Syntaxregeln für PINs

In Richtlinien vom Typ PIN definieren Sie Einstellungen für Token-PINs. Diese Einstellungen gelten nicht für PINs, die zum Anmelden bei mit BitLocker verschlüsselten Endpoints verwendet werden. Weitere Informationen zu BitLocker PINs finden Sie unter PIN und Kennwörter.

PINs können sowohl Ziffern, Buchstaben als auch Sonderzeichen (wie + - ; etc.) enthalten. Verwenden Sie bei der Vergabe einer neuen PIN jedoch keine Zeichen mit der Kombination ALT + <Zeichen>, da dieser Eingabemodus an der SafeGuard Power-on Authentication nicht zur Verfügung steht.

Anmerkung: Definieren Sie PIN-Regeln entweder im SafeGuard Management Center oder im Active Directory, nicht an beiden Stellen.
Richtlinieneinstellung Erklärung
PIN
Mindestlänge der PIN Gibt an, aus wie vielen Zeichen eine PIN bei der Änderung durch den Benutzer bestehen muss. Der gewünschte Wert kann entweder direkt eingegeben oder durch Betätigen der Richtungsschaltflächen vergrößert bzw. verkleinert werden.
Maximallänge der PIN Gibt an, aus wie vielen Zeichen eine PIN bei der Änderung durch den Benutzer maximal bestehen darf. Der gewünschte Wert kann entweder direkt eingegeben oder durch Betätigen der Richtungsschaltflächen vergrößert bzw. verkleinert werden.
Mindestanzahl an Buchstaben

Mindestanzahl an Ziffern

Mindestanzahl an Symbolen
Mit diesen Einstellungen wird erreicht, dass PINs nicht ausschließlich Zeichen, Ziffern oder Sonderzeichen enthalten, sondern aus einer Kombination bestehen müssen (z. B. „15blume“). Diese Einstellungen sind nur dann sinnvoll, wenn eine Mindestlänge der PIN definiert ist, die größer 2 ist.
Tastaturzeile verboten Als Tastaturzeilen werden eingetippte Zeichenreihen wie „123“ oder „qwe“ bezeichnet. Maximal zwei auf der Tastatur nebeneinander liegende Zeichen sind erlaubt. Tastaturspalten beziehen sich nur auf den alphanumerischen Tastaturteil.
Tastaturspalte verboten Als Tastaturspalten werden eingetippte Zeichenreihen wie „xsw2“ oder „3edc“ (nicht aber „xdr5“ oder „cft6“!) bezeichnet. Erlaubt sind maximal zwei in einer Tastaturspalte befindliche Zeichen. Verbieten Sie Tastaturspalten, werden derartige Zeichenkombinationen als Kennwörter abgelehnt. Tastaturspalten beziehen sich nur auf den alphanumerischen Tastaturteil.
Drei oder mehr aufeinanderfolgende Zeichen verboten Verboten werden mit der Aktivierung dieser Option Zeichenketten,
  • die im ASCII-Code aufeinander folgen, sowohl in auf- als auch in absteigender Reihenfolge („abc“ oder „cba“).

  • die aus drei oder mehr identischen Zeichen („aaa“ oder „111“) bestehen.

Benutzername als PIN verboten Bestimmt, ob Benutzername und PIN identisch sein dürfen.

Ja: Windows-Benutzername und PIN müssen unterschiedlich sein.

Nein: Benutzer darf seinen Windows-Benutzernamen gleichzeitig als PIN verwenden.

Liste nicht erlaubter PINs benutzen Bestimmt, ob bestimmte Zeichenfolgen für PINs nicht verwendet werden dürfen. Abgelegt sind die Zeichenfolgen in der Liste nicht erlaubter PINs (z. B. Datei im Format .txt).
Liste nicht erlaubter PINs Definiert Zeichenfolgen, die in einer PIN nicht verwendet werden dürfen. Wenn ein Benutzer eine verbotene PIN verwendet, wird eine Fehlermeldung ausgegeben.

Voraussetzung:

Eine Liste (eine Datei) mit verbotenen PINs muss im Management Center unter Texte im Richtlinien-Navigationsbereich registriert werden, siehe Anlegen von Listen verbotener PINs für die Verwendung mit Richtlinien. Erst nach der Registrierung ist die Liste verfügbar.

