Bedrohungen und Gegenmaßnahmen

Kapitel 2: Richtlinien auf Domänenebene

In diesem Kapitel werden die auf Domänenebene angewendeten Gruppenrichtlinieneinstellungen erläutert. Die vordefinierte Standarddomänencontrollerrichtlinie enthält Standardeinstellungswerte für diese Richtlinien, die in ihrer Gesamtheit auch als Kontorichtlinien bezeichnet werden.

Auf dieser Seite

Kontorichtlinien
Weitere Informationen

Kontorichtlinien

Es stehen drei verschiedene Kontorichtlinientypen zur Verfügung: Kennwortrichtlinien, Kontosperrungsrichtlinien und Richtlinien für das Authentifizierungsprotokoll Kerberos. Eine einzelne Microsoft Windows Server™ 2003-Domäne kann über jeweils eine dieser Richtlinien verfügen. Wenn diese Richtlinien auf einer anderen Ebene in Active Directory festgelegt werden, hat dies nur Auswirkungen auf die lokale Konten von Mitgliedsservern.

Hinweis: Für Domänenkonten kann immer nur eine Kontorichtlinie pro Domäne vorhanden sein. Die Kontorichtlinie muss in der Standarddomänenrichtlinie oder in einer neuen Richtlinie, die mit dem Domänenstamm verbunden ist und Vorrang vor der Standarddomänenrichtlinie hat, festgelegt werden. Dieser Vorrang wird von den in der Domäne enthaltenen Domänencontrollern erzwungen. Ein Domänencontroller erhält die Kontorichtlinie stets vom Domänenstamm, auch wenn auf die Organisationseinheit, die den Domänencontroller enthält, eine andere Kontorichtlinie angewendet wird. Der Stamm der Domäne ist der Container auf höchster Ebene. Dieser sollte nicht mit der Stammdomäne in einer Gesamtstruktur verwechselt werden. Die Stammdomäne in einer Gesamtstruktur ist die Domäne auf der höchsten Ebene innerhalb dieser Gesamtstruktur.

Alle Kontorichtlinieneinstellungen in den Gruppenrichtlinien werden auf Domänenebene angewendet. Die vordefinierte Standarddomänencontrollerrichtlinie für Kennwortrichtlinien, Kontosperrungsrichtlinien und Kerberos-Richtlinien enthält Standardwerte. Berücksichtigen Sie beim Konfigurieren dieser Richtlinien im Active Directory®-Verzeichnisdienst, dass unter Microsoft® Windows® nur eine Domänenkontorichtlinie zulässig ist, nämlich die Kontorichtlinie, die auf die Stammdomäne der Domänenstruktur angewendet wird. Die Domänenkontorichtlinie wird zur Standardkontorichtlinie für alle Windows-Computer, die Mitglied der Domäne sind.

Die einzige Ausnahme zu dieser Regel ist die Definition einer anderen Kontorichtlinie für eine Organisationseinheit. Die Kontorichtlinieneinstellungen für die Organisationseinheit wirken sich auf die lokale Richtlinie auf jedem in der Organisationseinheit enthaltenen Computer aus. Wenn z. B. die Richtlinie für eine Organisationseinheit ein maximales Kennwortalter definiert, das von der Kontorichtlinie auf Domänenebene abweicht, wird die Richtlinie für die Organisationseinheit nur bei Benutzeranmeldung am lokalen Computer angewendet und erzwungen. Die Standardrichtlinien für lokale Computer gelten nur für in einer Arbeitsgruppe oder Domäne vorhandene Computer, auf die weder eine Kontorichtlinie für eine Organisationseinheit noch eine Domänenrichtlinie angewendet wird.

Die Einstellungen für die einzelnen Richtlinientypen werden in diesem Kapitel erläutert.

Kennwortrichtlinien

Unter Windows und vielen anderen Betriebssystemen werden im Allgemeinen geheime Kennsätze oder Kennwörter als Methode zur Authentifizierung eines Benutzers verwendet. Eine sichere Netzwerkumgebung erfordert, dass alle Benutzer sichere Kennwörter verwenden (Kennwörter, die mindestens zehn Zeichen lang sind und aus einer Kombination von Buchstaben, Zahlen und Symbolen bestehen). Diese Kennwörter verhindern die Kompromittierung von Benutzer- und Administratorkonten durch nicht autorisierte Benutzer, die entweder manuelle Methoden oder automatisierte Tools verwenden, um unsichere Kennwörter zu erraten. Durch sichere, regelmäßig geänderte Kennwörter wird das Risiko eines erfolgreichen Kennwortangriffs verringert. (Ausführliche Informationen zu sicheren Kennwörtern finden Sie im Abschnitt „Kennwörter müssen Komplexitätsanforderungen entsprechen“ weiter unten in diesem Kapitel.)

Sie können die Verwendung von sicheren Kennwörtern über die entsprechende Kennwortrichtlinie erzwingen. Mit Kennwortrichtlinieneinstellungen wird die Komplexität und Gültigkeitsdauer von Kennwörtern festgelegt. In diesem Abschnitt werden die spezifischen Kontoeinstellungen für die einzelnen Kennwortrichtlinien erläutert. Darüber hinaus enthält dieses Handbuch die Microsoft Excel®-Arbeitsmappe „Standardkonfiguration für Sicherheit und Dienste unter Windows“, in der die Standardeinstellungen dokumentiert sind.

Die Einstellungen für Kennwortrichtlinien können im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kennwortrichtlinien

Wenn Gruppen vorhanden sind, die separate Kennwortrichtlinien erfordern, sollten diese in eine andere Domäne unterteilt werden oder in der Gesamtstruktur in zusätzlichen Anforderungen hinterlegt werden.

Kennwortchronik erzwingen

Durch diese Richtlinieneinstellung wird die Anzahl der eindeutigen neuen Kennwörter festgelegt, die mit einem Benutzerkonto verknüpft werden müssen, bevor ein altes Kennwort erneut verwendet werden kann.

