Dies empfiehlt sich vor allem, wenn von unterwegs auch auf Firmendaten zugegriffen werden soll, zum Beispiel über DirectAccess, VPN oder Webzugriffe auf Exchange, SharePoint und andere Lösungen. In diesen Fällen ist es sinnvoll, die Anmeldung an PCs so sicher wie möglich zu gestalten.
Die Einstellungen Ihres Microsoft-Kontos rufen Sie direkt über die Adresse https://account.live.com auf. Nachdem Sie sich angemeldet haben, sollten Sie die verschiedenen Einstellungen überprüfen und sicherstellen, dass die Daten korrekt sind. Das gilt vor allem für den Bereich Sicherheit und Kennwort, doch dazu später mehr.
Zwei-Faktor-Authentifizierung für Microsoft-Konten aktivieren
Wenn Sie sich an Rechnern mit Microsoft-Konten anmelden, können Sie auch den verbesserten Anmeldeschutz verwenden. Dazu aktivieren Sie die Zwei-Faktor-Authentifizierung für das Konto. Nachdem Sie diese Funktion aktiviert haben, reicht für die Anmeldung am Rechner nicht mehr die Eingabe eines einfachen Kennwortes aus. Zusätzlich müssen Sie noch eine PIN eingeben, die von Microsoft erzeugt wird. Das hat den Vorteil, dass sich niemand an Ihrem Rechner anmelden kann, wenn er Ihr Kennwort kennt. Denn er muss immer noch Zugriff auf Ihr Telefon, Smartphone oder das E-Mail-Programm haben, und zwar vor der Anmeldung.
Bei der Zwei-Wege-Authentifizierung versendet Microsoft nach der Anmeldung mit dem Kennwort automatisch eine zufällige PIN. Hier stehen verschiedene Möglichkeiten zur Verfügung, auch eine spezielle App. Diese lässt sich direkt über die Webseite zur Konfiguration der Microsoft-Konten steuern. Die Zwei-Faktor-Authentifizierung für Ihr Konto aktivieren Sie im Bereich Sicherheit und Kennwort\Prüfung in zwei Schritten über den Link Prüfung in zwei Schritten einrichten. Im Rahmen der Einrichtung können Sie auch eine Smartphone-App nutzen, die den Anmeldecode für Sie erzeugt. Damit Sie sich nach der Aktivierung der Zwei-Faktor-Authentifizierung noch mit dem Microsoft-Konto anmelden können, müssen Sie das Kennwort eingeben und danach den Code, den die App erzeugt. Die App steht für Windows Phone und iOS, aber auch für Android zur Verfügung.
Bevor Sie diese Technik nutzen, sollten Sie aber immer erst alle Sicherheitseinstellungen für Ihr Konto auf der Webseite überprüfen. Dazu klicken Sie auf Sicherheit und Kennwort. Sie sehen im Fenster im oberen Bereich, wann Sie Ihr Kennwort das letzte Mal geändert haben. Es ist sinnvoll, in regelmäßigen Abständen eine Änderung durchzuführen. Außerdem können Sie hier die Sicherheits-Infos Ihres Kontos überarbeiten. Sie können Telefonnummer hinterlegen, die das System nutzt, um sie zu verifizieren, oder zusätzliche E-Mail-Adressen.
Wenn Sie den Verdacht haben, dass Ihr Konto unberechtigt verwendet wird, können Sie über Letzte Aktivität überprüfen, welche Aktionen mit Ihrem Konto durchgeführt wurden. Diese Daten sind sehr detailliert und zeigen auch die Anmeldung an PCs an.
Synchronisierungseinstellungen von Microsoft-Konten beachten
Microsoft-Konten bieten die Möglichkeit, Daten des PCs mit dem eigenen OneDrive-Konto zu synchronisieren. Auch Einstellungen, Favoriten und mehr lassen sich mit Microsoft-Konten auf mehreren PCs und Tablets synchron halten. Die entsprechenden Einstellungen sind zum Beispiel in Windows 8.1 über die Charmsbar ((Windows-Taste)+(C)) und dann über die Auswahl von Einstellungen\PC-Einstellungen ändern\OneDrive\Synchronisierungseinstellungen zu finden. Hier können Sie verschiedene Anpassungen vornehmen und festlegen, was alles mit dem Microsoft-Konto synchronisiert werden soll.
