M 4.48 Passwortschutz unter NT-basierten Windows-Systemen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Der Zugang zu einem NT-basierten Windows-System in der Version NT, 2000, XP, 2003 oder Vista muss für jeden Benutzer durch ein Passwort geschützt und die automatische Anmeldung muss deaktiviert sein. Benutzerkonten ohne Passwort dürfen nicht existieren, da sie eine Schwachstelle im System darstellen. Es ist wichtig, dass auch die Benutzer die Schutzfunktion der Passwörter kennen, denn die Mitarbeit der Benutzer trägt zur Sicherheit des gesamten Systems bei. Grundlage für die weiteren Empfehlungen in dieser Maßnahme ist M 2.11 Regelung des Passwortgebrauchs.

Die Einrichtung eines neuen Benutzers und die Definition eines Passwortes erfolgt unter Windows NT mit Hilfe des Dienstprogramms Benutzer-Manager über das Kommando Neuer Benutzer. Unter Windows ab Version 2000 ist dazu für Stand-alone-Rechner das Snap-in Lokale Benutzer und Gruppen der Microsoft Management Console (MMC) zu benutzen. Für in Active Directory-Domänen angesiedelte Rechner erfolgt das Anlegen neuer Benutzer über das MMC Snap-in Active Directory Benutzer und Computer. In jedem Fall ist dazu in den Feldern Kennwort und Kennwortbestätigung ein Anfangspasswort einzugeben. Die Groß- und Kleinschreibung muss beachtet werden. Dabei sollte ein sinnvolles individuelles Anfangspasswort vergeben werden, das dem Benutzer mitgeteilt wird. Dies ist auch beim Zurücksetzen des Passwortes durch den Administrator zu beachten. Die immer gleiche Wahl des Anfangspasswortes oder die Verwendung des Benutzernamens als Passwort eröffnet eine Sicherheitslücke, die mit geringem Aufwand vermieden werden kann.

Die Option Benutzer muss Kennwort bei der nächsten Anmeldung ändern sollte bei allen neuen Konten gesetzt sein, damit das Anmeldepasswort nicht beibehalten wird. Dagegen sollte die Option Benutzer kann Kennwort nicht ändern nur in Ausnahmefällen verwendet werden, etwa für vordefinierte Konten im Schulungsbetrieb. Die Option Kennwort läuft nie ab sollte nur für Benutzerkonten verwendet werden, denen mit Hilfe der Systemsteuerungsoption Dienste ein Dienst zugewiesen wird (zum Beispiel das MS Exchange Dienstkonto). Diese Option setzt die Einstellung Maximales Kennwortalter in den Richtlinien für Konten außer Kraft und verhindert, dass das Passwort abläuft.

Passwort-Richtlinien

Mit Windows NT können über den Benutzer-Manager Richtlinien für Benutzerkonten, Benutzerrechte und für die Systemüberwachung festgelegt werden. Unter Windows ab Version 2000 erfolgt das Festlegen der Richtlinien entweder durch das MMC Snap-in Lokale Sicherheitseinstellungen oder durch das Snap-in Gruppenrichtlinien. Die Parameter und Werte finden sich in den Snap-ins unter Sicherheitseinstellungen | Kontorichtlinien.

Dabei können und sollen die Einstellungen der Gruppenrichtlinien für Rechner, die einer Domäne angeschlossen sind, auch über das Active Directory verteilt und durchgesetzt werden (siehe M 2.231 Planung der Gruppenrichtlinien unter Windows und M 2.326 Planung der Windows XP und Windows Vista Gruppenrichtlinien). Ab Windows 2000 ist für Kontorichtlinien eine Sicherheitsvorlage zu erstellen (siehe auch M 2.366 Nutzung von Sicherheitsvorlagen unter Windows Server 2003).

Die Anforderungen an Passwörter unter NT-basierten Windows-Systemen sollten dokumentiert werden, gegebenenfalls in Form einer Sicherheitsrichtlinie. Die Dokumentation bzw. Richtlinie sollte die Einstellungen der folgenden Tabelle umfassen. Die letzte Spalte enthält Mindestempfehlungen für normalen Schutzbedarf:

Windows NT Windows 2000/XP/2003 Windows Vista  
Maximales
Kennwortalter
Maximales
Kennwortalter
Maximales
Kennwortalter
90 Tage
Minimales
Kennwortalter
Minimales
Kennwortalter
Minimales
Kennwortalter
1 Tag
Minimale Kennwortlänge Minimale Kennwortlänge Minimale Kennwortlänge 8 Zeichen
Kennwortzyklus Kennwortchronik erzwingen Kennwortchronik erzwingen 6 Kennwörter
Konto sperren | Sperren nach Kontosperrungsschwelle Kontosperrungsschwelle 3 Versuchen
Konto sperren | Konto zurücksetzen nach Zurücksetzungsdauer des Kontosperrungszählers Zurücksetzungsdauer des Kontosperrungszählers 30 Minuten
Dauer der Sperrung Kontosperrdauer Kontosperrdauer 60 Minuten
Benutzer muss sich anmelden, um Kennwort zu ändern n/v n/v Deaktiviert
n/v Kennwort muss Komplexitätsvoraussetzungen entsprechen Kennwort muss Komplexitätsvoraussetzungen entsprechen Aktiviert
n/v Kennwörter für alle Domänenbenutzer mit umkehrbarer Verschlüsselung speichern Kennwörter mit umkehrbarer Verschlüsselung speichern Deaktiviert

Bei der Festlegung der Einstellungen sind einige systemspezifische Sicherheitsaspekte zu berücksichtigen, die im Folgenden erläutert werden.

