Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Warum sollte man dies in Betracht ziehen?
Die Kontosperrungs-Richtlinie setzt den Sperrschwellenwert für Konten derzeit nicht auf den empfohlenen Wert. Der Schwellenwert für die Kontosperrung sollte entweder auf 0 gesetzt werden, sodass keine Konten gesperrt werden (und Denial-of-Service-Angriffe (DoS) verhindert werden), oder auf einen Wert, der so hoch ist, dass Benutzende ihr Kennwort versehentlich mehrmals falsch eingeben können, bevor ihr Konto gesperrt wird, der aber dennoch sicherstellt, dass ein Brute-Force-Passwortangriff das Konto sperrt.
Schauen Sie einem Customer Engineer zu, der das Problem erklärt
Kontext und bewährte Vorgehensweisen
Passwort-Angriffe können automatisierte Methoden verwenden, um Millionen von Passwort-Kombinationen für jedes Benutzerkonto auszuprobieren. Die Wirksamkeit solcher Angriffe kann nahezu eliminiert werden, indem die Anzahl der fehlgeschlagenen Anmeldungen, die durchgeführt werden können, begrenzt wird. Ein Denial-of-Service-Angriff (DoS-Angriff) könnte jedoch in einer Domäne durchgeführt werden, für die eine Sperrschwelle für Konten konfiguriert ist. Cyber-Angreifende könnten versuchen, eine Reihe von Angriffen auf die Kennwörter aller Benutzenden in der Organisation zu programmieren. Wenn die Anzahl der Versuche größer ist als der Schwellenwert für die Kontosperrung, können Cyber-Angreifende möglicherweise alle Konten sperren.
Da Schwachstellen sowohl bei der Konfiguration des Sperrschwellenwertes für Konten als auch bei Nicht-Konfiguration bestehen können, werden zwei verschiedene Gegenmaßnahmen definiert. Je nach den erkannten Bedrohungen und Risiken müssen sich Unternehmen für eine der beiden Maßnahmen entscheiden. Die folgenden Maßnahmen sind möglich:
- Konfigurieren Sie für die Einstellung Kontensperrungsschwelle den Wert „0“. Diese Konfiguration stellt sicher, dass Konten nicht gesperrt werden, und verhindert einen DoS-Angriff, bei dem absichtlich versucht wird, Konten zu sperren. Diese Konfiguration trägt auch dazu bei, die Anrufe beim Helpdesk zu reduzieren, da Benutzende sich nicht versehentlich selbst von ihren Konten aussperren können. Diese Konfiguration verhindert keinen Brute-Force-Angriff. Daher sollte sie nur ausgewählt werden, wenn die folgenden beiden Kriterien explizit erfüllt werden:
- Die Passwort-Richtlinie verlangt von allen Benutzenden komplexe Passwörter mit 8 oder mehr Zeichen.
- Es ist ein robuster Audit-Mechanismus vorhanden, der Administratorinnen und Administratoren alarmiert, wenn in der Umgebung eine Reihe von fehlgeschlagenen Anmeldungen auftritt. Beispielsweise sollte die Auditing-Lösung das Sicherheitsereignis 539 überwachen, bei dem es sich um einen Anmeldefehler handelt; dieses Ereignis zeigt an, dass zum Zeitpunkt des Anmeldeversuchs eine Sperre auf dem Konto bestand.
- Konfigurieren Sie die Einstellung Sperrschwellenwert für Konten auf einen ausreichend hohen Wert, um Benutzenden die Möglichkeit zu geben, ihr Kennwort versehentlich mehrmals falsch einzugeben, bevor das Konto gesperrt wird, aber stellen Sie sicher, dass bei einem Brute-Force-Kennwortangriff das Konto trotzdem gesperrt wird. Diese Konfiguration verhindert daher versehentliche Kontosperrungen und reduziert Help-Desk-Anrufe, verhindert aber keinen DoS-Angriff.
Wenn diese Richtlinieneinstellung aktiviert ist, bleibt ein gesperrtes Konto unzugänglich, bis eine Administratorin bzw. ein Administrator es zurücksetzt oder die Sperrfrist abgelaufen ist. Diese Einstellung wird wahrscheinlich eine Reihe von zusätzlichen Helpdesk-Anrufen erzeugen. Tatsächlich verursachen gesperrte Konten in vielen Organisationen die größte Anzahl von Anrufen beim Helpdesk. Wenn Sie diese Einstellung erzwingen, könnten Cyber-Angreifende einen Denial of Service verursachen, indem sie absichtlich fehlgeschlagene Anmeldungen für mehrere Benutzende erzeugt. Aus diesem Grund ist es ratsam, auch die Dauer der Kontosperrung auf einen relativ niedrigen Wert zu setzen, z. B. 15 Minuten.
Empfohlene Maßnahmen
Verwenden Sie den Group Policy Management Editor (GPME), um das Gruppenrichtlinienobjekt (GPO) zu öffnen, das die effektive Kennwortrichtlinie für die Domäne enthält; dieses GPO kann die Standarddomänenrichtlinie oder ein benutzerdefiniertes GPO sein, das mit der Standarddomänenrichtlinie verknüpft ist (d. h. eine höhere Priorität als diese hat).
Navigieren Sie in GPME zu Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kontosperrungsrichtlinien.
Konfigurieren Sie die Einstellung Sperrschwellenwert für Konten entweder auf 0, so dass Konten nie gesperrt werden, oder auf n, wobei n ein ausreichend hoher Wert ist, um Benutzenden die Möglichkeit zu bieten, ihr Kennwort versehentlich mehrmals falsch einzugeben, bevor das Konto gesperrt wird, aber stellen Sie sicher, dass bei einem Brute-Force-Kennwortangriff das Konto trotzdem gesperrt wird. Der aktuelle empfohlene Basiswert des Microsoft Security Compliance Toolkit (SCT) für n ist 10.
Beachten Sie, dass bei Verwendung von feinkörnigen Passwortrichtlinien die Standard-Domänenrichtlinie möglicherweise nicht alle Konten betrifft; in solchen Fällen sollten Sie daher auch die Einstellung für die reversible Verschlüsselung in diesen feinkörnigen Passwortrichtlinien überprüfen.
Weitere Informationen
Weitere Informationen zu Einstellungen für die Kontosperrung finden Sie unter Konfigurieren der Kontosperre.