Konten: Lokale Kontenverwendung von leeren Kennwörtern auf Konsolenanmeldung beschränken
Hier werden bewährte Methoden, Speicherort, Werte und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Konten: Lokale Kontenverwendung von leeren Kennwörtern auf Konsolenanmeldung beschränken beschrieben.
Referenzen
Mit der Richtlinieneinstellung Konten: Lokale Kontenverwendung von leeren Kennwörtern auf Konsolenanmeldung beschränken legen Sie fest, ob interaktive Remoteanmeldungen durch Netzwerkdienste wie Remotedesktopdienste, Telnet und File Transfer Protocol (FTP) für lokale Konten zulässig sind, für die keine Kennwörter festgelegt sind. Wenn diese Richtlinieneinstellung aktiviert ist, muss für ein lokales Konto ein Kennwort festgelegt sein, um von einem Remoteclient aus eine interaktive Anmeldung oder eine Netzwerkanmeldung auszuführen.
Diese Richtlinieneinstellung wirkt sich nicht interaktive Anmeldungen aus, die physisch auf der Konsole ausgeführt werden oder bei denen Domänenkonten verwendet werden. Nicht-Microsoft-Anwendungen, die eine interaktive Remoteanmeldung ausführen, können diese Richtlinieneinstellung umgehen.
Leere Kennwörter sind eine ernsthafte Bedrohung für die Computersicherheit. Sie sollten sowohl durch Unternehmensrichtlinien als auch durch geeignete technische Maßnahmen verboten werden. Wenn ein Benutzer, der neue Konten erstellen kann, eines erstellt, das Ihre domänenbasierten Kennwortrichtlinieneinstellungen umgeht, wurde diesem Konto dennoch möglicherweise kein Kennwort zugewiesen. Beispiel: Ein Benutzer kann ein eigenständiges System erstellen, ein oder mehrere Konten mit leeren Kennwörtern anlegen und den Computer anschließend mit der Domäne verknüpfen. Die lokalen Konten mit leeren Kennwörtern sind in diesem Fall weiterhin verwendbar. Jeder, der den Kontonamen kennt, kann sich dann über Konten mit leeren Kennwörtern auf Ihrem System anmelden.
Geräte, die sich nicht an physisch sicheren Orten befinden, sollten für alle lokalen Benutzerkonten stets sichere Kennwortrichtlinien erzwingen. Andernfalls kann sich jeder, der physisch Zugang zum Gerät hat, über ein Benutzerkonto mit leerem Kennwort anmelden. Dies ist besonders für tragbare Geräte wichtig.
Wenn Sie diese Sicherheitsrichtlinie auf die Gruppe "Jeder" anwenden, ist keine Anmeldung über Remotedesktopdienste möglich.
Mögliche Werte
Aktiviert
Deaktiviert
Nicht definiert
Bewährte Methoden
- Es wird empfohlen, die Option Konten: Lokale Kontenverwendung von leeren Kennwörtern auf Konsolenanmeldung beschränken zu aktivieren.
Ort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
| Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
|---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Aktiviert |
Effektive Standardeinstellungen für DC |
Aktiviert |
Effektive Standardeinstellungen für Mitgliedsserver |
Aktiviert |
Effektive Standardeinstellungen für Clientcomputer |
Aktiviert |
Richtlinienverwaltung
In diesem Abschnitt werden die verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.
Neustartanforderung
Keine. Wenn Änderungen an dieser Richtlinie lokal gespeichert oder über Gruppenrichtlinien verteilt werden, treten sie ohne einen Neustart des Geräts in Kraft.
Richtlinienkonflikt-Aspekte
Die über das GPO verteilte Richtlinie hat auf einem Computer, der Mitglied einer Domäne ist, Vorrang vor der lokal konfigurierten Richtlinieneinstellung. Ermitteln Sie auf dem Domänencontroller mithilfe des ADSI-Editors oder des Befehls "dsquery" die effektive Mindestlänge für Kennwörter.
Gruppenrichtlinie
Diese Richtlinieneinstellung kann über die Gruppenrichtlinien-Verwaltungskonsole konfiguriert und über Gruppenrichtlinienobjekte verteilt werden. Wenn diese Richtlinie nicht in einem verteilten Gruppenrichtlinienobjekt enthalten ist, können Sie sie auf dem lokalen Gerät mit dem Snap-In „Lokale Sicherheitsrichtlinie“ konfigurieren.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Leere Kennwörter sind eine ernsthafte Bedrohung für die Computersicherheit. Sie sollten durch Unternehmensrichtlinien und durch geeignete technische Maßnahmen verboten werden. Ab Windows Server 2003 erfordern die Standardeinstellungen für Active Directory-Domänen komplexe Kennwörter mit mindestens sieben Zeichen und ab Windows Server 2008 Kennwörter mit acht Zeichen. Wenn Benutzer, die neue Konten erstellen können, jedoch Ihre domänenbasierten Kennwortrichtlinien umgehen, können sie Konten mit leeren Kennwörtern erstellen. Beispiel: Ein Benutzer kann einen eigenständigen Computer aufsetzen, ein oder mehrere Konten mit leeren Kennwörtern anlegen und den Computer anschließend mit der Domäne verknüpfen. Die lokalen Konten mit leeren Kennwörtern sind in diesem Fall weiterhin verwendbar. Jeder, der den Namen eines dieser ungeschützten Konten kennt, kann sich damit anmelden.
Gegenmaßnahme
Aktivieren Sie die Option Konten: Lokale Kontenverwendung von leeren Kennwörtern auf Konsolenanmeldung beschränken.
Mögliche Auswirkung
Keine. Dies ist die Standardkonfiguration.