Windows: Computer sperren, wenn die Passwörter falsch eingegeben wurden

30. Oktober 2010 Kategorie: Backup & Security, Windows, geschrieben von:

Die Business- oder Ultimate-Versionen von Windows zeichnen sich unter anderem auch durch den schönen Editor für die Gruppenrichtlinien aus, welcher dazu dient, wirklich alles am Computer restriktiv einstellen zu können. Wer also einen Laptop mit der Starter-Version oder Home Premium hat. geht leer aus. Trotz alledem lässt sich relativ viel über die Kommandozeile machen, so zum Beispiel das Absichern des Accounts.

Kleines Beispiel: neugierige Freundin versucht wieder euer Passwort von Windows zu erraten. Normalerweise hat sie dazu unbegrenzt viele Möglichkeiten und Zeit. Ihr könnt mit wenigen Handgriffen allerdings einstellen, dass der betreffende Account für eine frei einstellbare Zeit nach diversen falschen Eingaben gesperrt bleibt.

Folgendes ist Voraussetzung: ein mit einem Passwort versehener Account, der über administrative Rechte verfügt. Startet nun die Kommandozeile mit administrativen Rechten (ganz einfach: Startmenü, CMD, Rechtsklick: Als Administrator ausführen).

Die Häufigkeit der erlaubten Fehleingaben festlegen

In der Kommandozeile gebt ihr nun ein: net accounts / lockoutthreshold:2 – die 2 legt fest, wie oft das Passwort falsch eingegeben werden darf. Danach ist der Computer gesperrt. Ihr könnt logischerweise auch etwas anderes eingeben.

Wie lange soll der Account gesperrt werden?

Die Sperrdauer. Wie lange soll euer Account gesperrt bleiben, wenn das Passwort falsch eingegeben wurde? 10 Minuten gehen nicht (siehe Screenshot), ihr müsst schon mehr Zeit einstellen. 30 Minuten sind ein guter Wert. Also ratz fatz in die Box geklöppelt: net accounts /lockoutduration:30

Den Zeitraum der Fehleingaben protokollieren

Welche Zeit darf eigentlich vergehen, damit der Zähler der falsche eingegebenen Passwörter wieder genullt wird? Wollt ihr also, dass der Zähler nach 30 Minuten genullt wird, dann müsst ihr den Wert lockoutwindow auf 30 setzen: net accounts /lockoutwindow:30

Das Ganze lässt sich abschließend noch kontrollieren, wenn ihr nur net accounts eingebt.

Der ganze Kram ist nichts neues, Microsoft hat das seit Ewigkeiten im Programm. Wer mehr über Account Lockout erfahren möchte, der sollte selbst bei Microsoft reinschauen. Der Beitrag rührt von einer Frage her, die mir neulich gestellt worden ist, „ob man da nicht irgend etwas bei Windows machen könne…“

Jetzt wisst ihr, wie ihr das Ganze ein wenig sicherer macht. Aber nicht die Arbeitskollegen ärgern gehen. Kleine Info: dieser Tipp hilft nichts gegen Konboot, ntpasswd und Co. Gegen ntpasswd könnt ihr sehr gut syskey einsetzen, welches ich ja schon beschrieb. Ansonsten: BitLocker oder TrueCrypt. Aber wem erzähle ich das… 😉


Du entscheidest mit! Wir suchen das Smartphone des Jahres 2017! Jetzt abstimmen!

 

Über den Autor:

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. Persönliches Blog. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Carsten hat bereits 25419 Artikel geschrieben.