Für die Einstellung Kennwortchronik erzwingen sind folgende Werte möglich:

• Benutzerdefinierter Wert zwischen 0 und 24

• Nicht definiert

Sicherheitsanfälligkeit

Die erneute Verwendung von Kennwörtern stellt in jeder Organisation ein Problem dar. Viele Benutzer möchten für ihr Konto möglichst lange dasselbe Kennwort oder ihr Kennwort erneut verwenden. Je länger dasselbe Kennwort für ein bestimmtes Konto verwendet wird, umso größer ist das Risiko, dass ein Angreifer das Kennwort durch Brute-Force-Angriffe herausfinden kann. Außerdem können die kompromittierten Konten so lange ausgenutzt werden, wie das Kennwort unverändert bleibt. Wenn Kennwortänderungen erforderlich sind, die erneute Verwendung von Kennwörtern jedoch nicht verhindert wird, oder wenn Benutzer fortwährend eine geringe Anzahl von Kennwörtern erneut verwenden können, ist die Wirksamkeit einer guten Kennwortrichtlinie erheblich beeinträchtigt.

Wenn Sie eine geringe Anzahl für diese Richtlinieneinstellung definieren, können Benutzer dieselbe geringe Anzahl von Kennwörtern wiederholt verwenden. Wenn Sie nicht gleichzeitig die Einstellung Minimales Kennwortalter festlegen, können Benutzer ihre Kennwörter so oft ändern, bis sie das ursprüngliche Kennwort wieder verwenden können.

Gegenmaßnahme

Legen Sie für die Einstellung Kennwortchronik erzwingen den maximalen Wert 24 fest, um die Anzahl der durch Kennwortwiederverwendung verursachten Sicherheitsanfälligkeiten zu minimieren.

Damit diese Einstellung in der Organisation wirksam ist, müssen Sie durch Konfiguration der Einstellung Minimales Kennwortalter verhindern, dass Kennwörter sofort geändert werden. Der Wert Kennwortchronik erzwingen sollte so eingestellt werden, dass sich eine angemessene Kombination aus maximalem Kennwortalter und erforderlichem Kennwortänderungsintervall für alle Benutzer in der Organisation ergibt.

Mögliche Auswirkung

Die größte Auswirkung dieser Konfiguration ist, dass sich Benutzer bei jeder Kennwortänderungsaufforderung ein neues Kennwort ausdenken müssen. Die Anforderung, jedes Mal ein neues eindeutiges Kennwort eingeben zu müssen, erhöht das Risiko, dass Benutzer ihr Kennwort notieren, damit sie es nicht vergessen. Ein weiteres Risiko besteht darin, dass Benutzer inkrementelle Kennwörter erstellen (z. B. Kennwort01, Kennwort02 usw.), die sie sich leichter merken können. Darüber hinaus wird ein extrem niedriger Wert für die Einstellung Minimales Kennwortalter den administrativen Aufwand wahrscheinlich erhöhen, da Benutzer ihr Kennwort u. U. vergessen und für dessen Zurücksetzung Helpdeskunterstützung benötigen.

Maximales Kennwortalter

Durch diese Richtlinieneinstellung wird die Anzahl der Tage festgelegt, die ein Kennwort verwendet werden kann, bevor der Benutzer es ändern muss.

Für die Einstellung Maximales Kennwortalter sind folgende Werte möglich:

• Benutzerdefinierte Anzahl von Tagen zwischen 0 und 999

• Nicht definiert

Sicherheitsanfälligkeit

Auch die komplexesten Kennwörter können von Angreifern erraten oder „geknackt“ werden, wenn ihnen ausreichend Zeit und ein Computer mit entsprechender Verarbeitungsleistung zur Verfügung steht. Durch einige der folgenden Richtlinieneinstellungen wird das schnelle Entschlüsseln von Kennwörtern erschwert. Das Risiko der Entschlüsselung eines gültigen Kennworts kann durch häufige Benutzeraufforderung zur Kennwortänderung verringert werden. Hierdurch kann auch das Risiko einer nicht autorisierten Anmeldung von Benutzern verringert werden, die das Kennwort unrechtmäßig erworben haben. Die Einstellung Maximales Kennwortalter kann so konfiguriert werden, dass Benutzer ihr Kennwort niemals ändern müssen. Eine solche Konfiguration stellt jedoch ein großes Sicherheitsrisiko dar.

Gegenmaßnahme

Legen Sie für die Einstellung Maximales Kennwortalter einen Wert fest, der den Geschäftsanforderungen Ihrer Organisation entspricht. Microsoft empfiehlt für die meisten Unternehmen einen Wert von 90 Tagen. Obwohl eine solche Konfiguration nicht empfohlen wird, können Sie für die Einstellung Maximales Kennwortalter den Wert 0 festlegen, damit Kennwörter niemals ablaufen.

Mögliche Auswirkung

Wenn der Wert für die Einstellung Maximales Kennwortalter zu niedrig ist, müssen Benutzer ihr Kennwort sehr häufig ändern. Eine solche Konfiguration kann die Unternehmenssicherheit u. U. verringern, da Benutzer in diesem Fall ihr Kennwort häufiger notieren, damit sie es nicht vergessen, und das Kennwort dann möglicherweise an einem unsicheren Ort aufbewahren oder verlieren. Wenn Sie den Wert für diese Richtlinieneinstellung zu hoch einstellen, wird die Sicherheitsstufe innerhalb einer Organisation verringert, da potenzielle Angreifer zur Entschlüsselung von Benutzerkennwörtern oder zur Verwendung von kompromittierten Konten einen größeren Zeitraum zur Verfügung haben.

Minimales Kennwortalter

Durch diese Richtlinieneinstellung wird die Anzahl der Tage festgelegt, die ein Kennwort verwendet werden muss, bevor der Benutzer es ändern kann. Der Wert für Minimales Kennwortalter muss kleiner als der Wert für Maximales Kennwortalter sein.

Setzen Sie diese Richtlinieneinstellung auf eine Zahl größer als 0, wenn die Einstellung Kennwortchronik erzwingen verwendet werden soll. Wenn Sie den Wert für die Einstellung Kennwortchronik erzwingen auf 0 setzen, muss der Benutzer bei Aufforderung zur Kennwortänderung kein neues eindeutiges Kennwort auswählen. Wenn die Kennwortchronik verwendet wird, müssen Benutzer beim Ändern des Kennworts ein neues, eindeutiges Kennwort eingeben.

