Mehr Sicherheit in Windows-Netzwerken

Benutzer und Kennwörter auf lokalen Servern und in Active Directory mit Gruppenrichtlinien absichern

| Autor: Thomas Joos

Pixabay.com
Pixabay.com (Pixabay.com)

Die Absicherung von Benutzernamen und Kennwörtern kann in Active Directory durch Gruppenrichtlinien erfolgen. Vor allem seit Windows 8/8.1 und spätestens in Windows 10 stehen haufenweise Anmelde- und Sicherheitsfunktionen zur Verfügung, um die Anmeldung von Anwendern über Benutzernamen und Kennwörter zu steuern. Viele Richtlinien stehen aber auch für die Vorgängerversionen.

Generell sollten Sie ständig überprüfen, welche Benutzer in Active Directory nicht mehr aktiv sind. Der beste Schutz für Kennwörter in Active Directory besteht zunächst darin nicht mehr notwendige Konten zu entfernen. Dazu verwenden Sie auf dem Domänencontroller den Befehl dsquery user -inactive <Anzahl der Wochen>. So erkennen Sie auf einem Blick welche Benutzerkonten nicht mehr aktiv sind. 

In Active Directory können Sie über Gruppenrichtlinien steuern, wie sicher die Kennwörter der Anwender sein sollen.  Haben Unbefugte Zugriff auf einen Rechner und Anmeldedaten eines Anwenders, können diese auf alle Daten und Serverdienste zugreifen, auf die der entsprechende Anwender Zugriff hat. Windows Server bieten für die Steuerung der Kennwörter einige Optionen an.

Die grundlegenden Einstellungen der Kennwörter sind bei Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Kontorichtlinien/Kennwortrichtlinien zu finden. Einstellungen die Sie hier vornehmen, gelten für die Anwender auf die Sie die Richtlinie später binden.

Die wichtigsten Einstellungen für mehr Sicherheit von Kennwörtern sind im Bereich Computerkonfiguration\<Richtlinien>\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen zu finden. Mit der Richtlinie „Interaktive Anmeldung: Anwender vor Ablauf des Kennworts zum Ändern des Kennworts auffordern“ wird festgelegt wieviele Tage vor dem Ablauf eines Kennwortes die Anwender bereits eine Meldung erhalten, um ihr Kennwort zu ändern.