Erzwingen sicherer Kennwörter unter Windows XP und Windows Server 2003

Aktualisiert: 12. Mai 2004

Auf dieser Seite

	Einführung
	Vorbereitung
	Anleitung zum Implementieren von Kennwortrichtlinieneinstellungen

Einführung

Die meisten Benutzer geben zur Anmeldung am Computer einen Benutzernamen und ein Kennwort über die Tastatur ein. Obwohl alternative Authentifizierungstechnologien wie biometrische Verfahren, Smartcards oder einmalig eingegebene Kennwörter für alle verbreiteten Betriebssysteme zur Verfügung stehen, vertrauen die meisten Organisationen nach wie vor auf herkömmliche Kennwörter. Deshalb muss jede Organisation Kennwortrichtlinien zur Verwendung sicherer Kennwörter auf allen Computern definieren. Sichere Kennwörter erfüllen verschiedene Anforderungen hinsichtlich der Komplexität: Längen- und Zeichenvorgaben, die eine Entschlüsselung der Kennwörter durch Angreifer erschweren. Richtlinien für sichere Kennwörter erschweren Angreifern das eindringen mittels vorgetäuschter Identität. Sie verbessern den Schutz gegen Verlust, Offenlegung oder Manipulation wichtiger und vertraulicher Informationen. In diesem Dokument wird beschrieben, wie Richtlinien für sichere Kennwörter auf Computern unter Windows 2000, Windows XP oder Windows Server 2003 implementiert werden.

Computer können je nach Organisationsarchitektur Mitglieder einer Active Directory-Domäne oder eigenständig sein. Entsprechend muss zur Implementierung eine der folgenden Aufgaben ausgeführt werden:

•	Konfigurieren der Kennwortrichtlinien in einer Active Directory-Domäne.
•	Konfigurieren der Kennwortrichtlinien auf eigenständigen Computern.

Nach der Konfiguration der Einstellungen für Kennwortrichtlinien können Benutzer neue Kennwörter nur entsprechend der Längen- und Zeichenvorgaben sowie der Komplexitätsanforderungen erstellen. Definierte Kennwörter dürfen erst nach Ablauf einer festgelegten Zeit geändert werden.

WICHTIG: In den Anweisungen dieses Handbuchs wurde das Startmenü verwendet, das in der Standardeinstellung nach der Installation des Betriebssystems angezeigt wird. Wenn Sie Änderungen am Startmenü vorgenommen haben, kann die Vorgehensweise entsprechend abweichen.

Zum Seitenanfang

Vorbereitung

Vor der Konfiguration von Kennwortrichtlinien müssen Sie die erforderlichen Einstellungen und die anzugebenden Werte für diese Einstellungen ermitteln. Verschaffen Sie sich zudem einen Überblick darüber, wie Konfigurationsinformationen für Kennwortrichtlinien in Windows gespeichert werden.

Hinweis: In den Betriebssystemen Windows 95, Windows 98 und Windows Millennium Edition werden erweiterte Sicherheitsfunktionen, zu denen auch die Kennwortrichtlinien gehören, nicht unterstützt. Wenn in Ihrem Netzwerk eigenständige (nicht zu einer Domäne gehörende) Computer mit diesen Betriebsystemen eingesetzt werden, können Sie die Verwendung der Kennwortrichtlinien auf diesen Geräten nicht erzwingen. Wenn Ihr Netzwerk Computer mit diesen Betriebssystemen enthält, die Mitglieder einer Active Directory®-Verzeichnisdienstdomäne sind, können Sie lediglich auf Domänenebene die Verwendung der Kennwortrichtlinien erzwingen.

Ermitteln der Einstellungen für Kennwortrichtlinien

Unter Windows 2000, Windows XP und Windows Server 2003 können Sie fünf Einstellungen in Bezug auf Kennwortcharakteristiken konfigurieren: Kennwortchronik erzwingen, Maximales Kennwortalter, Minimales Kennwortalter, Minimale Kennwortlänge und Kennwörter müssen Komplexitätsvoraussetzungen entsprechen. Eine Hilfestellung zur Festlegung der Werte für diese Einstellungen, die den Anforderungen Ihres Unternehmens entsprechen, finden Sie im Security Guidance Kit unter "Auswählen sicherer Kennwörter".

