M 4.48 Passwortschutz unter NT-basierten Windows-Systemen
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Der Zugang zu einem Windows NT/2000/XP/Server 2003 System muss für jeden Benutzer durch ein Passwort geschützt und die automatische Anmeldung deaktiviert sein. Benutzerkonten ohne Passwort dürfen nicht existieren, da sie eine Schwachstelle im System darstellen. Es ist wichtig, dass auch die Benutzer die Schutzfunktion der Passwörter kennen, denn die Mitarbeit der Benutzer trägt selbstverständlich zur Sicherheit des gesamten Systems bei. Grundlage für die weiteren Empfehlungen in dieser Maßnahme ist M 2.11 Regelung des Passwortgebrauchs.
Die Einrichtung eines neuen Benutzers und die Definition eines Passwortes erfolgt unter Windows NT mit Hilfe des Dienstprogramms Benutzer-Manager über das Kommando Neuer Benutzer. Unter Windows 2000/XP/Server 2003 ist dazu für Stand-alone Rechner das Snap-in Lokale Benutzer und Gruppen der Microsoft Management Console (MMC) zu benutzen. Für in Active-Directory-Domänen angesiedelte Rechner erfolgt das Anlegen neuer Benutzer über das MMC Snap-in Active Directory Benutzer und Computer. In jedem Fall ist dazu in den Feldern Kennwort und Kennwortbestätigung ein Anfangspasswort einzugeben. Die Groß- und Kleinschreibung muss beachtet werden. Dabei sollte ein sinnvolles individuelles Anfangspasswort vergeben werden, das dem Benutzer mitgeteilt wird. Dies ist auch beim Zurücksetzen des Passwortes durch den Administrator zu beachten. Die immer gleiche Wahl des Anfangspasswortes oder die Verwendung des Benutzernamens als Passwort eröffnet eine Sicherheitslücke, die mit geringem Aufwand vermieden werden kann.
Die Option Benutzer muss Kennwort bei der nächsten Anmeldung ändern sollte bei allen neuen Konten gesetzt sein, damit das Anmeldepasswort nicht beibehalten wird. Dagegen sollte die Option Benutzer kann Kennwort nicht ändern nur in Ausnahmefällen verwendet werden, etwa für vordefinierte Konten im Schulungsbetrieb. Die Option Kennwort läuft nie ab sollte nur für Benutzerkonten, denen mit Hilfe der Systemsteuerungsoption Dienste ein Dienst zugewiesen wird (zum Beispiel das MS Exchange Dienstkonto) verwendet werden. Diese Option setzt die Einstellung Maximales Kennwortalter in den Richtlinien für Konten außer Kraft und verhindert, dass das Passwort abläuft.
Passwort-Richtlinien
Für Windows NT können über den Benutzer-Manager Richtlinien für Benutzerkonten, Benutzerrechte und für die Systemüberwachung festgelegt werden. Unter Windows 2000/XP/Server 2003 erfolgt das Festlegen der Richtlinien entweder durch das MMC Snap-in Lokale Sicherheitseinstellungen oder durch das Snap-in Gruppenrichtlinien. Die Parameter und Werte finden sich in den Snap-ins unter Sicherheitseinstellungen | Kontorichtlinien. Dabei können und sollen die Einstellungen der Gruppenrichtlinien für Rechner, die einer Domäne angeschlossen sind, auch über das Active Directory verteilt und
durchgesetzt werden (siehe M 2.231 Planung der Gruppenrichtlinien unter Windows 2000 und M 2.326 Planung der Windows XP Gruppenrichtlinien). Ab Windows 2000 ist für Kontorichtlinien eine Sicherheitsvorlage zu erstellen (siehe auch M 2.366 Nutzung von Sicherheitsvorlagen unter Windows Server 2003).
Die Anforderungen an Passwörter unter Windows NT/2000/XP/Server 2003 sollten dokumentiert werden, gegebenenfalls in Form einer Sicherheitsrichtlinie. Die Dokumentation bzw. Richtlinie sollte die Einstellungen der folgenden Tabelle umfassen. Die letzte Spalte enthält Mindest-Empfehlungen für normalen Schutzbedarf:
Windows NT | Windows 2000/XP/2003 | |
---|---|---|
Maximales Kennwortalter | 90 Tage | |
Minimales Kennwortalter | 1 Tag | |
Minimale Kennwortlänge | 8 Zeichen | |
Kennwortzyklus | Kennwortchronik erzwingen | 6 Kennwörter |
Konto sperren | Sperren nach | Kontosperrungsschwelle | 3 Versuche |
Konto sperren | Konto zurücksetzen nach | Zurücksetzungsdauer des Kontosperrungszählers | 30 Minuten |
Dauer der Sperrung | Kontosperrdauer | 60 Minuten |
Benutzer muss sich anmelden, um Kennwort zu ändern | n/v | Deaktiviert |
n/v | Kennwort muss Komplexitätsvoraussetzungen entsprechen | Aktiviert |
n/v | Kennwörter für alle Domänenbenutzer mit umkehrbarer Verschlüsselung speichern | Deaktiviert |
Tabelle: Übersicht der Mindest-Empfehlungen zu Kennwort-Einstellungen
Bei der Festlegung der Einstellungen sind einige systemspezifische Sicherheitsaspekte zu berücksichtigen, die im Folgenden erläutert werden.
