Richtlinien für AD-Passwörter festlegen

Die Passwort-Richtlinien finden sich in den Gruppenrichtlinien in der Computer-Konfiguration unter Windows-Einstellungen ⇒ Sicherheits­einstellungen ⇒ Kontorichtlinien ⇒ Kennwortrichtlinien. Für die Festlegung von Passwort-Richtlinien gibt es wichtige Besonderheiten: Sie wirken nur auf Domänenebene und daher sollte ein entsprechendes GPO direkt der Domain zugewiesen werden. Folgende 6 Richtlinien legen die Qualität der Benutzer­pass­wörter fest und haben damit Einfluss auf die Sicherheit der Domäne.

Kennwort muss Komplexitätsvoraussetzungen entsprechen

Diese Richtlinie erzwingt bei Aktivierung folgende Regeln für neue, von Benutzern erstellte Passwörter:

• Das Passwort muss mindestens 6 Zeichen lang sein,
• muss aus den 4 Kategorien Großbuchstaben, Kleinbuchstaben, Ziffern und Sonderzeichen mindestens 3 verwenden und
• darf weder den Kontonamen noch mehr als 2 aufeinanderfolgende Zeichen des Klarnamens des Benutzers enthalten.

Insbesondere letzterer Punkt kann zu Supportanfragen führen, wenn er nicht deutlich genug kommuniziert wurde. Interessant an dieser Richtlinie ist, dass sie auf den ersten Blick zwar streng scheint, Konstrukte wie „Pa$$w0rd“ jedoch nicht verhindert, so dass Benutzer durchaus innovative Klar-Passwörter mit verfremdeten Zeichen ersinnen können.

Kennwortchronik erzwingen

Diese Richtlinie kann, wenn sie aktiviert ist, einen Wert zwischen 0 und 24 erhalten. Das ist die Anzahl der ehemaligen Passwörter, die zu einem Konto gespeichert werden und die der Benutzer nicht wieder verwenden darf. Sie verhindert eine Rotation mit wenigen Passwörtern beziehungsweise legt einen Mindestwert für die Anzahl rotierender Passwörter fest.

Kennwörter mit umkehrbarer Verschlüsselung speichern

Diese Richtlinie stellt eine Abschwächung der Voreinstellung dar und erlaubt es Anwendungen, aus dem verschlüsselt abgelegten Passwort eines Benutzers das Passwort selbst zu berechnen.

Das ist genauso unsicher, als wenn das Passwort im Klartext abgelegt würde und sollte nur aktiviert werden, wenn Anwendungen zwingend das Passwort im Klartext brauchen und diese Anforderung über den Sicherheitsanforderungen steht.

Beispiele sind etwa alte Windows-Anmeldetechniken wie CHAP-Authentifizierung an den Internet­authenti­fi­zierungs­diensten über Remotezugriff.

Maximales Kennwortalter

Zeit, nachdem die Benutzer ihr Passwort wechseln müssen. Sie soll die Zeit begrenzen, die Spionen zur Verfügung steht, um ein Benutzerkennwort zu knacken und außerdem sicherstellen, dass ein einmal ausgespähtes Passwort nicht für immer verwertbar ist. Stellt man die Einstellung auf 0, wird die Richtlinie damit abgeschaltet.

Windows Server 2008 R2 warnt sich anmeldende Benutzer, wenn der die Zeit bis zum Zwangswechsel des Passwortes 30 Tage oder weniger ist. Das maximale Kennwortalter ist mit Sicherheit eine der unbeliebtesten Einstellungen und sollte mit Fingerspitzengefühl und im Dialog mit den Benutzern festgelegt und gegebenenfalls angepasst werden. Ihre Sicherheitsvorteile sind dahin, wenn Nutzer ihr mit aufgeschriebenen Passwörtern, Passwort-Rotation oder ähnlichen Maßnahmen begegnen.

Minimales Kennwortalter

Legt die Zeit fest, wie lange Benutzer sein Passwort verwenden muss, bevor er es wieder wechseln darf.

Im Zusammenspiel mit der Kennwortchronik erreicht man so, dass die Benutzer sich wirklich neue Passwörter ausdenken müssen und die Chronik nicht einfach durch x-maligen Hintereinander-Wechsel des Passwortes aushebeln. Ein Wert von 0 erlaubt es, sein Passwort sofort wieder zu ändern.

Minimale Kennwortlänge

Legt die Mindestlänge für Benutzerpasswörter unabhängig von der Komplexitätseinstellung fest. Diese Richtlinie sollte unbedingt verwendet werden, um Dinge wie leere und extrem kurze Passwörter zu verhindern.