• Artikel

Administrative Vorlagendateien (ADM, ADMX, ADML) für 2007 Office System und Updates für das Office-Anpassungstool

 

Gilt für: Office 2010

Letztes Änderungsdatum des Themas: 2011-07-08

Microsoft Office 2010 enthält Einstellungen (beispielsweise für die Kennwortlänge und für Komplexitätsregeln), mit denen Sie sichere Kennwörter erzwingen können, wenn Sie das Feature Mit Kennwort verschlüsseln in Microsoft Excel 2010, Microsoft PowerPoint 2010 und Microsoft Word 2010 verwenden. Mithilfe dieser Einstellungen können Sie dafür sorgen, dass lokale Kennwortanforderungen oder die in den Einstellungen für Kennwortrichtlinien in Gruppenrichtlinien angegebenen domänenbasierten Anforderungen von Office 2010-Anwendungen erzwungen werden.

Inhalt dieses Artikels:

  • Informationen zum Planen von Einstellungen für die Kennwortlänge und -komplexität

  • Erzwingen der Kennwortlänge und -komplexität

  • Verwandte Einstellungen für die Kennwortlänge und -komplexität

Informationen zum Planen von Einstellungen für die Kennwortlänge und -komplexität

Standardmäßig gelten keine Einschränkungen für die Kennwortlänge oder -komplexität beim Feature Mit Kennwort verschlüsseln, das heißt, Benutzer können Dokumente, Präsentationen oder Arbeitsmappen verschlüsseln, ohne ein Kennwort anzugeben. Organisationen wird jedoch empfohlen, diese Standardeinstellung zu ändern und die Kennwortlänge und -komplexität zu erzwingen, um sicherzustellen, dass für das Feature Mit Kennwort verschlüsseln sichere Kennwörter verwendet werden.

Viele Organisationen erzwingen mithilfe von domänenbasierten Gruppenrichtlinien sichere Kennwörter für die Anmeldung und Authentifizierung. In diesem Fall wird empfohlen, für das Feature Mit Kennwort verschlüsseln die gleichen Anforderungen für die Kennwortlänge und -komplexität zu verwenden. Weitere Informationen zu sicheren Kennwörtern, einschließlich Empfehlungen für das Bestimmen der Kennwortlänge und -komplexität, finden Sie unter Erstellen einer Richtlinie für sichere Kennwörter (https://go.microsoft.com/fwlink/?linkid=166269\&clcid=0x407).

Warnung

Wenn Sie Kennwortrichtlinien festlegen, müssen Sie den Bedarf für hohe Sicherheit mit dem Bedarf für eine von den Benutzern einfach zu implementierende Kennrichtlinie in Einklang bringen. Wenn ein Kennwort vergessen wird oder ein Mitarbeiter die Organisation verlässt, ohne die zum Speichern und Verschlüsseln der Daten verwendeten Kennwörter bereitzustellen, ist kein Zugriff auf die Daten möglich, solange das richtige Kennwort zum Verschlüsseln der Daten nicht verfügbar ist.

Erzwingen der Kennwortlänge und -komplexität

Wenn Sie die Kennworteinstellungen für die Kennwortlänge und -komplexität in Office 2010 konfigurieren, können Sie die in Office 2010 enthaltenen Einstellungen oder eine Kombination mit den im domänenbasierten Gruppenrichtlinienobjekt verfügbaren Kennworteinstellungen verwenden. Wenn Sie bereits sichere Kennwörter für die Domänenanmeldung und -authentifizierung verwenden, sollten Sie die Einstellungen für die Kennwortlänge und -komplexität für Office 2010 genauso wie im Gruppenrichtlinienobjekt der Domäne für Kennwortrichtlinien konfigurieren.

In Office 2010 sind die folgenden Kennworteinstellungen enthalten:

  • Mindestlänge für Kennwort festlegen

  • Regelstufe für Kennwort festlegen

  • Domänentimeout für Kennwortregeln festlegen

Sie können die Kennworteinstellungen für Office 2010 mit dem Office-Anpassungstool (OAT) oder mit den administrativen Vorlagen für Office 2010 für lokale oder domänenbasierte Gruppenrichtlinien konfigurieren. Weitere Informationen zum Konfigurieren von Sicherheitseinstellungen im OAT und in den administrativen Vorlagen für Office 2010 finden Sie unter Konfigurieren der Sicherheit für Office 2010.

