Windows: Computer sperren, wenn die Passwörter falsch eingegeben wurden

Die Business- oder Ultimate-Versionen von Windows zeichnen sich unter anderem auch durch den schönen Editor für die Gruppenrichtlinien aus, welcher dazu dient, wirklich alles am Computer restriktiv einstellen zu können. Wer also einen Laptop mit der Starter-Version oder Home Premium hat. geht leer aus. Trotz alledem lässt sich relativ viel über die Kommandozeile machen, so zum Beispiel das Absichern des Accounts.

Kleines Beispiel: neugierige Freundin versucht wieder euer Passwort von Windows zu erraten. Normalerweise hat sie dazu unbegrenzt viele Möglichkeiten und Zeit. Ihr könnt mit wenigen Handgriffen allerdings einstellen, dass der betreffende Account für eine frei einstellbare Zeit nach diversen falschen Eingaben gesperrt bleibt.

Folgendes ist Voraussetzung: ein mit einem Passwort versehener Account, der über administrative Rechte verfügt. Startet nun die Kommandozeile mit administrativen Rechten (ganz einfach: Startmenü, CMD, Rechtsklick: Als Administrator ausführen).

Die Häufigkeit der erlaubten Fehleingaben festlegen

In der Kommandozeile gebt ihr nun ein: net accounts / lockoutthreshold:2 – die 2 legt fest, wie oft das Passwort falsch eingegeben werden darf. Danach ist der Computer gesperrt. Ihr könnt logischerweise auch etwas anderes eingeben.

Wie lange soll der Account gesperrt werden?

Die Sperrdauer. Wie lange soll euer Account gesperrt bleiben, wenn das Passwort falsch eingegeben wurde? 10 Minuten gehen nicht (siehe Screenshot), ihr müsst schon mehr Zeit einstellen. 30 Minuten sind ein guter Wert. Also ratz fatz in die Box geklöppelt: net accounts /lockoutduration:30

Den Zeitraum der Fehleingaben protokollieren

Welche Zeit darf eigentlich vergehen, damit der Zähler der falsche eingegebenen Passwörter wieder genullt wird? Wollt ihr also, dass der Zähler nach 30 Minuten genullt wird, dann müsst ihr den Wert lockoutwindow auf 30 setzen: net accounts /lockoutwindow:30

Das Ganze lässt sich abschließend noch kontrollieren, wenn ihr nur net accounts eingebt.

Der ganze Kram ist nichts neues, Microsoft hat das seit Ewigkeiten im Programm. Wer mehr über Account Lockout erfahren möchte, der sollte selbst bei Microsoft reinschauen. Der Beitrag rührt von einer Frage her, die mir neulich gestellt worden ist, „ob man da nicht irgend etwas bei Windows machen könne…“

Jetzt wisst ihr, wie ihr das Ganze ein wenig sicherer macht. Aber nicht die Arbeitskollegen ärgern gehen. Kleine Info: dieser Tipp hilft nichts gegen Konboot, ntpasswd und Co. Gegen ntpasswd könnt ihr sehr gut syskey einsetzen, welches ich ja schon beschrieb. Ansonsten: BitLocker oder TrueCrypt. Aber wem erzähle ich das… 😉

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

21 Kommentare

  1. stoiberjugend says:

    „wem erzählste das“. eben: alles nichts neues…. fuer profis.

  2. Ich mach bald mal nen Beitrag mit deinen Kommentaren 🙂 Nur auf die Kacke-Gehaue, Dude 😉

  3. Ist schon fein, was man mit den Grouppolicies machen kann. Was vielleicht auch nicht ganz uninteressant in dem Zusammenhang ist (wenn man der Freundin nicht vertraut 😉 ), sind die ACLs innerhalb von Windows/NTFS. Ich weiss nur grad nicht, ob man unter 7 Home Premium mittlerweile ACLs setzen darf, unter Win XP Home war es nur mit Einschränkungen möglich.

  4. Sowohl in Windows Vista Home Basic und Premium als auch in Windows 7 Home Premium sind die Zugriffsrechte sowohl für NTFS als auch für Freigaben out-of-the-box einstellbar.

    Windows 7 Home Basic und Starter besitze ich nicht, kann dazu keine Aussage treffen.

  5. Du testest das in einer VM, hast du keine Angst vor deiner Freundin? =) *grins*

  6. Das war mein Lenovo Netbook.

  7. Kleiner Fehler bei Zeitraum protokollieren:

    „“dann müsst ihr den Wert lockoutwindow auf 30 setzen: net accounts /lockoutduration:30 „“

    im Screenshot steht aber net accounts /lockoutwindow:30


    .. vielen dank — habs eingerichtet bekommen 😀

    und wie setze ich das alles ohne neuinstallation wieder zurück? 😀

  8. stoiberjugend says:

    ja mach mal kunde. 🙂
    im icq kann ich dich ja nicht mehr anscheisse. haha.

  9. Für mich als Singleuser komplett unbrauchbar, selbst Freunden, Familie und Co. würde ich zu diesem Schwachsinn abraten.

  10. cookii: wahrscheinlich auch so single. bescheuerter laberaffe. jeden scheiss beschissen kommentieren. großmaul. keine ahnung große fresse.

  11. Kurze Frage: Bleibt die Sperrung erhalten, wenn man den PC neu startet?

  12. Ja, bleibt sie.

  13. @Pille
    Maul du Affe!

  14. Mantelbogen says:

    @stoiberjugend ./. @caschy
    “wem erzählste das”. eben: alles nichts neues…. fuer profis.

    lieber Caschy, ganz recht, freundlich gesagt RAUSSCHMEISSEN TÄT ICH DEN A….aber schön sachlich, hehe

  15. ich sehs schon O.o — Sascha Lobos „Shitstorm“ kommt auf caschy über
    :(… Also wünschen tu ichs dir nicht…

    (d.h. der Shitstorm den Sascha Lobo ertragen muss…)

  16. machiavelli says:

    @p a r a d o n y m

    wo siehst du hier einen shitstorm? als shitstorm wird ein prozess bezeichnet, bei dem in kurzen abständen eine grosse zahl von kritischen äusserungen getätigt wird, von denen sich zumindest ein teil vom ursprungsthema löst und stattdessen aggressiv, beleidigend und bedrohend geführt wird.
    kurze abstände? grosse zahl? sehe ich hier nicht…

  17. @machiavelli

    okay Ansätze eines Shitstorms am Schopf gepackt..
    Also wenn sich hier jeder nur noch über Meinungen von Vorpostern aufregt – dann wirds ein Shitstorm…

  18. mantelbogen: schön geschleimt!

  19. Weiß nicht ob das schon gesagt wurde, aber unter Win7 geht das ganze auch graphisch: Systemsteuerung -> Verwaltung -> Lokale Sicherheitsrichtlinie -> Kontorichtlinien -> Kontosperrungsrichtlinien. Ich hab zwar keine Angst vor einer neugierigen Freundin, aber Remote-Desktop-Anmeldung ist an und gerade da ist es von großem Interesse die Anzahl der Loginversuche zu beschränken, weil von außen wohl eher eine fundierte Attacke droht…

  20. Natürlich geht eine lockoutduration von 10 Minuten:
    lockoutduration muss >= lockoutwindow sein.
    z.B. net accounts /lockoutduration:10 /lockoutwindow:10

    (in caschys Beispiel blieb lockoutwindow auf 30)
    und gut ist.