Interaktive Anmeldung: Smartcard erforderlich
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Interaktive Anmeldung: Smartcard erforderlich beschrieben.
Referenz
Die Richtlinieneinstellung Interaktive Anmeldung: Smartcard erforderlich legt fest, dass sich Benutzer mit einer Smartcard beim Gerät anmelden müssen.
Wenn Benutzer zur Authentifizierung lange, komplexe Kennwörter verwenden müssen, wird die Netzwerksicherheit erhöht, vor allem, wenn die Benutzer ihre Kennwörter regelmäßig ändern müssen. Dieser Ansatz verringert das Risiko, dass ein böswilliger Benutzer mit einem Brute-Force-Angriff das Kennwort eines Benutzers herausfinden kann. Durch die Verwendung von Smartcards anstatt Kennwörtern zur Authentifizierung wird die Sicherheit drastisch erhöht, da es einem böswilligen Benutzer mit der aktuellen Technologie praktisch unmöglich ist, sich als eine andere Person auszugeben. Smartcards, die eine PIN-Eingabe erfordern, bieten eine Zwei-Faktor-Authentifizierung: Der Benutzer, der sich anmelden möchte, muss im Besitz der Smartcard sein und seine PIN kennen. Ein Angreifer, der den Authentifizierungsdatenverkehr zwischen dem Gerät des Benutzers und dem Domänencontroller abfängt, kann den Datenverkehr nur schwer entschlüsseln. Und selbst wenn ihm das gelänge – bei der nächsten Anmeldung des Benutzers beim Netzwerk wird ein neuer Sitzungsschlüssel für die Entschlüsselung des Datenverkehrs zwischen dem Benutzer und dem Domänencontroller generiert.
Mögliche Werte
Aktiviert
Deaktiviert
Nicht definiert
Bewährte Methoden
- Legen Sie Interaktive Anmeldung: Smartcard erforderlich auf „Aktiviert“ fest. Damit müssen sich alle Benutzer mit Smartcards beim Netzwerk anmelden. Das heißt, das Unternehmen muss über eine zuverlässige Public Key-Infrastruktur (PKI) verfügen und allen Benutzern Smartcards und Smartcard-Lesegeräte zur Verfügung stellen.
Ort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
| Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
|---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Deaktiviert |
Effektive Standardeinstellungen für DC |
Deaktiviert |
Effektive Standardeinstellungen für Mitgliedsserver |
Deaktiviert |
Effektive Standardeinstellungen für Clientcomputer |
Deaktiviert |
Richtlinienverwaltung
In diesem Abschnitt werden die verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.
Neustartanforderung
Keine. Wenn Änderungen an dieser Richtlinie lokal gespeichert oder über Gruppenrichtlinien verteilt werden, treten sie ohne einen Neustart des Geräts in Kraft.
Richtlinienkonflikt-Aspekte
Keine.
Gruppenrichtlinie
Diese Richtlinieneinstellung kann über die Gruppenrichtlinien-Verwaltungskonsole konfiguriert und über Gruppenrichtlinienobjekte verteilt werden. Wenn diese Richtlinie nicht in einem verteilten Gruppenrichtlinienobjekt enthalten ist, können Sie sie auf dem lokalen Computer mit dem Snap-In „Lokale Sicherheitsrichtlinie“ konfigurieren.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Durchzusetzen, dass Benutzer starke Kennwörter auswählen, kann schwierig sein. Und selbst starke Kennwörter sind anfällig für Brute-Force-Angriffe, wenn der Angreifer über genügend Zeit und Rechenressourcen verfügt.
Gegenmaßnahme
Stellen Sie Benutzern, die Zugriff auf Computer mit vertraulichen Daten haben, Smartcards zur Verfügung, und setzen Sie die Einstellung Interaktive Anmeldung: Smartcard erforderlich auf „Aktiviert“.
Mögliche Auswirkung
Alle Benutzer, auf deren Geräten diese Einstellung aktiviert ist, müssen zur lokalen Anmeldung Smartcards verwenden. Das heißt, das Unternehmen muss über eine zuverlässige Public Key-Infrastruktur (PKI) verfügen und allen Benutzern Smartcards und Smartcard-Lesegeräte zur Verfügung stellen. Diese Anforderungen stellen eine große Herausforderung dar, da zur Planung und Bereitstellung dieser Technologien ausreichend Know-how und Ressourcen erforderlich sind. Active Directory-Zertifikatsdienste (AD CS) können zum Implementieren und Verwalten von Zertifikaten verwendet werden. Sie können die automatische Registrierung und Verlängerung von Benutzern und Computern auf dem Client verwenden.