Kennwortrichtlinie
Gilt für
- Windows 10
Eine Übersicht über die Kennwortrichtlinien für Windows und Links zu Informationen für jede Richtlinieneinstellung.
In vielen Betriebssystemen besteht die gängigste Methode zum Authentifizieren der Identität eines Benutzers darin, eine geheime Passphrase oder ein Kennwort zu verwenden. Eine sichere Netzwerkumgebung erfordert, dass alle Benutzer sichere Kennwörter verwenden, die mindestens acht Zeichen aufweisen und eine Kombination aus Buchstaben, Zahlen und Symbolen enthalten. Diese Kennwörter verhindern die Gefährdung von Benutzerkonten und Administrativen Konten durch nicht autorisierte Benutzer, die manuelle Methoden oder automatisierte Tools verwenden, um unsichere Kennwörter zu erraten. Sichere Kennwörter, die regelmäßig geändert werden, verringern die Wahrscheinlichkeit eines erfolgreichen Kennwortangriffs.
In Windows Server 2008 R2 und Windows Server 2008 eingeführt, unterstützt Windows differenzierte Kennwortrichtlinien. Dieses Feature bietet Organisationen die Möglichkeit, verschiedene Kennwort- und Kontosperrrichtlinien für unterschiedliche Benutzergruppen in einer Domäne zu definieren. Differenzierte Kennwortrichtlinien gelten nur für Benutzerobjekte (oder inetOrgPerson-Objekte, wenn sie anstelle von Benutzerobjekten verwendet werden) und globale Sicherheitsgruppen. Weitere Informationen finden Sie in der Schritt-für-Schritt-Anleitung zur AD DS-Fine-Grained Richtlinie für Kennwort- und Kontosperrung.
Zum Anwenden einer abgestimmten Kennwortrichtlinie auf Benutzer einer Organisationseinheit können Sie eine Schattengruppe verwenden. Eine Schattengruppe ist eine globale Sicherheitsgruppe, die logisch einer OU zugeordnet ist, um eine differenzierte Kennwortrichtlinie zu erzwingen. Sie fügen Benutzer der OE als Mitglieder der neu erstellten Schattengruppe hinzu und wenden dann die differenzierte Kennwortrichtlinie auf diese Schattengruppe an. Sie können bei Bedarf zusätzliche Schattengruppen für andere Organisationseinheiten erstellen. Wenn Sie einen Benutzer von einer OE in eine andere verschieben, müssen Sie die Mitgliedschaft der entsprechenden Schattengruppen aktualisieren.
Differenzierte Kennwortrichtlinien enthalten Attribute für alle Einstellungen, die in der Standarddomänenrichtlinie (mit Ausnahme von Kerberos-Einstellungen) zusätzlich zu den Kontosperrungseinstellungen definiert werden können. Wenn Sie eine differenzierte Kennwortrichtlinie angeben, müssen Sie alle diese Einstellungen angeben. Standardmäßig können nur Mitglieder der Gruppe "Domänenadministratoren" differenzierte Kennwortrichtlinien festlegen. Sie können diese Richtlinien jedoch auch an andere Benutzer delegieren. Die Domäne muss mindestens Windows Server 2008 R2 oder Windows Server 2008 ausgeführt werden, um abgestimmten Kennwortrichtlinien zu verwenden. Differenzierte Kennwortrichtlinien können nicht direkt auf eine Organisationseinheit (Organizational Unit, OU) angewendet werden.
Sie können die Verwendung sicherer Kennwörter durch eine entsprechende Kennwortrichtlinie erzwingen. Es gibt Kennwortrichtlinieneinstellungen, die die Komplexität und Lebensdauer von Kennwörtern steuern, z. B. die Richtlinieneinstellung "Kennwörter muss Komplexitätsanforderungen erfüllen".
Sie können die Kennwortrichtlinieneinstellungen mithilfe der Gruppenrichtlinien-Verwaltungskonsole am folgenden Speicherort konfigurieren:
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kennwortrichtlinie
Diese Gruppenrichtlinie wird auf Domänenebene angewendet. Wenn einzelne Gruppen unterschiedliche Kennwortrichtlinien erfordern, sollten Sie, wie oben beschrieben, differenzierte Kennwortrichtlinien verwenden.
In den folgenden Themen werden Überlegungen zur Implementierung von Kennwortrichtlinien und bewährte Methoden, richtlinienspeicherort, Standardwerte für den Servertyp oder GPO, relevante Unterschiede in Betriebssystemversionen, Sicherheitsüberlegungen (einschließlich der möglichen Sicherheitsrisiken der einzelnen Einstellungen), Gegenmaßnahmen, die Sie ergreifen können, und die potenziellen Auswirkungen für jede Einstellung behandelt.
Inhalt dieses Abschnitts
| Thema | Beschreibung |
|---|---|
| Kennwortchronik erzwingen | Beschreibt die bewährten Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsüberlegungen für die Richtlinieneinstellung "Kennwortverlauf erzwingen". |
| Maximales Kennwortalter | Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Maximales Kennwortalter beschrieben. |
| Minimales Kennwortalter | Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Mindestkennwortalter beschrieben. |
| Minimale Kennwortlänge | Beschreibt die bewährten Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsüberlegungen für die Richtlinieneinstellung für die Minimale Kennwortlänge. |
| Kennwort muss Komplexitätsvoraussetzungen entsprechen | Beschreibt die bewährten Methoden, Speicherorte, Werte und Sicherheitsüberlegungen für das Kennwort, um die Sicherheitsrichtlinieneinstellung für die Komplexitätsanforderungen zu erfüllen. |
| Kennwörter mit umkehrbarer Verschlüsselung speichern | Beschreibt die bewährten Methoden, Speicherorte, Werte und Sicherheitsüberlegungen für die Store Kennwörter mithilfe der Sicherheitsrichtlinieneinstellung für umkehrbare Verschlüsselung. |
Verwandte Themen
Feedback
Feedback senden und anzeigen für