Für die Einstellung Minimales Kennwortalter sind folgende Werte möglich:

• Benutzerdefinierte Anzahl von Tagen zwischen 0 und 998

• Nicht definiert

Sicherheitsanfälligkeit

Das Erzwingen einer regelmäßigen Kennwortänderung ist unwirksam, wenn Benutzer das Kennwort so oft ändern können, bis sie das alte Kennwort erneut verwenden können. Verwenden Sie diese Richtlinieneinstellung mit der Einstellung Kennwortchronik erzwingen, um die erneute Verwendung von alten Kennwörtern zu verhindern. Wenn Sie z. B. die Einstellung Kennwortchronik erzwingen konfigurieren, um die erneute Verwendung der letzten 12 Kennwörter zu verhindern, können Benutzer innerhalb von wenigen Minuten das Kennwort 13 Mal ändern und dann wieder das zuerst festgelegte Kennwort verwenden, es sei denn, die Einstellung Minimales Kennwortalter ist auf eine Zahl größer als 0 festgelegt. Setzen Sie diese Richtlinieneinstellung auf eine Zahl größer als 0, wenn die Einstellung Kennwortchronik erzwingen verwendet werden soll.

Gegenmaßnahme

Legen Sie die Einstellung Minimales Kennwortalter auf einen Wert von mindestens 2 Tagen fest. Wenn Sie die Anzahl der Tage auf 0 einstellen**,** kann das Kennwort sofort geändert werden. Diese Einstellung sollte nicht verwendet werden.

Mögliche Auswirkung

Wenn Sie Minimales Kennwortalter auf eine Zahl größer als 0 einstellen, ist eine zusätzliche Maßnahme erforderlich. Wenn ein Administrator ein Kennwort für einen Benutzer festlegt und der Benutzer das vom Administrator definierte Kennwort bei der ersten Anmeldung ändern soll, muss der Administrator das Kontrollkästchen Benutzer muss Kennwort bei der nächsten Anmeldung ändern aktivieren. Andernfalls kann der Benutzer das Kennwort erst am folgenden Tag ändern.

Minimale Kennwortlänge

Durch diese Richtlinieneinstellung wird die Mindestanzahl an Zeichen für das Kennwort eines Benutzerkontos festgelegt. Es gibt verschiedene Überlegungen zur geeigneten Länge von Kennwörtern für Organisationen. Möglicherweise sollte hierbei jedoch eher von einem „Kennsatz“ als von einem Kennwort gesprochen werden. Unter Microsoft Windows 2000 und höheren Versionen sind lange „Kennsätze“ mit Leerzeichen, Satzzeichen und Unicode-Zeichen zulässig. Daher ist ein Satz wie „Ich möchte ein Getränk für 5 € trinken!“ ein gültiger Kennsatz. Ein solcher Satz ist viel sicherer als eine acht- oder zehnstellige Zeichenfolge aus beliebigen Zahlen und Buchstaben. Außerdem ist er leichter zu merken.

Für die Einstellung Minimale Kennwortlänge sind folgende Werte möglich:

• Benutzerdefinierte Zahl zwischen 0 und 14

• Nicht definiert

Sicherheitsanfälligkeit

Es gibt verschiedene Kennwortangriffstypen, um das Kennwort eines Benutzerkontos zu erhalten. Zu diesen Angriffen zählen Wörterbuchangriffe (Verwenden von allgemein üblichen Wörtern oder Sätzen) und Brute-Force-Angriffe (Testen jeder möglichen Zeichenkombination). In manchen Fällen versuchen Angreifer, Zugriff auf die Kontendatenbank zu erhalten, um anschließend mit bestimmten Funktionen die Konten und Kennwörter zu entschlüsseln.

Gegenmaßnahme

Legen Sie die Einstellung Minimale Kennwortlänge auf einen Wert von 8 oder höher fest. Wenn die Anzahl der Zeichen auf 0 eingestellt wird, ist kein Kennwort erforderlich.

In den meisten Umgebungen wird ein achtstelliges Kennwort empfohlen, da es lang genug ist, um eine angemessene Sicherheit zu gewährleisten, und Benutzer es sich trotzdem gut merken können. Diese Konfiguration gewährleistet ausreichende Sicherheit gegen Brute-Force-Angriffe. Zusätzliche Komplexitätsanforderungen verringern die von Wörterbuchangriffen ausgehenden Risiken. Informationen zu Komplexitätsanforderungen finden Sie im nächsten Abschnitt dieses Kapitels. In manchen Ländern müssen sogar gesetzliche Bestimmungen in Bezug auf die Kennwortlänge eingehalten werden.

Mögliche Auswirkung

Anforderungen für extrem lange Kennwörter können die Unternehmenssicherheit u. U. verringern, da Benutzer in diesem Fall ihr Kennwort häufiger notieren, damit sie es nicht vergessen, und das Kennwort dann möglicherweise an einem unsicheren Ort aufbewahren oder verlieren. Teilen Sie den Benutzern mit, dass sie die zuvor erwähnten Kennsätze verwenden können, die leichter zu merken sind.

Durch das Zulassen von kurzen Kennwörtern wird die Sicherheit verringert, da diese leicht mithilfe von Wörterbuch- oder Brute-Force-Angriffen entschlüsselt werden können. Sehr lange Kennwörter können jedoch Tippfehler begünstigen und dadurch die Anzahl von Kontosperrungen und Anfragen beim Helpdesk erhöhen.

Ältere Windows-Versionen (z. B. Windows 98 und Windows NT® 4.0) unterstützen keine Kennwörter, die länger als 14 Zeichen lang sind. Computer mit diesen älteren Betriebssystemen können nicht bei Computern oder Domänen authentifiziert werden, deren Konten lange Kennwörter erfordern.

Kennwörter müssen Komplexitätsanforderungen entsprechen

Durch diese Richtlinieneinstellung wird festgelegt, ob Kennwörter gewissen Richtlinien für sichere Kennwörter entsprechen müssen.

Wenn diese Richtlinie aktiviert ist, müssen Kennwörter die folgenden Voraussetzungen erfüllen:

• Das Kennwort ist mindestens sechs Zeichen lang.

• Das Kennwort beinhaltet Zeichen aus drei der folgenden vier Kategorien:

  • Großbuchstaben (A, B, C, ...)

  • Kleinbuchstaben (a, b, c, ...)