Für das Gruppenrichtlinienobjekt für Kennwortrichtlinien in der Domäne sind die folgenden Kennworteinstellungen verfügbar:

  • Kennwortchronik erzwingen

  • Maximales Kennwortalter

  • Minimales Kennwortalter

  • Mindestlänge für Kennwort

  • Kennwort muss Komplexitätsvoraussetzungen entsprechen

  • Kennwörter mit umkehrbarer Verschlüsselung speichern

Sie können die domänenbasierten Einstellungen für Kennwortrichtlinien mit dem Gruppenrichtlinienobjekt-Editor konfigurieren (GPO | Computerkonfiguration | Richtlinien | Windows-Einstellungen | Sicherheitseinstellungen | Kontorichtlinien | Kennwortrichtlinien). Weitere Informationen finden Sie unter Technische Referenz für den Gruppenrichtlinienobjekt-Editor (https://go.microsoft.com/fwlink/?linkid=188682\&clcid=0x407).

Mit der Einstellung Regelstufe für Kennwort festlegen in Office 2010 bestimmen Sie die Anforderungen für die Kennwortkomplexität und ob das Gruppenrichtlinienobjekt für Kennwortrichtlinien für die Domäne verwendet wird.

Zum Erzwingen der Kennwortlänge und -komplexität für das Feature Mit Kennwort verschlüsseln müssen Sie die folgenden Schritte ausführen:

  • Bestimmen Sie die Mindestlänge für Kennwörter, die Sie lokal erzwingen möchten.

  • Bestimmen Sie die Regelstufe für Kennwörter.

  • Bestimmen Sie den Timeoutwert für Kennwörter bei der domänenbasierten Kennworterzwingung. (Diese Aufgabe ist optional. Möglicherweise müssen Sie diesen Wert konfigurieren, wenn auf dem Domänencontroller ein benutzerdefinierter Kennwortfilter installiert ist und die standardmäßige Wartezeit von 4 Sekunden beim Herstellen der Verbindung mit einem Domänencontroller nicht ausreicht.)

Bestimmen der Anforderungen für die Mindestlänge für Kennwörter

Zum Erzwingen der Kennwortlänge und -komplexität müssen Sie zuerst die Mindestlänge für Kennwörter bestimmen, die Sie lokal erzwingen möchten. Hierzu können Sie die Einstellung Mindestlänge für Kennwort festlegen verwenden. Wenn Sie diese Einstellung aktivieren, können Sie eine Kennwortlänge zwischen 0 und 255 angeben. Durch die Angabe einer Mindestlänge für Kennwörter wird die Kennwortlänge jedoch nicht erzwungen. Zum Erzwingen der Kennwortlänge oder -komplexität müssen Sie die Einstellung Regelstufe für Kennwort festlegen ändern, die im folgenden Abschnitt behandelt wird.

Warnung

Wenn Sie Kennwortrichtlinien festlegen, müssen Sie den Bedarf für hohe Sicherheit mit dem Bedarf für eine von den Benutzern einfach zu implementierende Kennrichtlinie in Einklang bringen. Wenn ein Kennwort vergessen wird oder ein Mitarbeiter die Organisation verlässt, ohne die zum Speichern und Verschlüsseln der Daten verwendeten Kennwörter bereitzustellen, ist kein Zugriff auf die Daten möglich, solange das richtige Kennwort zum Verschlüsseln der Daten nicht verfügbar ist.

Bestimmen der Regelstufe für Kennwörter

Wenn Sie eine Mindestlänge für Kennwörter festgelegt haben, die lokal erzwungen werden soll, müssen Sie die Regeln bestimmen, nach denen die Kennwortlänge und -komplexität erzwungen wird. Hierzu können Sie die Einstellung Regelstufe für Kennwort festlegen verwenden. Wenn Sie diese Einstellung aktivieren, können Sie eine der folgenden vier Stufen auswählen:

  • Keine Kennwortprüfungen Die Kennwortlänge und -komplexität wird nicht erzwungen. Dies entspricht der Standardkonfiguration.

  • Prüfung der lokalen Länge Die Kennwortlänge wird erzwungen, die Kennwortkomplexität jedoch nicht. Außerdem wird die Kennwortlänge nur lokal gemäß der in der Einstellung Mindestlänge für Kennwort festlegen angegebenen Anforderung für die Kennwortlänge erzwungen.

  • Prüfung der lokalen Länge und Komplexität Die Kennwortlänge wird lokal gemäß der in der Einstellung Mindestlänge für Kennwort festlegen angegebenen Anforderung für die Kennwortlänge erzwungen. Außerdem wird die Kennwortkomplexität lokal erzwungen, das heißt, Kennwörter müssen Zeichen aus mindestens drei der folgenden Zeichensätze enthalten:

    • Kleinbuchstaben a–z

    • Großbuchstaben A–Z

    • Ziffern 0–9

    • Nicht alphabetische Zeichen

    Diese Einstellung kann nur verwendet werden, wenn Sie in der Einstellung Mindestlänge für Kennwort festlegen eine Kennwortlänge von mindestens sechs Zeichen angeben.

