Bundesamt für Sicherheit in der Informationstechnik

M 4.48 Passwortschutz unter Windows-Systemen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Der Zugang zu einem Windows-System ab der Version Windows NT muss für jeden Benutzer durch ein Passwort geschützt und die automatische Anmeldung sollte nicht aktiviert sein. Benutzerkonten ohne Passwort dürfen nicht existieren, da sie eine Schwachstelle im System darstellen. Dies gilt auch für deaktivierte Konten. Gastkonten sind grundsätzlich zu deaktivieren. Es ist wichtig, dass die Benutzer die Schutzfunktion der Passwörter kennen, denn die Mitarbeit der Benutzer trägt zur Sicherheit des gesamten Systems bei. Grundlage für die weiteren Empfehlungen in dieser Maßnahme ist M 2.11 Regelung des Passwortgebrauchs .

Die Einrichtung eines neuen Benutzers und die Definition eines Passwortes erfolgt unter Windows NT mit Hilfe des Dienstprogramms Benutzer-Manager über das Kommando "Neuer Benutzer". Unter Windows ab Version 2000 ist dazu für Stand-alone-Systeme das Snap-in Lokale Benutzer und Gruppen der Microsoft Management Console ( MMC ) zu benutzen. Für IT -Systeme in Active Directory-Domänen erfolgt das Anlegen neuer Benutzer über das MMC Snap-in Active Directory Benutzer und Computer. In jedem Fall ist dazu in den Feldern Kennwort und Kennwortbestätigung ein Anfangspasswort einzugeben. Die Groß- und Kleinschreibung muss beachtet werden. Dabei sollte ein sinnvolles individuelles Anfangspasswort vergeben werden, das den Passwortregeln der Institution entspricht und dem Benutzer mitgeteilt wird. Dies ist auch beim Zurücksetzen des Passwortes durch den Administrator zu beachten. Die immer gleiche Wahl des Anfangspasswortes oder die Verwendung des Benutzernamens als Passwort eröffnet eine Sicherheitslücke, und muss vermieden werden.

Die Option Benutzer muss Kennwort bei der nächsten Anmeldung ändern sollte bei allen neuen Konten gesetzt sein, damit das Anfangspasswort nicht beibehalten wird. Dagegen sollte die Option Benutzer kann Kennwort nicht ändern nur in Ausnahmefällen verwendet werden, etwa für vordefinierte Konten im Schulungsbetrieb. Die Option Kennwort läuft nie ab sollte nur für Benutzerkonten verwendet werden, denen mit Hilfe der Systemsteuerungsoption Dienste ein Dienst zugewiesen wird (zum Beispiel das MS Exchange Dienstkonto). Diese Option setzt die Einstellung Maximales Kennwortalter in den Richtlinien für Konten außer Kraft und verhindert, dass das Passwort abläuft.

Mit Windows 7 und Windows Server 2008 R2 wurden zwei besondere Konten eingeführt, das verwaltete Dienstkonto und das virtuelle Konto. Im Gegensatz zu den bisher genutzten Konten zur Verwaltung von Diensten wie lokaler Dienst, Netzwerkdienst oder lokales System, können beide Konten zentral verwaltet werden, da sie entweder in der Organisationseinheit "Verwaltete Dienstkonten" innerhalb des Active Directory gespeichert sind (Verwaltete Dienstkonten), oder wie das virtuelle Konto als verwaltetes lokales Konto über die Computeridentität in einer Domänenumgebung steuerbar sind. Bei Systemdiensten müssen Kenntwortänderungen demnach nicht von Administratoren konfiguriert werden, da die Änderung automatisch erfolgt. Bisher konnten verwaltete Dienstkonten nicht von mehreren Computern gemeinsam genutzt werden und daher nicht in Serverclustern, in denen ein Dienst auf mehrere Clusterknoten repliziert, verwendet werden. Mit Windows 8 und Windows Server 2012 wurde die Limitierung, dass ein verwaltetes Dienstkonto jeweils nur auf einem Server eingesetzt werden kann, durch die Einführung von gruppenverwalteten Dienstkonten aufgehoben. Weitere Informationen zu den virtuellen Konten werden in M 4.284 Umgang mit Diensten ab Windows Server 2003 beschrieben.

