Kontensperrungsschwelle
Betrifft:
- Windows 11
- Windows 10
Beschreibt die bewährten Methoden, Standorte, Werte und Sicherheitsüberlegungen für die Sicherheitsrichtlinieneinstellung "Schwellenwert für Kontosperrung ".
Verweis
Die Richtlinieneinstellung für den Schwellenwert für die Kontosperrung bestimmt die Anzahl der fehlgeschlagenen Anmeldeversuche, die dazu führen, dass ein Benutzerkonto gesperrt wird. Ein gesperrtes Konto kann erst verwendet werden, wenn Sie es zurücksetzen oder bis die in der Richtlinieneinstellung Kontosperrdauer angegebene Anzahl von Minuten abläuft. Sie können einen Wert zwischen 1 und 999 fehlgeschlagenen Anmeldeversuchen festlegen, oder Sie können angeben, dass das Konto nie gesperrt wird, indem Sie den Wert auf 0 festlegen. Wenn der Schwellenwert für die Kontosperrung auf eine Zahl größer als 0 (null) festgelegt ist, muss die Dauer der Kontosperrung größer oder gleich dem Wert von Kontosperrungszähler nach sein.
Brute-Force-Kennwortangriffe können automatisiert werden, um Tausende oder sogar Millionen von Kennwortkombinationen für beliebige oder alle Benutzerkonten auszuprobieren. Wenn Sie die Anzahl der fehlgeschlagenen Anmeldungen begrenzen, die durchgeführt werden können, wird die Effektivität solcher Angriffe nahezu beseitigt. Es ist jedoch wichtig zu beachten, dass ein Denial-of-Service-Angriff (DoS) für eine Domäne ausgeführt werden kann, für die ein Schwellenwert für die Kontosperrung konfiguriert ist. Ein böswilliger Benutzer könnte programmgesteuert eine Reihe von Kennwortangriffen auf alle Benutzer in der Organisation versuchen. Wenn die Anzahl der Versuche größer als der Wert des Schwellenwerts für die Kontosperrung ist, könnte der Angreifer möglicherweise jedes Konto sperren.
Fehlgeschlagene Versuche, eine Arbeitsstation zu entsperren, können zu einer Kontosperrung führen, auch wenn die Sicherheitsoption Interaktive Anmeldung: Domänencontrollerauthentifizierung zum Entsperren der Arbeitsstation erforderlich deaktiviert ist. Windows muss sich nicht mit einem Domänencontroller für eine Entsperrung in Verbindung setzen, wenn Sie dasselbe Kennwort eingeben, mit dem Sie sich angemeldet haben. Wenn Sie jedoch ein anderes Kennwort eingeben, muss Windows einen Domänencontroller kontaktieren, falls Sie Ihr Kennwort von einem anderen Computer aus geändert haben.
Mögliche Werte
Es ist möglich, die folgenden Werte für die Richtlinieneinstellung Kontosperrungsschwellenwert zu konfigurieren:
- Eine benutzerdefinierte Zahl von 0 bis 999
- Nicht definiert
Da Sicherheitsrisiken vorhanden sein können, wenn dieser Wert konfiguriert ist und nicht, sollten Organisationen ihre identifizierten Bedrohungen und die Risiken abwägen, die sie zu minimieren versuchen. Informationen zu diesen Einstellungen finden Sie unter Gegenmaßnahmen in diesem Artikel.
Bewährte Methoden
Der von Ihnen ausgewählte Schwellenwert ist ein Gleichgewicht zwischen betrieblicher Effizienz und Sicherheit und hängt von der Risikostufe Ihrer Organisation ab. Um Benutzerfehler zu ermöglichen und Brute-Force-Angriffe zu verhindern, empfehlen Windows-Sicherheitsbaselines , dass ein Wert von 10 ein akzeptabler Ausgangspunkt für Ihre Organisation sein könnte.
Wie bei anderen Kontosperrungseinstellungen ist dieser Wert eher eine Richtlinie als eine Regel oder bewährte Methode, da es keine "one size fits all" gibt. Weitere Informationen finden Sie unter Konfigurieren der Kontosperrung.
Die Implementierung dieser Richtlinieneinstellung hängt von Ihrer Betriebsumgebung ab. Bedrohungsvektoren, bereitgestellte Betriebssysteme und bereitgestellte Apps. Weitere Informationen finden Sie unter Überlegungen zur Implementierung in diesem Artikel.
