Kontosperrdauer

  • Artikel
  • 2 Minuten Lesedauer

Betrifft:

  • Windows 11
  • Windows 10

Beschreibt die bewährten Methoden, Standorte, Werte und Sicherheitsüberlegungen für die Sicherheitsrichtlinieneinstellung "Dauer der Kontosperrung ".

Verweis

Die Richtlinieneinstellung Kontosperrdauer bestimmt die Anzahl der Minuten, in denen ein gesperrtes Konto gesperrt bleibt, bevor es automatisch entsperrt wird. Der verfügbare Bereich reicht von 1 bis 99.999 Minuten. Der Wert 0 gibt an, dass das Konto gesperrt wird, bis ein Administrator es explizit entsperrt. Wenn der Schwellenwert für die Kontosperrung auf eine Zahl größer als 0 (null) festgelegt ist, muss die Dauer der Kontosperrung größer oder gleich dem Wert von Kontosperrungszähler nach sein. Diese Richtlinieneinstellung ist abhängig von der definierten Richtlinieneinstellung für die Kontosperrung und muss größer oder gleich dem Wert sein, der für die Richtlinieneinstellung Kontosperrung zurücksetzen angegeben wurde.

Mögliche Werte

  • Eine benutzerdefinierte Anzahl von Minuten von 0 bis 99.999
  • Nicht definiert

Wenn der Schwellenwert für die Kontosperrung konfiguriert ist, wird das Konto nach der angegebenen Anzahl fehlgeschlagener Versuche gesperrt. Wenn die Dauer der Kontosperrung auf 0 festgelegt ist, bleibt das Konto gesperrt, bis ein Administrator es manuell entsperrt.

Es empfiehlt sich, die Dauer der Kontosperrung auf ca. 15 Minuten festzulegen. Um anzugeben, dass das Konto niemals gesperrt wird, legen Sie den Schwellenwert für die Kontosperrung auf 0 fest.

Location

Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kennwortrichtlinie

Standardwerte

In der folgenden Tabelle sind die tatsächlichen und effektiven Standardrichtlinienwerte aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgeführt.

Servertyp oder Gruppenrichtlinienobjekt Standardwert
Standarddomänenrichtlinie Nicht definiert
Standardrichtlinie für Domänencontroller Nicht definiert
Standardeinstellungen für eigenständige Server Nicht zutreffend
Effektive Standardeinstellungen für Domänencontroller Nicht definiert
Effektive Standardeinstellungen für Mitgliedsserver Nicht definiert
Effektive Standardeinstellungen für Clientcomputer Nicht zutreffend

Sicherheitsüberlegungen

Mehr als ein paar erfolglose Kennwortübermittlungen während eines Anmeldeversuchs bei einem Computer stellen möglicherweise die Versuche eines Angreifers dar, ein Kontokennwort durch Versuch und Fehler zu ermitteln. Die Betriebssysteme Windows und Windows Server können Anmeldeversuche nachverfolgen, und Sie können das Betriebssystem so konfigurieren, dass das Konto nach einer bestimmten Anzahl von fehlgeschlagenen Versuchen für einen voreingestellten Zeitraum deaktiviert wird. Die Richtlinieneinstellungen für die Kontosperrung steuern den Schwellenwert für diese Antwort und die Aktion, die nach Erreichen des Schwellenwerts ausgeführt werden soll.

Sicherheitsrisiko

Eine Denial-of-Service-Bedingung (DoS) kann erstellt werden, wenn ein Angreifer die Richtlinieneinstellung für die Kontosperrung missbraucht und wiederholt versucht, sich mit einem bestimmten Konto anzumelden. Nachdem Sie die Richtlinieneinstellung Für die Kontosperrung konfiguriert haben, wird das Konto nach der angegebenen Anzahl von fehlgeschlagenen Versuchen gesperrt. Wenn Sie die Richtlinieneinstellung Kontosperrdauer auf 0 konfigurieren, bleibt das Konto gesperrt, bis Sie es manuell entsperren.

Gegenmaßnahme

Konfigurieren Sie die Richtlinieneinstellung Kontosperrdauer auf einen geeigneten Wert für Ihre Umgebung. Um anzugeben, dass das Konto gesperrt bleibt, bis Sie es manuell entsperren, konfigurieren Sie den Wert auf 0. Wenn die Richtlinieneinstellung Kontosperrdauer auf einen Wert ungleich null konfiguriert ist, werden automatisierte Versuche, Kontokennwörter zu erraten, für dieses Intervall verzögert, bevor Die Versuche für ein bestimmtes Konto fortgesetzt werden. Die Verwendung dieser Einstellung in Kombination mit der Richtlinieneinstellung "Schwellenwert für Kontosperrung " erschwert automatisierte Kennworterraten.

Mögliche Auswirkung

Wenn Sie die Richtlinieneinstellung Für die Dauer der Kontosperrung auf 0 festlegen, damit Konten nicht automatisch entsperrt werden können, kann die Anzahl der Anforderungen erhöht werden, die der Helpdesk Ihrer Organisation empfängt, um versehentlich gesperrte Konten zu entsperren.

Kontosperrungsrichtlinie