Die Absicherung der Kennwörter spielt eine immer wichtigere Rolle und sollte gerade innerhalb von Netzwerken eine große Beachtung finden. Standardmäßig sind die Windows Clients (auch bei Windows 10) so eingestellt, dass der Anwender das Userkennwort mehrmals falsch eingeben kann, ohne dass eine Kontosperrung erfolgt.
Dabei liefert Microsoft die Lösung für das Problem schon mit, denn Ihr könnt über die Windows Gruppenrichtlinien genau festlegen, nach wie viel ungültigen Windows Anmeldeversuchen der Computer gesperrt wird und wie lange diese Sperrung dauert. Startet einfach den Gruppenrichtlinieeditor „gpedit.msc“ starten und in folgende GPO Pfad wechseln.
Computerkonfiguration / Windows-Einstellungen / Sicherheitseinstellungen / Kontorichtlinien / Kontosperrungsrichtlinien
Das sieht dann im Gruppenrichtlinieneditor wie folgt aus.
Dort gibt es die Gruppenrichtlinien für die Windows Kontosperrung.
– Kontosperrungsschwelle
– Kontosperrdauer
– Zurücksetzungsdauer des Kontosperrungszählers
Hier nachfolgend die Erklärung der einzelnen GPOs.
Kontosperrungsschwelle
Die Kontosperrungsschwelle legt fest, ab welcher Anzahl von Fehl-Logins das Konto gesperrt werden soll.
Microsoft gibt dazu folgende Informationen bekannt.
Diese Sicherheitseinstellung legt die Anzahl von nicht erfolgreichen Anmeldeversuchen fest, nach denen ein Benutzerkonto gesperrt wird. Ein gesperrtes Konto kann erst wieder verwendet werden, nachdem ein Administrator es zurückgesetzt hat oder nachdem die Kontosperrdauer für das Konto abgelaufen ist. Sie können einen Wert zwischen 0 und 999 nicht erfolgreichen Anmeldeversuchen festlegen. Wenn Sie den Wert auf 0 festlegen, wird das Konto nie gesperrt.
Zu den nicht erfolgreichen Anmeldeversuchen zählen falsche Kennworteingaben bei Arbeitsstationen oder Mitgliedsservern, die entweder über STRG+ALT+ENTF oder kennwortgeschützte Bildschirmschoner gesperrt wurden.
Standardwert: 0
Kontosperrdauer
Über den Eintrag „Kontosperrdauer“ legt Ihr fest, wie lange das Konto gesperrt bleiben soll. Dieser Wert ist allerdings nur dann konfigurierbar, wenn Ihr die Kontosperrungsschwelle bereits konfiguriert habt.
Diese GPO wird von Microsoft so erklärt.
Mit dieser Sicherheitseinstellung wird festgelegt, wie lange (in Minuten) ein gesperrtes Konto gesperrt bleibt, bevor die Sperre automatisch aufgehoben wird. Es kann eine Dauer zwischen 0 und 99.999 Minuten festgelegt werden. Wenn Sie die Kontosperrdauer auf 0 festlegen, wird das Konto gesperrt, bis ein Administrator die Sperre explizit aufhebt.
Wenn eine Kontensperrungsschwelle definiert ist, muss die Kontosperrdauer größer oder gleich der Zurücksetzungszeit sein.
Standardwert: „Kein“, da diese Richtlinie nur relevant ist, wenn eine Kontensperrungsschwelle angegeben ist.
Zurücksetzungsdauer des Kontosperrungszählers
Über den Eintrag „Zurücksetzungsdauer des Kontosperrungszählers“ wird festgelegt, nach welcher Zeitspanne Windows neu mit dem Zählen der Fehl-Logins beginnen soll.
Folgende zusätzliche Informationen stehen zu diesem GPO im Gruppenrichtlinieneditor.
Mit dieser Sicherheitseinstellung wird die Anzahl von Minuten festgelegt, die nach einem nicht erfolgreichen Anmeldeversuch verstreichen müssen, bis der Zähler für nicht erfolgreiche Anmeldeversuche auf 0 ungültige Anmeldeversuche zurückgesetzt wird. Zulässig sind Werte zwischen 1 und 99.999 Minuten.
Wenn eine Kontensperrungsschwelle definiert ist, muss die Zurücksetzungsdauer kleiner oder gleich der Kontosperrdauer sein.
Standardwert: „Kein“, da diese Richtlinieneinstellung nur relevant ist, wenn eine Kontensperrungsschwelle angegeben ist.
Somit stehen Euch mit diesen 3 Gruppenrichtlinien die optimalen Einstellungsmöglichkeiten für die Kontosperrungsrichtlinien zur Verfügung.
Hier nachfolgend findet Ihr noch weitere Beiträge rund um das Thema „Windows Kennwörter„.
– Kennwort Sicherheitsfragen erstellen oder ändern bei Windows 10
– Gespeicherte Kennwörter im Edge Browser verwalten, bearbeiten oder löschen
– Schaltfläche zum Anzeigen des Windows Kennwortes bei Windows 10 ausblenden
– Cookies, Formulardaten und Kennwörter im Edge Browser löschen
– Windows 10 Kennwortabfrage auf Surface nach Drücken der Power Taste deaktivieren
– WLAN Kennwort im Klartext anzeigen per DOS Befehl
– Windows Kennwort einer Hyper-V VM zurücksetzen
– Administrator Kennwort zurücksetzen
– Windows Gastkonto umbenennen per GPO
– Windows Benutzername ändern
Empfohlene Beiträge
-
Minimales und Maximales Kennwortalter bei Windows definieren -
Aktualisierungsintervall der Gruppenrichtlinien festlegen (Zeitspanne) -
Standard Lockout Policies in Windows 11
-
Minimale Kennwortlänge bei Windows festlegen
-
Kennwortchronik unter Windows aktivieren – Verwendung immer wieder gleicher Kennwörter verhindern -
Windows Gastkonto umbenennen per GPO -
Passwordrichtlinien in Active Directory nach BSI-Empfehlungen – So geht´s
-
RDP Meldung – Eine Benutzerkontenbeschränkung verhindert Ihre Anmeldung… -
Anzahl fehlgeschlagener Anmeldungen am Windows PC anzeigen lassen
-
WiFi ausschalten, wenn Ethernet-Kabel angeschlossen ist
-
Die Limits der Fine Grained Password Policies in Windows AD
-
Rechte zum Hinzufügen von Windows Clients zur Domäne einschränken -
Sichere Windows Anmeldung per STRG + ALT + ENTF bei Windows per GPO erzwingen -
Benutzername, Benutzerinformationen und Domänen-Name auf Windows Sperrbildschirm nicht anzeigen
-
Windows Kennwort muss bestimmte Kennwortrichtlinien erfüllen – Sicherheit erhöhen -
Kennwort Sicherheitsfragen erstellen oder ändern bei Windows 10 -
Phishing Gruppenrichtlinien
Trackbacks/Pingbacks