Location
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kontosperrungsrichtlinie
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardrichtlinienwerte aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite für die Richtlinieneinstellung aufgeführt.
| Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
|---|---|
| Standarddomänenrichtlinie | 0 ungültige Anmeldeversuche |
| Standardrichtlinie für Domänencontroller | Nicht definiert |
| Standardeinstellungen für eigenständige Server | 0 ungültige Anmeldeversuche |
| Effektive Standardeinstellungen für Domänencontroller | 0 ungültige Anmeldeversuche |
| Effektive Standardeinstellungen für Mitgliedsserver | 0 ungültige Anmeldeversuche |
| Effektive Gruppenrichtlinien-Standardeinstellungen auf Clientcomputern | 0 ungültige Anmeldeversuche |
Richtlinienverwaltung
In diesem Abschnitt werden Features und Tools beschrieben, die Ihnen bei der Verwaltung dieser Richtlinieneinstellung zur Verfügung stehen.
Neustartanforderungen
Keine Änderungen an dieser Richtlinieneinstellung werden ohne Neustart des Computers wirksam, wenn sie lokal gespeichert oder über Gruppenrichtlinie verteilt werden.
Überlegungen zur Implementierung
Die Implementierung dieser Richtlinieneinstellung hängt von Ihrer Betriebsumgebung ab. Berücksichtigen Sie Bedrohungsvektoren, bereitgestellte Betriebssysteme und bereitgestellte Apps. Zum Beispiel:
Die Wahrscheinlichkeit eines Kontodiebstahls oder eines DoS-Angriffs basiert auf dem Sicherheitsentwurf für Ihre Systeme und Umgebung. Legen Sie den Schwellenwert für die Kontosperrung unter Berücksichtigung des bekannten und wahrgenommenen Risikos dieser Bedrohungen fest.
Bei einer Aushandlung von Verschlüsselungstypen zwischen Clients, Servern und Domänencontrollern kann das Kerberos-Protokoll automatisch versuchen, Kontoanmeldungsversuche zu wiederholen, die auf die Schwellenwerte angerechnet werden, die Sie in dieser Richtlinieneinstellung festgelegt haben. In Umgebungen, in denen verschiedene Versionen des Betriebssystems bereitgestellt werden, nimmt die Aushandlung des Verschlüsselungstyps zu.
Nicht alle Apps, die in Ihrer Umgebung verwendet werden, verwalten effektiv, wie oft ein Benutzer versuchen kann, sich anzumelden. Wenn beispielsweise eine Verbindung wiederholt abbricht, wenn ein Benutzer die App ausführt, werden alle nachfolgenden fehlgeschlagenen Anmeldeversuche auf den Schwellenwert für die Kontosperrung angerechnet.
Weitere Informationen zu Empfehlungen der Windows-Sicherheitsbaseline für die Kontosperrung finden Sie unter Konfigurieren der Kontosperrung.
Sicherheitsüberlegungen
In diesem Abschnitt wird beschrieben, wie ein Angreifer eine Funktion oder deren Konfiguration ausnutzen könnte, wie die geeigneten Schutzmaßnahmen implementiert werden und welche negativen Auswirkungen die Implementierung geeigneter Schutzmaßnahmen haben kann.
Hinweis
Eine Sperrschwellenrichtlinie gilt sowohl für Benutzer lokaler Mitgliedscomputer als auch für Domänenbenutzer, um die Behebung von Problemen zu ermöglichen, wie unter "Sicherheitsrisiko" beschrieben. Das integrierte Administratorkonto verfügt jedoch über ein anderes Risikoprofil und ist von dieser Richtlinie ausgeschlossen, obwohl es ein konto mit hohen Berechtigungen ist. Dadurch wird sichergestellt, dass sich ein Administrator nicht anmelden kann, um ein Problem zu beheben. Als Administrator stehen zusätzliche Entschärfungsstrategien zur Verfügung, z. B. ein sicheres Kennwort. Siehe auch Anhang D: Schützen Built-In Administratorkonten in Active Directory.
