[Update 12.10.2022]: Microsoft hat die Möglichkeit, einen Rechner vor einer Brute-Force-Attacke zu schützen, mit dem Oktober-Patchday für alle Windows und Server-Versionen eingeführt.
Bei einer Brute-Force-Attacke wird beispielsweise versucht, das Passwort vom Konto herauszubekommen. “Wenn Sie diesen Wert auf vorhandenen Computern mit einem lokalen oder Domänen-GPO auf Aktiviert setzen, können Sie die Möglichkeit zum Sperren von Administratorkonten aktivieren. Solche Umgebungen sollten auch die Einstellung der anderen drei Richtlinien unter Kontosperrungsrichtlinien in Betracht ziehen; unsere grundlegende Empfehlung ist, sie auf 10/10/10 einzustellen. Dies bedeutet, dass ein Konto nach 10 fehlgeschlagenen Versuchen innerhalb von 10 Minuten gesperrt wird und die Sperrung 10 Minuten lang andauert.”
Wird Windows 11 neu installiert und das Oktober-Update ist integriert, bzw. wird während der Installation integriert, dann werden die oben genannten Einstellungen als Standard von Windows eingetragen.
“Darüber hinaus erzwingen wir jetzt die Kennwortkomplexität auf neuen Computern, wenn ein lokales Administratorkonto verwendet wird. Das Kennwort muss mindestens drei der vier grundlegenden Zeichentypen (Kleinbuchstaben, Großbuchstaben, Zahlen und Symbole) aufweisen. Dies trägt dazu bei, diese Konten vor einer Kompromittierung aufgrund eines Brute-Force-Angriffs zu schützen. Wenn Sie jedoch ein weniger komplexes Kennwort verwenden möchten, können Sie dennoch die entsprechenden Kennwortrichtlinien unter “Lokale Computerrichtlinie\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kennwortrichtlinie” festlegen.”
[Original 21.07.2022]: Hat man mal das falsche Passwort bei der Anmeldung eingegeben, dann wiederholt man die Eingabe und man kann mit Windows arbeiten. Aber es gibt auch Angreifer, die per Brute-Force alle möglichen Passwörter probieren, um Windows starten zu können.
Unter Windows 11 hat Microsoft jetzt eine Einstellung vorgenommen, die vor solchen Attacken wenigstens teilweise schützt. In Windows 10 ist die lokale Sicherheitsrichtlinie zwar schon vorhanden, aber nicht aktiviert. In der Windows 11 22H2 ist hier eine Änderung vorgenommen worden. Nach 10 ungültigen Anmeldeversuchen wird das Konto für 10 Minuten gesperrt. Es gibt also keine Möglichkeit, sich in dieser Zeit einzuloggen.
Für Windows 11 21H2 hab ich es jetzt nicht geprüft. Aber auch in der Dev-Insider ist diese Funktion nicht aktiviert. Man kann es aber auch selbst konfigurieren. Startet man die “Lokale Sicherheitsrichtlinie” (einfach in die Suche eingeben) -> Sicherheitseinstellungen -> Kontorichtlinien -> Kontosperrungsrichtlinien dann kann man die Kontensperrungsschwelle so einstellen, wie man möchte. Klickt man auf “Übernehmen”, schlägt Windows auch die weiteren Einstellungen dafür vor. Die genaue Beschreibung dazu ist:
“Diese Sicherheitseinstellung legt die Anzahl von nicht erfolgreichen Anmeldeversuchen fest, nach denen ein Benutzerkonto gesperrt wird. Ein gesperrtes Konto kann erst wieder verwendet werden, nachdem ein Administrator es zurückgesetzt hat oder nachdem die Kontosperrdauer für das Konto abgelaufen ist. Sie können einen Wert zwischen 0 und 999 nicht erfolgreichen Anmeldeversuchen festlegen. Wenn Sie den Wert auf 0 festlegen, wird das Konto nie gesperrt.”
“Zu den nicht erfolgreichen Anmeldeversuchen zählen falsche Kennworteingaben bei Arbeitsstationen oder Mitgliedsservern, die entweder über STRG+ALT+ENTF oder kennwortgeschützte Bildschirmschoner gesperrt wurden.”
Ganz sicher kann man sich dadurch nicht sein. Aber es hilft und ist eine gute Änderung zum Schutz. Diese hätte Microsoft durchaus schon früher vornehmen sollen. Aber wie David schreibt, wird es zurückportiert.
Windows 11 Tutorials und Hilfe
- In unserem Windows 11 Wiki findet ihr sehr viele hilfreiche Tipps und Tricks.
- Falls ihr Fragen habt, dann stellt diese ganz einfach bei uns im Forum.
- Installationsmedien: Aktuelle Windows 11 ISOs findet ihr hier: 21H2 oder 22H2 Ansonsten immer in der rechten Sidebar.
- Windows 11 neu clean installieren Tipps und Tricks.
- Windows 11 mit lokalem Konto auch Offline installieren.
- Windows 11 Inplace Upgrade Reparatur oder Feature Update.
- Automatisch anmelden Pin entfernen Windows 11.
- Alle Beiträge zu Windows 11 im Blog findet ihr über diese Seite. Wobei auch alle anderen Artikel interessant sein können.
Habt ihr auch eine fertige Reg – Datei?
Funktioniert das bei Windows 11 jetzt auch ohne Bitlocker?
schützt dann aber nur ein bisschen besser vor remote angriffen. bei lokalem zugriff auf das gerät und fehlender laufwerksverschlüsselung sind weitere schutzmassnahmen fürs konto nur nette deko ohne mehrwert. von extern gebootet und schon hast du vollen zugriff auf alles. und falls im bios booten von anderen medien gesperrt ist und das bios pw-geschützt ist (wobei mir noch kein bios untergekommen ist, wo ich nicht das pw zurücksetzen konnte, lenovo, dell, hp, consumer- oder business-geräte) da baust du die systemplatte aus und hängst sie an eine usb-(m)sata/m2/nvme-bridge.
gepostet mit der Deskmodder.de-App für iOS
Ich verstehe die Notwendigkeit nicht.
Microsoft Account ist mittlerweile Passwordless.
Die GPO gab es schon immer und galt mindestens für Domains.
gepostet mit der Deskmodder.de-App für Android
Ja genau und was nützt das alles wenn das Password auf der ISS-Tastatur steht. Haha..
https://github.com/nasa/NASA-3D-Resources/blob/master/Images%20and%20Textures/ISS%20Panels/ISS-panels-jpg/IMG-038.jpg
Nutzt doch mal den PCUnlocker in der Version 5.7 vom SFTB
Damit geht auch ein Bypass mit dem neuesten UEFI Secure Boot, falls es eingestellt ist.
Der Haken ist, dass secpol auf Win11 Pro (mein Surface Pro 5) vorhanden und auf Win11 Home (mein Surface Pro 8) nicht vorhanden ist und mit gpedit-enabler aktiviert werden muss.
Was ja auch normal ist weil der GPEditor erst ab der Professional Version per Default dabei ist 🤔
gepostet mit der Deskmodder.de-App für Android
Ja logisch, sonst hätte ich das oben ja gar nicht geschrieben 😉 Es könnte event. andere Nutzer geben, die sich wundern warum bei Eingabe von secpol.msc oder “Lokale Sicherheitsrichtlinie” nichts geschieht, darauf zielte mein Hinweis ab 😇