Syntaxregeln für Kennwörter

In Richtlinien vom Typ Kennwort definieren Sie Einstellungen für Kennwörter für die Anmeldung an das System. Diese Einstellungen gelten nicht für Kennwörter, die zum Anmelden bei mit BitLocker verschlüsselten Endpoints verwendet werden. Weitere Informationen zu BitLocker BitLocker Kennwörtern finden Sie unter PIN und Kennwörter.

Kennwörter können sowohl Ziffern, Buchstaben als auch Sonderzeichen (wie + - ; etc.) enthalten. Verwenden Sie bei der Vergabe eines neuen Kennworts jedoch keine Zeichen mit der Kombination ALT + <Zeichen>, da dieser Eingabemodus an der SafeGuard Power-on Authentication nicht zur Verfügung steht. Wie Kennwörter, mit denen sich Benutzer am System anmelden, beschaffen sein müssen, wird in Richtlinien vom Typ Kennwort eingestellt.

Anmerkung: Für Informationen zur Umsetzung einer Richtlinie für sichere Kennwörter siehe Empfohlene Sicherheitsmaßnahmen und das SafeGuard Enterprise Manual for certification-compliant operation (Englisch).

Die Umsetzung von Kennwortregeln und Kennworthistorien kann nur dann gewährleistet werden, wenn der SGN Credential Provider durchgehend verwendet wird. Definieren Sie Kennwortregeln entweder im SafeGuard Management Center oder im Active Directory, nicht an beiden Stellen.

Richtlinieneinstellung Erklärung
Kennwort
Mindestlänge des Kennworts Gibt an, aus wie vielen Zeichen ein Kennwort bei der Änderung durch den Benutzer bestehen muss. Der gewünschte Wert kann entweder direkt eingegeben oder durch Betätigen der Richtungsschaltflächen vergrößert bzw. verkleinert werden.
Maximallänge des Kennwortes Gibt an, aus wie vielen Zeichen ein Kennwort bei der Änderung durch den Benutzer maximal bestehen darf. Der gewünschte Wert kann entweder direkt eingegeben oder durch Betätigen der Richtungsschaltflächen vergrößert bzw. verkleinert werden.
Mindestanzahl an Buchstaben

Mindestanzahl an Ziffern

Mindestanzahl an Symbolen

Mit diesen Einstellungen wird erreicht, dass Kennwörter nicht ausschließlich Zeichen, Ziffern oder Sonderzeichen enthalten, sondern aus einer Kombination bestehen müssen (z. B. „15blume“). Diese Einstellungen sind nur dann sinnvoll, wenn eine Kennwortmindestlänge definiert ist, die größer 2 ist.
Tastaturzeile verboten Als Tastaturzeilen werden eingetippte Zeichenreihen wie „123“ oder „qwe“ bezeichnet. Maximal zwei auf der Tastatur nebeneinander liegende Zeichen sind erlaubt. Tastaturspalten beziehen sich nur auf den alphanumerischen Tastaturteil.
Tastaturspalte verboten Als Tastaturspalten werden eingetippte Zeichenreihen wie „xsw2“ oder „3edc“ (nicht aber „xdr5“ oder „cft6“!) bezeichnet. Erlaubt sind maximal zwei in einer Tastaturspalte befindliche Zeichen. Verbieten Sie Tastaturspalten, werden derartige Zeichenkombinationen als Kennwörter abgelehnt. Tastaturspalten beziehen sich nur auf den alphanumerischen Tastaturteil.
Drei oder mehr aufeinanderfolgende Zeichen verboten Verboten werden mit Aktivierung dieser Option Zeichenketten,
  • die im ASCII-Code aufeinander folgen, sowohl in auf- als auch in absteigender Reihenfolge („abc“ oder „cba“).

  • die aus drei oder mehr identischen Zeichen („aaa“ oder „111“) bestehen.

Benutzername als Kennwort verboten Bestimmt, ob der Benutzername als Kennwort unzulässig ist.

Ja: Windows-Benutzername und Kennwort müssen unterschiedlich sein.

Nein: Windows-Benutzername und Kennwort müssen nicht unterschiedlich sein.

Liste nicht erlaubter Kennwörter verwenden Bestimmt, ob bestimmte Zeichenfolgen für Kennwörter nicht verwendet werden dürfen. Abgelegt sind die Zeichenfolgen in der Liste nicht erlaubter Kennwörter (z. B. Datei im Format .txt).
Liste nicht erlaubter Kennwörter Definiert Zeichenfolgen, die in einem Kennwort ausgeschlossen sind. Wenn ein Benutzer ein verbotenes Kennwort verwendet, wird eine Fehlermeldung ausgegeben.

Eine Liste (eine Datei) mit verbotenen Kennwörtern muss im SafeGuard Management Center unter Texte im Richtlinien-Navigationsbereich registriert werden, siehe Anlegen einer Liste verbotener Kennwörter für die Verwendung mit Richtlinien. Erst nach der Registrierung ist die Liste verfügbar.

Maximale Dateigröße: 50 KB

Unterstütztes Format: Unicode

Nicht erlaubte Kennwörter definieren

In der Liste werden die verbotenen Kennwörter durch einen neuen Zeilenanfang getrennt. Platzhalter: An der Position, an der Sie den Zeichentyp "*" eingeben, können mehrere beliebige Zeichen im Kennwort enthalten sein. Beispielsweise wird durch *123* jede Zeichenfolge, die 123 enthält, als Kennwort verboten.

Hinweis:

  • Wenn Sie nur den Platzhalter in die Liste einfügen, können sich Benutzer nach einer erzwungenen Kennwortänderung nicht mehr im System anmelden.

