Domänenmitglied: Änderungen von Computerkontenkennwörtern deaktivieren

Hier werden bewährte Methoden, Speicherort, Werte und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Domänenmitglied: Änderungen von Computerkontenkennwörtern deaktivieren beschrieben.

Referenz

Die Richtlinieneinstellung Domänenmitglied: Änderungen von Computerkontenkennwörtern deaktivieren bestimmt, ob ein Domänenmitglied regelmäßig sein Computerkennwort ändert. Wenn Sie den Wert auf Aktiviert festlegen, wird verhindert, dass das Domänenmitglied das Kontokennwort des Computers ändert. Wird die Einstellung auf Deaktiviert festgelegt, kann das Domänenmitglied das Computerkontenkennwort gemäß dem Wert der Richtlinieneinstellung Domänenmitglied: Maximalalter von Computerkontenkennwörtern ändern, die standardmäßig auf 30 Tage festgelegt ist.

Standardmäßig müssen für Geräte, die einer Domäne angehören, die Kennwörter der Konten automatisch alle 30 Tage geändert werden. Für Geräte, bei denen das Computerkennwort nicht automatisch geändert werden kann, besteht das Risiko, dass ein böswilliger Benutzer das Kennwort für das Domänenkonto des Systems ermittelt.

Vergewissern Sie sich, dass die Einstellung Domänenmitglied: Änderungen von Computerkontenkennwörtern deaktivieren auf Deaktiviert festgelegt ist.

Mögliche Werte

• Aktiviert

• Deaktiviert

Bewährte Methoden

1. Aktivieren Sie diese Richtlinieneinstellung nicht. Mit Kennwörtern für Computerkonten wird ein sicherer Kommunikationskanal zwischen Mitgliedern und Domänencontrollern sowie zwischen den Domänencontrollern innerhalb der Domäne eingerichtet. Nachdem eine derartige Kommunikation eingerichtet wurde, werden über den sicheren Kanal vertrauliche Informationen übertragen, die für Authentifizierungs- und Autorisierungsentscheidungen erforderlich sind.

2. Verwenden Sie diese Einstellung nicht, um Dual-Boot-Szenarien zu unterstützen, bei denen das gleiche Computerkonto verwendet wird. Wenn Sie Installationen im Dual-Boot-Modus ausführen möchten, die der gleichen Domäne angehören, weisen Sie den beiden Installationen unterschiedliche Computernamen zu. Diese Richtlinieneinstellung wurde dem Windows-Betriebssystem hinzugefügt, um Organisationen das Vorhalten bereits konfigurierter Computer zu ermöglichen, die erst Monate später in die Produktion überführt werden. Diese Geräte müssen der Domäne nicht erneut beitreten.

Speicherort

Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen

Standardwerte

In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.

Richtlinienverwaltung

In diesem Abschnitt werden die verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.

Neustartanforderung

Keine. Wenn Änderungen an dieser Richtlinie lokal gespeichert oder über Gruppenrichtlinien verteilt werden, treten sie ohne einen Neustart des Geräts in Kraft.

Sicherheitsaspekte

In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.

Sicherheitsrisiko

Standardmäßig werden die Kontokennwörter für Geräte mit Windows Server, die einer Domäne angehören, automatisch nach einer bestimmten Anzahl von Tagen geändert (normalerweise nach 30 Tagen). Wenn Sie diese Richtlinieneinstellung deaktivieren, werden auf Windows Server-Geräten die gleichen Kennwörter wie für die Computerkonten beibehalten. Für Geräte, bei denen das Kontokennwort nicht automatisch geändert wird, besteht das Risiko, dass ein Angreifer das Kennwort für das Domänenkonto des Computers ermittelt.

Gegenmaßnahme

Vergewissern Sie sich, dass die Einstellung Domänenmitglied: Änderungen von Computerkontenkennwörtern deaktivieren auf Deaktiviert festgelegt ist.

Mögliche Auswirkung

Keine. Dies ist die Standardkonfiguration.

Verwandte Themen

Sicherheitsoptionen