Domänenmitglied: Maximalalter von Computerkontenkennwörtern
Hier werden bewährte Methoden, Speicherort, Werte und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Domänenmitglied: Maximalalter von Computerkontenkennwörtern beschrieben.
Referenz
Mit der Richtlinieneinstellung Domänenmitglied: Maximalalter von Computerkontenkennwörtern wird das maximal zulässige Alter für ein Computerkontenkennwort bestimmt.
In Active Directory-Domänen verfügt jedes Gerät wie auch jeder Benutzer über ein Konto und Kennwort. In der Standardeinstellung ändern die Domänenmitglieder ihr Domänenkennwort automatisch alle 30 Tage. Wenn dieses Intervall erheblich verlängert oder auf 0 festgelegt wird, sodass die Kennwörter von Geräten nicht mehr geändert werden, gibt dies böswilligen Benutzern mehr Zeit, Brute-Force-Angriffe zur Ermittlung von Kennwörtern auf eines der Computerkonten zu unternehmen.
Mögliche Werte
Benutzerdefinierte Anzahl von Tagen zwischen 0 und 999
Nicht definiert.
Bewährte Methoden
Es empfiehlt sich häufig, die Einstellung Domänenmitglied: Maximalalter von Computerkontenkennwörtern auf einen Zeitraum von etwa 30 Tagen festzulegen.
In einigen Organisationen werden Computer vorab eingerichtet und für die spätere Verwendung oder die Auslieferung an Remotestandorte gespeichert. Wenn das Computerkonto abgelaufen ist, kann es keine Authentifizierung bei der Domäne mehr ausführen. Geräte, die sich nicht bei der Domäne authentifizieren können, müssen aus der Domäne entfernt und erneut hinzugefügt werden. Daher empfiehlt es sich für einige Unternehmen, eine spezielle Organisationseinheit für vorab eingerichtete Computer zu erstellen und den Wert für diese Richtlinieneinstellungen auf eine größere Anzahl von Tagen festzulegen.
Speicherort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
| Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
|---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
30 Tage |
Effektive Standardeinstellungen für DC |
30 Tage |
Effektive Standardeinstellungen für Mitgliedsserver |
30 Tage |
Effektive Standardeinstellungen für Clientcomputer |
30 Tage |
Richtlinienverwaltung
In diesem Abschnitt werden die verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.
Neustartanforderung
Keine Änderungen an dieser Richtlinie werden ohne einen Neustart des Computers wirksam, wenn sie lokal gespeichert oder über Gruppenrichtlinien verteilt werden.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
In Active Directory-Domänen verfügt jedes Gerät wie auch jeder Benutzer über ein Konto und Kennwort. In der Standardeinstellung ändern die Domänenmitglieder ihr Domänenkennwort automatisch alle 30 Tage. Wenn Sie dieses Intervall erheblich verlängern oder auf 0 festlegen, sodass die Kennwörter von Computern nicht mehr geändert werden, verfügen Angreifer über mehr Zeit für einen Brute-Force-Angriff zum Ermitteln des Kennworts für ein oder mehrere Computerkonten.
Gegenmaßnahme
Legen Sie die Einstellung Domänenmitglied: Maximalalter von Computerkontenkennwörtern auf 30 Tage fest.
Mögliche Auswirkung
Keine Dies ist die Standardkonfiguration.