Flexible Security for Your Peace of Mind

Active Directory reversible Verschlüsselung erklärt

Wenn Sie Kennwortrichtlinien in Active Directory verwaltet oder sich die lokalen Richtlinien im Windows-Client-Betriebssystem angesehen haben, ist Ihnen vielleicht eine interessante Einstellung im Abschnitt Kontorichtlinien (Security Policy Setting) aufgefallen. Die Einstellung lautet “Kennwörter mit reversibler Verschlüsselung speichern” (Store password using reversible encryption). Worum handelt es sich bei dieser Einstellung, und warum sollten Sie sie verwenden?

Passwörter mit reversiblen Verschlüsselungseinstellungen speichern

Was bedeutet die Einstellung “Kennwörter mit reversibler Verschlüsselung speichern”?

“Kennwörter mit reversibler Verschlüsselung speichern” ist eine Richtlinieneinstellung in Active Directory, die bestimmt, ob Kennwörter mit umkehrbarer Verschlüsselung gespeichert werden. Sie speichert die Kennwörter unter Verwendung eines umkehrbaren Verschlüsselungsschemas, das während des Authentifizierungsprozesses angegeben werden kann. Active Directory unterstützt ältere Anwendungen, die Kennwörter im Klartext benötigen, um zu funktionieren.

Diese Richtlinie ist bei der Verwendung einiger Anwendungen von Drittanbietern erforderlich, am häufigsten jedoch bei der CHAP-Authentifizierung (Challenge-Handshake Authentication Protocol) über Fernzugriff oder Internet Authentication Services (IAS). Sie ist auch bei der Verwendung der Digest-Authentifizierung in den Internet-Informationsdiensten (IIS) erforderlich.

Warum sollten Sie die reversible Verschlüsselung von Active Directory aktivieren?

Die Richtlinieneinstellung kann für Anwendungen gelten, die Protokolle verwenden, die die Kenntnis des Benutzerkennworts im Klartext erfordern. Standardmäßig ist der Kennwortverlauf des Benutzers nicht umkehrbar verschlüsselt, es gibt jedoch einige Anwendungsfälle, die eine umkehrbare Verschlüsselung erfordern. Um einige Anwendungen und deren Authentifizierung zu unterstützen, erlaubt Microsoft die Speicherung von Kennwörtern mit umkehrbarer Verschlüsselung, da diese die Kenntnis der Benutzerkennwörter erfordern.

Es gibt eine Reihe von Anwendungsfällen, in denen diese Einstellung beispielsweise in Active Directory aktiviert werden kann:

  • Challenge Handshake Authentication Protocol (CHAP) für Fernzugriff oder Internet Authentication Services (IAS)
  • Internet-Informationsdienste (IIS) Digest-Authentifizierung
  • Ausführen von Specops Password Policy auf Active Directory

Angesichts der oben genannten Anwendungsfälle sollten Unternehmen diese Einstellung mit größter Sorgfalt behandeln, da ihre Aktivierung erhebliche Sicherheitsauswirkungen hat.

Es wird dringend empfohlen, dass Unternehmen die umkehrbare Verschlüsselung nur dann aktivieren, wenn sie sicher sind, dass ihre Domänencontroller sicher sind.

Überlegungen zur Aktivierung und Deaktivierung der reversiblen Verschlüsselung

Wenn Ihre Organisation diese Einstellung in Active Directory aktivieren muss, sind einige Richtlinien zu beachten. Dazu gehören:

  1. Stellen Sie sicher, dass die Aktivierung der Einstellung für Ihr Unternehmen notwendig ist.
  2. Verwenden Sie die Gruppenrichtlinie, um die Einstellung auf bestimmte Benutzer granular anzuwenden und nicht auf Domänenebene für alle.
  3. Wenn Sie die Einstellung aktivieren und dann deaktivieren, werden standardmäßig nur neue Kennwörter mit Einwegverschlüsselung gespeichert. Bestehende Kennwörter werden mit umkehrbarer Verschlüsselung gespeichert, bis sie geändert werden.

Erhöhen der Stärke von Active Directory-Kennwörtern

Unternehmen müssen sicherstellen, dass sie über wirksame Kennwortrichtlinien für Active Directory verfügen. Neben der Befolgung von Best-Practice-Empfehlungen gibt es weitere Faktoren, die die Passworthygiene in der IT-Umgebung verbessern können. Dazu gehören die Überprüfung der Netzwerkumgebung auf kompromittierte Passwörter und die proaktive Überwachung dieser Passwörter.

Specops Password Policy bietet Unternehmen die Werkzeuge, die sie benötigen, um ihre Passwortsicherheit zu erhöhen und sich vor bereits kompromittierten Passwörtern zu schützen.

Konfiguration von Breached Password Protection in Specops Password Policy

Möchten Sie gerne mehr darüber erfahren, wie Specops Password Policy in Ihrer Organisation zu mehr IT-Sicherheit beitragen kann?

Dann vereinbaren Sie noch heute einen unverbindlichen Termin mit unseren Experten.

(Zuletzt aktualisiert am 19/10/2023)

Zurück zum Blog

© 2024 Specops Software. All rights reserved.

Wir setzen auf unserer Webseite Cookies und andere Technologien ein, um Ihnen den vollen Funktionsumfang unseres Angebotes anzubieten. Sie können auch zu Analysezwecken gesetzt werden. Durch die weitere Nutzung unserer Webseite erklären Sie sich mit dem Einsatz von Cookies einverstanden. Weitere Informationen, auch zur Deaktivierung der Cookies, finden Sie in unserer Datenschutzerklärung.

Zur Datenschutzerklärung

OK