Kennwortrichtlinie stellt sicher, dass ein Benutzerkennwort stark ist und regelmäßig geändert wird, so dass es für einen Angreifer höchst unmöglich wird, das Kennwort zu knacken.

So bearbeiten Sie die Einstellungen der Kennwortrichtlinie:

    • Gehen Sie zum Startmenü → Verwaltungstools → Gruppenrichtlinienverwaltung
    • Erweitern Sie im Konsolenbaum die Gesamtstruktur und dann die Domänen., Wählen Sie die Domäne aus, für die die Kontorichtlinien festgelegt werden müssen
    • Doppelklicken Sie auf die Domäne, um die mit der Domäne verknüpften GPOs anzuzeigen.
    • Klicken Sie mit der rechten Maustaste auf Standarddomänenrichtlinie und wählen Sie Bearbeiten. Eine Gruppenrichtlinieneditorkonsole wird geöffnet.,
    • Navigieren Sie nun zu Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → Kontorichtlinien → Kennwortrichtlinie
    • Doppelklicken Sie auf die Kennwortrichtlinie, um die sechs in AD verfügbaren Kennworteinstellungen anzuzeigen. Klicken Sie mit der rechten Maustaste auf eine dieser Einstellungen und wählen Sie Eigenschaften, um die Richtlinieneinstellung zu definieren
    • Das Dialogfeld Eigenschaften jeder Richtlinieneinstellung verfügt über zwei Registerkarten., Auf der Registerkarte Sicherheitsrichtlinieneinstellung wird der Wert für diese Einstellung festgelegt. Die Registerkarte Explain enthält eine kurze Beschreibung der Richtlinieneinstellung und ihrer Standardwerte
  • Aktivieren Sie auf der Registerkarte Sicherheitsrichtlinieneinstellung das Kontrollkästchen Diese Richtlinieneinstellung definieren und geben Sie den gewünschten Wert ein. Klicken Sie auf Übernehmen und dann auf OK

Die sechs in Active Directory verfügbaren Kennwortrichtlinien-Einstellungen:

Kennwortverlauf erzwingen

Diese Einstellung bestimmt die Anzahl der neuen Kennwörter, die festgelegt werden müssen, bevor ein altes Kennwort wiederverwendet werden kann., Es stellt sicher, dass alte Passwörter nicht kontinuierlich von Benutzern verwendet werden, wodurch die Einstellung der Mindestaltersrichtlinie für Kennwörter unbrauchbar wird. Der Wert kann zwischen 0 und 24. Der Standardwert ist 24 auf Domänencontrollern und 0 auf eigenständigen Servern.

Wenn beispielsweise der Wert „Passwort-Verlauf erzwingen“ auf 10 gesetzt ist, muss der Benutzer 10 verschiedene Kennwörter festlegen, wenn das Kennwort abläuft, bevor er sein Kennwort auf einen alten Wert setzt.

Wenn der Wert auf 0 gesetzt ist, wird der Kennwortverlauf nicht gespeichert, und der Benutzer kann sein altes Kennwort nach Ablauf seines Kennworts wiederverwenden.,

Maximales Passwortalter

Diese Einstellung bestimmt die maximale Anzahl von Tagen, an denen ein Passwort verwendet werden kann. Sobald das maximale Kennwortalter abgelaufen ist, müssen Benutzer ihr Kennwort ändern. Es stellt sicher, dass Benutzer nicht für immer bei einem Passwort bleiben. Der Wert kann zwischen 0 und 999 Tagen. Der Standardwert ist 42.

Wenn der maximale Wert für das Kennwortalter beispielsweise auf 60 festgelegt ist, muss der Benutzer sein Kennwort alle 60 Tage ändern.

Wenn der Wert auf 0 gesetzt ist, läuft das Passwort nie ab und der Benutzer muss sein Passwort nie ändern.,

Mindestalter des Passworts

Diese Einstellung bestimmt die Mindestanzahl an Tagen, an denen ein Passwort verwendet werden muss, bevor es geändert werden kann. Erst wenn das Mindestalter des Passworts abgelaufen ist, können Benutzer ihr Passwort ändern. Es stellt sicher, dass Benutzer ihr Passwort nicht zu oft ändern. Der Wert kann zwischen 0 und 999 Tagen. Der Standardwert ist 1 für Domänencontroller und 0 für eigenständige Server.

Wenn das Mindestalter des Passworts beispielsweise auf 10 festgelegt ist, kann der Benutzer sein Passwort 10 Tage nach der letzten Passwortänderung nicht mehr ändern.,

Diese Einstellung wird verwendet, um die Effektivität der Kennwortverlaufseinstellung zu gewährleisten. Wenn das Mindestalter des Kennworts auf 0 festgelegt ist, kann der Benutzer sein Kennwort alle 2 Minuten ändern, bis der für den Kennwortverlauf festgelegte Wert erreicht ist, und sein bevorzugtes altes Kennwort wiederverwenden. Wenn Sie das Mindestalter für das Kennwort auf einen bestimmten Wert festlegen, kann ein Benutzer sein Kennwort nicht häufig genug ändern, um die Einstellung Kennwort-Verlauf erzwingen unwirksam zu machen.

Der Wert für das Mindestalter des Passworts sollte immer kleiner als das maximale Alter des Passworts sein.,

Minimale Passwortlänge

Diese Einstellung bestimmt die minimale Anzahl von Zeichen, die ein Passwort enthalten soll. Der Wert kann zwischen 0 und 14. Der Standardwert ist 7 auf Domänencontrollern und 0 auf eigenständigen Servern.

Wenn beispielsweise die Mindestkennwortlänge auf 6 gesetzt ist, muss das Kennwort mindestens 6 Zeichen enthalten.

Wenn es auf 0 gesetzt ist, ist kein Passwort erforderlich.

Kennwörter müssen Komplexitätsanforderungen erfüllen

Diese Einstellung bestimmt, ob das Kennwort den angegebenen Komplexitätsanforderungen entsprechen muss., Wenn diese Einstellung aktiviert ist, müssen Kennwörter die folgenden Anforderungen erfüllen.,529b6d05c“>

  • Das Passwort enthält Zeichen aus mindestens drei der folgenden vier Kategorien:
      • Englische Großbuchstaben (az)
      • Englische Kleinbuchstaben (az)
      • Basis 10 ziffern (0-9)
    • Nicht – alphanumerische (Zum Beispiel: $, #, oder %)

Standardmäßig ist diese Einstellung auf Domänencontrollern aktiviert und auf eigenständigen Servern deaktiviert.,

Passwörter mit reversibler Verschlüsselung speichern

Diese Sicherheitseinstellung bestimmt, ob das Passwort mit reversibler Verschlüsselung gespeichert wird. Wenn ein Passwort mit reversibler Verschlüsselung gespeichert wird, wird es einfacher, das Passwort zu entschlüsseln. Diese Einstellung ist in bestimmten Fällen nützlich, wenn für eine Anwendung oder einen Dienst der Benutzername und das Kennwort eines Benutzers erforderlich sind, um bestimmte Funktionen auszuführen. Diese Einstellung sollte nur aktiviert werden, wenn dies unbedingt erforderlich ist. Standardmäßig ist diese Einstellung deaktiviert.