Um ein Microsoft-Konto sicher zu betreiben, sollten Sie daher immer überprüfen, welche Daten synchronisiert werden, und das Konto nur auf vertrauenswürdigen Rechnern nutzen. Denn durch die Anmeldung werden unter Umständen Daten synchronisiert, die dann auch anderen Anwendern zur Verfügung stehen. Dazu kommt die Gefahr, dass sich Unbefugte am fremden Rechner mit Ihrem Microsoft-Konto anmelden, Daten löschen und dadurch die Daten auf den anderen PCs löschen. Denn die Synchronisierung erstellt nicht nur Daten, sie löscht die Daten auch, wenn das notwendig ist.
Vertraute PCs vom Microsoft-Konto entfernen
In den Einstellungen von Microsoft-Konten können Sie PCs, denen Sie vertrauen auch wieder entfernen. Bei diesen PCs ist eine Anmeldung mit Ihrem Microsoft-Konto möglich. Bevor Ihr Konto verwendet werden kann, erhalten Sie aber eine E-Mail mit einem Code zur alternativen E-Mail-Adresse oder einen Anruf durch den Telefoncomputer von Microsoft. Die Liste der PCs sollten Sie aber regelmäßig überprüfen. Dazu rufen Sie die Seite https://account.live.com auf.
Nach der Anmeldung klicken Sie auf Sicherheit und Kennwort und danach bei Vertrauenswürdige Geräte auf Alle vertrauenswürdigen Geräte entfernen, die mit meinem Konto verknüpft sind. Anschließend konfigurieren die noch benötigten Geräte erneut als vertraute Geräte. Geräte an denen Sie sich nicht mindestens zweimal im Monat anmelden, werden automatisch aus der Liste gelöscht. Microsoft zeigt in den Einstellungen der Microsoft-Konten keine Liste der PCs mehr an.
Automatisch E-Mail-Benachrichtigung beim PC-Start versenden
In Windows 8 haben Sie die Möglichkeit, automatisch eine Nachricht versenden zu lassen, sobald Ihr Computer startet und sich jemand anmeldet. Die Einrichtung funktioniert mit Bordmitteln und kostenlosen Zusatz-Tools. Sie können diese Technik nutzen, wenn Sie sich mit einem Microsoft-Konto anmelden.
Mit dem kostenlosen Tool Blat.exe können Sie E-Mails aus der Eingabeaufforderung verschicken. Dabei können Sie den gleichen E-Mail-Server verwenden, den Sie auch für Ihr E-Mail-Programm verwenden. Laden Sie es herunter, entpacken Sie das Archiv und kopieren es in einen Ordner auf dem Rechner.
Der nächste Schritt besteht darin, eine Batch-Datei zu erstellen, indem Sie eine neue Textdatei mit dem Windows-Editor anlegen und die Befehle für Blat in die Datei schreiben. Speichern Sie anschließend die Datei zum Beispiel als mailblat.bat. Als Befehl schreiben Sie in die Datei:
<Pfad zu blat.exe>\blat.exe c:\<Ordner>\pc.txt -to <E-Mail-Empfänger> -f <Ihre Absenderadresse> -u <Benutzerkonto für E-Mail-Konto> -pw <Kennwort für den Zugang> -server <SMTP-Server> -s <Betreff>
Als Nächstes erstellen Sie die Textdatei pc.txt und schreiben in diese Datei den Text der E-Mail.
Foto: Thomas Joos
Klicken Sie doppelt auf die Datei mailblat.bat, muss die E-Mail bereits versendet werden und bei Ihnen ankommen. Im nächsten Schritt müssen Sie in Windows festlegen, wann das Betriebssystem die E-Mail versenden soll. Der beste Weg dazu ist, die Möglichkeit in Windows zu nutzen, an bestimmte Ereignisse in der Ereignisanzeige Aufgaben anzuhängen. Über diese Aufgabe lassen Sie dann die E-Mail über Blat versenden:
1. Starten Sie zunächst die Ereignisanzeige-D zum Beispiel durch Eingabe von eventvwr.msc auf der Startseite.
2. Öffnen Sie Windows-Protokolle/System.