  • Ziffern (0, 1, 2, 3, 4, 5, 6, 7, 8, 9)

  • Nicht alphanumerische Zeichen und Unicode-Zeichen (( ) ` ~ ! @ # $ % ^ & * - + = | \ { } [ ] : ; " ' < > , . ? / € Γ ƒ λ und Leerzeichen)

• Das Kennwort enthält nicht mehr als zwei aufeinander folgende Zeichen aus dem Kontonamen oder dem Anzeigenamen des Benutzers. Wenn der Kontoname weniger als drei Zeichen lang ist, wird diese Überprüfung nicht vorgenommen, da sonst die Anzahl der Ablehnungen zu hoch wäre. Bei Überprüfung des vollständigen Benutzernamens werden bestimmte Zeichen als Trennzeichen behandelt, die den Namen in einzelne Tokens aufteilen: Kommas, Punkte, Gedankenstriche/Bindestriche, Unterstriche, Leerzeichen, Pfundzeichen und Tabstopps. Nach jedem Token, das aus mindestens drei Zeichen besteht, wird innerhalb des Kennworts gesucht. Wenn es eine Übereinstimmung gibt, wird die Kennwortänderung nicht akzeptiert.

  Der Name Erin M. Hagens z. B. wird in drei Tokens aufgeteilt: Erin, M und Hagens. Da das zweite Token nur aus einem Zeichen besteht, wird es ignoriert. Der Benutzer kann daher kein Kennwort wählen, in dem „erin“ oder „hagens“ als Teilzeichenfolge vorkommt. Bei all diesen Überprüfungen wird die Groß- und Kleinschreibung nicht berücksichtigt.

Diese Komplexitätsanforderungen werden bei einer Kennwortänderung oder bei der Erstellung eines neuen Kennworts erzwungen.

Die in der Richtlinie für Windows Server 2003 enthaltenen Regeln können nicht direkt geändert werden. Sie können jedoch eine neue Version der Datei Passfilt.dll erstellen, um einen anderen Regelsatz anzuwenden. Weitere Informationen zum Erstellen von eigenen Kennwortfiltern, finden Sie in der Dokumentation Kennwortfilter (in englischer Sprache) im Windows Platform Software Development Kit (SDK) auf der MSDN®-Website unter https://msdn.microsoft.com/library/en-us/secmgmt/security/password\_filters.asp.

Für die Einstellung Kennwort muss Komplexitätsvoraussetzungen entsprechen sind folgende Werte möglich:

• Aktiviert

• Deaktiviert

• Nicht definiert

Sicherheitsanfälligkeit

Kennwörter, die nur alphanumerische Zeichen enthalten, sind sehr leicht mit verschiedenen offiziell erhältlichen Funktionen zu entschlüsseln. Um die Entschlüsselung von Kennwörtern zu verhindern, sollten die Kennwörter verschiedene Zeichentypen enthalten.

Gegenmaßnahme

Setzen Sie die Einstellung Kennwort muss Komplexitätsvoraussetzungen entsprechen auf Aktiviert.

Durch diese Richtlinieneinstellung kombiniert mit einem Wert von 8 für Minimale Kennwortlänge wird sichergestellt, dass die Anzahl der verschiedenen Möglichkeiten für ein einzelnes Kennwort so hoch ist, dass die erfolgreiche Durchführung eines Brute-Force-Angriffs schwierig (jedoch nicht unmöglich) ist. Ein Angreifer mit einem leistungsstarken Computer, der 1 Million Kennwörter pro Sekunde testen kann, könnte das Kennwort in ungefähr siebeneinhalb Tagen entschlüsseln. (Durch Festlegung eines höheren Wertes für die Einstellung Minimale Kennwortlänge wird auch die durchschnittlich für einen erfolgreichen Angriff benötigte Zeit erhöht.)

Mögliche Auswirkung

Wenn für die Kennwortkomplexität die Standardkonfiguration beibehalten wird, kann das Anfrageaufkommen beim Helpdesk aufgrund von Kontosperrungen zunehmen, da Benutzer nicht an Kennwörter gewöhnt sind, die nicht-alphanumerische Zeichen enthalten. Alle Benutzer sollten die Komplexitätsanforderungen jedoch leicht erfüllen können.

Wenn Ihre Organisation strengere Sicherheitsanforderungen hat, können Sie eine benutzerdefinierte Version derDateiPASSFILT.DLL erstellen, mit der die beliebige Verwendung von komplexen Kennwortsicherheitsregeln ermöglicht wird. Ein benutzerdefinierter Kennwortfilter kann z. B. eine Einschränkung bei der Verwendung von Zeichen aus der Tastaturzeile über den Buchstaben erfordern. (Bei Zeichen aus der Tastaturzeile über den Buchstaben handelt es sich um die Zeichen, bei denen die Umschalttaste heruntergedrückt und eine der Ziffern zwischen 1 und 0 gedrückt werden muss.) Bei einem benutzerdefinierten Kennwortfilter kann auch eine Wörterbuchüberprüfung durchgeführt werden, um sicherzustellen, dass das vorgeschlagene Kennwort keine häufig verwendeten Wörter oder Fragmente aus dem Wörterbuch enthält.

Die Verwendung von Tastenkombinationen mit der ALT-Taste erhöht ebenfalls die Komplexität eines Kennworts. Allzu strenge Kennwortanforderungen können jedoch von den Benutzern als störend empfunden werden und außerdem zu vermehrten Helpdeskanfragen führen. Wahlweise kann in einer Organisation auch die Anforderung implementiert werden, dass für alle Administratorkennwörter ALT-Tastenkombinationen im Bereich von 0128 bis 0159 verwendet werden müssen. (ALT-Tastenkombinationen außerhalb des genannten Bereichs stellen u. U. alphanumerische Standardzeichen dar, die das Kennwort nicht komplexer machen.)

Kennwörter mit umkehrbarer Verschlüsselung für alle Benutzer der Domäne speichern

Durch diese Richtlinieneinstellung wird festgelegt, ob Microsoft Windows Server 2003, Windows 2000 Server, Windows 2000 Professional und Windows XP Professional bei der Kennwortspeicherung umkehrbare Verschlüsselung verwenden.

