Als Administrator müssen Sie für die Sicherheit Ihres Netzwerks sorgen. Ein wesentlicher Aspekt dieser Aufgabe ist die Festlegung einer Kennwortstrategie für Benutzer- und Administratorkonten. Sie können Ihre Benutzer darin schulen, wie sie sichere Kennwörter erstellen, aber Sie können auch Richtlinien aktivieren, die Benutzer zur Befolgung von Best Practices zwingen. Sie können Ihr Netzwerk außerdem auf Kennwortänderungen und Kontosperrungen überwachen.
Schulung von Benutzern
- Legen Sie fest, dass Ihre Benutzer sichere Kennwörter definieren müssen. Unter Windows werden sichere Kennwörter wie folgt definiert:
- Das Kennwort besteht aus mindestens acht Zeichen.
- Es enthält keine Benutzernamen, tatsächlichen Namen oder den Namen des Unternehmens.
- Es enthält kein vollständiges Wort.
- Es unterscheidet sich wesentlich von bisher verwendeten Kennwörtern.
- Es enthält Zeichen aus jeder der folgenden vier Kategorien: Großbuchstaben, Kleinbuchstaben, Ziffern und Sonderzeichen. Definieren Sie in Ihrer Richtlinie eine Einstellung für die Mindestlänge von Kennwörtern, sodass diese mindestens die angegebene Anzahl von Zeichen enthalten müssen. Längere Kennwörter mit mindestens sieben Zeichen sind in der Regel sicherer als kurze. Mit dieser Richtlinieneinstellung können Benutzer keine leeren Kennwörter verwenden und müssen Kennwörter erstellen, die eine Mindestanzahl von Zeichen enthalten.
- Es wird immer wieder darauf hingewiesen, dass man sich Kennwörter nicht notieren soll. Mitunter sind Kennwörter jedoch zu komplex, um sie sich merken zu können. In solchen Fällen sollte man den Zettel an einem sicheren Ort aufbewahren und zerstören, wenn er nicht mehr gebraucht wird.
- Kennwörter dürfen niemals an andere weitergegeben werden.
- Für jedes Benutzerkonto muss ein eigenes Kennwort verwendet werden.
- Wenn der Verdacht besteht, dass ein Kennwort kompromittiert wurde, muss es umgehend geändert werden.
- Falls Anwendungen die Möglichkeit bieten, Kennwörter zu speichern, sollten Benutzer davon niemals Gebrauch machen.
- Erlauben Sie Benutzern nicht, bereits zuvor verwendete Kennwörter erneut zu verwenden.
- Legen Sie fest, dass Benutzer ihre Kennwörter regelmäßig ändern müssen. Als Faustregel empfiehlt es sich, dass Benutzer ihre Kennwörter alle 90 Tage und Administratoren alle 30 Tage ändern müssen.
- Definieren Sie ein minimales Kennwortalter, um zu verhindern, dass Benutzer ihre Kennwörter wiederholt ändern, um die Richtlinie zum Kennwortverlauf zu umgehen.
Überwachung von Kennwortänderungen mithilfe von Gruppenrichtlinien
Die für die Überwachung von Kennwortänderungen benötigte Gruppenrichtlinie ist die Überwachungsrichtlinie für die Benutzerkontenverwaltung. Mit dieser Richtlinieneinstellung können Sie Änderungen an Benutzerkonten überwachen und beispielsweise überprüfen, wann ein Benutzerkonto erstellt, geändert, gelöscht, umbenannt, deaktiviert, aktiviert, gesperrt oder entsperrt wurde. Sie können damit auch überwachen, wann das Kennwort für ein Benutzerkonto festgelegt oder geändert wird.
Sie können diese Einstellung festlegen, indem Sie zu Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Erweiterte Überwachungsrichtlinienkonfiguration -> Kontoverwaltung -> Benutzerkontenverwaltung navigieren.
Nachdem Sie Erfolg und Fehler für die Überwachung der Benutzerkontenverwaltung aktiviert haben, können Sie im Sicherheitsprotokoll der Ereignisanzeige nach den Ereignissen 4273 und 4274 suchen. Ereignis 4273 ist ein Hinweis darauf, dass versucht wurde, das Kennwort eines Kontos zu ändern; Ereignis 4274 gibt Aufschluss darüber, dass versucht wurde, das Kennwort eines Kontos zurückzusetzen.
