Drei Tipps für mehr Windows-Sicherheit

Eine weitere Maßnahme, die Sie ergreifen können, um die Sicherheit zu erhöhen und die Zahl der Anrufe beim Help-Desk zu verringern, besteht darin, Benutzer daran zu hindern, ihr Passwort zu ändern, solange es noch nicht abgelaufen ist und sie dazu aufgefordert werden. Dies scheint keine unbedingt notwendige Sicherheitsmaßnahme zu sein, aber stellen Sie sich einmal vor, was passieren könnte, wenn das Passwort eines Benutzers geknackt oder gestohlen wird. Der unautorisierte Benutzer könnte in so einem Fall sofort das Benutzerpasswort ändern und so diese Person aus dem Netzwerk aussperren. Indem man solche Passwort-Änderungen unterbindet, kann man verhindern, dass Hacker oder andere Benutzer Benutzerkonten in ihre Gewalt bringen, und zudem lässt sich so die Zahl derjenigen reduzieren, die beim Help-Desk anrufen, weil sie ihr Passwort geändert und nun das neue vergessen haben.

Es gibt zwei Möglichkeiten, Benutzer an der Änderung des Passwortes zu hindern, solange sie nicht von Windows dazu aufgefordert werden: entweder individuell über Einstellungen in der Registry oder global über eine Gruppenrichtlinie.

Führen Sie die folgenden Schritte aus, damit eine Benutzergruppe das Passwort nur ändern kann, wenn sie durch das System dazu aufgefordert wird:

1. Starten Sie die Microsoft Management Console (MMC) über Start | Ausführen, Eingabe von mmc und Klicken auf OK.
2. Im Menü „Konsole“ wählen Sie: Snap-in hinzufügen/entfernen | Hinzufügen | Active Directory Benutzer und Computer | Hinzufügen.
3. Klicken Sie auf „Schließen“ und dann auf „OK“. In der linken Fensterhälfte wird das neue Snap-in angezeigt.
4. Öffnen Sie das Snap-in, wählen Sie die Gruppe, auf die die Richtlinie angewandt werden soll, und wählen Sie im Kontextmenü (rechte Maustaste) „Eigenschaften“.
5. Auf der Registerkarte „Gruppenrichtlinie“ wählen Sie das „Gruppenrichtlinien-Objekt“ und klicken auf „Bearbeiten“
6. Öffnen Sie den Richtlinien-Ordner bis zum Unterordner „System“.
7. Wählen Sie Anmelden/Abmelden.
8. Klicken Sie mit der rechten Maustaste auf die Richtlinie „Passwort-Änderung deaktivieren“ und wählen „Eigenschaften“.
9. Auf der Registerkarte „Richtlinie“ markieren Sie die Option „Aktiviert“ und klicken auf OK.
10. Schließen Sie das Gruppenrichtlinien-Fenster und dann die Konsole.
11. Geben Sie auf der Kommandozeile Folgendes ein:
    Secedit /refreshpolicy user_policy /enforce
12. Drücken Sie die Eingabetaste.

Um dieselbe Passwortrichtlinie für einzelne Benutzer einzurichten, führen Sie die folgenden Schritte zur Einstellung der entsprechenden Option in der Registry durch:

1. Starten Sie den Registrierungs-Editor.
2. Suchen Sie den Registry-Schlüssel HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies.
3. Klicken Sie auf den System-Schlüssel. Falls dieser Schlüssel nicht vorhanden ist, erstellen Sie ihn über Bearbeiten | Neu und Auswahl von „Schlüssel“. Dies erstellt einen neuen Ordner namens „Neuer Schlüssel #1“. Ändern Sie den Namen in „System“.
4. Wählen Sie diesen „System“-Schlüssel und dann Bearbeiten | Neu | DWORD-Wert.
5. Geben Sie DisableChangePassword ein.
6. Drücken Sie die Eingabetaste.
7. Doppelklicken Sie auf den neuen Schlüssel.
8. Ändern Sie den Wert auf 1.
9. Klicken Sie auf OK.
10. Schließen Sie den Registrierungs-Editor.

Weitere Einzelheiten über das Einstellen dieser Passwort-Richtlinie finden Sie in der Microsoft Knowledge Base in Artikel 309799.

Datenschutz
Diese Tipps sind einfache Maßnahmen, mit denen man den Zugriff auf vertrauliche Daten einschränken und das Netzwerk besser absichern kann. Sie sind schnell und problemlos zu implementieren und dienen dem Schutz Ihrer Unternehmensdaten.