Die Einstellung Kennwörter für alle Domänenbenutzer mit umkehrbarer Verschlüsselung speichern unterstützt Anwendungen mit Protokollen, die zur Authentifizierung das Benutzerkennwort erfordern. Kennwörter, die mit umkehrbarer Verschlüsselung gespeichert werden, können jedoch auch entschlüsselt werden. Sachkundige Angreifer, die die Verschlüsselung entschlüsselt haben, können sich anschließend mit dem kompromittierten Konto bei den Netzwerkressourcen anmelden.

Vorsicht: Aktivieren Sie diese Richtlinieneinstellung nur, wenn die Geschäftsanforderungen wichtiger als der Schutz von Kennwortinformationen sind.

Die CHAP-Authentifizierung (Challenge Handshake Authentication Protocol) über Remotezugriff oder IAS-Dienste (Internet Authentication Service) erfordern die Aktivierung dieser Richtlinieneinstellung. CHAP ist ein Authentifizierungsprotokoll, das von Microsoft-RAS-Diensten und -Netzwerkverbindungen verwendet werden kann.

Für die Einstellung Kennwörter für alle Domänenbenutzer mit umkehrbarer Verschlüsselung speichern sind folgende Werte möglich:

• Aktiviert

• Deaktiviert

• Nicht definiert

Sicherheitsanfälligkeit

Durch diese Richtlinieneinstellung wird festgelegt, ob Windows Server 2003 Kennwörter in einem schwächeren und für eventuelle Angriffe anfälligeren Format speichert.

Gegenmaßnahme

Setzen Sie die Einstellung Kennwörter für alle Domänenbenutzer mit umkehrbarer Verschlüsselung speichern auf Deaktiviert.

Mögliche Auswirkung

Wenn Ihre Organisation die CHAP-Authentifizierung über Remotezugriff oder IAS-Dienste bzw. die Digestauthentifizierung in IIS verwendet, muss diese Richtlinieneinstellung auf Aktiviert gesetzt werden. Es ist sehr gefährlich, diese Einstellung anzuwenden, wenn Sie die Gruppenrichtlinie für einzelne Benutzer verwenden, da es das Öffnen des entsprechenden Benutzerkontoobjekts im MMC-Snap-In (Microsoft Management Console) „Active Directory-Benutzer und -Computer“ erfordert.

Kontosperrungsrichtlinien

Mehrere erfolglose Kennworteingabe- und Computeranmeldeversuche deuten auf einen Angreifer hin, der versucht, ein Kontokennwort durch Tests herauszufinden. Windows Server 2003 mit SP1 protokolliert die Anmeldeversuche, und das Betriebssystem kann so konfiguriert werden, dass das Konto nach dem Fehlschlagen einer vordefinierten Anzahl von Versuchen für einen bestimmten Zeitraum deaktiviert wird. Der Schwellenwert für diese Reaktion und die bei Erreichung des Schwellenwertes auszuführenden Aktionen werden über Richtlinieneinstellungen für die Kontosperrung gesteuert. Dieses Handbuch enthält die Microsoft Excel-Arbeitsmappe „Standardkonfiguration für Sicherheit und Dienste unter Windows“, in der die Standardeinstellungen dokumentiert sind.

Die Richtlinieneinstellungen für die Kontosperrung können im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kontosperrungsrichtlinien

Kontosperrdauer

Durch diese Richtlinieneinstellung wird die Anzahl der Minuten festgelegt, die ein Konto gesperrt bleibt, bevor es automatisch wieder entsperrt wird. Der verfügbare Zeitraum liegt zwischen 1 und 99.999 Minuten. Um festzulegen, dass das Konto gesperrt bleibt, bis es von einem Administrator manuell entsperrt wird, setzen Sie den Wert auf 0. Wenn eine Kontensperrungsschwelle definiert wurde, muss die Kontosperrdauer größer als oder gleich der Zurücksetzungszeit sein.

Für die Einstellung Kontosperrdauer sind folgende Werte möglich:

• Benutzerdefinierter Wert in Minuten zwischen 0 und 99.999

• Nicht definiert

Sicherheitsanfälligkeit

Ein DoS-Angriff (Denial of Service) kann ausgeführt werden, indem ein Angreifer die Kontensperrungsschwelle überschreitet und wiederholt versucht, sich an einem bestimmten Konto anzumelden. Bei Konfiguration der Kontensperrungsschwelle wird das Konto nach einer festgelegten Anzahl von fehlgeschlagenen Versuchen gesperrt. Wenn Sie für die Einstellung Kontosperrdauer den Wert 0 festlegen, bleibt das Konto gesperrt, bis es von einem Administrator manuell entsperrt wird.

Gegenmaßnahme

Legen Sie für die Einstellung Kontosperrdauer einen Wert fest, der für Ihre Umgebung angemessen ist. Um festzulegen, dass das Konto gesperrt bleibt, bis es von einem Administrator manuell entsperrt wird, setzen Sie den Wert auf 0. Wenn für die Einstellung Kontosperrdauer ein Wert ungleich Null festgelegt ist, müssen automatisierte Versuche zum Erraten des Kennworts dieses Intervall abwarten, bevor die Versuche für ein bestimmtes Konto fortgesetzt werden können. Wenn Sie diese Einstellung in Kombination mit der Einstellung Kontensperrungsschwelle verwenden, können automatisierte Versuche zum Erraten des Kennworts erschwert oder wirkungslos gemacht werden.

Mögliche Auswirkung

Trotz der offensichtlichen Vorteile, wenn diese Richtlinienseinstellung so festgelegt wird, dass Kontoentsperrungen niemals automatisch erfolgen, kann durch diese Konfiguration die Anzahl der beim Helpdesk eingehenden Anfragen zur Entsperrung von versehentlich gesperrten Konten erhöht werden.

Kontensperrungsschwelle

Durch diese Richtlinieneinstellung wird die Anzahl der fehlgeschlagenen Anmeldeversuche festgelegt, die zu einer Benutzerkontosperrung führen. Ein gesperrtes Konto kann erst wieder verwendet werden, wenn es von einem Administrator zurückgesetzt wurde oder die Kontosperrdauer abgelaufen ist. Sie können bis zu 999 fehlgeschlagene Anmeldeversuche erlauben, oder Sie können den Wert 0 festlegen, um anzugeben, dass grundsätzlich keine Kontosperrung erfolgen soll. Wenn eine Kontensperrungsschwelle definiert wurde, muss die Kontosperrdauer größer als oder gleich der Zurücksetzungszeit sein.