Passwort-Richtlinien

Mit Windows NT können über den Benutzer-Manager Richtlinien für Benutzerkonten, Benutzerrechte und für die Systemüberwachung festgelegt werden. Unter Windows ab Version 2000 erfolgt das Festlegen der Richtlinien entweder durch das MMC Snap-in Lokale Sicherheitseinstellungen oder durch das Snap-in Gruppenrichtlinien. Die Parameter und Werte finden sich in den Snap-ins unter Sicherheitseinstellungen | Kontorichtlinien.

Dabei sollten die Einstellungen der Gruppenrichtlinien für IT -Systeme, die einer Domäne angeschlossen sind, über das Active Directory verteilt und durchgesetzt werden (siehe M 2.231 Planung der Gruppenrichtlinien unter Windows und M 2.326 Planung der Gruppenrichtlinien für Clients ab Windows XP ). Ab Windows 2000 ist für Kontorichtlinien eine Sicherheitsvorlage zu erstellen (siehe auch M 2.366 Nutzung von Sicherheitsvorlagen unter Windows Server 2003 ).

Die Anforderungen an Passwörter und deren Vergabe unter Windows-Systemen sollten in einer Sicherheitsrichtlinie dokumentiert werden. Die Dokumentation bzw. Richtlinie sollte die Einstellungen der folgenden Tabelle umfassen. Die letzte Spalte enthält Mindestempfehlungen für normalen Schutzbedarf:

Windows NTWindows 2000/XP/2003Ab Windows Vista und Server 2008Mindestempfehlung
Maximales KennwortalterMaximales KennwortalterMaximales Kennwortalter90 Tage
Minimales KennwortalterMinimales KennwortalterMinimales Kennwortalter1 Tag
Minimale KennwortlängeMinimale KennwortlängeMinimale Kennwortlänge8 Zeichen
KennwortzyklusKennwortchronik erzwingenKennwortchronik erzwingen3 Versuchen
Konto sperren | Konto zurücksetzen nachZurücksetzungsdauer des KontosperrungszählersZurücksetzungsdauer des Kontosperrungszählers30 Minuten
Dauer der SperrungKontosperrdauerKontosperrdauer60 Minuten
Benutzer muss sich anmelden, um Kennwort zu ändernn/vn/vDeaktiviert
n/vKennwort muss Komplexitäts-voraussetzungen entsprechenKennwort muss Komplexitäts-voraussetzungen entsprechenAktiviert
n/vKennwörter für alle Domänenbenutzer mit umkehrbarer Verschlüsselung speichernKennwörter mit umkehrbarer Verschlüsselung speichernDeaktiviert

Bei der Festlegung der Einstellungen sind einige systemspezifische Sicherheitsaspekte zu berücksichtigen, die im Folgenden erläutert werden.

Die minimale Passwortlänge für besonders schützenswerte Konten (z. B. Dienstkonten) sollte mehr als 14 Zeichen betragen. Dies funktioniert allerdings nicht unter Windows NT. Hier sollten solche Passwörter in kürzeren Abständen geändert werden. Hohe Passwortlängen oder Passphrasen sind bei steigender Rechenleistung der effektivste Schutz gegen Brute-Force-Angriffe.

Die Passworthistorie sollte grundsätzlich eingeschaltet sein und wenigstens 6 Passwörter umfassen. Damit wird verhindert, dass der Benutzer immer wieder das gleiche Passwort neu vergibt. Die Gültigkeitsdauer des Passwortes sollte auf einen Zeitraum von maximal 6 Monaten begrenzt sein. Durch Festlegung eines Wertes für das Minimale Kennwortalter kann verhindert werden, dass Benutzer ihr Passwort mehrfach hintereinander ändern, um so die Historienprüfung zu umgehen. Das Minimale Kennwortalter sollte jedoch nicht größer als 1 Tag gewählt werden, um dem Benutzer jederzeit eine Passwortänderung zu ermöglichen.

