Wir setzen auf unserer Webseite Cookies und andere Technologien ein, um Ihnen den vollen Funktionsumfang unseres Angebotes anzubieten. Sie können auch zu Analysezwecken gesetzt werden. Durch die weitere Nutzung unserer Webseite erklären Sie sich mit dem Einsatz von Cookies einverstanden. Weitere Informationen, auch zur Deaktivierung der Cookies, finden Sie in unserer Datenschutzerklärung.
Default Lockout-Policy in Windows 11
Windows 11 ist das neueste und wahrscheinlich sicherste Betriebssystem der Windows-Familie. In der neuesten Version von Windows gibt es standardmäßige Richtlinien zum Sperren von Konten (Die Default Lockout-Policy), um Brute-Force Angriffe via RDP und anderen Authentifizierungswegen zu schwächen.
Brute-Force-Kennwortangriffe können so automatisiert werden, dass Millionen von Kennwortkombinationen für beliebige oder alle Benutzerkonten ausprobiert werden, um letztendlich irgendwann eine funktionierende Kombination zu finden. Ohne Kontosperrungsrichtlinien kann so ein Angriff ununterbrochen durchgeführt werden, bis schließlich das richtige Kennwort gefunden wurde. Bei einer funktionierenden Windows 11-Lockout-Policy führen jedoch bereits zehn ungültige Authentifizierungsversuche dazu, dass weitere Loginversuche so lange gesperrt sind, bis die konfigurierte Wartefrist verstrichen ist. Dadurch wird so ein Brute-Force Angriff drastisch verlangsamt. Vorkonfigurierte Standard-Lockout-Policies werden bei Neuinstallationen von Windows 11 Build 22528.1000 verwendet. Es ist geplant, die Standardrichtlinien auch auf Windows 10 und Windows Server zu portieren. Hier die Details der Standardeinstellungen:
- Dauer der Kontosperrung: 10 Minuten
- Schwellenwert für die Kontosperrung: 10 ungültige Versuche
- Sperre des Administratorkontos zulassen: Ja (integriertes Administratorkonto)
- Kontosperrungszähler zurücksetzen nach: 10 Minuten
Aber Achtung! Die Standardrichtlinien gelten nur für Neuinstallationen. Die neuen Gruppenrichtlinieneinstellungen (lokal oder Domäne) werden nicht rückwirkend auf bestehende Systeme angewendet. Die meisten Systeme werden daher nicht von den neuen Einstellungen profitieren. Damit wird die Verantwortung für die Änderung auf die Systemadministratoren verlagert. Dieses Vorgehen ist auch nachvollziehbar, da Microsoft keine bestehenden Einstellungen verändern oder eine potenziell problematische Änderung ohne die Zustimmung der Organisation vornehmen möchte.
Was ist mit gestohlenen Anmeldedaten?
Angreifer wählen oft den Weg des geringsten Widerstands. Der Brute-Force-Ansatz basiert auf Trial-and-Error, aber mit gestohlenen gültigen Anmeldedaten muss ein Angreifer keine Zeit darauf verwenden, die Kennwörter zu erraten. Stattdessen melden sie sich einfach als normale Benutzer oder Administratoren an, um den Angriff von innen heraus zu starten. Wie man in unseren Studien (z.B. Die meistgenutzten Passwörter bei Angriffen auf Terminal Server) lesen kann, bestehen viele Kennwortlisten, die für Password Spraying Attacken verwendet werden, aus Unmengen an gestohlenen Anmeldedaten – und eine dieser Listen könnte Anmeldedaten von jemandem in Ihrem Unternehmen enthalten. Um an solche gestohlenen Daten zu gelangen, muss ein Angreifer oftmals nur eine geringe Investition tätigen, um relevante Anmeldeinformationen zu kaufen und kann dann einen Ransomware-Angriff mit geringem Risiko und der Aussicht auf hohem Gewinn starten.
Schützen Sie sich vor gestohlenen Zugangsdaten mit Specops Password Policy
Obwohl Lockout-Policies wichtig sind, schützen diese Einstellungen nicht vor einer gekauften Passwortliste mit gültigen Anmeldedaten. Daher benötigen Sie eine aktuelle Liste mit gestohlenen Passwörtern, um die Zugangsdaten in ihrem Active Directory überprüfen zu können. Specops Password Policy bietet nicht nur Einstellungsmöglichkeiten zur Umsetzung moderner und komplexer Passwortrichtlinien, sondern bietet auch die Möglichkeit, Account-Passwörter sowohl in Echtzeit als auch in regelmäßigen Abständen mit unserer proprietären Liste kompromittierter Passwörter abzugleichen. Mit der Funktion “Breached Password List” können Sie die Hashes Ihrer Benutzerkennwörter, mit denen einer regelmäßig aktualisierten Liste mit über 3 Milliarden entwendeten Passwörtern abgleichen. So können Sie Benutzer bei einer Passwortänderung sofort oder spätestens in kürzester Zeit informieren, wenn ihr Passwort nicht konform oder gar kompromittiert ist.
Specops Password Policy bietet viel mehr als nur Schutz vor kompromittierten Kennwörtern, Sie können auch:
- Eigene Wörterbuchlisten verwenden, um Wörter oder Basisbegriffe, die in Ihrem Unternehmen üblich sind, zu verbieten (Unternehmensname, Unternehmensdaten, Gründer etc.)
- Die Verwendung von Benutzernamen, Anzeigenamen, bestimmten Wörter, aufeinanderfolgende Zeichen, inkrementelle Passwörter und die Wiederverwendung eines Teils des aktuellen Passworts verhindern.
- Die Vorteile der granularen GPO-gesteuerten Ausrichtung für jede Organisationseinheit (OU), jeden Computer, jeden Benutzer oder jede Gruppe nutzen.
- Regular Expressions nutzen, um die Passwortrichtlinien noch weiter auf die Bedürfnisse Ihrer Organisation anzupassen.
- Dem Benutzer Echtzeit-Feedback bei der Passwortänderung und bei Benachrichtigungen im Client anzeigen. So schaffen Sie mehr Klarheit über Ihre Passwortrichtlinien und steigern die Aktzeptanz.
Überzeugen Sie sich selbst von Specops Password Policy mit einer Demo oder einer kostenlosen Testversion.
(Zuletzt aktualisiert am 11/01/2023)