Minimale Passwortlänge: Default Domain Policy versus Set-ADDefaultDomainPasswordPolicy

    Authentifizierung über Username und PasswortWindows 10 2004 bringt eine neue Ein­stellung für die Gruppen­richtlinien, die erlaubt, die minimale Länge von Kenn­wörtern auf einen größeren Wert als 14 zu konfi­gurieren. Dies war auch bisher schon über PowerShell möglich. Die ebenfalls neue Audit-Richtlinie meldet aber Konflikte zwischen den beiden Mecha­nismen.

    Höhere Vorgabewerte für die minimale Passwortlänge sind eine Voraussetzung, wenn Administratoren die Verwendung von Passphrasen durchsetzen möchten. Dabei handelt es sich um eine Folge mehrerer Wörter oder um ganze Sätze, die sich die Benutzer leichter merken als lange Kennwörter. In Kombination mit den Komplexitäts­anforderungen bieten sie eine hohe Sicherheit.

    Fine-grained Password Policies ohne Limit

    In Windows-Domänen ließ sich eine derartige Richtlinie mit einer Fine-grained Password Policy auch schon bisher umsetzen. Eine solche lässt sich aber nicht einer OU oder Domäne zuweisen, sondern nur an Sicherheits­gruppen im Active Directory.

    Fine-grained Password Policies kennen das Limit von 14 Zeichen für die Mindestlänge von Kennwörtern nicht.

    Um die Anforderungen an Kennwörter flächen­deckend zu definieren, enthält in den meisten Umgebungen die Default Domain Policy entsprechende Einstellungen. Möchte man im GPO-Editor dort den Wert für die minimale Passwort­länge hochsetzen, dann war bisher bei 14 Zeichen Schluss.

    Aktiviert man hingegen die mit Windows 10 2004 hinzugekommene Einstellung Kennwort­längen­beschränkung lockern, dann lässt der Gruppen­richtlinien­verwaltungs-Editor einen Wert bis maximal 128 Zeichen zu.

    Neue Einstellungen, um die minimale Länge von Passwörtern zu erhöhen und diese Maßnahme zu überwachen.

    Limit von 14 bleibt für ältere OS-Versionen

    Wenn man das GPO danach auf einer älteren Version von Windows erneut bearbeitet, dann gilt wieder das gewohnte Limit von 14 Zeichen, selbst wenn man die Einstellung zuvor auf einen höheren Wert hochgesetzt hat.

    Auch wenn der Wert bereits höher eingestellt ist, kann der GPO-Editor in älteren OS-Versionen maximal 14 Zeichen konfigurieren.

    Die Richtlinie für längere Kennwörter greift aber nichts­destotrotz auch auf älteren Systemen, so dass Benutzer sie bei einem Wechsel des Passworts einhalten müssen.

    MinPasswordLength mit PowerShell setzen

    Noch verwirrender wird die Situation, wenn man die standard­mäßige Passwort­richtlinie für die Domäne mit dem Cmdlet Set-ADDefaultDomainPasswordPolicy ändert. Auch hier lässt sich ein höherer Wert als 14 einstellen:

    Set-ADDefaultDomainPasswordPolicy -MinPasswordLength 16 -Identity contoso.de

    Erwartungsgemäß zeigt in diesem Beispiel ein Aufruf von

    Get-ADDefaultDomainPasswordPolicy

    für MinPasswordLength die Zahl 16.

    Auch mit Set-ADDefaultDomainPasswordPolicy lassen sich für die minimale Passwortlänge höhere Werte als 14 festlegen.

    Das gilt aber auch für den GPO-Editor, der beim erneuten Laden des Gruppen­richtlinien­objekts diesen Wert enthält. Mehr als 14 Zeichen konfigurieren kann er aber wieder nur in Windows 10 2004 mit aktivierter Einstellung Kennwort­längen­beschränkung lockern.

    Daraus könnte man den Schluss ziehen, dass die neue Richtlinie nur dazu dient, den GPO-Editor in die Lage zu versetzen, eine Mindestlänge für Kennwörter von mehr als 14 Zeichen zu konfigurieren.

    Auditing der Passwortlänge

    Eine weitere neue Einstellung im aktuellen Release von Windows 10 namens Überwachung der Mindest­passwortlänge veranlasst, dass das System Ereignisse im Zusammenhang mit längeren Kennwörtern mitschreibt. In ihrer Einstellung heißt es:

    Wenn diese Einstellung definiert und größer als die minimale Passwortlänge ist und die Länge eines neuen Konto­passworts kleiner als diese Einstellung ist, wird ein Überwachungs­ereignis ausgegeben.

    Die entsprechenden Einträge finden sich im System-Log, man kann sie mittels PowerShell so auslesen:

    Get-WinEvent -ProviderName Microsoft-Windows-Directory-Services-SAM

    Ein Eintrag im Eventlog legt nahe, dass sich ohne die neue Einstellung keine längeren Passwörter erzwingen lassen.

    Hat man mit PowerShell einen Wert größer als 14 konfiguriert, aber unter Windows 10 2004 die neue Einstellung für längere Kennwörter nicht aktiviert, dann findet sich unter der ID 16979 folgende Meldung:

    Die Domäne ist falsch konfiguriert mit einer MinimumPasswordLength-Einstellung, die größer als 14 ist, während RelaxMinimum­Password­LengthLimits entweder undefiniert oder deaktiviert ist.

    HINWEIS: Bis dies korrigiert ist, erzwingt die Domäne die kleinere MinimumPasswordLength-Einstellung 14.

    In der Praxis stellte sich jedoch heraus, dass Windows beim Wechsel des Passworts weiterhin die Minimallänge erwartete, die in der Default Domain Password Policy eingetragen und größer war als 14. Die neue Richtlinie scheint mithin keine Voraussetzung dafür zu sein, längere Passwörter über die Default Domain Password Policy zu erzwingen.

    Keine Kommentare