3. Suchen Sie das Ereignis Winlogon mit der ID 7001. Dieses finden Sie am schnellsten, wenn Sie mit der rechten Maustaste auf System klicken und die Ansicht nach der ID 7001 filtern lassen.
4. Klicken Sie das Ereignis mit der rechten Maustaste an und wählen Sie im Kontextmenü den Eintrag Aufgabe an dieses Ereignis anfügen. Sie können natürlich auch jedes beliebige andere Ereignis verwenden.
5. Klicken Sie auf Weiter, bis Sie zur Seite Aktion gelangen. Lassen Sie die Option Programm starten aktiviert. Hier hinterlegen Sie jetzt die Batchdatei, die Sie erstellt haben.
Startzeitpunkt des Rechners feststellen
Mit dem Tool TurnedOnTimesView können Sie über einen Doppelklick ohne Installation überprüfen, wann Ihr PC gestartet wurde. So können Sie recht schnell testen, ob ein Computer mit Ihrem Konto unberechtigt gestartet wurde.
Windows 8.1 vor unbefugtem Zugriff schützen
In Windows 8.1 Pro und Enterprise können Sie alle fehlgeschlagenen Anmeldeversuche protokollieren lassen und anschließend einen Rechner sperren:
1. Rufen Sie über die Startseite secpol.msc auf.
2. Navigieren Sie zu Sicherheitseinstellungen/Lokale Richtlinien/Überwachungsrichtlinie.
3. Aktivieren Sie bei Anmeldeversuche überwachen die Option Fehler. Aktivieren Sie außerdem Erfolgreich, dann protokolliert Windows auch erfolgreiche Anmeldungen.
Setzen Sie Windows 8.1 Pro oder Enterprise ein, haben Sie die Möglichkeit, über lokale Richtlinien Sicherheitseinstellungen vorzunehmen. Eine dieser Möglichkeiten ist die Festlegung, dass sich Windows nach einer bestimmten Anzahl von ungültigen Anmeldeversuchen automatisch sperren kann:
1. Rufen Sie über die Startseite gpedit.msc auf.
2. Navigieren Sie zu Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Kontorichtlinien/Kontosperrungsrichtlinien.
3. Klicken Sie doppelt auf Kontensperrungsschwelle.
4. Geben Sie die Anzahl zulässiger Login-Versuche bis zur Sperrung ein.
5. Mit Kontosperrdauer legen Sie fest, wie lange das Konto gesperrt sein soll.
6. Über Zurücksetzungsdauer des Kontosperrungszählers tragen Sie die Zeitspanne ein, nach der Windows erneut mit dem Zählen beginnt.
Benutzerkonten in Active Directory-Domänen sicher verwalten
Im Kontextmenü eines angelegten Benutzers in der Verwaltungskonsole Active Directory-Benutzer und -Computer steht Ihnen eine Reihe von Möglichkeiten zur Verfügung, mit denen Sie auch die Sicherheit des Kontos verbessern. Auf diese gehen wir nachfolgend ein. Viele Einstellungen erreichen Sie auch über das Active-Directory-Verwaltungscenter.
Der Befehl Konto deaktivieren kann verwendet werden, um die zeitweilige Deaktivierung eines Kontos durchzuführen. Das Konto bleibt mit allen Einstellungen erhalten, kann aber nicht zur Anmeldung genutzt werden. Deaktivierte Konten werden durch ein besonderes Symbol in der Anzeige des Snap-Ins Active Directory-Benutzer und -Computer gekennzeichnet. Ein deaktiviertes Konto können Sie über den gleichen Weg wieder aktivieren. Mit Kennwort zurücksetzen können Sie einem Benutzer ein neues Kennwort zuweisen.