Fehlgeschlagene Kennworteingabeversuche an Arbeitsstationen und Mitgliedsservern, die durch die Tastenkombination STRG+ALT+ENTF oder kennwortgeschützte Bildschirmschoner gesperrt wurden, werden nicht als fehlgeschlagene Anmeldeversuche gezählt, es sei denn, die Richtlinieneinstellung Interaktive Anmeldung: Domänencontrollerauthentifizierung zum Aufheben der Sperrung der Arbeitsstation erforderlich ist aktiviert. In diesem Fall werden wiederholte fehlgeschlagene Versuche zur Entsperrung der Arbeitsstation für die Kontensperrungsschwelle berücksichtigt.

Für die Einstellung Kontensperrungsschwelle sind folgende Werte möglich:

• Benutzerdefinierter Wert zwischen 0 und 999

• Nicht definiert

Sicherheitsanfälligkeit

Bei Kennwortangriffen werden möglicherweise automatisierte Methoden verwendet, die Tausende oder Millionen von Kennwortkombinationen für ein einzelnes oder alle Benutzerkonten ausprobieren. Solche Angriffe können nahezu wirkungslos gemacht werden, indem Sie die Anzahl der möglichen fehlgeschlagenen Anmeldeversuche begrenzen.

Auf eine Domäne mit einer Kontensperrschwelle kann jedoch immer noch ein DoS-Angriff ausgeführt werden. Ein Angreifer kann systematisch mehrere Kennwortangriffe gegen alle Benutzer in der Organisation versuchen. Wenn die Anzahl der Versuche größer als die Kontensperrungsschwelle ist, kann der Angreifer u. U. alle Konten sperren.

Gegenmaßnahme

Da Sicherheitsanfälligkeiten unabhängig davon bestehen können, ob dieser Wert konfiguriert wurde oder nicht, existieren zwei Gegenmaßnahmen. Jede Organisation sollte unter Berücksichtigung der zu verringernden Bedrohungen und Risiken abwägen, welche der beiden Gegenmaßnahmen die geeignete ist. Folgende zwei Gegenmaßnahmen stehen zur Verfügung:

• Legen Sie für die Einstellung Kontensperrungsschwelle den Wert 0 fest. Durch diese Konfiguration wird sichergestellt, dass keine Konten gesperrt werden, und verhindert, dass durch einen DoS-Angriff absichtlich alle oder bestimmte Konten gesperrt werden. Dadurch werden auch die Anfragen beim Helpdesk verringert, da Benutzer ihre Konten nicht versehentlich sperren können.

  Da Brute-Force-Angriffe hierdurch nicht verhindert werden, sollte diese Konfiguration nur verwendet werden, wenn die beiden folgenden Kriterien erfüllt sind:

  • Durch die Kennwortrichtlinien sind alle Benutzer gezwungen, komplexe Kennwörter mit acht oder mehr Zeichen zu verwenden.

  • Sie verfügen über einen wirksamen Überwachungsmechanismus, damit Administratoren beim Auftreten von mehreren fehlgeschlagenen Anmeldeversuchen in der Umgebung gewarnt werden.

• Wenn diese Kriterien in Ihrem Unternehmen nicht erfüllt sind, legen Sie für die Einstellung Kontensperrungsschwelle einen ausreichend hohen Wert fest, damit Benutzer ihr Kennwort mehrmals versehentlich falsch eingeben können, bevor das Konto gesperrt wird, jedoch gleichzeitig ein Brute-Force-Angriff auf das Kennwort zu einer Kontosperrung führt. Der bewährte Wert für eine solche Konfiguration liegt bei 50 ungültigen Anmeldeversuchen. Hierdurch werden versehentliche Kontosperrungen verhindert und die Anzahl der Helpdeskanfragen verringert. Die zuvor erwähnten DoS-Angriffe können jedoch nicht abgewehrt werden.

Mögliche Auswirkung

Bei Aktivierung dieser Richtlinieneinstellung kann ein gesperrtes Konto erst wieder verwendet werden, wenn es von einem Administrator zurückgesetzt wurde oder die Kontosperrdauer abgelaufen ist. Durch diese Einstellung wird sich das Anrufaufkommen am Helpdesk jedoch erhöhen. In den meisten Organisationen verursachen gesperrte Konten die größte Anzahl von Helpdeskanfragen.

Wenn Sie für die Einstellung Kontensperrungsschwelle den Wert 0 festlegen, besteht jedoch die Möglichkeit, dass der Versuch von Angreifern, das Kennwort mit einem Brute-Force-Angriff zu entschlüsseln, nicht entdeckt wird, falls Sie über keinen wirksamen Überwachungsmechanismus verfügen.

Zurücksetzungsdauer des Kontosperrungszählers

Durch diese Richtlinieneinstellung wird die Anzahl der Minuten festgelegt, die verstreichen muss, bevor der Zähler zur Erfassung von fehlgeschlagenen Anmeldeversuchen und zur Auslösung von Kontosperrungen auf 0 zurückgesetzt wird. Wenn eine Kontensperrungsschwelle definiert wird, muss diese Zurücksetzungszeit kleiner als oder gleich dem Wert für die Einstellung Kontosperrdauer sein.

Für die Einstellung Zurücksetzungsdauer des Kontosperrungszählers sind folgende Werte möglich:

• Benutzerdefinierte Anzahl von Minuten zwischen 1 und 99.999

• Nicht definiert

Sicherheitsanfälligkeit

Benutzer können ihr Konto versehentlich sperren, wenn Sie das Kennwort zu oft falsch eingeben. Um die Häufigkeit solcher versehentlichen Sperrungen zu verringern, wird über die Einstellung Zurücksetzungsdauer des Kontosperrungszählers die Anzahl der Minuten festgelegt, die verstreichen muss, bevor der Zähler zur Erfassung von fehlgeschlagenen Anmeldeversuchen und zur Auslösung von Sperrungen auf 0 zurückgesetzt wird.

Gegenmaßnahme

Legen Sie für die Einstellung Zurücksetzungsdauer des Kontosperrungszählers den Wert 30 Minuten fest.

