Wir setzen auf unserer Webseite Cookies und andere Technologien ein, um Ihnen den vollen Funktionsumfang unseres Angebotes anzubieten. Sie können auch zu Analysezwecken gesetzt werden. Durch die weitere Nutzung unserer Webseite erklären Sie sich mit dem Einsatz von Cookies einverstanden. Weitere Informationen, auch zur Deaktivierung der Cookies, finden Sie in unserer Datenschutzerklärung.
Active-Directory-Gruppenrichtlinien: Wie lassen sich die IT-Grundschutzanforderungen umsetzen?
Im IT-Grundschutz-Kompendium des BSI (Bundesamt für Sicherheit in der Informationstechnik) findet sich der Begriff Passwort 858 mal, wenn man alle Varianten mitzählt. Das zeigt, welchen Stellenwert die Bundesbehörde Passwörtern zuteilt. In unserem Blogartikel zu den BSI-Passwortrichtlinien haben wir die Anforderungen des BSI in puncto Umgang mit Passwörtern und der geforderten Passwortstärke bereits genauer beleuchtet. In diesem Beitrag wollen wir einen Blick darauf werfen, inwieweit sich solche Passwortanforderungen mit den Bordmitteln, die Active Directory (AD) mitbringt, umsetzen lassen – genauer gesagt mit AD-Gruppenrichtlinien.
Welche Passwortanforderungen erhebt das IT-Grundschutzkompendium?
Die wesentlichen Anforderungen an das Erstellen und den Umgang sowie die Stärke von Passwörtern finden sich im Baustein ORP (Organisation und Personal). Dieser Baustein berücksichtigt – Nomen est Omen – vor allem organisatorische und personelle Aspekte bei der Implementierung eines IT-Sicherheitskonzepts. Eine zentrale Forderung ist dabei die Erstellung eines Authentisierungskonzepts, das die Funktions- und Sicherheitsanforderungen für jedes IT-System und jede Anwendung definiert (ORP.4.A12).
Anforderungen des IT-Grundschutzkompendiums an die Benutzenden zum Umgang, zur Weitergabe und Speicherung von Passwörtern haben wir im oben genannten Blogbeitrag betrachtet. Hier wollen wir uns auf die Anforderungen an die Passwörter selbst konzentrieren. Diese sind:
- Die Qualität der Passwörter muss ihrem Einsatzzweck und Schutzbedarf entsprechen. Dabei muss ein Passwort so komplex sein, dass es nicht leicht zu erraten ist. Es sollte aber auch nicht zu kompliziert sein, damit Benutzende es mit vertretbarem Aufwand regelmäßig verwenden können, ohne auf unsichere „Merktechniken“ wie etwa einen Passwort-Sticker unter der Tastatur zurückgreifen zu müssen (ORP.4.A22).
- Leicht zu erratende Passwörter bzw. Passwörter, die in gängigen Passwortlisten geführt werden, dürfen nicht genutzt werden (ORP.4.A8).
- Für jedes IT-System bzw. jede Anwendung muss ein einzigartiges Passwort verwendet werden (ORP.4.A8). Passwörter dürfen also nicht mehrfach verwendet werden.
- Es müssen Maßnahmen ergriffen werden, um die Kompromittierung von Passwörtern zu erkennen. Ist dies nicht möglich, sollten Passwörter in gewissen Abständen gewechselt werden (ORP.4.A23).
- Standardpasswörter müssen durch ausreichend starke Passwörter ersetzt werden. Vordefinierte Kennungen müssen geändert werden (ORP.4.A23).
- Ein Passwort muss gewechselt werden, wenn es unautorisierten Personen bekannt geworden ist oder der Verdacht dazu besteht (ORP.4.A8).
- Nach einem Passwortwechsel dürfen alte Passwörter nicht mehr genutzt werden (ORP.4.A23).
Was sind Gruppenrichtlinien?
