Interaktive Anmeldung: Schwellenwert für Computerkontosperrung
Hier werden bewährte Methoden, Speicherort, Werte, Verwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Interaktive Anmeldung: Schwellenwert für Computerkontosperrung beschrieben.
Referenzen
Ab Windows Server 2012 und Windows 8 erzwingt die Sicherheitsrichtlinie Interaktive Anmeldung: Schwellenwert für Computerkontosperrung die Sperrungseinstellung auf allen Computern, bei denen BitLocker aktiviert ist, um die Betriebssystemvolumes zu schützen.
Mit dieser Sicherheitseinstellung können Sie einen Schwellenwert für die Anzahl von fehlgeschlagenen Anmeldeversuchen festlegen, bei dem das Gerät mit BitLocker gesperrt wird. Wenn also die angegebene maximale Anzahl von fehlgeschlagenen Anmeldeversuchen überschritten wird, stuft das Gerät den Trusted Platform Module (TPM)-Schutz und alle anderen Schutzvorrichtungen mit Ausnahme des Wiederherstellungskennworts mit 48 Zeichen als ungültig ein und startet anschließend neu. Während der Gerätesperrung startet der Computer bzw. das Gerät nur in der Windows-Wiederherstellungsumgebung (WinRE), die die Fingereingabe unterstützt, bis ein autorisierter Benutzer das Wiederherstellungskennwort eingibt und so den vollständigen Zugriff wiederherstellt.
Fehlerhafte Kennworteingaben auf Arbeitsstationen oder Mitgliedsservern, die durch die Tastenkombination Strg+Alt+Entf oder durch einen kennwortgeschützten Bildschirmschoner gesperrt sind, zählen zu den fehlgeschlagenen Anmeldeversuchen.
Mögliche Werte
Für die ungültigen Anmeldeversuche können Sie einen Wert zwischen 1 und 999 festlegen. Werte von 1 bis 3 werden als 4 interpretiert. Wenn Sie den Wert auf 0 festlegen oder leer lassen, wird der Computer bzw. das Gerät durch diese Einstellung nie gesperrt.
Bewährte Methoden
Verwenden Sie diese Richtlinieneinstellung in Verbindung mit Ihrer anderen Richtlinie für fehlgeschlagene Kontoanmeldungen. Wenn z. B. die Richtlinieneinstellung Kontensperrungsschwelle auf 4 und der Wert für Interaktive Anmeldung: Schwellenwert für Computerkontosperrung auf 6 festgelegt wurde, kann der Benutzer den Zugriff auf Ressourcen wiederherstellen, ohne den Zugriff auf das Gerät nach einer BitLocker-Sperre wiederherstellen zu müssen.
Ort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
| Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
|---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Deaktiviert |
Effektive Standardeinstellungen für DC |
Deaktiviert |
Effektive Standardeinstellungen für Mitgliedsserver |
Deaktiviert |
Effektive Standardeinstellungen für Clientcomputer |
Deaktiviert |
Richtlinienverwaltung
In diesem Abschnitt werden die verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.
Neustartanforderung
Änderungen an diese Richtlinie werden erst nach einem Neustart des Computers wirksam, wenn sie lokal gespeichert oder über Gruppenrichtlinien verteilt werden.
Gruppenrichtlinie
Da diese Richtlinieneinstellung mit Windows Server 2012 und Windows 8 eingeführt wurde, kann sie lokal nur auf Geräten festgelegt werden, die diese Richtlinieneinstellung umfassen. Sie kann jedoch festgelegt und über eine Gruppenrichtlinie an alle Computer verteilt werden, auf denen ein Windows-Betriebssystem ausgeführt wird und die Gruppenrichtlinie und BitLocker unterstützt werden.
Denken Sie beim Festlegen dieser Richtlinie an die Richtlinieneinstellung Kontensperrungsschwelle, die die Anzahl der fehlgeschlagenen Anmeldeversuche festlegt, nach der ein Benutzerkonto gesperrt wird.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Diese Richtlinieneinstellung schützt ein mit BitLocker verschlüsseltes Gerät vor Angreifern, die mittels Brute Force das Windows-Anmeldekennwort erlangen wollen. Ist diese Einstellung nicht festgelegt, können die Angreifer unzählige Kennwörter ausprobieren, sofern kein anderer Mechanismus zum Schutz des Kontos aktiviert ist.
Gegenmaßnahme
Verwenden Sie diese Richtlinieneinstellung in Verbindung mit Ihrer anderen Richtlinie für fehlgeschlagene Kontoanmeldungen. Wenn z. B. die Richtlinieneinstellung Kontensperrungsschwelle auf 4 und der Wert für Interaktive Anmeldung: Schwellenwert für Computerkontosperrung auf 6 festgelegt wurde, kann der Benutzer den Zugriff auf Ressourcen wiederherstellen, ohne den Zugriff auf das Gerät nach einer BitLocker-Sperre wiederherstellen zu müssen.
Mögliche Auswirkung
Wird diese Einstellung nicht festgelegt, ist das Gerät ein leichtes Ziel für Angreifer, die Brute-Force-Kennwortentschlüsselungssoftware verwenden.
Ein zu niedriger Wert hat möglicherweise eine Einschränkung der Produktivität zur Folge, da Benutzer, die gesperrt werden, ohne das BitLocker-Wiederherstellungskennwort mit 48 Zeichen nicht mehr auf das Gerät zugreifen können.