Tags: Sicherheit, Active Directory, Authentifizierung
Der Domänen-Administrator kann einen entscheidenden Einfluss darauf nehmen, welche Passwörter in der Domäne verwendet werden können, wie oft sie gewechselt werden müssen und welche Richtlinien dabei gelten.
Dabei geht es nicht nur um naheliegende Festlegungen wie Länge und Komplexität der Passwörter, sondern auch um erweiterte Optionen wie etwa die, dass die Benutzer Wechsel-Richtlinien für Passwörter nicht einfach durch Rotation immer der gleichen drei Kennwörter umgehen können.
Gruppenrichtlinien: Hier legt man die Passwort-Richtlinien fest
Die Passwort-Richtlinien finden sich in den Gruppenrichtlinien in der Computer-Konfiguration unter Windows-Einstellungen ⇒ Sicherheitseinstellungen ⇒ Kontorichtlinien ⇒ Kennwortrichtlinien. Für die Festlegung von Passwort-Richtlinien gibt es wichtige Besonderheiten: Sie wirken nur auf Domänenebene und daher sollte ein entsprechendes GPO direkt der Domain zugewiesen werden. Folgende 6 Richtlinien legen die Qualität der Benutzerpasswörter fest und haben damit Einfluss auf die Sicherheit der Domäne.
Kennwort muss Komplexitätsvoraussetzungen entsprechen
Diese Richtlinie erzwingt bei Aktivierung folgende Regeln für neue, von Benutzern erstellte Passwörter:
- Das Passwort muss mindestens 6 Zeichen lang sein,
- muss aus den 4 Kategorien Großbuchstaben, Kleinbuchstaben, Ziffern und Sonderzeichen mindestens 3 verwenden und
- darf weder den Kontonamen noch mehr als 2 aufeinanderfolgende Zeichen des Klarnamens des Benutzers enthalten.
Insbesondere letzterer Punkt kann zu Supportanfragen führen, wenn er nicht deutlich genug kommuniziert wurde. Interessant an dieser Richtlinie ist, dass sie auf den ersten Blick zwar streng scheint, Konstrukte wie „Pa$$w0rd
“ jedoch nicht verhindert, so dass Benutzer durchaus innovative Klar-Passwörter mit verfremdeten Zeichen ersinnen können.
Kennwortchronik erzwingen
Diese Richtlinie kann, wenn sie aktiviert ist, einen Wert zwischen 0 und 24 erhalten. Das ist die Anzahl der ehemaligen Passwörter, die zu einem Konto gespeichert werden und die der Benutzer nicht wieder verwenden darf. Sie verhindert eine Rotation mit wenigen Passwörtern beziehungsweise legt einen Mindestwert für die Anzahl rotierender Passwörter fest.
Kennwörter mit umkehrbarer Verschlüsselung speichern
Diese Richtlinie stellt eine Abschwächung der Voreinstellung dar und erlaubt es Anwendungen, aus dem verschlüsselt abgelegten Passwort eines Benutzers das Passwort selbst zu berechnen.
Das ist genauso unsicher, als wenn das Passwort im Klartext abgelegt würde und sollte nur aktiviert werden, wenn Anwendungen zwingend das Passwort im Klartext brauchen und diese Anforderung über den Sicherheitsanforderungen steht.
Beispiele sind etwa alte Windows-Anmeldetechniken wie CHAP-Authentifizierung an den Internetauthentifizierungsdiensten über Remotezugriff.
Maximales Kennwortalter
Zeit, nachdem die Benutzer ihr Passwort wechseln müssen. Sie soll die Zeit begrenzen, die Spionen zur Verfügung steht, um ein Benutzerkennwort zu knacken und außerdem sicherstellen, dass ein einmal ausgespähtes Passwort nicht für immer verwertbar ist. Stellt man die Einstellung auf 0, wird die Richtlinie damit abgeschaltet.
Windows Server 2008 R2 warnt sich anmeldende Benutzer, wenn der die Zeit bis zum Zwangswechsel des Passwortes 30 Tage oder weniger ist. Das maximale Kennwortalter ist mit Sicherheit eine der unbeliebtesten Einstellungen und sollte mit Fingerspitzengefühl und im Dialog mit den Benutzern festgelegt und gegebenenfalls angepasst werden. Ihre Sicherheitsvorteile sind dahin, wenn Nutzer ihr mit aufgeschriebenen Passwörtern, Passwort-Rotation oder ähnlichen Maßnahmen begegnen.
Minimales Kennwortalter
Legt die Zeit fest, wie lange Benutzer sein Passwort verwenden muss, bevor er es wieder wechseln darf.
Im Zusammenspiel mit der Kennwortchronik erreicht man so, dass die Benutzer sich wirklich neue Passwörter ausdenken müssen und die Chronik nicht einfach durch x-maligen Hintereinander-Wechsel des Passwortes aushebeln. Ein Wert von 0 erlaubt es, sein Passwort sofort wieder zu ändern.
Minimale Kennwortlänge
Legt die Mindestlänge für Benutzerpasswörter unabhängig von der Komplexitätseinstellung fest. Diese Richtlinie sollte unbedingt verwendet werden, um Dinge wie leere und extrem kurze Passwörter zu verhindern.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- KrbRelayUp: Domänen-Controller gegen Angriffe auf Resource-based constrained Delegation absichern
- Netlogon: Domänen-Controller verweigern Verbindung zu unsicheren Geräten
- Im Test: AD-Passwörter im Self Service zurücksetzen mit Specops uReset
- SpecOps Password Policy: Sichere Passwörter für das Active Directory
- Kennwörter und Passwortrichtlinien im AD überprüfen mit Specops Password Auditor
Weitere Links