•

Kennwortchronik erzwingen bestimmt die Anzahl neuer Kennwörter, die ein Benutzer verwenden muss, bevor ein altes Kennwort erneut verwendet werden darf. Der Wert für diese Einstellung kann zwischen 0 und 24 liegen. Wird der Wert auf 0 gesetzt, wird das Erzwingen der Kennwortchronik deaktiviert. In den meisten Unternehmen ist dieser Wert auf 24 Kennwörter gesetzt.

•

Maximales Kennwortalter bestimmt, wie viele Tage ein Kennwort verwendet werden kann, bevor der Benutzer aufgefordert wird, es zu ändern. Der Wert für diese Einstellung kann zwischen 0 und 999 liegen. Wenn er auf 0 gesetzt wird, läuft das Kennwort nie ab. Ein sehr niedriger Wert belästigt durch zu häufige Änderungen die Benutzer, ein zu hoch gesetzter Wert oder eine Deaktivierung erleichtert Angriffe.Ein üblicher Wert beträgt 42 Tage.

•

Minimales Kennwortalter bestimmt, wie viele Tage Benutzer ihr neues Kennwort beibehalten müssen, bevor sie es ändern können. Diese Einstellung wurde entworfen, um mit der Einstellung Kennwortchronik erzwingen zusammen zu arbeiten, so dass Benutzer nicht direkt nacheinander ihr Kennwort ändern, um dann ihr altes Kennwort wieder verwenden zu können. Der Wert für diese Einstellung kann zwischen 0 und 999 liegen. Wird der Wert auf 0 gesetzt, können Benutzer sofort die neuen Kennwörter ändern. Es wird empfohlen, diesen Wert auf 2 Tage zu setzen.

•

Minimale Kennwortlänge bestimmt, wie kurz ein Kennwort sein darf. Obwohl Computer unter Windows 2000, Windows XP oder Windows Server 2003 Kennwörter mit bis zu 28 Zeichen unterstützen, kann dieser Wert nur zwischen 0 und 4 Zeichen liegen. Wenn er auf 0 gesetzt wird, können Benutzer leere Kennwörter angeben. Daher sollten Sie diesen Wert nicht verwenden. Eine Länge von 8 Zeichen wird empfohlen.

•

Kennwörter müssen Komplexitätsvoraussetzungen entsprechen legt fest, ob die Kennwortkomplexität erzwungen wird. Wenn diese Einstellung aktiviert ist, müssen Benutzerkennwörter folgende Voraussetzungen erfüllen:

•

Das Kennwort ist mindestens sechs Zeichen lang.

•

Das Kennwort enthält Zeichen aus mindestens drei der folgenden fünf Kategorien:

•	Standardgroßbuchstaben (A - Z)
•	Standardkleinbuchstaben (a - z)
•	Ziffern (0 - 9)
•	Nicht alphanumerische Zeichen (zum Beispiel: !, $, #, oder %)
•	Unicode-Zeichen

•

Das Kennwort enthält nicht mehr als zwei zusammenhängende Zeichen aus dem Kontonamen des Benutzers.

Wenn der Kontoname weniger als drei Zeichen lang ist, wird diese Überprüfung nicht vorgenommen, sonst wäre die Anzahl der Ablehnungen zu hoch. Bei der Überprüfung des vollen Benutzernamens werden mehrere Zeichen als Trennzeichen behandelt, die den Namen in einzelne Teile trennen: Kommata, Punkte, Gedankenstriche/Bindestriche, Unterstriche, Leerzeichen, Nummern- und Tabulatorzeichen. Nach jedem Teil, das aus mindestens drei Zeichen besteht, wird innerhalb des Kennworts gesucht. Bei Übereinstimmung wird die Kennwortänderung nicht akzeptiert. Zum Beispiel würde der Name "Erin M. Hagens" in drei Teile aufgeteilt werden: "Erin," "M" und "Hagens". Da der zweite Teil nur aus einem Zeichen besteht, wird er ignoriert. Der Benutzer kann daher kein Kennwort wählen, in dem "erin" oder "hagens" als Teilzeichenfolge vorkommt. Bei all diesen Überprüfungen wird die Groß- und Kleinschreibung nicht berücksichtigt.

Die Komplexitätsanforderungen werden bei Erstellung oder Änderung eines Kennworts erzwungen. Die Einstellung sollte aktiviert sein.

