Die Änderung von Windows-Kennwörtern bei gleichzeitiger Nutzung von Online Services wie Office 365
Die Kennwörter der ActiveDirectory (AD) werden auch in Online Diensten verwendet. Insbesondere Office 365 kann hier eine Hürde darstellen, wenn diese Produkte in Verbindung mit einem VPN-Tunnel (HomeOffice) verwendet werden. Es empfiehlt sich dann folgendes Vorgehen zur Kennwort-Änderung.
Änderung des Passwortes ohne aktiven VPN, direkt im Netzwerk bei MSP
- Alle Anwendungen auf dem lokalen PC schließen.
- STRG-ALT-ENTF drücken und das Kennwort ändern
Siehe auch weiter unten: Tipps wie man ein sicheres Passwort erstellt.
- Nun einmal vom Rechner abmelden.
- Neu anmelden und fertig.
Änderung des Passwortes mit aktivem VPN, z.B. im HomeOffice
- Alle Anwendungen auf dem lokalen PC schließen, den Tunnel aber noch bestehen lassen.
WICHTIG: Die Ab- und spätere Anmeldung in Word, an Office 365 muss ohne bestehenden Tunnel erfolgen! - Word starten und unter Datei / Konto oben links auf Abmelden klicken:
- Word jetzt schließen
- STRG-ALT-ENTF drücken und das Kennwort ändern
Siehe auch weiter unten: Tipps wie man ein sicheres Passwort erstellt. - Nun einmal vom Rechner abmelden (der Tunnel beendete sich automatisch)
- ACHTUNG: vor dem Login den VPN-Tunnel starten, dabei ist das neue Kennwort zu verwenden.
Hier ist eine Anleitung, wie man den Tunnel vor dem Windows Login startet: Checkpoint IPSec-Client - An Windows mit dem neuen Kennwort anmelden - noch keine Anwendungen starten!
Achtung: Es kann sein, dass Teams automatisch startet. Bitte in der Taskleiste auf das Teams-Symbol mit der RECHTEN Maustaste klicken und Teams beenden:
- Den Tunnel noch einmal trennen: In der Taskleiste auf das Icon des VPN Clients rechts klicken und den Tunnel trennen:
- Word starten und mit den neuen Zugangsdaten anmelden. Word fragt direkt in einem Dialog nach der E-Mail-Adresse und ggf. nach dem neuen Kennwort. Danach sollte das dann unter Datei / Konto wieder gut aussehen:
- Word beenden
- Vom PC abmelden
- Neu anmelden, am VPN anmelden und fertig.
Was muss noch beachtet werden?
Das zentrale Windows Kennwort wird an vielen Stellen verwendet. Daher muss im Nachgang nochmal kontrolliert werden, welche Anwendung und welche App nicht funktioniert. Hier eine nicht abschließende Liste:
- Anwendungen im Browser
- Jira
- Confluence
- Intranet
- Apps auf dem Smartphone
- Office Apps, Outlook, OneDrive, etc.
- MSP ServiceApp
Allgemeines zur Einrichtung von Kennwörtern
Der richtige Umgang mit Zugangsdaten (insbesondere Passwörter) ist eine effektive Schutzmaßnahme, die alle betrifft. Daher sind Passwörter generell sicher zu gestalten. Das war schon immer wichtig, wird aber immer wichtiger.
Damit das Kennwort als sicher eingestuft werden kann, sind die folgenden Regeln bei der Einrichtung von Passwörtern einzuhalten:
- Das Passwort muss mindestens eine Länge von 10 Stellen aufweisen.
- Die Passwörter müssen jeweils mindestens ein Zeichen der folgenden Zeichenklassen enthalten:
- Großbuchstaben des lateinischen Alphabets
- Kleinbuchstaben des lateinischen Alphabets
- Ziffern
- Sonderzeichen
- Ein Passwort darf nicht zwei aufeinanderfolgende Buchstaben des jeweiligen Benutzernamens (Initialen) enthalten.
- Passwörter müssen so gewählt werden, dass sie nicht erraten werden können. Unzulässig sind beispielsweise Namen oder Vornamen, Geburtsdaten oder Kfz-Nummernschilder, Telefonnummern oder vergleichbare Daten aus dem persönlichen Umfeld sowie Wörter, die üblicherweise in einem Wörterbuch (Sprach- oder Fachwörterbuch) zu finden sind. Triviale Passwörter sind unzulässig.
- Die vorgenannten Negativbeispiele dürfen auch dann nicht verwendet werden, wenn diese um Präfixe oder Suffixe ergänzt werden. Beispielsweise gilt das Passwort "geheim" auch dann noch als schwach, wenn man daraus "$Geheim12" macht: In diesem Beispiel wurde die obige Regel gebrochen, dass keine Begriffe aus einem Wörterbuch verwendet werden dürfen.
Für unterschiedliche Dienste und Programme sind, sofern möglich, unterschiedliche Zugangsdaten zu nutzen.
Passwörter zur Anmeldung am Arbeitsplatz oder an Systemen sind personenbezogen. Sie sind damit in keinem Fall an andere weiterzugeben. Dies gilt auch für eine etwaige Weitergabe an externe Dienstleister.
Notizzettel mit Passwörtern dürfen in keinem Fall an Monitoren, unter der Tastatur oder anderswo ohne angemessenen Zugriffsschutz angebracht oder aufbewahrt werden.
Eine unverschlüsselte Speicherung von Passwörtern bzw. Zugangsdaten ist untersagt. Für die Speicherung sollte ein verschlüsselter Passwortmanager verwendet werden. Rückfragen hierzu beantwortet die IT-Abteilung.
Bei der Eingabe von Passwörtern oder sonstigen Zugangsdaten ist darauf zu achten, dass kein Unbefugter Kenntnis darüber erlangen kann. Beispielsweise sollte sichergestellt werden, dass niemand das Eingabefeld einsehen kann (vergleichbar mit den üblicherweise für die Zahlung mit EC-Karte geltenden Sicherheitsvorkehrungen). Auf die Eingabe ist zu verzichten, solange die Einsichtnahme durch Unbefugte nicht ausgeschlossen werden kann.
Für Anwendungen Dritter, die passwortgeschützt sind und von mehreren Mitarbeitern genutzt werden, ist ein Verantwortlicher zu benennen, der das Passwort ändert, wenn beispielsweise Dritte Kenntnis davon erlangt haben könnten. Die Organisation der Passwortvergabe obliegt den Abteilungsleitern, die hier in der Verantwortung stehen.
Bei der Vergabe von Initialpasswörtern für Mitarbeiter oder Kunden ist darauf zu achten, dass diese unverzüglich geändert werden. Browsereinstellungen sind so zu konfigurieren, dass Passwörter nicht unverschlüsselt gespeichert werden.
Praxistipp zur Findung von sicheren Kennwörtern
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Empfehlung veröffentlicht, wie ein sicheres Passwort zu gestalten ist:
ACHTUNG: Nicht dieses Kennwort aus dem Beispiel verwenden! (Das haben viele schon gemacht 
).
Alternativ kann ein Passwortgenerator verwendet werden.