Konfigurieren der Kennwort- und Kontosperrrichtlinie im VMware Host Client

Für ESXi-Hosts müssen Sie ein Kennwort mit vordefinierten Anforderungen verwenden. Mithilfe der erweiterten Option Security.PasswordQualityControl können Sie die erforderliche Kennwortlänge und Zeichenklassenanforderungen ändern oder Passphrasen zulassen. Sie können auch die Anzahl der Kennwörter festlegen, die für jeden Benutzer gespeichert werden soll. Verwenden Sie dazu die erweiterte Option Security.PasswordHistory. Mit der erweiterten Option Security.PasswordMaxDays können Sie die maximale Anzahl an Tagen zwischen Kennwortänderungen festlegen.

Hinweis: Führen Sie nach Änderungen an den Einstellungen für das Standardkennwort immer zusätzliche Tests durch.

Wenn Sie sich mit falschen Anmeldedaten anmelden, wird über die Kontosperrrichtlinie festgelegt, wann und wie lange Ihr Konto im System gesperrt wird.

ESXi-Kennwörter

ESXi erzwingt Kennwortanforderungen für den Zugriff.

Wenn Sie ein Kennwort erstellen, müssen darin standardmäßig Zeichen aus drei der vier folgenden Zeichenklassen enthalten sein: Kleinbuchstaben, Großbuchstaben, Ziffern und Sonderzeichen, wie z. B. Unter- oder Schrägstriche.
Das Kennwort muss standardmäßig aus mindestens 7 und maximal 40 Zeichen bestehen.
Kennwörter dürfen kein Wort aus einem Wörterbuch und keinen Teil eines Worts aus einem Wörterbuch enthalten.
Kennwörter dürfen den Benutzernamen oder Teile des Benutzernamens nicht enthalten.

Hinweis:

Wenn ein Kennwort mit einem Großbuchstaben beginnt, wird dieser bei der Berechnung der verwendeten Zeichenklassen nicht berücksichtigt. Endet ein Kennwort mit einer Ziffer, wird diese bei der Berechnung der verwendeten Zeichenklassen ebenfalls nicht berücksichtigt.

Beispiel für ESXi-Kennwörter

Die folgenden Beispielkennwörter veranschaulichen potenzielle Kennwörter, wenn die Option wie folgt festgelegt ist:

retry=3 min=disabled,disabled,disabled,7,7

Mit dieser Einstellung wird ein Benutzer bis zu drei Mal (retry=3) zur Eingabe eines neuen Kennworts aufgefordert, wenn ein Kennwort nicht ausreichend stark ist oder das Kennwort zweimal nicht korrekt eingegeben wurde. Kennwörter mit einer oder zwei Zeichenklassen und Kennwortsätzen sind nicht zulässig, da die ersten drei Elemente deaktiviert sind. Kennwörter mit drei oder vier Zeichenklassen erfordern sieben Zeichen.

Die folgenden Kennwortkandidaten erfüllen die Kennwortanforderungen:

xQaTEhb!: Enthält acht Zeichen aus drei Zeichenklassen.
xQaT3#A: Enthält sieben Zeichen aus vier Zeichenklassen.

Die folgenden Kennwortkandidaten erfüllen nicht die Kennwortanforderungen:

Xqat3hi: Beginnt mit einem Großbuchstaben, sodass nur zwei anstelle von drei Zeichenklassen berücksichtigt werden. Mindestens drei Zeichenklassen müssen vorhanden sein.
xQaTEh2: Endet mit einer Ziffer, sodass nur zwei anstelle von drei Zeichenklassen berücksichtigt werden. Mindestens drei Zeichenklassen müssen vorhanden sein.

Kennwortqualitätskontrolle

Sie können die Qualität von Kennwörtern mithilfe der erweiterten Option Security.PasswordQualityControl steuern.

Security.PasswordQualityControl besteht aus mehreren Einstellungen mit folgendem Muster:

retry=N min=N0,N1,N2,N3,N4 max=N passphrase=N similar=permit|deny


Einstellungen für die Kennwortqualitätskontrolle	Beschreibung	Standard
`retry=N`	Die Häufigkeit, mit der der Benutzer ein neues Kennwort angeben muss, wenn das Kennwort falsch oder nicht ausreichend stark ist.	`retry=3`
`min=N0,N1,N2,N3,N4`	Zeichenklasse und geforderte Mindestlänge der Passphrase. `N0` ist die Mindestlänge von Kennwörtern aus einer einzelnen Zeichenklasse. `N1` ist die Mindestlänge von Kennwörtern aus zwei Zeichenklassen. `N2` ist die Mindestlänge für eine Passphrase. `N3` ist die Mindestlänge für drei Zeichenklassen. `N4` ist die Mindestlänge für vier Zeichenklassen. Sie können disabled verwenden, um ein Kennwort mit der angegebenen Anzahl an Zeichenklassen nicht zuzulassen.	`min=disabled,disabled,disabled,7,7`
`max=N`	Die maximal zulässige Kennwortlänge.	`max=40`
`passphrase=N`	Die Anzahl der Wörter, die für eine Passphrase erforderlich sind. Um sicherzustellen, dass die `passphrase` erkannt wird, legen Sie `N2` in der Einstellung `min` nicht auf disabled fest.	`passphrase=3`
`similar=permit\|deny`	Gibt an, ob ein Kennwort dem alten Kennwort ähneln darf. Stellen Sie zur Verwendung dieser Einstellung sicher, dass Sie die Option Security.PasswordHistory auf einen Wert ungleich null festlegen.	`similar=deny`