Die minimale Passwortlänge für besonders schützenswerte Konten (z. B. Dienstkonten) sollte mehr als 14 Zeichen betragen (Dies funktioniert allerdings nicht unter Windows NT 4.0, hier sollten solche Passwörter daher in kürzeren Abständen geändert werden). Hohe Passwortlängen sind bei steigender Rechenleistung der effektivste Schutz gegen Brute-Force-Angriffe.
Die Passworthistorie sollte grundsätzlich eingeschaltet sein und wenigstens 6 Passwörter umfassen. Die Gültigkeitsdauer des Passwortes sollte auf einen Zeitraum von maximal 6 Monaten begrenzt sein. Durch Festlegung eines Wertes für das Minimale Kennwortalter kann verhindert werden, dass Benutzer ihr Passwort mehrfach hintereinander ändern, um so die Historienprüfung zu umgehen. Das Minimale Kennwortalter sollte jedoch nicht größer als 1 Tag gewählt werden, um dem Benutzer jederzeit eine Passwortänderung zu ermöglichen.
Hinweis: Unter Windows NT 3.51 und NT 4.0 darf bei Minimales Kennwortalter nicht der Parameter Sofortige Änderungen erlauben gewählt werden, da sonst die Prüfung der Passworthistorie abgeschaltet wird.
Benutzerkonten sollten nach wiederholten ungültigen Passworteingaben gesperrt werden, um Versuche zu erschweren, die Passwörter der Benutzer zu erraten (Brute-Force-Angriffe). Mit den Werten aus der Tabelle erfolgt eine Sperrung nach drei ungültigen Anmeldeversuchen, die innerhalb von 29 Minuten unternommen wurden. Hatte ein Benutzer nur zwei ungültige Anmeldeversuche unternommen, erhält er 30 Minuten nach dem letzten Versuch wieder drei neue Anmeldeversuche.
In der Regel sollte eine Kontosperre nur durch einen Administrator aufgehoben werden können. Mit der Einstellung Kontosperrdauer wird das Konto nach einem begrenzten Zeitraum automatisch wieder entsperrt. Der Zeitraum darf nicht kürzer als die Zurücksetzungsdauer des Kontosperrungszählers sein und sollte keinesfalls 30 Minuten unterschreiten. Prinzipiell verringert eine automatische Entsperrung stark die Sicherheit. Falls der Aufwand für die Benutzerbetreuung und der mögliche Produktivitätsausfall durch gesperrte Benutzerkonten dies rechtfertigen, dann muss hierfür ein geeigneter, möglichst hoher Wert als Kompromiss gefunden werden. Bei besonders schützenswerten Konten sollte diese Funktion aber immer deaktiviert werden.
Es ist zu beachten, dass das vordefinierte Administratorkonto von dieser automatischen Sperrung ausgenommen ist, um ein völliges Verriegeln des Systems zu vermeiden.
Unter Windows NT4.0 sollte von der Option Benutzer muss sich anmelden, um Kennwort zu ändern kein Gebrauch gemacht werden. Insbesondere mit der Einstellung Benutzer muss Kennwort bei der nächsten Anmeldung ändern führt diese Einstellung dazu, dass neue Benutzer keinen Zugang zum Rechner erhalten.
Werden Passwort-Richtlinien auf Domänenebene eingestellt, ist keine weitere Differenzierung der Passwort-Anforderungen für Domänenkonten möglich. Nur lokale Konten einzelner Mitgliedsserver können mit eigenen Richtlinien versehen werden. Wenn Betriebsbereiche mit unterschiedlichen Passwort-Anforderungen zwingend erforderlich sind, kann dies nur durch mehrere Active-Directory-Forrests umgesetzt werden. Der Aufwand hierfür ist nur selten gerechtfertigt, daher muss beim Festlegen der Passwort-Anforderungen ein Kompromiss für alle Betriebsbereiche (Dienstkonten, administrative Konten, allgemeine Benutzerkonten, Benutzerkonten von leitenden Personen, Benutzerkonten für die Personalvertretung usw.) gefunden werden.
Ergänzende Kontrollfragen:
- Sind die Vorgaben für die Benutzerkonten-Richtlinien dokumentiert?
- Werden die Einstellungen im Benutzer-Manager regelmäßig kontrolliert?