  • Maximale Dateigröße: 50 KB

  • Unterstütztes Format: Unicode

Nicht erlaubte PINs definieren

In der Liste werden die verbotenen PINs durch einen Zeilenumbruch voneinander getrennt.

Platzhalter: An der Position, an der Sie den Zeichentyp „*“ eingeben, können mehrere beliebige Zeichen in der PIN enthalten sein. Beispielsweise wird durch *123* jede Zeichenfolge, die 123 enthält, als PIN verboten.

Hinweis:

  • Wenn Sie nur den Platzhalter in die Liste einfügen, können sich Benutzer nach einer erzwungenen Kennwortänderung nicht mehr im System anmelden.

  • Benutzer dürfen auf die Datei keinen Zugriff haben.

  • Die Option Liste nicht erlaubter PINs verwenden muss aktiviert sein.

Groß-/Kleinschreibung beachten Diese Einstellung wird nur bei den Punkten Liste nicht erlaubter PINs benutzen und Benutzername als PIN verboten wirksam.

Beispiel 1: Sie haben in der Liste der verbotenen PINs „Tafel“ eingetragen. Steht die Option Groß-/Kleinschreibung beachten auf Ja, werden zusätzliche Kennwortvarianten wie z. B. „TAFEL“ oder „TaFeL“ nicht akzeptiert und die Anmeldung wird verweigert.

Beispiel 2: Der Benutzername für einen Anwender lautet „EMaier“. Steht Groß-/Kleinschreibung beachten auf Ja und Benutzername als PIN verboten auf Nein, darf Benutzer EMaier keine Variante seines Benutzernamens (z. B. emaier oder eMaiEr) als PIN verwenden.

 
Änderungen
PIN-Änderung erlaubt nach mindestens (Tage) Legt den Zeitraum fest, in dem eine PIN nicht erneut geändert werden darf. Diese Einstellung verhindert, dass ein Benutzer seine PIN innerhalb eines bestimmten Zeitraums beliebig oft ändern kann.

Beispiel:

Die Benutzerin Schmidt definiert eine neue PIN (z. B. „13jk56“). Für sie (oder für die Gruppe, der sie zugeordnet ist) ist ein Wechsel nach mind. fünf Tagen festgelegt. Bereits nach zwei Tagen will sie die PIN „13jk56“ ändern. Dies wird abgelehnt, da Frau Schmidt erst nach fünf Tagen eine neue PIN definieren darf.

PIN läuft ab nach (Tage) Der Benutzer muss nach Ablauf des eingestellten Zeitraums seine PIN ändern. Beträgt der Zeitraum 999 Tage, ist keine PIN-Änderung erforderlich.
Warnung vor Ablauf (Tage) Ab “n” Tagen vor Ablauf der PIN wird eine Warnmeldung ausgegeben und der Benutzer darauf hingewiesen, dass er in “n“-Tagen seine PIN ändern muss. Er erhält daraufhin die Möglichkeit, die PIN sofort zu ändern.
Allgemein
PIN in POA verbergen Gibt an, ob die Ziffern bei der Eingabe der PIN verborgen werden. Ist die Option aktiviert, wird während der Eingabe der PIN bei der POA nichts angezeigt. Ansonsten wird für jedes eingegebene Zeichen ein Stern angezeigt.
PIN-Generationen Legt fest, wann bereits verwendete PINs wieder benutzt werden dürfen. Sinnvoll ist die Definition von PIN-Generationen insbesondere in Verbindung mit der Einstellung PIN läuft ab nach (Tage).

Beispiel:

Die Anzahl der PIN-Generationen für den Benutzer Müller wurde auf 4 festgelegt, die der Tage, nach denen der Benutzer die PIN wechseln muss, auf 30. Herr Müller meldete sich bislang mit der PIN „Informatik“ an. Nach Ablauf der Frist von 30Tagen wird er aufgefordert, seine PIN zu ändern. Herr Müller tippt als neue PIN wieder „Informatik“ ein und erhält die Fehlermeldung, dass er diese PIN bereits verwendet hat und eine andere PIN wählen muss. „Informatik“ darf Herr Müller erst nach der vierten (da PIN-Generationen = 4) Aufforderung zur Eingabe einer neuen PIN verwenden.