  • Prüfung der lokalen Länge und lokalen Komplexität und Domänenrichtlinienprüfungen Die Kennwortlänge und -komplexität wird gemäß den in Gruppenrichtlinien festgelegten domänenbasierten Einstellungen für Kennwortrichtlinien erzwungen. Wenn ein Computer offline ist oder keine Verbindung mit einem Domänencontroller herstellen kann, werden die lokalen Anforderungen für die Kennwortlänge und -komplexität exakt gemäß der Beschreibung für die Einstellung Prüfung der lokalen Länge und Komplexität erzwungen.

Wenn Sie die Kennwortlänge und -komplexität mithilfe domänenbasierter Einstellungen erzwingen möchten, müssen Sie in Gruppenrichtlinien Einstellungen für Kennwortrichtlinien konfigurieren. Die domänenbasierte Erzwingung hat verschiedene Vorteile gegenüber der lokalen Erzwingung. Zu den Vorteilen gehören folgende:

  • Für die Anmeldung und Authentifizierung gelten die gleichen Anforderungen für die Kennwortlänge und -komplexität wie für das Feature Mit Kennwort verschlüsseln.

  • Die Anforderungen für die Kennwortlänge und -komplexität werden überall in der Organisation auf die gleiche Weise erzwungen.

  • Die Anforderungen für die Kennwortlänge und -komplexität können für Organisationseinheiten, Standorte und Domänen unterschiedlich erzwungen werden.

Weitere Informationen zum Erzwingen der Kennwortlänge und -komplexität mithilfe domänenbasierter Gruppenrichtlinien finden Sie unter Erzwingen der Verwendung sicherer Kennwörter in der gesamten Organisation (https://go.microsoft.com/fwlink/?linkid=166262\&clcid=0x407).

Bestimmen des Domänentimeoutwerts

Wenn Sie die Kennwortlänge und -komplexität für das Feature Mit Kennwort verschlüsseln mithilfe domänenbasierter Gruppenrichtlinieneinstellungen erzwingen und auf dem Domänencontroller ein benutzerdefinierter Kennwortfilter installiert ist, müssen Sie möglicherweise die Einstellung Domänentimeout für Kennwortregeln festlegen konfigurieren. Mit dem Domänentimeoutwert bestimmen Sie, wie lange in einer Office 2010-Anwendung auf eine Antwort von einem Domänencontroller gewartet wird, bevor für die Erzwingung die lokalen Einstellungen für die Kennwortlänge und -komplexität verwendet werden. Sie können den Domänentimeoutwert mit der Einstellung Domänentimeout für Kennwortregeln festlegen ändern. Standardmäßig beträgt der Domänentimeoutwert 4000 Millisekunden (4 Sekunden), das heißt, wenn ein Domänencontroller nicht innerhalb von 4000 Millisekunden antwortet, werden in der Office 2010-Anwendung für die Erzwingung die lokalen Einstellungen für die Kennwortlänge und -komplexität verwendet.

Hinweis

Der Domänentimeoutwert wird nur dann wirksam, wenn Sie die Einstellungen Mindestlänge für Kennwort festlegen und Regelstufe für Kennwort festlegen aktivieren und dann die Option Prüfung der lokalen Länge und lokalen Komplexität und Domänenrichtlinienprüfungen auswählen.

Verwandte Einstellungen für die Kennwortlänge und -komplexität

Die folgenden Einstellungen werden oft verwendet, wenn die Kennwortlänge und -komplexität in einer Organisation erzwungen wird:


  • Einstellungen für die kryptografische Flexibilität Mit diesen Einstellungen können Sie die Kryptografieanbieter und -algorithmen angeben, die zum Verschlüsseln von Dokumenten, Präsentationen und Arbeitsmappen verwendet werden.

Hinweis

Die neuesten Informationen zu Richtlinieneinstellungen finden Sie in der Microsoft Excel 2010-Arbeitsmappe Office2010GroupPolicyAndOCTSettings_Reference.xls, das im Abschnitt In diesem Download enthaltene Dateien auf der Downloadseite Administrative Vorlagendateien (ADM, ADMX/ADML) für Office 2010 und das Office-Anpassungstool (https://go.microsoft.com/fwlink/?linkid=189316&clcid=0x407) verfügbar ist.