Sicherheitsrisiko
Brute-Force-Kennwortangriffe können automatisierte Methoden verwenden, um Millionen von Kennwortkombinationen für jedes Benutzerkonto auszuprobieren. Die Effektivität solcher Angriffe kann nahezu eliminiert werden, wenn Sie die Anzahl der fehlgeschlagenen Anmeldeversuche begrenzen, die ausgeführt werden können. Ein DoS-Angriff kann jedoch für eine Domäne ausgeführt werden, für die ein Schwellenwert für die Kontosperrung konfiguriert ist. Ein Angreifer könnte programmgesteuert eine Reihe von Kennwortangriffen gegen alle Benutzer in der Organisation versuchen. Wenn die Anzahl der Versuche größer als der Schwellenwert für die Kontosperrung ist, kann der Angreifer möglicherweise jedes Konto sperren, ohne spezielle Berechtigungen zu benötigen oder im Netzwerk authentifiziert zu werden.
Hinweis
Offline-Kennwortangriffe werden nicht durch diese Richtlinieneinstellung abgewehrt.
Gegenmaßnahme
Da Sicherheitsrisiken vorhanden sein können, wenn dieser Wert konfiguriert und nicht konfiguriert ist, werden zwei unterschiedliche Gegenmaßnahmen definiert. Organisationen sollten die Wahl zwischen den beiden basierend auf ihren identifizierten Bedrohungen und den Risiken, die sie minimieren möchten, abwägen. Die beiden Gegenmaßnahmenoptionen sind:
Konfigurieren Sie den Schwellenwert für die Kontosperrung auf 0. Diese Konfiguration stellt sicher, dass Konten nicht gesperrt werden, und verhindert einen DoS-Angriff, der absichtlich versucht, Konten zu sperren. Diese Konfiguration trägt auch dazu bei, Helpdesk-Anrufe zu reduzieren, da Benutzer sich nicht versehentlich von ihren Konten sperren können. Da ein Brute-Force-Angriff nicht verhindert wird, sollte diese Konfiguration nur ausgewählt werden, wenn beide der folgenden Kriterien explizit erfüllt sind:
- Die Kennwortrichtlinieneinstellung erfordert, dass alle Benutzer über komplexe Kennwörter mit mindestens acht Zeichen verfügen.
- Ein robuster Überwachungsmechanismus ist vorhanden, um Administratoren zu warnen, wenn eine Reihe von fehlgeschlagenen Anmeldungen in der Umgebung auftritt.
Konfigurieren Sie die Richtlinieneinstellung für den Schwellenwert für die Kontosperrung auf einen ausreichend hohen Wert, um Benutzern die Möglichkeit zu geben, ihr Kennwort mehrmals versehentlich falsch einzugeben, bevor das Konto gesperrt wird. Stellen Sie jedoch sicher, dass das Konto weiterhin durch einen Brute-Force-Kennwortangriff gesperrt wird.
Windows-Sicherheitsbaselines empfehlen, einen Schwellenwert von 10 ungültigen Anmeldeversuchen zu konfigurieren, was versehentliche Kontosperrungen verhindert und die Anzahl der Helpdeskanrufe reduziert, aber keinen DoS-Angriff verhindert.
Die Verwendung dieser Art von Richtlinie muss von einem Prozess zum Entsperren gesperrter Konten begleitet werden. Es muss möglich sein, diese Richtlinie immer dann zu implementieren, wenn dies erforderlich ist, um massive Sperren zu entschärfen, die durch einen Angriff auf Ihre Systeme verursacht werden.
Mögliche Auswirkung
Wenn diese Richtlinieneinstellung aktiviert ist, kann ein gesperrtes Konto erst verwendet werden, wenn es von einem Administrator zurückgesetzt wird oder bis die Dauer der Kontosperrung abläuft. Wenn Sie diese Einstellung aktivieren, werden wahrscheinlich viele weitere Helpdeskanrufe generiert.
Wenn Sie die Richtlinieneinstellung für den Schwellenwert für die Kontosperrung auf 0 konfigurieren, besteht die Möglichkeit, dass der Versuch eines böswilligen Benutzers, Kennwörter mit einem Brute-Force-Kennwortangriff zu ermitteln, unentdeckt bleibt, wenn kein robuster Überwachungsmechanismus vorhanden ist.
Wenn Sie diese Richtlinieneinstellung auf eine Zahl größer als 0 konfigurieren, kann ein Angreifer problemlos alle Konten sperren, für die der Kontoname bekannt ist. Diese Situation ist besonders gefährlich, da keine anderen Anmeldeinformationen als der Zugriff auf das Netzwerk erforderlich sind, um die Konten zu sperren.