ESXi-Passphrase

Anstelle eines Kennworts können Sie eine Passphrase verwenden. Passphrasen sind standardmäßig deaktiviert. Sie können die Standardeinstellung mithilfe der erweiterten Option Security.PasswordQualityControl ändern.

Beispielsweise können Sie diese Option wie folgt ändern.

retry=3 min=disabled,disabled,16,7,7

In diesem Beispiel sind Passphrasen mit mindestens 16 Zeichen zulässig. Die Passphrase muss aus mindestens 3 Wörtern bestehen, die durch Leerzeichen getrennt sind.

Beispiel für Kennwortverlauf und Rotationsrichtlinie

Um einen Verlauf von 5 Kennwörtern zu speichern, legen Sie die Option Security.PasswordHistory auf 5 fest.

Um eine 90-tägige Richtlinie für die Kennwortrotation zu erzwingen, legen Sie die Option Security.PasswordMaxDays auf 90 fest.

ESXi-Kontosperrrichtlinie

Benutzer werden nach einer vorher festgelegten Anzahl von aufeinanderfolgenden Fehlversuchen gesperrt. Standardmäßig werden Benutzer nach fünf aufeinanderfolgenden Fehlerversuchen innerhalb von drei Minuten gesperrt. Ein gesperrtes Konto wird automatisch nach 15 Minuten wieder entsperrt. Sie können die maximal zulässige Anzahl an Fehlversuchen und den Zeitraum, in dem das Benutzerkonto gesperrt wird, mithilfe der erweiterten Optionen Security.AccountLockFailures und Security.AccountUnlockTime ändern.

Führen Sie die folgenden Schritte aus, um die Administratorkennwörter und das Kontosperrungsverhalten zu konfigurieren.

Prozedur

Klicken Sie in der VMware Host Client-Bestandsliste auf Verwalten und anschließend auf Erweiterte Einstellungen.

Option	Aktion
Konfigurieren Sie die erforderliche Kennwortlänge und die geforderte Zeichenklasse oder lassen Sie Passphrasen zu.	Geben Sie `Security.PasswordQualityControl` im Textfeld Suchen ein und klicken Sie auf das Symbol Suchen. Klicken Sie mit der rechten Maustaste auf Security.PasswordQualityControl und wählen Sie Option bearbeiten im Dropdown-Menü aus.
Konfigurieren der Anzahl der für jeden Benutzer zu speichernden Kennwörter	Geben Sie `Security.PasswordHistory` im Textfeld Suchen ein und klicken Sie auf das Symbol Suchen. Klicken Sie mit der rechten Maustaste auf Security.PasswordHistory und wählen Sie Option bearbeiten im Dropdown-Menü aus. Hinweis: Mit dem Wert „0“ wird der Kennwortverlauf deaktiviert.
Konfigurieren der maximalen Anzahl an Tagen zwischen Kennwortänderungen	Geben Sie `Security.PasswordMaxDays` im Textfeld Suchen ein und klicken Sie auf das Symbol Suchen. Klicken Sie mit der rechten Maustaste auf Security.PasswordMaxDays und wählen Sie Option bearbeiten im Dropdown-Menü aus.
Konfigurieren der Anzahl der fehlgeschlagenen Anmeldeversuche, die bis zur Sperrung zulässig sind	Geben Sie `Security.AccountLockFailures` im Textfeld Suchen ein und klicken Sie auf das Symbol Suchen. Klicken Sie mit der rechten Maustaste auf Security.AccountLockFailures und wählen Sie Option bearbeiten im Dropdown-Menü aus. Hinweis: Mit dem Wert „0“ wird das Sperren von Konten deaktiviert.
Konfigurieren Sie den Zeitraum, während dem das Konto des Benutzers gesperrt ist	Geben Sie `Security.AccountUnlockTime` im Textfeld Suchen ein und klicken Sie auf das Symbol Suchen. Klicken Sie mit der rechten Maustaste auf Security.AccountUnlockTime und wählen Sie Option bearbeiten im Dropdown-Menü aus.

Das Dialogfeld Option bearbeiten wird geöffnet.

Geben Sie im Textfeld Neuer Wert die neue Einstellung ein.
Klicken Sie auf Speichern.
(Optional) Um die Schlüsseleinstellung auf den Standardwert zurückzusetzen, klicken Sie mit der rechten Maustaste auf den entsprechenden Schlüssel in der Liste und wählen Sie Auf Standardeinstellung zurücksetzen aus.