Überblick über die Speicherung der Konfigurationsinformationen für Kennwortrichtlinien unter Windows

Vor der Implementierung benötigen Sie Informationen zur Speicherung der Konfigurationsinformationen unter Windows 2000, Windows XP und Windows Server 2003. Die Speicherungsmechanismen begrenzen die Anzahl der implementierbaren Richtlinien und beeinflussen so die Anwendung der Einstellungen für die Kennwortrichtlinien.

Für jede Kontendatenbank kann nur eine Kennwortrichtlinie vorhanden sein. Eine Active Directory-Domäne stellt eine einzelne Kontendatenbank dar, ebenso die lokale Kontendatenbank eines eigenständigen Computers (SAM – Security Account Manager). Zu einer Domäne gehörende Computer verfügen ebenfalls über eine lokale Kontendatenbank. Die meisten Unternehmen, die Active Directory-Domänen bereitstellen, erzwingen jedoch für Benutzeranmeldungen an den Computern und im Netzwerk die Verwendung domänenbasierter Konten. Wenn Sie die minimale Kennwortlänge in einer Domäne auf 14 Zeichen festgelegt haben, müssen alle Benutzer in der Domäne bei der Erstellung neuer Kennwörter mindestens 14 Zeichen verwenden. Wenn die Anforderungen für bestimmte Benutzer abweichen, müssen Sie eine neue Domäne für deren Konten erstellen.

Active Directory-Domänen verwenden Gruppenrichtlinienobjekte (GPOs) zur Speicherung einer Vielzahl von Konfigurationsinformationen, einschließlich der Kennwortrichtlinieneinstellungen. Active Directory ist zwar ein hierarchischer Verzeichnisdienst, der mehrere Ebenen von Organisationseinheiten (OUs) und mehrere GPOs unterstützt. Die Kennwortrichtlinieneinstellungen für die Domäne müssen aber in ihrem Stammcontainer festgelegt werden. Beim Erstellen des primären Domänencontrollers für eine neue Active Directory-Domäne wird automatisch je ein Standardgruppenrichtlinienobjekt für die Domäne und für die Domänencontroller erstellt. Die Standarddomänenrichtlinie ist mit dem Stammcontainer verknüpft. Sie enthält einige wichtige domänenweite Einstellungen, einschließlich der Einstellungen für die Standardkennwortrichtlinie. Die Standarddomänencontrollerrichtlinie ist mit der OU Domain Controllers verknüpft. Sie enthält grundlegende Sicherheitseinstellungen für die Domänencontroller.

Diese vordefinierten Gruppenrichtlinienobjekte sollten nicht geändert werden. Wenn Sie abweichende Kennwortrichtlinieneinstellungen anwenden müssen, sollten Sie stattdessen ein neues Gruppenrichtlinienobjekt erstellen. Verknüpfen Sie dieses mit dem Stammcontainer der Domäne oder des OU Domain Controllers und weisen Sie ihm eine höhere Priorität als dem Standardgruppenrichtlinienobjekt zu: Werden zwei Gruppenrichtlinienobjekte mit widersprüchlichen Einstellungen mit dem gleichen Container verknüpft, erhält das Objekt mit der höheren Priorität Vorrang.

Zum Seitenanfang

Anleitung zum Implementieren von Kennwortrichtlinieneinstellungen

In diesem Abschnitt zeigen wir Ihnen ausführlich, wie Sie durch die Einstellungen für Kennwortrichtlinien die Sicherheit verbessern.

•	Konfigurieren der Kennwortrichtlinien in einer Active Directory-Domäne.
•	Konfigurieren der Kennwortrichtlinien auf eigenständigen Computern.

Konfigurieren der Kennwortrichtlinien in einer Active Directory-Domäne

Anforderungen

•

Anmeldeinformationen: Sie müssen als Mitglied der Gruppe Domänen-Admins angemeldet sein.

•

Tools: Active Directory-Benutzer und -Computer.