  • Benutzer dürfen auf die Datei keinen Zugriff haben.

  • Die Option Liste nicht erlaubter Kennwörter verwenden muss aktiviert sein.

Groß-/Kleinschreibung beachten Diese Einstellung wird nur bei den Punkten Liste nicht erlaubter Kennwörter verwenden und Benutzername als Kennwort verboten wirksam.

Beispiel 1: Sie haben in der Liste der verbotenen Kennwörter „Tafel“ eingetragen. Steht die Option Groß-/Kleinschreibung beachten auf Ja, werden zusätzliche Kennwortvarianten wie z. B. „TAFEL“ oder „TaFeL“ nicht akzeptiert und die Anmeldung wird verweigert.

Beispiel 2: Der Benutzername für einen Anwender lautet „EMaier“. Steht Groß-/Kleinschreibung beachten auf Ja und Benutzername als Kennwort verboten auf Nein, darf Benutzer EMaier keine Variante seines Benutzernamens (z. B. ´emaier´ oder ´eMaiEr´ usw.) als Kennwort verwenden.

Änderungen
Kennwortänderung erlaubt nach mindestens (Tage) Legt den Zeitraum fest, in dem ein Kennwort nicht erneut geändert werden darf. Diese Einstellung verhindert, dass ein Benutzer sein Kennwort innerhalb eines bestimmten Zeitraums beliebig oft ändern kann. Bei einem durch Windows erzwungenen Kennwortwechsel oder bei einem Wechsel des Kennworts nach der Anzeige der Warnung, dass das Kennwort in x Tagen abläuft, wird diese Einstellung nicht ausgewertet!

Beispiel:

Die Benutzerin Schmidt definiert ein neues Kennwort (z. B. „13jk56“). Für sie (oder für die Gruppe, der sie zugeordnet ist) ist ein Wechsel nach mind. fünf Tagen festgelegt. Bereits nach zwei Tagen will sie das Kennwort "13jk56" ändern. Dies wird abgelehnt, da Frau Schmidt erst nach fünf Tagen ein neues Kennwort definieren darf.

Kennwort läuft ab nach (Tage) Ist diese Option aktiviert, muss der Benutzer nach Ablauf des eingestellten Zeitraums ein neues Kennwort definieren.
Warnung vor Ablauf (Tage) Ab “n” Tagen vor Ablauf des Kennworts wird eine Warnmeldung ausgegeben und der Benutzer darauf hingewiesen, dass er in “n“ Tagen sein Kennwort ändern muss. Er erhält daraufhin die Möglichkeit, das Kennwort sofort zu ändern.
Allgemeine Informationen
Kennwort in POA verbergen Gibt an, ob die Zeichen bei der Eingabe des Kennworts verborgen werden. Ist die Option aktiviert, wird während der Eingabe des Kennworts bei der POA nichts angezeigt. Ansonsten wird für jedes eingegebene Zeichen ein Stern angezeigt.
Kennwortgenerationen Legt fest, wann bereits verwendete Kennwörter wieder benutzt werden dürfen. Sinnvoll ist die Definition von Kennwortgenerationen insbesondere in Verbindung mit der Einstellung Kennwort läuft ab nach (Tage).

Beispiel:

Die Anzahl der Kennwortgenerationen für den Benutzer Müller wurde auf 4 festgelegt, die der Tage, nach denen der Benutzer das Kennwort wechseln muss, auf 30. Herr Müller meldete sich bislang mit dem Kennwort „Informatik“ an. Nach Ablauf der Frist von 30 Tagen wird er aufgefordert, sein Kennwort zu ändern. Herr Müller tippt als neues Kennwort wieder „Informatik“ ein und erhält die Fehlermeldung, dass er dieses Kennwort bereits verwendet hat und ein anderes Kennwort wählen muss. „Informatik“ darf Herr Müller erst nach der vierten (da Kennwortgenerationen = 4) Aufforderung zur Eingabe eines neuen Kennworts verwenden.

Anmerkung: Wenn für die Kennwortgeneration 0 eingestellt ist, kann der Benutzer das alte Kennwort als neues Kennwort festlegen. Dies entspricht jedoch nicht der gängigen Praxis und ist daher nicht zu empfehlen.
Benutzerkennwortsynchronisation mit anderen SGN Clients
Dieses Feld steuert die Synchronisierung bei Änderung des Kennworts durch Benutzer, die auf mehreren SafeGuard Enterprise Endpoints arbeiten und als Benutzer eingetragen sind. Folgende Optionen stehen zur Verfügung:
  • Langsam (sobald Benutzer sich anmeldet)

    Ändert ein Benutzer sein Kennwort auf einem SafeGuard Enterprise Endpoint, so muss dieser Benutzer sich auf anderen Endpoints, auf denen er als Benutzer eingetragen ist, zunächst noch einmal mit seinem alten Kennwort an der SafeGuard Power-on Authentication anmelden. Erst dann wird die Kennwortsynchronisation durchgeführt

  • Schnell (sobald der Computer eine Verbindung hergestellt hat)

    Ändert der Benutzer sein Kennwort auf einem SafeGuard Enterprise Endpoint, so wird die Kennwortsynchronisierung mit einem anderen Endpoint, auf dem er als Benutzer eingetragen ist, durchgeführt, sobald der andere Endpoint eine Verbindung mit dem Server hergestellt hat. Dies erfolgt zum Beispiel dann, wenn sich ein anderer Benutzer, der ebenfalls auf dem Endpoint als Benutzer eingetragen ist, in der Zwischenzeit an diesem Endpoint anmeldet.