Windows 8.1 vor unbefugtem Zugriff schützen
In Windows 8.1 Pro und Enterprise können Sie alle fehlgeschlagenen Anmeldeversuche protokollieren lassen und anschließend einen Rechner sperren:
1. Rufen Sie über die Startseite secpol.msc auf.
2. Navigieren Sie zu Sicherheitseinstellungen/Lokale Richtlinien/Überwachungsrichtlinie.
3. Aktivieren Sie bei Anmeldeversuche überwachen die Option Fehler. Aktivieren Sie außerdem Erfolgreich, dann protokolliert Windows auch erfolgreiche Anmeldungen.
Setzen Sie Windows 8.1 Pro oder Enterprise ein, haben Sie die Möglichkeit, über lokale Richtlinien Sicherheitseinstellungen vorzunehmen. Eine dieser Möglichkeiten ist die Festlegung, dass sich Windows nach einer bestimmten Anzahl von ungültigen Anmeldeversuchen automatisch sperren kann:
1. Rufen Sie über die Startseite gpedit.msc auf.
2. Navigieren Sie zu Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Kontorichtlinien/Kontosperrungsrichtlinien.
3. Klicken Sie doppelt auf Kontensperrungsschwelle.
4. Geben Sie die Anzahl zulässiger Login-Versuche bis zur Sperrung ein.
5. Mit Kontosperrdauer legen Sie fest, wie lange das Konto gesperrt sein soll.
6. Über Zurücksetzungsdauer des Kontosperrungszählers tragen Sie die Zeitspanne ein, nach der Windows erneut mit dem Zählen beginnt.
Benutzerkonten in Active Directory-Domänen sicher verwalten
Im Kontextmenü eines angelegten Benutzers in der Verwaltungskonsole Active Directory-Benutzer und -Computer steht Ihnen eine Reihe von Möglichkeiten zur Verfügung, mit denen Sie auch die Sicherheit des Kontos verbessern. Auf diese gehen wir nachfolgend ein. Viele Einstellungen erreichen Sie auch über das Active-Directory-Verwaltungscenter.
Der Befehl Konto deaktivieren kann verwendet werden, um die zeitweilige Deaktivierung eines Kontos durchzuführen. Das Konto bleibt mit allen Einstellungen erhalten, kann aber nicht zur Anmeldung genutzt werden. Deaktivierte Konten werden durch ein besonderes Symbol in der Anzeige des Snap-Ins Active Directory-Benutzer und -Computer gekennzeichnet. Ein deaktiviertes Konto können Sie über den gleichen Weg wieder aktivieren. Mit Kennwort zurücksetzen können Sie einem Benutzer ein neues Kennwort zuweisen.
Foto: Thomas Joos
Zusätzlich gibt es die beiden Befehle Löschen und Umbenennen. Mit diesen kann ein Benutzerkonto gelöscht oder der vollständige Name des Benutzers verändert werden. Beim Löschen ist darauf zu achten, dass es sich um eine nicht widerrufbare Aktion handelt, weil damit die SID des Benutzers gelöscht wird. Haben Sie den Active-Directory-Papierkorb aktiviert, können Sie das Objekt mit dem Active-Directory-Verwaltungs-Center wiederherstellen. Durch das Anlegen eines Benutzers mit gleichem Namen erzeugen Sie nicht das gleiche Benutzerkonto, da sich die SID ändert. Die Wiederherstellung muss in diesem Fall über den Active-Directory-Papierkorb ablaufen.
Die meisten Informationen liefert der Befehl Eigenschaften im Kontextmenü. Damit können Sie im Snap-In auf ein Dialogfeld zugreifen, in dem Sie über eine Vielzahl von Registerkarten die Eigenschaften von Benutzern anpassen können. Rufen Sie im Snap-In-Active-Directory-Benutzer und -Computer zuvor den Menübefehl Ansicht/Erweiterte Features auf, damit alle Registerkarten angezeigt werden.
• Auf der Registerkarte Konto werden die Einstellungen für Kennwörter und Anmeldenamen verwaltet:
• Anmeldezeiten - Mit dieser Schaltfläche öffnen Sie ein Dialogfeld, in dem Sie die Zeiten festlegen, zu denen sich ein Benutzer anmelden darf.
• Anmelden an - Über diese Schaltfläche wählen Sie Computer aus, an denen sich der Anwender anmelden darf.
• Kontosperrung aufheben - Dieses Kontrollkästchen wählen Sie, nachdem ein Konto gesperrt wurde.
• Benutzer kann das Kennwort nicht ändern - Setzt ein Kennwort auf eine feste Vorgabe, die nur von entsprechend autorisierten Operatoren und von Administratoren verändert werden kann.
• Kennwort läuft nie ab - Definiert, dass für dieses Konto keine Änderungen nach in den Richtlinien definierten Zeiträumen erforderlich werden.
• Kennwort mit umkehrbarer Verschlüsselung speichern - Führt dazu, dass Administratoren die Kennwörter auslesen können.
• Konto ist deaktiviert - Führt dazu, dass das Konto nicht mehr für eine Anmeldung genutzt werden kann, aber mit allen Eigenschaften verfügbar bleibt.
• Benutzer muss sich mit einer Smartcard anmelden - Hat zur Folge, dass sich ein Benutzer in jedem Fall unter Verwendung einer Smartcard authentifizieren muss.
• Konto ist vertraulich und kann nicht delegiert werden - Verhindert die Delegation eines Kontos an andere Benutzer. Es kann nur von Administratoren verwaltet werden.
• Kerberos-DES-Verschlüsselungstypen für dieses Konto - Legt fest, welche Verschlüsselungsverfahren für das Konto eingesetzt werden. Das ist für das Deployment von Clients im internationalen Umfeld mit unterschiedlichen rechtlichen Rahmenbedingungen für die Verschlüsselung von Bedeutung.
• Keine Kerberos-Präauthentifizierung erforderlich - Laut dem Kerberos-Standard ist die TGT-Anforderung des Clients ein unverschlüsseltes Paket, da es keine sicherheitssensiblen Daten enthält. Bei Verwendung der Kerberos-Präauthentifizierung ist dieses Paket bereits mit dem privaten Schlüssel des Benutzers/Anforderers verschlüsselt.
• Zusätzlich legen Sie im unteren Bereich ein Ablaufdatum für das Konto fest.
Über die Registerkarte Einwählen können Sie die RAS-Berechtigungen für diesen Benutzer konfigurieren. Eine weitere interessante Registerkarte bei den Eigenschaften eines Benutzers ist Objekt. Diese wird nur angezeigt, wenn Sie im Menü Ansicht die erweiterten Features aktiviert haben. Auf dieser Registerkarte werden einige systeminterne Informationen angezeigt. Dazu gehören der vollqualifizierte Domänenname des Objekts, die Objektklasse - die Klasse, auf der dieses Objekt basiert - sowie Erstellungs- beziehungsweise Änderungsdaten und die USN (Update Sequence Number). (mje)