Kennwörter und Passwortrichtlinien im AD überprüfen mit Specops Password Auditor

Schwache und leicht zu erratende Passwörter sind ein will­kommenes Ein­fallstor für Angreifer. Auch wenn Admini­stratoren über Richt­linien im Active Directory triviale Kenn­wörter aus­schließen, ist es ratsam, die Konten regel­mäßig auf Passwort­sicherheit zu prüfen. Dieser Aufgabe dient der kosten­lose Specops Password Auditor.

Microsoft bezeichnet Passwörter gerne als ein Relikt aus der Vergangenheit und arbeitet nach eigenem Bekunden daran, sie als Verfahren zur Authen­tifizierung von Benutzern zu eliminieren. Die Hürden für eine pass­wortlose Anmeldung sind in der Praxis jedoch noch relativ hoch. So erfordert etwa Hello for Business ein Premium-Abo von Azure AD sowie die Konfiguration von Azure MFA.

Gerade kleineren Unternehmen ist der Aufwand für das Einrichten einer solchen Hybrid-Cloud-Umgebung oft zu groß. Unabhängig davon ist es nicht sinnvoll, schwache Passwörter zu tolerieren, nur weil man diese mittels MFA durch einen zweiten Faktor absichert.

Mehrere Password Policies

Administratoren können über Richtlinien im Active Directory festlegen, welchen Anforderungen Passwörter genügen müssen, um akzeptiert zu werden. Allerdings reicht eine Policy dafür häufig nicht aus, wenn etwa Mitarbeiter mit Zugriff auf sensible Daten strengeren Regeln folgen müssen.

Zu diesem Zweck kann der System­verwalter neben der Passwort­richtlinie für die Domäne eine so genannte fine-grained Password Policy für bestimmte User oder Gruppen definieren.

Die Kriterien für solche Richtlinien sollte sich ein Admin nicht unbedingt selbst ausdenken, vielmehr gibt es dafür einschlägige Empfehlungen verschiedener Hersteller und Organisationen.

Weitere Passwortkriterien

Ein Passwort-Management beschränkt sich indes nicht bloß darauf, schwache Kennwörter zu verhindern. Vielmehr geht es dabei auch um die Gültigkeits­dauer von Passwörtern oder darum, Konten zu entdecken, die aufgrund irgendwelcher Sonder­regelungen eine Schwachstelle darstellen.

Diese Aufgabe möchte der schwedische Hersteller Specops mit dem kostenlosen Password Auditor vereinfachen. Es handelt sich dabei um ein Reporting-Tool, das nur lesend auf das Active Directory zugreift.

Eine Prüfung widmet sich den Password Policies. Sie zeigt die Liste der gefundenen Richtlinien mit einigen Einstellungen wie den Typ oder die konfigurierte Gültigkeits­dauer für Kennwörter an. Eine an den Ampelfarben orientierte Markierung bewertet die Stärke der Regel.

Vergleich von Policies mit Empfehlungen

Interessanter sind indes die Erkenntnisse, die man unter Password Policy Compliance gewinnen kann. Hier lassen sich die Richtlinien mit den Empfehlungen anerkannter Organisationen vergleichen, neben Microsoft finden sich dort etwa noch NIST oder SANS Institute. Dabei kann man sich für jede Policy anzeigen lassen, bei welchen Kriterien sie von einer bestimmten Best Practice abweicht.

Ein weiterer Report enthält all jene Konten, die ein leeres Passwort haben. Es liegt auf der Hand, dass diese ein Sicherheits­risiko darstellen, vor allem wenn sie mit entsprechenden Berechtigungen ausgestattet sind.

Report für abgelaufene Kennwörter

Weniger ein Sicherheits­problem als eine Belastung für den Helpdesk können jene User werden, deren Kennwort abgelaufen ist bzw. in Kürze abläuft. Zu diesem Zweck liest Password Auditor die AD-Attribute pwdLastSet, userAccountControl und lastLogonTimestamp aus, um die entsprechenden Infor­mationen zu gewinnen.

Nicht unmittelbar mit der Sicherheit von Passwörtern zu tun hat auch Admin Accounts, das alle gefundenen Konten mit administrativen Rechten anzeigt. Offenbar untersucht das Tool hier nicht nur die Gruppen­mitglied­schaften der Accounts, sondern orientiert sich am Attribut adminCount. Dieses enthält aber oft noch den Wert 1, nachdem ein Konto aus einer Administratoren­gruppe entfernt wurde.

Mehrfach verwendete Passwörter finden

Ein spannendes Feature schließlich ist die Untersuchung der eigentlichen Passwörter. Diese liegen als Hash im Active Directory und sind somit nicht direkt einer Analyse zugänglich. Allerdings ist Password Auditor in der Lage, diese zu vergleichen und so heraus­zufinden, ob ein bestimmtes Kennwort von mehreren Konten verwendet wird.

Hier greift jedoch eine Einschränkung des kostenlosen Tools, indem es die Namen der betroffenen Konten nicht preisgibt, sondern nur deren OU und ihr letztes Anmelde­datum. Die volle Funktionalität erfordert eine Lizenz für die Specops Password Policy Blacklist. Der Hersteller nennt dafür auf seiner Website allerdings keinen Preis.

Mit ein bisschen PowerShell kann man die fehlenden Infos aber weit­gehend ergänzen, indem man die User anhand ihres letzten Anmelde­datums und ihrer OU nach diesem Muster filtert:

$d = (Get-Date "20.10.2015, 15:07:56").ToFileTime().ToString().TrimEnd("0") Get-ADUser -Server MyDC -Filter * -Properties * ` -SearchBase "OU=IT,DC=contoso,DC=de" | ? lastLogontimestamp -like "*$d*" | select name

Nachdem man alle Reports aus dem Password Auditor als CSV exportieren kann, ließe sich die ganze Liste mit etwas Geschick ohne weiteres vervoll­ständigen.

Ebenfalls auf dieser Blacklist beruht schließlich ein weiteres interessantes Feature, nämlich der Abgleich mit einer umfang­reichen Liste von gehackten und im Internet publizierten Passwörtern. Aktiviert man diese Prüfung, dann lädt der Password Auditor erst eine mehrere GB große Datei herunter.

Der Report zeigt anschließend die Konten, welche von diesem Mangel betroffen sind, verschweigt aber wieder deren Namen. Wichtig sind solche Erkenntnisse besonders in Umgebungen, die das AD mit Azure AD synchronisieren. In diesem Fall kämen die Passwörter aus öffentlich kursierenden Listen möglicher­weise auch bei der Authenti­fizierung an Cloud-Services zum Einsatz.

Installation und Verfügbarkeit

Specops Password Auditor kann nach einer Registrierung von der Website des Herstellers herunter­geladen werden. Die Installation des ca. 4MB großen MSI-Pakets ist trivial wie auch die Bedienung des Tools insgesamt.

Beim ersten Start ermittelt es automatisch die Domäne und einen dazugehörigen DC. Mit einem Klick auf Start beginnt es mit dem Scan des Active Directory.

Anschließend repräsentiert es jeden Report in Form einer Kachel auf dem Dashboard. Diese kann man anklicken, um detaillierte Informationen zu erhalten. Die Daten lassen sich, wie bereits erwähnt, bei Bedarf im CSV-Format exportieren.