•

So implementieren Sie Kennwortrichtlinien auf Computern in einer Active Directory-Domäne

1.	Klicken Sie auf Start und anschließend auf Systemsteuerung. Doppelklicken Sie auf Verwaltung und dann auf Active Directory-Benutzer und -Computer.
2.	Klicken Sie mit der rechten Maustaste auf den Stammcontainer der Domäne: Hinweis: Die Abbildungen in diesem Dokument geben eine Testumgebung wieder. Auf Ihrem Bildschirm werden möglicherweise andere Informationen angezeigt.
3.	Wählen Sie im angezeigten Menü Eigenschaften:
4.	Klicken Sie im Dialogfeld Eigenschaften Ihrer Domäne auf die Registerkarte Gruppenrichtlinie und anschließend auf Neu, um ein neues Gruppenrichtlinienobjekt im Stammcontainer zu erstellen. Geben Sie Domänenrichtlinie als Namen für die neue Richtlinie ein, und klicken Sie auf Schließen. Hinweis: Die Erstellung eines neuen Gruppenrichtlinienobjekts wird empfohlen. Eine Änderung des vordefinierten Gruppenrichtlinienobjekts Default Domain Policy verhindert die einfache Wiederherstellung im Falle schwerwiegender Probleme mit den Sicherheitseinstellungen. Wenn die neuen Sicherheitseinstellungen Probleme verursachen, können Sie das neue Gruppenrichtlinienobjekt zeitweilig deaktivieren, bis Sie die dafür verantwortlichen Einstellungen isoliert haben.
5.	Klicken Sie mit der rechten Maustaste auf den Stammcontainer Ihrer Domäne, und klicken Sie anschließend auf Eigenschaften.
6.	Klicken Sie im Dialogfeld Eigenschaften auf die Registerkarte Gruppenrichtlinie, und wählen Sie Domänenrichtlinie aus.
7.	Klicken Sie auf Nach oben, um das neue Gruppenrichtlinienobjekt an den Anfang der Liste zu verschieben, und klicken Sie dann auf Bearbeiten, um den Gruppenrichtlinienobjekt-Editor zu öffnen.
8.	Wechseln Sie unter Computerkonfiguration zum Ordner Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kennwortrichtlinien.
9.	Doppelklicken Sie in der Detailansicht auf Kennwortchronik erzwingen, aktivieren Sie das Kontrollkästchen Diese Richtlinieneinstellung definieren, setzen Sie den Wert für Kennwortchronik behalten auf 24, und klicken Sie anschließend auf OK.
10.	Doppelklicken Sie in der Detailansicht auf Maximales Kennwortalter, aktivieren Sie das Kontrollkästchen Diese Richtlinieneinstellung definieren, setzen Sie den Wert für Kennwort läuft ab in auf 42, klicken Sie auf OK und anschließend erneut auf OK, um das angezeigte Fenster Empfohlene Wertänderungen zu schließen.
11.	Doppelklicken Sie in der Detailansicht auf Minimales Kennwortalter, aktivieren Sie das Kontrollkästchen Diese Richtlinieneinstellung definieren, setzen Sie den Wert für Kennwort kann geändert werden nach auf 2, und klicken Sie anschließend auf OK.
12.	Doppelklicken Sie in der Detailansicht auf Minimale Kennwortlänge, aktivieren Sie das Kontrollkästchen Diese Richtlinieneinstellung definieren, setzen Sie den Wert für Minimale Kennwortlänge auf 8, und klicken Sie anschließend auf OK.
13.	Doppelklicken Sie in der Detailansicht auf Kennwort muss Komplexitätsvoraussetzungen entsprechen, aktivieren Sie das Kontrollkästchen Diese Richtlinieneinstellung in der Vorlage definieren, wählen Sie Aktiviert, und klicken Sie dann auf OK.
14.	Schließen Sie den Gruppenrichtlinienobjekt-Editor, klicken Sie auf OK, um das Dialogfeld Eigenschaften zu schließen, und beenden Sie Active Directory-Benutzer und -Computer.

Überprüfen der neuen Einstellungen

Überprüfen Sie anschließend die Anwendung der Kennwortrichtlinieneinstellungen im Gruppenrichtlinienobjekt der Domänenrichtlinie.

Anforderungen

•	Anmeldeinformationen: Sie müssen als Mitglied der Gruppe Domänen-Admins angemeldet sein.
•	Tools: Active Directory-Benutzer und -Computer.

