahl der Anfragen an den Helpdesk und bietet zudem Ansatzpunkte für Denial-of-Service-Angriffe.

    Schwelle für Kontosperrung nicht zu niedrig ansetzen

    Wenn man sich für den Einsatz der Kontosperrung entscheidet, dann stellt sich die Frage, welche Werte man für die drei Einstellungen wählt, um einen Kompromiss zwischen einem effizienten Schutz gegen Password-Guessing und möglichst geringer Anfälligkeit gegen DoS-Attacken zu finden. Microsoft hat seine empfohlenen Werte für Windows 8.1 und Server 2012 aktualisiert und in der Baseline für den Security Compliance Manager umgesetzt.

    Die Einstellungen für Account Lockout finden sich im GPO-Editor unter Computerkonfiguration => Windows-Einstellungen => Sicherheits­einstellungen => Kontorichtlinien => Kontosperrungsrichtlinien. Sie haben keine Entsprechung im Zweig Benutzerkonfiguration, weil das Feature ja schon greifen soll, bevor ein User angemeldet ist.

    Die Zahl der zulässigen Fehlanmeldungen sollte hoch genug sein, um User nicht vorschnell auszusperren.

    Die erste Einstellung lautet Kontosperrungsschwelle und legt fest, wie viele ungültige Anmeldeversuche man tolerieren will, bevor ein Account gesperrt wird. Der zulässige Bereich bewegt sich zwischen 0 und 999, wobei 0 unbegrenzt viele Fehlversuche zulässt. Setzt man den Wert zu niedrig, kann dies zu vermehrten Helpdesk-Anfragen führen.

    Kontosperrung automatisch wieder aufheben

    Konfiguriert man nur die Kontosperrungsschwelle mit einem Wert größer Null, dann bleibt ein Benutzer dauerhaft ausgesperrt, wenn er die Zahl der erlaubten Fehlanmeldungen überschreitet. Um das Konto wieder freizuschalten, muss ein Administrator intervenieren und die Sperre aufheben.

    Die Kontosperrung wird nach einer gewissen Dauer automatisch aufgehoben, wenn man einen Wert größer 0 wählt.

    Um jedoch die Zahl der Anfragen an den Helpdesk in Grenzen zu halten, kann man mit einer weiteren Einstellung namens Kontosperrdauer dafür sorgen, dass gesperrte Konten nach einem bestimmten Zeitintervall wieder zugänglich sind. Die Angabe der Dauer erfolgt in Minuten, gültige Werte liegen zwischen 0 und 99.999, wobei Null die automatische Aufhebung der Sperre außer Kraft setzt. Es liegt auf der Hand, dass eine zu kurze Sperrfrist keine ausreichende Abwehr gegen Angreifer bietet, während zu lange Intervalle den Helpdesk stärker beschäftigen werden.

    Zähler für fehlgeschlagene Logins zurücksetzen

    Schließlich besteht noch die Möglichkeit, den Zähler für fehlgeschlagene Anmeldungen über die Einstellung Zurücksetzungsdauer des Kontosperrungszählers auf Null zurückzusetzen. Normalerweise erfolgt dies automatisch, wenn sich der Benutzer erfolgreich anmeldet oder wenn die Kontosperrung automatisch abläuft. Wenn eine Kontosperrdauer festgelegt wurde, dann muss daher der Wert für den Zähler-Reset kleiner oder gleich der Zeit sein, nach der die Sperre automatisch aufgehoben wird (zulässig sind auch hier Eingaben zwischen 0 und 99.999).

    Das Zeitintervall für den Zähler-Reset muss kleiner oder gleich sein als jenes für die Sperrdauer.

    Der Stand des Zählers erhöht sich übrigens nicht nur durch die Eingabe von falschen Passwörtern bei einem regulären Login, sondern auch dann, wenn man versucht, einen Bildschirmschoner oder die Bildschirmsperre nach Strg - Alt - Entf mit einem ungültigen Kennwort zu beenden.

    Troubleshooting mit den ALTools

    Sollten Accounts nach der Konfiguration der Kontosperrung immer wieder aus ungeklärten Gründen unzugänglich sein, dann bietet Microsoft eigene Werkzeuge an, um die Ursachen dafür zu ermitteln. Die kostenlosen Account Lockout and Management Tools helfen unter anderem dabei, Prozesse und Anwendungen aufzuspüren, die falsche Anmeldeinformationen versenden. Außerdem sammeln sie aus der Ereignisanzeige mehrerer Computer alle Einträge, die im Zusammenhang mit der Kontosperrung stehen.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut
    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Ähnliche Beiträge

    Weitere Links