Mögliche Auswirkung

Wenn Sie diese Richtlinieneinstellung nicht konfigurieren oder wenn ein zu großes Zeitintervall festgelegt wird, sind DoS-Angriffe möglich. Angreifer können versuchen, sich mehrmals an jedem Benutzerkonto anzumelden und die entsprechenden Konten zu sperren (siehe vorhergehende Abschnitte). Wenn Sie die Einstellung Zurücksetzungsdauer des Kontosperrungszählers nicht konfigurieren, müssen alle Konten von Administratoren manuell entsperrt werden. Wenn Sie für diese Richtlinieneinstellung einen angemessenen Wert festlegen, werden Benutzer zwar für einen bestimmten Zeitraum gesperrt, die Konten werden jedoch am Ende dieses Zeitraums automatisch entsperrt. Teilen Sie den Benutzern die für diese Richtlinieneinstellung verwendeten Werte mit, damit sie die Zurücksetzungsdauer des Kontosperrungszählers abwarten können, bevor sie dem Helpdesk melden, dass sie sich nicht anmelden können.

Kerberos-Richtlinie

Unter Windows Server 2003 mit SP1 werden durch das Kerberos-Authentifizierungsprotokoll der Standardmechanismus für Domänenauthentifizierungsdienste sowie die Autorisierungsdaten zur Verfügung gestellt, die erforderlich sind, damit Benutzer auf eine Ressource zugreifen und Aufgaben mit dieser Ressource ausführen können. Bei Verkürzung der Gültigkeitsdauer von Kerberos-Tickets wird das Risiko verringert, dass die Anmeldeinformationen eines Benutzers gestohlen und erfolgreich von Angreifern eingesetzt werden können. Jedoch vergrößert sich der Verwaltungsaufwand für Autorisierungen.

In den meisten Umgebungen müssen die Kerberos-Richtlinieneinstellungen nicht geändert werden. Diese Richtlinieneinstellungen werden auf Domänenebene angewendet, und die Standardwerte werden im Standarddomänenrichtlinien-Gruppenrichtlinienobjekt in einer Standardinstallation einer Active Directory-Domäne von Windows 2000 oder Windows Server 2003 konfiguriert. Dieses Handbuch enthält die Microsoft Excel-Arbeitsmappe „Standardkonfiguration für Sicherheit und Dienste unter Windows“, in der die Standardeinstellungen dokumentiert sind.

Die Kerberos-Richtlinieneinstellungen können im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kerberos-Richtlinie

Benutzeranmeldeeinschränkungen erzwingen

Durch diese Richtlinieneinstellung wird festgelegt, ob das Schlüsselverteilungscenter (KDC, Key Distribution Center) jede Anfrage für ein Sitzungsticket anhand der Benutzerrechtrichtlinien des Benutzerkontos überprüft. Die Überprüfung jeder Anfrage für ein Sitzungsticket ist optional, da der zusätzliche Schritt Zeit erfordert und den Netzwerkzugriff auf Dienste u. U. verlangsamt.

Für die Einstellung Benutzeranmeldeeinschränkungen erzwingen sind folgende Werte möglich:

• Aktiviert

• Deaktiviert

• Nicht definiert

Sicherheitsanfälligkeit

Wenn Sie diese Richtlinieneinstellung deaktivieren, können Benutzer Sitzungstickets für Dienste empfangen, obwohl sie zu deren Verwendung nicht mehr berechtigt sind, da das Verwendungsrecht nach erfolgter Benutzeranmeldung entfernt wurde.

Gegenmaßnahme

Setzen Sie die Einstellung Benutzeranmeldeeinschränkungen erzwingen auf Aktiviert.

Mögliche Auswirkung

Keine. Hierbei handelt es sich um die Standardkonfiguration.

Max. Gültigkeitsdauer des Diensttickets

Durch diese Richtlinieneinstellung wird der maximale Zeitraum (in Minuten) festgelegt, in dem ein erteiltes Sitzungsticket zum Zugriff auf einen bestimmten Dienst verwendet werden kann. Der Wert für diese Einstellung muss 10 Minuten oder mehr betragen und kleiner als oder gleich dem Wert für die Einstellung Max. Gültigkeitsdauer des Benutzertickets sein.

Wenn ein Client bei einer Verbindungsanfrage zu einem Server ein Sitzungsticket mit abgelaufener Gültigkeit verwendet, gibt der Server eine Fehlermeldung zurück, und der Client muss ein neues Sitzungsticket vom Schlüsselverteilungscenter anfordern. Nachdem eine Verbindung authentifiziert wurde, spielt es keine Rolle mehr, ob das Sitzungsticket gültig bleibt. Sitzungstickets werden nur zur Authentifizierung neuer Serververbindungen verwendet. Im Prozess befindliche Vorgänge werden nicht unterbrochen, wenn das Sitzungsticket, das die Verbindung authentifiziert hat, während der Verbindung seine Gültigkeit verliert.

Für die Einstellung Max. Gültigkeitsdauer des Diensttickets sind folgende Werte möglich:

• Benutzerdefinierter Wert in Minuten zwischen 10 und 99.999 Wenn Sie für diese Richtlinieneinstellung den Wert 0 festlegen, haben die Tickets eine unbeschränkte Gültigkeitsdauer.

• Nicht definiert.

Sicherheitsanfälligkeit

Wenn der Wert für die Einstellung Max. Gültigkeitsdauer des Diensttickets zu hoch ist, können Benutzer u. U. außerhalb ihrer Anmeldezeiten auf Netzwerkressourcen zugreifen. Außerdem können Benutzer, deren Konten deaktiviert wurden, weiterhin mit gültigen Diensttickets, die vor Deaktivierung ihres Kontos ausgestellt wurden, auf Netzwerkdienste zugreifen.

Gegenmaßnahme

Legen Sie für die Einstellung Max. Gültigkeitsdauer des Diensttickets den Wert 600 Minuten fest.

Mögliche Auswirkung

Keine. Hierbei handelt es sich um die Standardkonfiguration.

Max. Gültigkeitsdauer des Benutzertickets

Durch diese Richtlinieneinstellung wird die maximale Gültigkeitsdauer (in Stunden) eines Tickets festgelegt, das Benutzertickets erteilt (TGT, Ticket-Granting Ticket). Wenn die Gültigkeit des Benutzer-TGTs abläuft, muss ein neues TGT angefragt oder das bestehende TGT erneuert werden.