Hinweis: Unter Windows NT darf bei Minimales Kennwortalter nicht der Parameter Sofortige Änderungen erlauben gewählt werden, da sonst die Prüfung der Passworthistorie abgeschaltet wird.

Benutzerkonten sollten nach wiederholten ungültigen Passworteingaben gesperrt werden, um Versuche zu erschweren, die Passwörter der Benutzer zu erraten (Brute-Force-Angriffe). Mit den Werten aus der Tabelle erfolgt eine Sperrung nach drei ungültigen Anmeldeversuchen, die innerhalb von 29 Minuten unternommen wurden. Hatte ein Benutzer nur zwei ungültige Anmeldeversuche unternommen, erhält er 30 Minuten nach dem letzten Versuch wieder drei neue Anmeldeversuche.

In der Regel sollte eine Kontosperre nur durch einen Administrator aufgehoben werden können. Mit der Einstellung Kontosperrdauer wird das Konto nach einem begrenzten Zeitraum automatisch wieder entsperrt. Der Zeitraum darf nicht kürzer als die Zurücksetzungsdauer des Kontosperrungszählers sein und sollte keinesfalls 30 Minuten unterschreiten. Prinzipiell verringert eine automatische Entsperrung stark die Sicherheit. Falls der Aufwand für die Benutzerbetreuung und der mögliche Produktivitätsausfall durch gesperrte Benutzerkonten dies nötig machen, muss hierfür ein geeigneter, möglichst hoher Wert als Kompromiss gefunden werden. Bei besonders schützenswerten Konten sollte diese Funktion immer deaktiviert werden.

Es ist zu beachten, dass das vordefinierte Administratorkonto (Built-in Administrator) von dieser automatischen Sperrung ausgenommen ist, um ein völliges Verriegeln des Systems zu vermeiden.

Unter Windows Vista und Windows 7 ist das vordefinierte Administratorkonto (Built-in Administrator) standardmäßig deaktiviert. Die vorgenommene Konfiguration der Passwort-Richtlinien gilt unterschiedslos sowohl für die Gruppe der Administratoren, als auch für die Standardbenutzer. Wenn die Passwort-Richtlinien so konfiguriert sind, dass Benutzerkonten nach wiederholten ungültigen Passworteingaben gesperrt werden, dann kann ein völliges Verriegeln des Systems nicht ausgeschlossen werden, sofern das vordefinierte Administratorkonto deaktiviert ist.

Soll das vordefinierte Administratorkonto deaktiviert bleiben, sollte dem Problem durch die geeignete Wahl eines Zeitraums für die Einstellung Kontosperrdauer begegnet werden. Der Zeitraum ist sorgsam zu wählen, da das Konto leichter geknackt werden kann, wenn es nach einer bestimmten Dauer automatisch wieder aktiviert wird.

Unter Windows NT sollte von der Option Benutzer muss sich anmelden, um Kennwort zu ändern kein Gebrauch gemacht werden. Mit der Einstellung Benutzer muss Kennwort bei der nächsten Anmeldung ändern führt diese Einstellung dazu, dass neue Benutzer keinen Zugang zum System erhalten.

Werden Passwort-Richtlinien auf Domänenebene eingestellt, ist für Domänen bis Windows Server 2003 keine weitere Differenzierung der Passwort-Anforderungen für Domänenkonten möglich. Nur lokale Konten einzelner Mitgliedsserver können mit eigenen Richtlinien versehen werden. Wenn Betriebsbereiche mit unterschiedlichen Passwort-Anforderungen zwingend erforderlich sind, kann dies nur durch mehrere Active Directory-Forrests umgesetzt werden. Der Aufwand hierfür ist nur selten gerechtfertigt. Daher muss beim Festlegen der Passwort-Anforderungen ein Kompromiss für alle Betriebsbereiche (Dienstkonten, administrative Konten, allgemeine Benutzerkonten, Benutzerkonten von leitenden Personen, Benutzerkonten für die Personalvertretung usw. ) gefunden werden.

