Neue Einstellung ändert das NTLM-Netzwerkauthentifizierungsverhalten

  • Artikel

In diesem Artikel wird das neue Verhalten beschrieben, das sich auf NTLM-Kennwortänderungen auswirkt, und wie Sie dieses Verhalten mithilfe einer Registrierung ändern können.

Gilt für: Windows Server 2012 R2
Ursprüngliche KB-Nummer: 906305

Einführung

Ab Microsoft Windows Server 2003 Service Pack 1 (SP1) gibt es eine Änderung des NTLM-Netzwerkauthentifizierungsverhaltens. Domänenbenutzer können ihr altes Kennwort verwenden, um eine Stunde lang auf das Netzwerk zuzugreifen, nachdem das Kennwort geändert wurde. Vorhandene Komponenten, die für die Verwendung von Kerberos für die Authentifizierung konzipiert sind, sind von dieser Änderung nicht betroffen.

Das Ziel dieser Änderung besteht darin, hintergrundprozessen wie Diensten die Ausführung für einige Zeit zu ermöglichen, bis ein Administrator die Möglichkeit hat, die Anmeldeinformationen für das neue Kennwort zu aktualisieren.

NTLM-Netzwerkauthentifizierungsverhalten

Um den Netzwerkzugriff für die NTLM-Netzwerkauthentifizierung in verteilten Umgebungen zuverlässig zu unterstützen, sieht das NTLM-Netzwerkauthentifizierungsverhalten wie folgt aus:

  • Nachdem ein Domänenbenutzer erfolgreich ein Kennwort mithilfe von NTLM geändert hat, kann das alte Kennwort weiterhin für den Netzwerkzugriff für einen vom Benutzer definierbaren Zeitraum verwendet werden. Dieses Verhalten ermöglicht Es Konten, z. B. Dienstkonten, die auf mehreren Computern angemeldet sind, auf das Netzwerk zuzugreifen, während die Kennwortänderung weitergegeben wird.
  • Die Verlängerung der Kennwortgültigkeitsdauer gilt nur für den Netzwerkzugriff mithilfe von NTLM. Das Interaktive Anmeldeverhalten bleibt unverändert. Dieses Verhalten gilt nicht für Konten, die auf eigenständigen Servern oder auf Mitgliedsservern gehostet werden. Nur Domänenbenutzer sind von diesem Verhalten betroffen.
  • Die Lebensdauer des alten Kennworts kann durch Bearbeiten der Registrierung auf einem Domänencontroller konfiguriert werden. Es ist kein Neustart erforderlich, damit diese Registrierungsänderung wirksam wird.

Ändern der Lebensdauer eines alten Kennworts

Wichtig

Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Sie können die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie unter Sichern und Wiederherstellen der Registrierung in Windows.

Um die Lebensdauer eines alten Kennworts zu ändern, fügen Sie dem folgenden Registrierungsunterschlüssel auf einem Domänencontroller einen DWORD-Eintrag mit dem Namen OldPasswordAllowedPeriod hinzu:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Gehen Sie dazu wie folgt vor:

  1. Klicken Sie auf Start und dann auf Ausführen, geben Sie „regedit“ ein und klicken Sie auf OK.

  2. Klicken Sie auf den folgenden Registrierungsunterschlüssel:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

  3. Zeigen Sie im Menü Bearbeiten auf Neu, und klicken Sie anschließend auf DWORD-Wert.

  4. Geben Sie OldPasswordAllowedPeriod als Namen des DWORD ein, und drücken Sie dann die EINGABETASTE.

  5. Klicken Sie mit der rechten Maustaste auf OldPasswordAllowedPeriod, und klicken Sie dann auf Ändern.

  6. Geben Sie im Feld Wertdaten den Wert in Minuten ein, den Sie verwenden möchten, und klicken Sie dann auf OK.

    Hinweis

    Die Lebensdauer ist in Minuten festgelegt. Wenn dieser Registrierungswert nicht festgelegt ist, beträgt die Standardlebensdauer für ein altes Kennwort 60 Minuten.

  7. Schließen Sie den Registrierungs-Editor.

Hinweis

Diese Registrierungseinstellung erfordert keinen Neustart, um wirksam zu werden.

Dieses Verhalten verursacht keine Sicherheitsschwäche. Solange nur ein Benutzer beide Kennwörter kennt, wird der Benutzer weiterhin mit einem der beiden Kennwörter sicher authentifiziert.

Wenn bekannt ist, dass das Kennwort eines Benutzers kompromittiert ist, sollte der Administrator das Kennwort für diesen Benutzer zurücksetzen. Der Administrator sollte den Benutzer bitten, das Kennwort bei der nächsten Anmeldung so zu ändern, dass das alte Kennwort so bald wie möglich ungültig wird.

Führen Sie die folgenden Schritte aus, um das Kennwort eines Benutzers zurückzusetzen:

  1. Starten Sie "Active Directory-Benutzer und -Computer".
  2. Suchen Sie das Benutzerkonto, dessen Kennwort zurückgesetzt werden muss.
  3. Klicken Sie mit der rechten Maustaste auf das Benutzerobjekt, und klicken Sie dann auf Kennwort zurücksetzen.
  4. Geben Sie das neue Kennwort in das Feld Neues Kennwort und in das Feld Kennwort bestätigen ein.
  5. Aktivieren Sie das Kontrollkästchen Benutzer muss Kennwort bei der nächsten Anmeldung ändern , und klicken Sie dann auf OK.

Hinweis

Das in diesem Artikel beschriebene Verhalten tritt nur auf, wenn für die effektive Kennwortrichtlinie auf den Domänencontrollern Kennwortverlauf erzwingen auf einen Wert festgelegt ist, der angibt, dass mindestens zwei Kennwörter gespeichert werden. Die Kennwortrichtlinie sollte auf Domänenebene festgelegt werden. Mithilfe des Snap-Ins Secpol.msc können Sie ermitteln, ob die Richtlinie auf den Domänencontrollern wirksam wurde.