•

So überprüfen Sie die Kennwortrichtlinien für eine Active Directory-Domäne

1.	Öffnen Sie Active Directory-Benutzer und -Computer, klicken Sie mit der rechten Maustaste auf Ihre Domäne, und klicken Sie dann auf Eigenschaften.
2.	Klicken Sie im Dialogfeld Eigenschaften der Domäne auf die Registerkarte Gruppenrichtlinie, wählen Sie das Gruppenrichtlinienobjekt Domänenrichtlinie aus, und klicken Sie dann zum Öffnen des Gruppenrichtlinienobjekt-Editor auf Bearbeiten.
3.	Wechseln Sie unter Computerkonfiguration zum Ordner Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kennwortrichtlinien, und überprüfen Sie dort die Übereinstimmung der Einstellungen mit den folgenden Werten:
4.	Schließen Sie den Gruppenrichtlinienobjekt-Editor, klicken Sie auf OK, um das Dialogfeld Eigenschaften zu schließen, und beenden Sie Active Directory-Benutzer und -Computer.
5.	Stellen Sie durch Testeingaben sicher, dass eine Mindestlänge von 8 Zeichen verlangt wird, Kennwörter die Komplexitätsvoraussetzungen erfüllen müssen und Kennwörter nicht unmittelbar nach der Eingabe wieder geändert werden können.

Konfigurieren der Kennwortrichtlinien auf eigenständigen Computern

•	Anmeldeinformationen: Sie müssen als ein Mitglied der Gruppe Administratoren angemeldet sein.
•	Tools: Lokale Sicherheitsrichtlinie.

•

So implementieren Sie Kennwortrichtlinien auf Computern, die nicht zu einer Active Directory-Domäne gehören

1.	Klicken Sie auf Start und anschließend auf Systemsteuerung. Doppelklicken Sie auf Verwaltung und dann auf Lokale Sicherheitsrichtlinie.
2.	Wechseln Sie zum Ordner Kontorichtlinien\Kennwortrichtlinien.
3.	Doppelklicken Sie in der Detailansicht auf Kennwortchronik erzwingen, setzen Sie den Wert für Kennwortchronik behalten auf 24, und klicken Sie auf OK.
4.	Doppelklicken Sie in der Detailansicht auf Maximales Kennwortalter, setzen Sie den Wert für Kennwort läuft ab in auf 42, und klicken Sie auf OK.
5.	Doppelklicken Sie in der Detailansicht auf Minimales Kennwortalter, setzen Sie den Wert für Kennwort kann geändert werden nach auf 2, und klicken Sie auf OK.
6.	Doppelklicken Sie in der Detailansicht auf Minimale Kennwortlänge, setzen Sie den Wert für Minimale Kennwortlänge auf 8, und klicken Sie auf OK.
7.	Doppelklicken Sie in der Detailansicht auf Kennwort muss Komplexitätsvoraussetzungen entsprechen, klicken Sie auf Aktiviert und anschließend auf OK.
8.	Schließen Sie das Dialogfeld Lokale Sicherheitsrichtlinie.

Überprüfen der neuen Einstellungen

Überprüfen Sie mit den folgenden Schritten, ob die Kennwortrichtlinieneinstellungen für eigenständige Computer in Ihrem Unternehmen angewendet und aktiviert wurden. Durch das Überprüfen der Einstellungen wird sichergestellt, dass die Kennwortrichtlinien auf den betreffenden Computern wirksam sind.

Anforderungen

•

Anmeldeinformationen: Sie müssen als ein Mitglied der Gruppe Administratoren angemeldet sein.

•

Tools: Lokale Sicherheitsrichtlinie.

•

So überprüfen Sie Kennwortrichtlinien auf Computern, die nicht zu einer Active Directory-Domäne gehören

1.	Öffnen Sie Lokale Sicherheitsrichtlinie, wechseln Sie zum Ordner Kontorichtlinien\Kennwortrichtlinien, und überprüfen Sie dort die Übereinstimmung der Einstellungen mit den folgenden Werten:
2.	Schließen Sie das Dialogfeld Lokale Sicherheitsrichtlinie.
3.	Stellen Sie durch Testeingaben sicher, dass eine Mindestlänge von 8 Zeichen verlangt wird, Kennwörter die Komplexitätsvoraussetzungen erfüllen müssen und Kennwörter nicht unmittelbar nach der Eingabe wieder geändert werden können.

Zum Seitenanfang