In Microsoft Active Directory sind Gruppenrichtlinien ein Tool zur zentralen benutzer- oder computerspezifischen Verwaltung bestimmter Funktionen, Dienste oder Rechte. Insbesondere sind sie ein Werkzeug, um Sicherheitsanforderungen für Benutzeranmeldungen und Passwörter umzusetzen. Einstellungen für bestimmte Nutzergruppen oder Computer werden dabei in den Gruppenrichtlinienobjekten (Group Policy Objects, GPO) vorgenommen. Diese werden über den Gruppenrichtlinienverwaltungs-Editor (Group Policy Management Editor) erstellt und angepasst. Alternativ kann dies auch per PowerShell geschehen. Bei Bedarf können mehrere verschiedene GPOs addiert werden. Allerdings beeinflusst die Anzahl der zu verarbeitenden GPOs die Systemperformance, weshalb so viele Einstellungen wie möglich in ein Gruppenrichtlinienobjekt zusammengefasst werden sollten. Das setzt eine sorgfältige Planung voraus – auch hinsichtlich der Umsetzung der Passwortrichtlinien.
Welche Passwort-Sicherheitseinstellungen bieten die Gruppenrichtlinien?
Im Gruppenrichtlinienverwaltungs-Editor finden sich die Sicherheitseinstellungen für Passwörter unter der Computer- bzw. User Configuration in den Account Policies der Windows Settings.

Hier können Sie folgende Sicherheitseinstellungen vornehmen:
- Kennwort muss Komplexitätsanforderungen entsprechen (Password must meet complexity requierements) verhindert Passwörter, die den Kontonamen des Benutzers oder Teile des vollständigen Namens des Benutzers enthalten. Zudem müssen Passwörter mindestens sechs Zeichen lang sein und Zeichen aus mindestens drei unterschiedlichen Kategorien (Großbuchstaben, Kleinbuchstaben, Zahlen von 0-9, Sonderzeichen, spezielle Unicode-Zeichen z. B. asiatischer Sprachen) beinhalten.
- Kennwortchronik erzwingen (Enforce password history) ermöglicht das Speichern einer konfigurierbaren Anzahl bereits genutzter Passwörter, um zu verhindern, dass Benutzer ein Kennwort erstellen, das bereits verwendet wurde.
- Kennwörter mit umkehrbarer Verschlüsselung speichern (Store passwords using reversible encryption) ermöglicht die Speicherung mit (während der Authentisierung) umkehrbarer Verschlüsselung zur Unterstützung von Anwendungen, die Passwörter im Klartext benötigen.
- Kennwortlängenbeschränkungen lockern (Relax minimum password length limits) ermöglicht eine Erhöhung der Mindestlänge für Passwörter über die traditionelle Grenze von 14 Zeichen hinaus.
- Maximales Kennwortalter (Maximum password age) ermöglicht die Festlegung des maximalen Passwortalters.
- Minimales Kennwortalter (Minimum password age) ermöglicht es, eine Mindest-Zeitspanne festzulegen, bevor Benutzer ein Passwort ändern können.
- Minimale Kennwortlänge (Minimum password length) ermöglicht die Festlegung einer Mindestlänge für das Passwort (für mehr als 14 Zeichen muss „Kennwortlängenbeschränkungen lockern“ aktiviert sein).
- Mit Überwachung der Mindestpasswortlänge (Minimum password length audit) kann die Mindestlänge des Kennworts festgelegt werden, bei der eine Warnung zur Länge des gewählten Passworts ausgegeben wird.
In den Gruppenrichtlinien gibt es drei grundsätzliche Konfigurationsmodi: Mit Enabled (aktiviert) wird die jeweilige Einstellung auf das Zielobjekt angewendet, Disabled (deaktiviert) aktiviert die entsprechende Standardeinstellung des Betriebssystems und Not Defined (nicht konfiguriert) aktiviert die lokale Einstellung des Clients. Differenzierte Richtlinien für unterschiedliche Benutzergruppen lassen sich mit den Fine Grained Password Policies (FGPPs) umsetzen.
Welche IT-Grundschutzanforderungen lassen sich in den Gruppenrichtlinien umsetzen?
Mit den Einstellungen Minimale Kennwortlänge und Kennwort muss Komplexitätsanforderungen entsprechen können die IT-Grundschutzanforderungen an die Komplexität und Länge der Passwörter umgesetzt werden. Das Verbot, alte Passwörter erneut zu verwenden, lässt sich per Kennwortchronik erzwingen durchsetzen.