Für die Einstellung Max. Gültigkeitsdauer des Benutzertickets sind folgende Werte möglich:

• Benutzerdefinierter Wert in Stunden zwischen 0 und 99.999 Der Standardwert ist 10 Stunden.

• Nicht definiert.

Sicherheitsanfälligkeit

Wenn der Wert für die Einstellung Max. Gültigkeitsdauer des Benutzertickets zu hoch ist, können Benutzer u. U. außerhalb ihrer Anmeldezeiten auf Netzwerkressourcen zugreifen. Außerdem können Benutzer, deren Konten deaktiviert wurden, weiterhin mit gültigen Diensttickets, die vor Deaktivierung ihres Kontos ausgestellt wurden, auf Netzwerkdienste zugreifen.

Gegenmaßnahme

Legen Sie für die Einstellung Max. Gültigkeitsdauer des Benutzertickets den Wert 10 Stunden fest.

Mögliche Auswirkung

Keine. Hierbei handelt es sich um die Standardkonfiguration.

Max. Zeitraum, in dem ein Benutzerticket erneuert werden kann

Durch diese Richtlinieneinstellung wird der maximale Zeitraum (in Tagen) festgelegt, in dem ein Benutzer-TGT erneuert werden kann.

Für die Einstellung Max. Zeitraum, in dem ein Benutzerticket erneuert werden kann sind folgende Werte möglich:

• Benutzerdefinierter Wert in Minuten zwischen 0 und 99.999

• Nicht definiert

Sicherheitsanfälligkeit

Wenn der Wert für die Einstellung Max. Zeitraum, in dem ein Benutzerticket erneuert werden kann zu hoch ist, können Benutzer u. U. sehr alte Benutzertickets erneuern.

Gegenmaßnahme

Legen Sie für die Einstellung Max. Zeitraum, in dem ein Benutzerticket erneuert werden kann den Wert 10080 Minuten (7 Tage) fest.  

Mögliche Auswirkung

Keine. Hierbei handelt es sich um die Standardkonfiguration.

Max. Toleranz für die Synchronisation des Computertakts

Durch diese Richtlinieneinstellung wird der maximale Zeitunterschied (in Minuten) festgelegt, der gemäß Kerberos-Protokoll zwischen der Uhrzeit auf dem Clientcomputer und der Uhrzeit des Domänencontrollers, auf dem die Kerberos-Authentifizierung unter Windows Server 2003 ausgeführt wird, bestehen darf.

Für die Einstellung Max. Toleranz für die Synchronisation des Computertakts sind folgende Werte möglich:

• Benutzerdefinierter Wert in Minuten zwischen 1 und 99.999

• Nicht definiert

Sicherheitsanfälligkeit

Das Kerberos-Authentifizierungsprotokoll verwendet Zeitstempel als Teil der Protokolldefinition, um „Replay-Angriffe“ zu verhindern. Damit Zeitstempel ordnungsgemäß funktionieren, müssen die Uhren des Clients und des Domänencontrollers möglichst synchron sein. Da die Uhren von zwei Computern häufig nicht synchron sind, können Administratoren mit dieser Richtlinie den maximal zulässigen Zeitraum festlegen, in dem eine Kerberos-Verhandlung abgeschlossen sein muss. Die verstrichene Zeit wird anhand der Zeitstempel berechnet. Der Wert für diese Einstellung begrenzt den maximalen Zeitunterschied, der zwischen Domänencontroller und Clientcomputer bestehen darf.

Gegenmaßnahme

Legen Sie für die Einstellung Max. Toleranz für die Synchronisation des Computertakts den Wert 5 Minuten fest.

Mögliche Auswirkung

Keine. Hierbei handelt es sich um die Standardkonfiguration.

Weitere Informationen

Zusätzliche Informationen zur Absicherung von Domänencontrollern, auf denen Windows Server 2003 mit SP1 ausgeführt wird, finden Sie unter den folgenden Links:

• Ausführliche Informationen zur Funktionsweise der Kennwortkomplexität in Windows sowie gezielte Ratschläge zur Auswahl von sicheren Kennwörtern, die leicht zu merken sind, finden Sie im Artikel „Auswählen sicherer Kennwörter“, der online unter https://www.microsoft.com/germany/kleinunternehmen/aufgaben/sicherheit/artikel/auswaehlen-sicherer-kennwoerter.mspx verfügbar ist.

• Weitere Informationen zum Sicherheitshandbuch von Microsoft finden Sie unter Enterprise Security Best Practices auf der Website www.microsoft.com/technet/security/secnews/articles/enterprisesecbp.mspx.

• Weitere Informationen zu Gruppenrichtlinien, einschließlich einer Liste der Pfade und Werte für alle Einstellungen, die in der Registrierung gespeichert sind, sowie Informationen zu den in den einzelnen Windows-Versionen verfügbaren Einstellungen, finden Sie in Artikel „Informationen zu den Gruppenrichtlinieneinstellungen für Windows Server 2003 mit Service Pack 1“ (in englischer Sprache) unter www.microsoft.com/downloads/details.aspx?FamilyId=7821C32F-DA15-438D-8E48-45915CD2BC14.

In diesem Beitrag

• Überblick
• Kapitel 1: Einführung zu Bedrohungen und Gegenmaßnahmen: Sicherheitseinstellungen unter Windows Server 2003 und Windows XP
• Kapitel 2: Richtlinien auf Domänenebene
• Kapitel 3: Überwachungsrichtlinie
• Kapitel 4: Benutzerrechte
• Kapitel 5: Sicherheitsoptionen
• Kapitel 6: Ereignisprotokoll
• Kapitel 7: Systemdienste
• Kapitel 8: Richtlinien für Softwareeinschränkungen
• Kapitel 9: Administrative Vorlagen für Windows XP und Windows Server 2003
• Kapitel 10: Zusätzliche Registrierungseinträge
• Kapitel 11: Zusätzliche Gegenmaßnahmen
• Kapitel 12: Zusammenfassung
• Danksagungen

Download

Handbuch „Bedrohungen und Gegenmaßnahmen“ herunterladen (engl.)

Benachrichtigung über Neuerungen

Melden Sie sich an, um sich über Updates und neue Versionen zu informieren

Feedback

Senden Sie uns Ihre Kommentare oder Vorschläge

3 von 14