Best Practices für die Kontosperrung

Best Practices für die Einrichtung einer Account-Sperrrichtlinie

Erstellen Sie eine Kontosperrungsrichtlinien-GPO und bearbeiten Sie diese unter „Computer Configuration\Windows Settings\Security Settings\Account Policies\Account Lockout Policy“ mit den folgenden Parametern:

• Dauer der Kontosperrung: 1440 Minuten
• Kontosperrschwelle: 10 ungültige Anmeldeversuche
• Kontosperrung zurücksetzen nach: 0 Minuten [Konto wird nicht automatisch entsperrt]

Untersuchung aller Kontosperrungen

Um Kontosperrungen zu untersuchen, müssen Sie Protokolle erfassen, die Ihnen helfen, deren Quelle zurückzuverfolgen. Gehen Sie folgendermaßen vor:

• Aktivieren Sie die Überwachung von Anmeldeereignissen. Bitte beachten Sie den Logon Auditing Quick Reference Guide.
• Aktivieren Sie die Netlogon-Protokollierung. Bitte beziehen Sie sich auf den Account Lockout Troubleshooting Quick Reference Guide.
• Aktivieren Sie die Kerberos-Protokollierung.
• Analysieren Sie Daten aus den Sicherheitsereignisprotokolldateien und den Netlogon-Protokolldateien, um Ihnen zu helfen zu bestimmen, wo die Sperrungen auftreten und warum.
• Analysieren Sie die Ereignisprotokolle auf dem Computer, der die Kontosperrungen verursacht, um die Ursache zu ermitteln.

Häufige Ursachen für Kontosperrungen

• Brute-Force-Angriff (überprüfen, ob der RDP-Port 3389 im Internet offen ist)
• Active Directory-Replikation
• Programme mit zwischengespeicherten Benutzeranmeldeinformationen
• Dienstkonten mit kürzlich geänderten oder abgelaufenen Passwörtern
• Die Schwelle für schlechte Passwörter ist zu niedrig eingestellt
• Benutzer meldet sich an mehreren Computern an
• Gespeicherte Benutzernamen und Passwörter enthalten überflüssige Anmeldeinformationen
• Geplante Aufgaben
• Gemeinsame Laufwerkzuordnungen
• Getrennte Terminalserver-Sitzungen
• Mobile Geräte, die über IIS auf den Exchange-Server zugreifen

Account Lockout- und Management-Tools, die bei Untersuchungen helfen

• Netwrix Account Lockout Examiner
• Microsoft-Kontosperrstatus-Tools
• AD-Sperrungen und Erkennung von unsicheren Passwörtern Dienstprogramm

Übersicht über die Active Directory Account Lockout Policy

Eine Kontosperrrichtlinie deaktiviert ein Benutzerkonto, wenn innerhalb eines bestimmten Zeitraums eine festgelegte Anzahl von Fehlversuchen bei der Passworteingabe erfolgt. Diese Richtlinie hilft Ihnen, Angreifer daran zu hindern, die Passwörter von Benutzern zu erraten und verringert die Chance erfolgreicher Angriffe auf Ihr Netzwerk. Wenn die Richtlinie festgelegt ist, wird jeder fehlgeschlagene Domänenanmeldeversuch auf dem primären Domänencontroller (PDC) protokolliert. Wird der Schwellenwert erreicht, sperrt der PDC das Konto und verhindert eine erfolgreiche Anmeldung. Nachdem das Passwort von einem Administrator zurückgesetzt wurde oder nach Ablauf der von Ihnen festgelegten Dauer der AD-Kontosperrung, kann sich der Benutzer wieder erfolgreich anmelden, zum Beispiel an Windows 7.

Untersuchung von Kontosperrungen

Das automatische Sperren von Konten nach mehreren erfolglosen Anmeldeversuchen ist eine gängige Praxis, da fehlgeschlagene Anmeldeversuche ein Zeichen für einen Eindringling oder Malware sein können, die versuchen, in Ihr IT-System zu gelangen. Bevor ein Konto entsperrt wird, ist es klug herauszufinden, warum wiederholt falsche Passwörter eingegeben wurden; andernfalls erhöhen Sie das Risiko eines unbefugten Zugriffs auf Ihre sensiblen Daten.

Der erste Schritt im Fehlerbehebungsprozess besteht darin, die Ursache der Authentifizierungsfehler zu identifizieren, die zur Kontosperrung geführt haben. Es gibt mehrere Account Lockout Management Tools zur Unterstützung dieses Prozesses.

Da der PDC-Emulator für die Verarbeitung der Kontosperrung verantwortlich ist, sollte dies der erste DC sein, den Sie im Rahmen des Fehlerbehebungsprozesses überprüfen. Wenn Sie Windows Server 2008 R2 oder höher verwenden, sollten Sie das Auditing der Benutzerkontenverwaltung in der erweiterten Überwachungsrichtlinienkonfiguration aktivieren. Bestimmen Sie dann, welche der folgenden Änderungen an der Kontosperrungsrichtlinie bereits in Ihrer Umgebung vorgenommen wurden, und konfigurieren Sie sie gemäß diesem Best-Practice-Whitepaper zur Kontosperrung neu.

Da Kontosperrungsereignisse im Windows-Sicherheitsereignisprotokoll protokolliert werden, sollten Sie nach der Ereignis-ID 4740 filtern. Überprüfen Sie die Ereignisse, um das betroffene Konto zu finden. Die Ereignisdetails enthalten Informationen über den Computer, auf dem die Kontosperrung stattgefunden hat. Das Gleiche kann mit der Kontosperrungssoftware für Windows 7 gemacht werden.

Gehen Sie dann zum Zielkonto-Sperrungscomputer Windows 7 oder einem anderen Gerät und überprüfen Sie dessen Sicherheits-, Anwendungs- und Systemprotokolle auf Anomalien. Wenn der Zielcomputer ein Exchange-Server ist, überprüfen Sie dessen IIS-Protokolle auf eine externe IP-Adresse, die eine Sperrung verursacht. Wenn RDP-Ports für das Internet geöffnet sind, blockieren Sie diese und überprüfen Sie dann erneut auf zukünftige Kontosperrungen.