Windows 10: Sichere Authentifizierung im Active Directory

Unternehmen, die auf Windows 10 setzen, können auch im Active Directory weitere Anmeldemethoden nutzen. Die Konfiguration dazu findet über Gruppenrichtlinien statt.

Selbstredend können sich Endanwender im Active Directory mit Windows 10 weiterhin ganz traditionell mit Benutzernamen und Kennwort anmelden.

Über Gruppenrichtlinieneinstellungen legen Administratoren fest, wie die Kennwörter der Benutzer aufgebaut sein sollen.

Die Einstellungen dazu sind über Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Kontorichtlinien/Kennwortrichtlinien zu finden.

In Windows Server existieren mehrere Einstellungen, die zur Konfiguration von sicheren Kennwörtern wichtig sind. Bei diesen Einstellungen handelt es sich um den grundlegenden Schutz, den Administratoren in jedem Fall sicherstellen sollten.

Richtlinien für mehr Sicherheit von Benutzerkonten

Zusätzlich lassen sich über Richtlinien Sicherheitseinstellungen für die Speicherung von Benutzernamen und Kennwort, Smartcard-Anmeldungen und die Anbindung an Cloud-Konten regeln. Die wichtigsten Einstellungen für mehr Sicherheit von Kennwörtern sind im Bereich Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen zu finden. So wird beispielsweise mit der Richtlinie „Interaktive Anmeldung: Anwender vor Ablauf des Kennworts zum Ändern des Kennworts auffordern“ festgelegt, wie viele Tage vor dem Ablauf eines Kennwortes Anwender eine Meldung erhalten, um ihr Kennwort zu ändern.

Durch „Interaktive Anmeldung: Anzahl zwischen zu speichernder vorheriger Anmeldungen (für den Fall, dass der Domänencontroller nicht verfügbar ist)“ wird bestimmt, ob Windows Anmeldungen zwischenspeichern soll und wie lange. Das ermöglicht die Anmeldung an Rechnern, wenn kein Domänencontroller erreicht werden kann. Das kann insbesondere für mobile Anwender von Bedeutung sein.

Über Richtlinien können Administratoren Einfluss auf die Vorgaben für die Kennwörter der Anwender nehmen.
Abbildung 1: Über Richtlinien können Administratoren Einfluss auf die Vorgaben für die Kennwörter der Anwender nehmen.

Über „Interaktive Anmeldung: Benutzerinformationen anzeigen, wenn Sitzung gesperrt ist“, können Administratoren sicherstellen, dass am PC nicht zu sehen ist, welcher Benutzer derzeit angemeldet ist, wenn dieser den Bildschirm gesperrt hat. Über diese Richtlinie lässt einrichten, dass Domäne und Benutzer, nur der Benutzer oder keinerlei Informationen angezeigt werden sollen.

„Interaktive Anmeldung: Letzten Benutzernamen nicht anzeigen“ regelt, dass bei der Anmeldung an Windows-Rechnern immer Benutzername und Kennwort angegeben werden müssen. Damit speichert Windows keine Benutzernamen.

Mit den Richtlinieneinstellungen „Konten: Administratorkonto umbenennen“ und „Konten: Gastkonto umbenennen“ können Gastkonto und das Administrator-Konto umbenannt werden. Zusätzlich zur Deaktivierung kann dadurch die Sicherheit von Rechnern deutlich erhöht werden.

Anmeldung mit Microsoft-Konten

Mit Windows 10 können sich Anwender auch mit Microsoft-Konten online an Windows anmelden. Das ist grundsätzlich auch für Firmenrechner möglich, aber aus Sicherheitsgründen natürlich meistens nicht erwünscht. Administratoren können über die Richtlinie „Konten: Microsoft-Konten blockieren“ festlegen, dass sich Benutzer nur mit bereits vorhandenen Microsoft-Konten an Windows anmelden dürfen („Benutzerkönnen keine Microsoft-Konten hinzufügen“), oder gar keine Anmeldung mit Microsoft-Konten erlaubt ist („Benutzer können keine Microsoft-Konten hinzufügen oder sich damit anmelden“).

Im oberen Bereich der Richtlinien und Sicherheitsoptionen sind auch die Richtlinien für die Benutzerkontensteuerung zu sehen. Über diese Richtlinien lässt sich das Verhalten der Benutzerkontensteuerung für Rechner ab Windows 7 festlegen. Mit Benutzerkonfiguration\Administrative Vorlagen\System\STRG+ALT-ENTF (Optionen) kann man einrichten, welche Optionen den Anwendern zur Verfügung stehen, wenn sie diese Tastenkombination nutzen.

Anmeldung mit PIN

In Windows 10 können sich Anwender an ihrem Rechner auch per PIN anmelden. Dazu werden der Benutzername und das Kennwort auf dem Rechner zwischengespeichert. Die Anmeldung am Rechner erfolgt dann durch Eingabe einer einfachen PIN. Die Technik ist auf lokalen Rechnern genauso möglich wie im Active Directory. Die Konfiguration dazu ist in der Einstellungs-App in dem Bereich Konten\Anmeldeoptionen zu finden.

Über Richtlinien können Administratoren Einfluss auf den Vorgaben für die Kennwörter der Anwender nehmen.
Abbildung 2: Über Richtlinien können Administratoren Einfluss auf den Vorgaben für die Kennwörter der Anwender nehmen.

Um die Einstellungen zentral vorzugeben kann in den Richtlinien die Funktion über die Option „Komfortable PIN-Anmeldung aktivieren“ gesteuert werden. Die Einstellungen dazu finden sich in Computerkonfiguration\Richtlinien\Administrative Vorlagen\System\Anmelden. Zusätzlich sollten auch die Einstellungen über Richtlinien\ Administrative Vorlagen\System überprüft werden.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Windows 10: Hello for Business statt Passwörter

Anmeldedaten mit Windows Defender Credential Guard absichern

So kann man gespeicherte Windows-Anmeldeinformationen löschen

Erfahren Sie mehr über Identity and Access Management (IAM)