Richtlinien für AD-Passwörter festlegen


    Tags: , ,

    Die Passwort-Richtlinien im Gruppenrichtlinien-EditorDer Domänen-Administrator kann einen entscheidenden Einfluss darauf nehmen, welche Passwörter in der Domäne verwendet werden können, wie oft sie gewechselt werden müssen und welche Richtlinien dabei gelten.

    Dabei geht es nicht nur um naheliegende Festlegungen wie Länge und Komplexität der Passwörter, sondern auch um erweiterte Optionen wie etwa die, dass die Benutzer Wechsel-Richtlinien für Passwörter nicht einfach durch Rotation immer der gleichen drei Kennwörter umgehen können.

    Gruppenrichtlinien: Hier legt man die Passwort-Richtlinien fest

    Die Passwort-Richtlinien im Gruppenrichtlinien-EditorDie Passwort-Richtlinien finden sich in den Gruppenrichtlinien in der Computer-Konfiguration unter Windows-Einstellungen ⇒ Sicherheits­einstellungen ⇒ Kontorichtlinien ⇒ Kennwortrichtlinien. Für die Festlegung von Passwort-Richtlinien gibt es wichtige Besonderheiten: Sie wirken nur auf Domänenebene und daher sollte ein entsprechendes GPO direkt der Domain zugewiesen werden. Folgende 6 Richtlinien legen die Qualität der Benutzer­pass­wörter fest und haben damit Einfluss auf die Sicherheit der Domäne.

    Kennwort muss Komplexitätsvoraussetzungen entsprechen

    Diese Richtlinie erzwingt bei Aktivierung folgende Regeln für neue, von Benutzern erstellte Passwörter:

    • Das Passwort muss mindestens 6 Zeichen lang sein,
    • muss aus den 4 Kategorien Großbuchstaben, Kleinbuchstaben, Ziffern und Sonderzeichen mindestens 3 verwenden und
    • darf weder den Kontonamen noch mehr als 2 aufeinanderfolgende Zeichen des Klarnamens des Benutzers enthalten.

    Insbesondere letzterer Punkt kann zu Supportanfragen führen, wenn er nicht deutlich genug kommuniziert wurde. Interessant an dieser Richtlinie ist, dass sie auf den ersten Blick zwar streng scheint, Konstrukte wie „Pa$$w0rd“ jedoch nicht verhindert, so dass Benutzer durchaus innovative Klar-Passwörter mit verfremdeten Zeichen ersinnen können.

    Kennwortchronik erzwingen

    Diese Richtlinie kann, wenn sie aktiviert ist, einen Wert zwischen 0 und 24 erhalten. Das ist die Anzahl der ehemaligen Passwörter, die zu einem Konto gespeichert werden und die der Benutzer nicht wieder verwenden darf. Sie verhindert eine Rotation mit wenigen Passwörtern beziehungsweise legt einen Mindestwert für die Anzahl rotierender Passwörter fest.

    Kennwörter mit umkehrbarer Verschlüsselung speichern

    Diese Richtlinie stellt eine Abschwächung der Voreinstellung dar und erlaubt es Anwendungen, aus dem verschlüsselt abgelegten Passwort eines Benutzers das Passwort selbst zu berechnen.

    Das ist genauso unsicher, als wenn das Passwort im Klartext abgelegt würde und sollte nur aktiviert werden, wenn Anwendungen zwingend das Passwort im Klartext brauchen und diese Anforderung über den Sicherheitsanforderungen steht.

    Beispiele sind etwa alte Windows-Anmeldetechniken wie CHAP-Authentifizierung an den Internet­authenti­fi­zierungs­diensten über Remotezugriff.

    Maximales Kennwortalter

    Zeit, nachdem die Benutzer ihr Passwort wechseln müssen. Sie soll die Zeit begrenzen, die Spionen zur Verfügung steht, um ein Benutzerkennwort zu knacken und außerdem sicherstellen, dass ein einmal ausgespähtes Passwort nicht für immer verwertbar ist. Stellt man die Einstellung auf 0, wird die Richtlinie damit abgeschaltet.

    Windows Server 2008 R2 warnt sich anmeldende Benutzer, wenn der die Zeit bis zum Zwangswechsel des Passwortes 30 Tage oder weniger ist. Das maximale Kennwortalter ist mit Sicherheit eine der unbeliebtesten Einstellungen und sollte mit Fingerspitzengefühl und im Dialog mit den Benutzern festgelegt und gegebenenfalls angepasst werden. Ihre Sicherheitsvorteile sind dahin, wenn Nutzer ihr mit aufgeschriebenen Passwörtern, Passwort-Rotation oder ähnlichen Maßnahmen begegnen.

    Minimales Kennwortalter

    Legt die Zeit fest, wie lange Benutzer sein Passwort verwenden muss, bevor er es wieder wechseln darf.

    Im Zusammenspiel mit der Kennwortchronik erreicht man so, dass die Benutzer sich wirklich neue Passwörter ausdenken müssen und die Chronik nicht einfach durch x-maligen Hintereinander-Wechsel des Passwortes aushebeln. Ein Wert von 0 erlaubt es, sein Passwort sofort wieder zu ändern.

    Minimale Kennwortlänge

    Legt die Mindestlänge für Benutzerpasswörter unabhängig von der Komplexitätseinstellung fest. Diese Richtlinie sollte unbedingt verwendet werden, um Dinge wie leere und extrem kurze Passwörter zu verhindern.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Andreas Kroschel

    Andreas Kroschel ist Buchautor und Verfasser von Fachartikeln zu Hardware, Windows und Linux sowie IT-Sicherheit. Er arbeitete als Redakteur unter anderem für BYTE Deutschland und die PC-Welt.

    Verwandte Beiträge

    Weitere Links