Allerdings sind nicht alle IT-Grundschutzanforderungen mit den Bordmitteln der Gruppenrichtlinien umsetzbar – auch die FGPPs helfen hier nicht weiter. So können beispielsweise leicht zu erratende Passwörter wie „Password123“ oder etwa Passwörter, die auf dem Unternehmensnamen basieren, nicht verhindert werden, da sich die „Komplexitätsanforderungen“ nicht im Detail konfigurieren lassen. Zudem kann mit den Sicherheitseinstellungen in den Gruppenrichtlinien nicht verhindert werden, dass bei einem Passwortwechsel alte Passwörter inkrementell verändert werden, indem etwa verwendete Zahlenwerte erhöht werden (z. B. 2B8a9#Zy statt 1B8a9#Zy).
Schwierig wird es auch, wenn Passwörter, die in gängigen Passwortlisten (Datenbanken kompromittierter Passwörter) geführt sind, verhindert oder kompromittierte Passwörter aufgespürt werden sollen. Es stellt sich daher die Frage, wie Sie auch diese Anforderungen des IT-Grundschutzes umsetzen können, die nicht von den Sicherheitseinstellungen der Gruppenrichtlinien abgedeckt werden.
Passwortfilter-DLLs
Wo die Gruppenrichtlinien an ihre Grenzen kommen, können benutzerdefinierte Passwortfilter helfen. Passwortfilter-DLLs sind dynamische Verknüpfungsbibliotheken, die in LSA (Local Security Authority) von Windows integriert werden. Mit ihnen ist es möglich, spezifische Anforderungen und Regeln zu definieren, die über die Standard-Sicherheitseinstellungen hinausgehen. So können bestimmte Zeichen, Zeichenfolgen oder Begriffe – etwa der Unternehmensname, Produktnamen oder oft genutzte Zeichenfolgen wie 12345 – ausgeschlossen werden. Auch die Verwendung von kompromittierten Passwörtern lässt sich durch Verknüpfung mit einschlägigen Datenbanken verhindern.
Allerdings erfordert das Erstellen von Passwortfilter-DLLs einiges an Vorarbeit und speziellem Know-how. Ist ein Passwortfilter nicht korrekt konfiguriert, kann er nicht nur das System ausbremsen, sondern schlimmstenfalls dazu führen, dass Kennwörter von Benutzern offengelegt werden, anstatt sie zu schützen. Hier gilt es also, mit Vorsicht zu Werke zu gehen – oder Passwort-Tools zu nutzen, die detaillierte, komfortable Sicherheitseinstellungen auf Basis von professionell vorkonfigurierten Passwortfilter-DLLs ermöglichen (siehe unten).
Einen Einblick in die Programmierung von Passwortfiltern inkl. Beispielcode finden Sie bei Microsoft. Sie können auch vorkonfigurierte Passwortfilter-DLLs aus dem Internet herunterladen, womit die oben angesprochenen Risiken minimiert, aber nicht ausgeschlossen werden. Zudem erfordert auch die Anwendung und Registrierung von vorkonfigurierten Passwortfiltern ein gewisses Know-how.
Passwort-Tools
Eine einfachere und sichere Alternative bieten spezielle Passwort-Tools, mit denen auch die IT-Grundschutzanforderungen umgesetzt werden können, die nicht durch die Gruppenrichtlinien abgedeckt werden. So können Sie beispielsweise Ihr Active Directory mit Specops Password Auditor auf mehrfach verwendete und kompromittierte Passwörter prüfen. Mit Specops Password Policy blockieren Sie Kennwörter mit bestimmten Zeichenfolgen und auch inkrementell veränderte Passwörter; darüber hinaus scannt das Tool Ihr AD kontinuierlich auf kompromittierte Passwörter und ermöglicht detaillierte Sicherheitseinstellungen etwa der Passwortlänge und Passwortkomplexität.

Autor
Torsten Krüger
Torsten Krüger ist seit mehr als 20 Jahren Spezialist für Content-Marketing und Presse bei der B2B-Content-Marketing-Agentur ucm. Dort und als freier Autor schreibt er vor allem zu Themen aus den Bereichen IT, Energie, Elektrotechnik, Medical/Healthcare, Maschinenbau und Musik.
(Zuletzt aktualisiert am 04/02/2025)