Die minimale Passwortlänge für besonders schützenswerte Konten (z. B. Dienstkonten) sollte mehr als 14 Zeichen betragen. Dies funktioniert allerdings nicht unter Windows NT, hier sollten solche Passwörter in kürzeren Abständen geändert werden. Hohe Passwortlängen sind bei steigender Rechenleistung der effektivste Schutz gegen Brute-Force-Angriffe.

Die Passworthistorie sollte grundsätzlich eingeschaltet sein und wenigstens 6 Passwörter umfassen. Damit wird verhindert, dass der Benutzer immer wieder das gleiche Passwort neu vergibt. Die Gültigkeitsdauer des Passwortes sollte auf einen Zeitraum von maximal 6 Monaten begrenzt sein. Durch Festlegung eines Wertes für das Minimale Kennwortalter kann verhindert werden, dass Benutzer ihr Passwort mehrfach hintereinander ändern, um so die Historienprüfung zu umgehen. Das Minimale Kennwortalter sollte jedoch nicht größer als 1 Tag gewählt werden, um dem Benutzer jederzeit eine Passwortänderung zu ermöglichen.

Hinweis: Unter Windows NT darf bei Minimales Kennwortalter nicht der Parameter Sofortige Änderungen erlauben gewählt werden, da sonst die Prüfung der Passworthistorie abgeschaltet wird.

Benutzerkonten sollten nach wiederholten ungültigen Passworteingaben gesperrt werden, um Versuche zu erschweren, die Passwörter der Benutzer zu erraten (Brute-Force-Angriffe). Mit den Werten aus der Tabelle erfolgt eine Sperrung nach drei ungültigen Anmeldeversuchen, die innerhalb von 29 Minuten unternommen wurden. Hatte ein Benutzer nur zwei ungültige Anmeldeversuche unternommen, erhält er 30 Minuten nach dem letzten Versuch wieder drei neue Anmeldeversuche.

In der Regel sollte eine Kontosperre nur durch einen Administrator aufgehoben werden können. Mit der Einstellung Kontosperrdauer wird das Konto nach einem begrenzten Zeitraum automatisch wieder entsperrt. Der Zeitraum darf nicht kürzer als die Zurücksetzungsdauer des Kontosperrungszählers sein und sollte keinesfalls 30 Minuten unterschreiten. Prinzipiell verringert eine automatische Entsperrung stark die Sicherheit. Falls der Aufwand für die Benutzerbetreuung und der mögliche Produktivitätsausfall durch gesperrte Benutzerkonten dies nötig machen, muss hierfür ein geeigneter, möglichst hoher Wert als Kompromiss gefunden werden. Bei besonders schützenswerten Konten sollte diese Funktion immer deaktiviert werden.

Es ist zu beachten, dass das vordefinierte Administratorkonto (Built-in Administrator) von dieser automatischen Sperrung ausgenommen ist, um ein völliges Verriegeln des Systems zu vermeiden.

Unter Windows Vista ist das vordefinierte Administratorkonto (Built-in Administrator) standardmäßig deaktiviert. Die vorgenommene Konfiguration der Passwort-Richtlinien gilt unterschiedslos sowohl für die Gruppe der Administratoren, als auch für die Standardbenutzer. Wenn die Passwort-Richtlinien so konfiguriert sind, dass Benutzerkonten nach wiederholten ungültigen Passworteingaben gesperrt werden, dann kann ein völliges Verriegeln des Systems nicht ausgeschlossen werden, sofern das vordefinierte Administratorkonto deaktiviert ist.

Soll das vordefinierte Administratorkonto deaktiviert bleiben, sollte dem Problem durch die geeignete Wahl eines Zeitraums für die Einstellung Kontosperrdauer begegnet werden.

Unter Windows NT sollte von der Option Benutzer muss sich anmelden, um Kennwort zu ändern kein Gebrauch gemacht werden. Mit der Einstellung Benutzer muss Kennwort bei der nächsten Anmeldung ändern führt diese Einstellung dazu, dass neue Benutzer keinen Zugang zum Rechner erhalten.

Werden Passwort-Richtlinien auf Domänenebene eingestellt, ist keine weitere Differenzierung der Passwort-Anforderungen für Domänenkonten möglich. Nur lokale Konten einzelner Mitgliedsserver können mit eigenen Richtlinien versehen werden. Wenn Betriebsbereiche mit unterschiedlichen Passwort-Anforderungen zwingend erforderlich sind, kann dies nur durch mehrere Active Directory-Forrests umgesetzt werden. Der Aufwand hierfür ist nur selten gerechtfertigt, daher muss beim Festlegen der Passwort-Anforderungen ein Kompromiss für alle Betriebsbereiche (Dienstkonten, administrative Konten, allgemeine Benutzerkonten, Benutzerkonten von leitenden Personen, Benutzerkonten für die Personalvertretung usw.) gefunden werden.

Prüffragen: