M 4.48 Passwortschutz unter Windows-Systemen

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Administrator

Der Zugang zu einem Windows-System ab der Version Windows NT muss für jeden Benutzer durch ein Passwort geschützt und die automatische Anmeldung sollte nicht aktiviert sein. Benutzerkonten ohne Passwort dürfen nicht existieren, da sie eine Schwachstelle im System darstellen. Dies gilt auch für deaktivierte Konten. Gastkonten sind grundsätzlich zu deaktivieren. Es ist wichtig, dass die Benutzer die Schutzfunktion der Passwörter kennen, denn die Mitarbeit der Benutzer trägt zur Sicherheit des gesamten Systems bei. Grundlage für die weiteren Empfehlungen in dieser Maßnahme ist M 2.11 Regelung des Passwortgebrauchs.

Die Einrichtung eines neuen Benutzers und die Definition eines Passwortes erfolgt unter Windows NT mit Hilfe des Dienstprogramms Benutzer-Manager über das Kommando "Neuer Benutzer". Unter Windows ab Version 2000 ist dazu für Stand-alone-Systeme das Snap-in Lokale Benutzer und Gruppen der Microsoft Management Console (MMC) zu benutzen. Für IT-Systeme in Active Directory-Domänen erfolgt das Anlegen neuer Benutzer über das MMC Snap-in Active Directory Benutzer und Computer. In jedem Fall ist dazu in den Feldern Kennwort und Kennwortbestätigung ein Anfangspasswort einzugeben. Die Groß- und Kleinschreibung muss beachtet werden. Dabei sollte ein sinnvolles individuelles Anfangspasswort vergeben werden, das den Passwortregeln der Institution entspricht und dem Benutzer mitgeteilt wird. Dies ist auch beim Zurücksetzen des Passwortes durch den Administrator zu beachten. Die immer gleiche Wahl des Anfangspasswortes oder die Verwendung des Benutzernamens als Passwort eröffnet eine Sicherheitslücke, und muss vermieden werden.

Die Option Benutzer muss Kennwort bei der nächsten Anmeldung ändern sollte bei allen neuen Konten gesetzt sein, damit das Anfangspasswort nicht beibehalten wird. Dagegen sollte die Option Benutzer kann Kennwort nicht ändern nur in Ausnahmefällen verwendet werden, etwa für vordefinierte Konten im Schulungsbetrieb. Die Option Kennwort läuft nie ab sollte nur für Benutzerkonten verwendet werden, denen mit Hilfe der Systemsteuerungsoption Dienste ein Dienst zugewiesen wird (zum Beispiel das MS Exchange Dienstkonto). Diese Option setzt die Einstellung Maximales Kennwortalter in den Richtlinien für Konten außer Kraft und verhindert, dass das Passwort abläuft.

Mit Windows 7 und Windows Server 2008 R2 wurden zwei besondere Konten eingeführt, das verwaltete Dienstkonto und das virtuelle Konto. Im Gegensatz zu den bisher genutzten Konten zur Verwaltung von Diensten wie lokaler Dienst, Netzwerkdienst oder lokales System, können beide Konten zentral verwaltet werden, da sie entweder in der Organisationseinheit "Verwaltete Dienstkonten" innerhalb des Active Directory gespeichert sind (Verwaltete Dienstkonten), oder wie das virtuelle Konto als verwaltetes lokales Konto über die Computeridentität in einer Domänenumgebung steuerbar sind. Weitere Informationen zu den virtuellen Konten werden in M 4.284 Umgang mit Diensten ab Windows Server 2003 beschrieben.

Passwort-Richtlinien

Mit Windows NT können über den Benutzer-Manager Richtlinien für Benutzerkonten, Benutzerrechte und für die Systemüberwachung festgelegt werden. Unter Windows ab Version 2000 erfolgt das Festlegen der Richtlinien entweder durch das MMC Snap-in Lokale Sicherheitseinstellungen oder durch das Snap-in Gruppenrichtlinien. Die Parameter und Werte finden sich in den Snap-ins unter Sicherheitseinstellungen | Kontorichtlinien.

Dabei sollten die Einstellungen der Gruppenrichtlinien für IT-Systeme, die einer Domäne angeschlossen sind, über das Active Directory verteilt und durchgesetzt werden (siehe M 2.231 Planung der Gruppenrichtlinien unter Windows und M 2.326 Planung der Windows XP, Vista und Windows 7 Gruppenrichtlinien). Ab Windows 2000 ist für Kontorichtlinien eine Sicherheitsvorlage zu erstellen (siehe auch M 2.366 Nutzung von Sicherheitsvorlagen unter Windows Server 2003).

Die Anforderungen an Passwörter und deren Vergabe unter Windows-Systemen sollten in einer Sicherheitsrichtlinie dokumentiert werden. Die Dokumentation bzw. Richtlinie sollte die Einstellungen der folgenden Tabelle umfassen. Die letzte Spalte enthält Mindestempfehlungen für normalen Schutzbedarf:
Windows NT Windows 2000/XP/2003 Windows Vista/7/2008  
Maximales Kennwortalter Maximales Kennwortalter Maximales Kennwortalter 90 Tage
Minimales Kennwortalter Minimales Kennwortalter Minimales Kennwortalter 1 Tag
Minimale Kennwortlänge Minimale Kennwortlänge Minimale Kennwortlänge 8 Zeichen
Kennwortzyklus Kennwortchronik erzwingen Kennwortchronik erzwingen 6 Kennwörter
Konto sperren | Sperren nach Kontosperrungsschwelle Kontosperrungsschwelle 3 Versuchen
Konto sperren | Konto zurücksetzen nach Zurücksetzungsdauer des Kontosperrungszählers Zurücksetzungsdauer des Kontosperrungszählers 30 Minuten
Dauer der Sperrung Kontosperrdauer Kontosperrdauer 60 Minuten
Benutzer muss sich anmelden, um Kennwort zu ändern n/v n/v Deaktiviert
n/v Kennwort muss Komplexitätsvoraussetzungen entsprechen Kennwort muss Komplexitätsvoraussetzungen entsprechen Aktiviert
n/v Kennwörter für alle Domänenbenutzer mit umkehrbarer Verschlüsselung speichern Kennwörter mit umkehrbarer Verschlüsselung speichern Deaktiviert

Bei der Festlegung der Einstellungen sind einige systemspezifische Sicherheitsaspekte zu berücksichtigen, die im Folgenden erläutert werden.

Die minimale Passwortlänge für besonders schützenswerte Konten (z. B. Dienstkonten) sollte mehr als 14 Zeichen betragen. Dies funktioniert allerdings nicht unter Windows NT. Hier sollten solche Passwörter in kürzeren Abständen geändert werden. Hohe Passwortlängen sind bei steigender Rechenleistung der effektivste Schutz gegen Brute-Force-Angriffe.

Die Passworthistorie sollte grundsätzlich eingeschaltet sein und wenigstens 6 Passwörter umfassen. Damit wird verhindert, dass der Benutzer immer wieder das gleiche Passwort neu vergibt. Die Gültigkeitsdauer des Passwortes sollte auf einen Zeitraum von maximal 6 Monaten begrenzt sein. Durch Festlegung eines Wertes für das Minimale Kennwortalter kann verhindert werden, dass Benutzer ihr Passwort mehrfach hintereinander ändern, um so die Historienprüfung zu umgehen. Das Minimale Kennwortalter sollte jedoch nicht größer als 1 Tag gewählt werden, um dem Benutzer jederzeit eine Passwortänderung zu ermöglichen.

Hinweis: Unter Windows NT darf bei Minimales Kennwortalter nicht der Parameter Sofortige Änderungen erlauben gewählt werden, da sonst die Prüfung der Passworthistorie abgeschaltet wird.

Benutzerkonten sollten nach wiederholten ungültigen Passworteingaben gesperrt werden, um Versuche zu erschweren, die Passwörter der Benutzer zu erraten (Brute-Force-Angriffe). Mit den Werten aus der Tabelle erfolgt eine Sperrung nach drei ungültigen Anmeldeversuchen, die innerhalb von 29 Minuten unternommen wurden. Hatte ein Benutzer nur zwei ungültige Anmeldeversuche unternommen, erhält er 30 Minuten nach dem letzten Versuch wieder drei neue Anmeldeversuche.