Seit der Einführung von Windows Server 2008 und dem korrespondierenden Active Directory ist es möglich, verschiedene Passwortrichtlinien (Granulare Kennwort- und Kontosperrungsrichtlinien, englisch Fine-Grained Password Policy) innerhalb einer Domäne zu nutzten. Dies bietet die Möglichkeit, besonders schützenswerte oder kritische Konten, wie Domänenadministratoren, mit längeren Passwörtern zu versehen als die restlichen Konten der Domäne. Genau genommen handelt es sich nicht um Richtlinien, sondern um sogenannte Active Directory-Objekte. Diese Objekte heißen Password Setting Objects (PSO). Innerhalb eines PSO sind verschiedene Attribute wie "Kennwortchronik erzwingen" oder "Minimale Kennwortlänge" vorhanden. Diese Attribute entsprechen den bekannten Attributen einer bisherigen Passwortrichtlinie. Um granulare Kennwort- und Kontosperrungsrichtlinien innerhalb einer Domäne zu nutzen, müssen mindestens die folgenden Voraussetzungen erfüllt sein:

  • Der Funktionsmodus der Domäne muss Windows Server 2008 oder höher entsprechen.
  • PSO können nicht direkt auf Organisationseinheiten ( OU ) angewendet werden. Sie gelten nur für Benutzerobjekte, globale Sicherheitsgruppen und für inetOrgPerson-Objekte.
  • Pro Benutzer kann nur eine PSO angewendet werden.
  • PSO können nur für Benutzer oder Gruppen innerhalb der gleichen Domäne angewendet werden.

Microsoft Windows und andere Software erstellt verschiedene Konten selbst und belegt diese mit Zufallskennwörtern. Auch bei diesen müssen die Richtlinien durchgesetzt werden. Falls die Herstellerdokumentation keine Hinweise dazu enthält, muss die Durchsetzung und Verträglichkeit mit der Software im Einzelfall getestet werden.

Eine weitere Neuerung in Windows 8 ist die Funktion Konto für zugewiesenen Zugriff einrichten. Mit dieser Funktion kann die Ausführung einer einzelnen Windows-Store- App für einen Benutzer gesteuert werden. Diese Option ist dafür angedacht, das System für die Kiosk-Nutzung (z. B. für öffentlich zugängliche Terminals) zu konfigurieren. Die Rechte der Benutzer bleiben somit eingeschränkt und verhindern Veränderungen am System. Diese Funktion eignet sich jedoch nicht für die Nutzung klassischer Desktop-Applikationen im Kiosk-Modus. Da die Bindung der App an lokale Benutzerkonten erfolgt, ist eine Konfiguration über Gruppenrichtlinien nicht vorgesehen.

Als Alternative zu klassischen Passwörtern ist seit Windows 8 ist auch die Anmeldung am System mit einem Bildcode oder die Anmeldung mittels einer vierstelligen PIN möglich. Bei der Anmeldung mittels Bildcode muss der Benutzer bei der Anmeldung am System, den Bildcode nachzeichnen (mit dem Finger oder der Maus), den er vorher festgelegt hat. Der Bildcode muss aus mindestens drei gezeichneten Bewegungen bestehen. Diese Anmeldeverfahren bieten nur sehr eingeschränkte Sicherheit und sollten nicht für Systeme mit schützenswerten Daten verwendet werden.

Prüffragen:

  • Ist jedes Windows-System und jedes Benutzerkonto durch ein Passwort geschützt?

  • Gibt es eine Sicherheitsrichtlinie für die Anforderungen und Vergabe von Passwörtern?

  • Ist die automatische Anmeldung deaktiviert?

  • Wird die Option Benutzer muss Kennwort bei der nächsten Anmeldung ändern bei allen neuen Konten aktiviert?

  • Werden die Einstellungen der Gruppenrichtlinien für Systeme, die einer Domäne angeschlossen sind, über das Active Directory verteilt und durchgesetzt?

  • Gibt es für Windows Versionen ab 2000 eine Sicherheitsvorlage für die Kontorichtlinien?

  • Sind die Vorgaben für die Benutzerkonten-Richtlinien dokumentiert?

  • Ist sichergestellt, dass eine Anmeldung mit Bildcode oder PIN nicht verwendet wird?

Stand: 15. EL Stand 2016