Foto: Thomas Joos
Zusätzlich gibt es die beiden Befehle Löschen und Umbenennen. Mit diesen kann ein Benutzerkonto gelöscht oder der vollständige Name des Benutzers verändert werden. Beim Löschen ist darauf zu achten, dass es sich um eine nicht widerrufbare Aktion handelt, weil damit die SID des Benutzers gelöscht wird. Haben Sie den Active-Directory-Papierkorb aktiviert, können Sie das Objekt mit dem Active-Directory-Verwaltungs-Center wiederherstellen. Durch das Anlegen eines Benutzers mit gleichem Namen erzeugen Sie nicht das gleiche Benutzerkonto, da sich die SID ändert. Die Wiederherstellung muss in diesem Fall über den Active-Directory-Papierkorb ablaufen.
Die meisten Informationen liefert der Befehl Eigenschaften im Kontextmenü. Damit können Sie im Snap-In auf ein Dialogfeld zugreifen, in dem Sie über eine Vielzahl von Registerkarten die Eigenschaften von Benutzern anpassen können. Rufen Sie im Snap-In-Active-Directory-Benutzer und -Computer zuvor den Menübefehl Ansicht/Erweiterte Features auf, damit alle Registerkarten angezeigt werden.
• Auf der Registerkarte Konto werden die Einstellungen für Kennwörter und Anmeldenamen verwaltet:
• Anmeldezeiten - Mit dieser Schaltfläche öffnen Sie ein Dialogfeld, in dem Sie die Zeiten festlegen, zu denen sich ein Benutzer anmelden darf.
• Anmelden an - Über diese Schaltfläche wählen Sie Computer aus, an denen sich der Anwender anmelden darf.
• Kontosperrung aufheben - Dieses Kontrollkästchen wählen Sie, nachdem ein Konto gesperrt wurde.
• Benutzer kann das Kennwort nicht ändern - Setzt ein Kennwort auf eine feste Vorgabe, die nur von entsprechend autorisierten Operatoren und von Administratoren verändert werden kann.
• Kennwort läuft nie ab - Definiert, dass für dieses Konto keine Änderungen nach in den Richtlinien definierten Zeiträumen erforderlich werden.
• Kennwort mit umkehrbarer Verschlüsselung speichern - Führt dazu, dass Administratoren die Kennwörter auslesen können.
• Konto ist deaktiviert - Führt dazu, dass das Konto nicht mehr für eine Anmeldung genutzt werden kann, aber mit allen Eigenschaften verfügbar bleibt.
• Benutzer muss sich mit einer Smartcard anmelden - Hat zur Folge, dass sich ein Benutzer in jedem Fall unter Verwendung einer Smartcard authentifizieren muss.
• Konto ist vertraulich und kann nicht delegiert werden - Verhindert die Delegation eines Kontos an andere Benutzer. Es kann nur von Administratoren verwaltet werden.
• Kerberos-DES-Verschlüsselungstypen für dieses Konto - Legt fest, welche Verschlüsselungsverfahren für das Konto eingesetzt werden. Das ist für das Deployment von Clients im internationalen Umfeld mit unterschiedlichen rechtlichen Rahmenbedingungen für die Verschlüsselung von Bedeutung.
• Keine Kerberos-Präauthentifizierung erforderlich - Laut dem Kerberos-Standard ist die TGT-Anforderung des Clients ein unverschlüsseltes Paket, da es keine sicherheitssensiblen Daten enthält. Bei Verwendung der Kerberos-Präauthentifizierung ist dieses Paket bereits mit dem privaten Schlüssel des Benutzers/Anforderers verschlüsselt.
• Zusätzlich legen Sie im unteren Bereich ein Ablaufdatum für das Konto fest.
Über die Registerkarte Einwählen können Sie die RAS-Berechtigungen für diesen Benutzer konfigurieren. Eine weitere interessante Registerkarte bei den Eigenschaften eines Benutzers ist Objekt. Diese wird nur angezeigt, wenn Sie im Menü Ansicht die erweiterten Features aktiviert haben. Auf dieser Registerkarte werden einige systeminterne Informationen angezeigt. Dazu gehören der vollqualifizierte Domänenname des Objekts, die Objektklasse - die Klasse, auf der dieses Objekt basiert - sowie Erstellungs- beziehungsweise Änderungsdaten und die USN (Update Sequence Number). (mje)