In der Regel sollte eine Kontosperre nur durch einen Administrator aufgehoben werden können. Mit der Einstellung Kontosperrdauer wird das Konto nach einem begrenzten Zeitraum automatisch wieder entsperrt. Der Zeitraum darf nicht kürzer als die Zurücksetzungsdauer des Kontosperrungszählers sein und sollte keinesfalls 30 Minuten unterschreiten. Prinzipiell verringert eine automatische Entsperrung stark die Sicherheit. Falls der Aufwand für die Benutzerbetreuung und der mögliche Produktivitätsausfall durch gesperrte Benutzerkonten dies nötig machen, muss hierfür ein geeigneter, möglichst hoher Wert als Kompromiss gefunden werden. Bei besonders schützenswerten Konten sollte diese Funktion immer deaktiviert werden.

Es ist zu beachten, dass das vordefinierte Administratorkonto (Built-in Administrator) von dieser automatischen Sperrung ausgenommen ist, um ein völliges Verriegeln des Systems zu vermeiden.

Unter Windows Vista und Windows 7 ist das vordefinierte Administratorkonto (Built-in Administrator) standardmäßig deaktiviert. Die vorgenommene Konfiguration der Passwort-Richtlinien gilt unterschiedslos sowohl für die Gruppe der Administratoren, als auch für die Standardbenutzer. Wenn die Passwort-Richtlinien so konfiguriert sind, dass Benutzerkonten nach wiederholten ungültigen Passworteingaben gesperrt werden, dann kann ein völliges Verriegeln des Systems nicht ausgeschlossen werden, sofern das vordefinierte Administratorkonto deaktiviert ist.

Soll das vordefinierte Administratorkonto deaktiviert bleiben, sollte dem Problem durch die geeignete Wahl eines Zeitraums für die Einstellung Kontosperrdauer begegnet werden. Der Zeitraum ist sorgsam zu wählen, da das Konto leichter geknackt werden kann, wenn es nach einer bestimmten Dauer automatisch wieder aktiviert wird.

Unter Windows NT sollte von der Option Benutzer muss sich anmelden, um Kennwort zu ändern kein Gebrauch gemacht werden. Mit der Einstellung Benutzer muss Kennwort bei der nächsten Anmeldung ändern führt diese Einstellung dazu, dass neue Benutzer keinen Zugang zum System erhalten.

Werden Passwort-Richtlinien auf Domänenebene eingestellt, ist für Domänen bis Windows Server 2003 keine weitere Differenzierung der Passwort-Anforderungen für Domänenkonten möglich. Nur lokale Konten einzelner Mitgliedsserver können mit eigenen Richtlinien versehen werden. Wenn Betriebsbereiche mit unterschiedlichen Passwort-Anforderungen zwingend erforderlich sind, kann dies nur durch mehrere Active Directory-Forrests umgesetzt werden. Der Aufwand hierfür ist nur selten gerechtfertigt. Daher muss beim Festlegen der Passwort-Anforderungen ein Kompromiss für alle Betriebsbereiche (Dienstkonten, administrative Konten, allgemeine Benutzerkonten, Benutzerkonten von leitenden Personen, Benutzerkonten für die Personalvertretung usw.) gefunden werden.

Seit der Einführung von Windows Server 2008 und dem korrespondierenden Active Directory ist es möglich, verschiedene Passwortrichtlinien (Granulare Kennwort- und Kontosperrungsrichtlinien, englisch Fine-Grained Password Policy) innerhalb einer Domäne zu nutzten. Dies bietet die Möglichkeit, besonders schützenswerte oder kritische Konten, wie Domänenadministratoren, mit längeren Passwörtern zu versehen als die restlichen Konten der Domäne. Genau genommen handelt es sich nicht um Richtlinien, sondern um sogenannte Active Directory-Objekte. Diese Objekte heißen Password Setting Objects (PSO). Innerhalb eines PSO sind verschiedene Attribute wie "Kennwortchronik erzwingen" oder "Minimale Kennwortlänge" vorhanden. Diese Attribute entsprechen den bekannten Attributen einer bisherigen Passwortrichtlinie. Um granulare Kennwort- und Kontosperrungsrichtlinien innerhalb einer Domäne zu nutzen, müssen mindestens die folgenden Voraussetzungen erfüllt sein:

Microsoft Windows und andere Software erstellt verschiedene Konten selbst und belegt diese mit Zufallskennwörtern. Auch bei diesen müssen die Richtlinien durchgesetzt werden. Falls die Herstellerdokumentation keine Hinweise dazu enthält, muss die Durchsetzung und Verträglichkeit mit der Software im Einzelfall getestet werden.

Prüffragen: