Zurücksetzungsdauer des Kontosperrungszählers
Betrifft:
- Windows 11
- Windows 10
Beschreibt die bewährten Methoden, Speicherorte, Werte und Sicherheitsüberlegungen für die Einstellung Kontosperrung zurücksetzen nach sicherheitsrichtlinien.
Verweis
Die Richtlinieneinstellung Kontosperrung zurücksetzen bestimmt die Anzahl der Minuten, die verstreichen müssen, nachdem sich ein Benutzer nicht anmelden kann, bevor der Zähler für den fehlgeschlagenen Anmeldeversuch auf 0 zurückgesetzt wird. Wenn der Schwellenwert für die Kontosperrung auf eine Zahl größer als 0 (null) festgelegt ist, muss diese Zurücksetzungszeit kleiner oder gleich dem Wert der Kontosperrdauer sein.
Der Nachteil einer hohen Einstellung besteht darin, dass Benutzer sich für einen umständlich langen Zeitraum sperren, wenn sie den Schwellenwert für die Kontosperrung durch Anmeldefehler überschreiten. Benutzer können übermäßige Helpdeskanrufe tätigen.
Mögliche Werte
- Eine benutzerdefinierte Anzahl von Minuten von 1 bis 99.999
- Nicht definiert
Bewährte Methoden
Bestimmen Sie die Bedrohungsstufe für Ihre Organisation, und halten Sie diese gegen die Kosten ihres Helpdesk-Supports für Kennwortzurücksetzungen ab. Jede Organisation hat bestimmte Anforderungen.
Windows-Sicherheitsbaselines empfehlen die Konfiguration des Kontosperrungszählers nach der Richtlinieneinstellung auf 15 zurücksetzen. Wie bei anderen Einstellungen für Kontosperrungen ist dieser Wert jedoch eher eine Richtlinie als eine Regel oder bewährte Methode, da es keine "One size fits all" gibt. Weitere Informationen finden Sie unter Konfigurieren der Kontosperrung.
Location
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kontosperrungsrichtlinie
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardrichtlinienwerte aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgeführt.
| Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
|---|---|
| Standarddomänenrichtlinie | Nicht definiert |
| Standardrichtlinie für Domänencontroller | Nicht definiert |
| Standardeinstellungen für eigenständige Server | Nicht zutreffend |
| Effektive Standardeinstellungen für Domänencontroller | Nicht definiert |
| Effektive Standardeinstellungen für Mitgliedsserver | Nicht definiert |
| Effektive Standardeinstellungen für Clientcomputer | Nicht zutreffend |
Sicherheitsüberlegungen
In diesem Abschnitt wird beschrieben, wie ein Angreifer eine Funktion oder deren Konfiguration ausnutzen könnte, wie die geeigneten Schutzmaßnahmen implementiert werden und welche negativen Auswirkungen die Implementierung geeigneter Schutzmaßnahmen haben kann.
Sicherheitsrisiko
Benutzer können sich versehentlich von ihren Konten sperren, wenn sie ihr Kennwort mehrmals falsch eingeben.
Gegenmaßnahme
Windows-Sicherheitsbaselines empfehlen, die Einstellung Kontosperrung zurücksetzen nach der Richtlinie auf 15 zu konfigurieren.
Mögliche Auswirkung
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren oder der Wert auf ein zu langes Intervall konfiguriert ist, kann ein Angreifer versuchen, sich mehrmals bei jedem Benutzerkonto anzumelden und deren Konten zu sperren, ein Denial-of-Service-Angriff (DoS) kann erfolgreich sein, oder Administratoren müssen möglicherweise alle gesperrten Konten manuell entsperren. Wenn Sie diese Richtlinieneinstellung auf einen angemessenen Wert konfigurieren, können Benutzer nach einer fehlgeschlagenen Anmeldung innerhalb einer angemessenen Zeit neue Anmeldeversuche durchführen, ohne Brute-Force-Angriffe mit hoher Geschwindigkeit möglich zu machen. Stellen Sie sicher, dass Sie Benutzer über die Werte benachrichtigen, die für diese Richtlinieneinstellung verwendet werden, damit sie warten, bis der Sperrzeitgeber abläuft, bevor sie den Helpdesk aufrufen.