Flexible Security for Your Peace of Mind

Best-Practices für die Implementierung von Specops Password Policy

Die Einführung einer neuen Passwortrichtlinie ohne entsprechenden Umsetzungsplan ist ein Garant für Desaster. Um zu vermeiden, dass Chaos bei Ihrem Service Desk oder IT-Team ausbricht sollten Sie verhindern, dass alle User zur gleichen Zeit gezwungen werden, ihre Passwörter zu ändern. Obwohl jedes Unternehmen anders ist, hat Darren James, Senior Product Manager bei Specops, ein paar bewährte Vorgehensweisen zusammengestellt, die er jedem empfehlen würde, der die Umstellung auf Specops Password Policy plant.

Ziel der Einführung von neuen Passwortrichtlinien ist es, dass alle Mitarbeiter ihr Kennwort gemäß der neuen Richtlinie anpassen – und dass es sich dabei nicht um ein kompromittiertes Passwort handelt. Allerdings gibt es ein paar Dinge zu beachten, bevor das Ziel erreicht ist:

  • Wird es mehr als eine Passwortrichtlinie geben?
  • Wollen Sie Benutzer mit kompromittierten Passwörtern vor dem Rollout angehen?
  • Haben Sie einen bestimmten Zeitrahmen vor Augen – müssen Ablaufdaten angepasst werden?
  • Wo befinden sich Ihre Benutzer und welche Geräte werden verwendet?
  • Haben Sie ein Verfahren, mit dem Benutzer Ihre Passwörter in Eigenregie zurücksetzen können?

Für allgemeine Ratschläge zur Erstellung einer neuen Passwortrichtlinie finden Sie hier einige Tipps und Best Practices. Alle Vorraussetzungen erfüllt? Dann erfahren Sie in den folgenden Abschnitten, wie Sie Specops Password Policy in Ihrer Organisation integrieren können.

Mehrere Kennwortrichtlininen managen

In vielen Unternehmen werden mehrere Kennwortrichtlinien gefordert. Zum Beispiel könnten verschiedene Richtlinien für Endbenutzer, Administratoren und Servicekonten erforderlich sein. Einige davon müssen möglicherweise bestimmten Vorschriften wie PCI oder HIPAA entsprechen. Wenn Sie also Ihre Richtlinien ausgearbeitet haben, müssen Sie sicherstellen, dass Sie sie auf die richtigen Benutzer anwenden können.
Da wir bei Specops Password Policy Gruppenrichtlinien für die Verwaltung und Konfiguration verwenden, können wir dies durch die Verknüpfung von Group Policy Objects (GPOs) mit einer Organizational Unit (OU) erreichen. Von dort aus können Sie Security-Filter und GPOs nutzen. So können Sie z. B. mehrere Benutzertypen in derselben OU haben, dann aber die Sicherheitsfilterung und/oder den Vorrang von GPOs verwenden, um sicherzustellen, dass die richtige Richtlinie auf den richtigen Benutzer angewendet wird. Wenn Sie nicht wollen, dass die Richtlinien sofort angewendet werden, können Sie GPOs erstellen und dann die Verknüpfungen deaktivieren.

Kompromittierte Passwörter aufdecken

Sie wollen sich erstmal um die kompromittierten Passwörter in Ihrem Active Directory kümmern, bevor Sie Specops Password Policy einführen? Mit dem Specops Password Auditor erhalten Sie eine erste Übersicht über alle Benutzer, die bereits kompromittierte Passwörter benutzen, was einen ersten Ansatzpunkt bietet. Solche Benutzer sind in der Regel eine gute Option für Ihre Testgruppe für den Rollout (wenn Betriebsräte und Datenschützer zustimmen), da Sie von den Personen, die am meisten betroffen sind, Feedback zu Ihren neuen Richtlinien erhalten.

Eine erste Übersicht zu Benutzerkonten, die kompromittierte Passwörter nutzen.

Wenn möglich, dann sollten Sie diese Zielgruppe auch nutzen, um Ihren Leitfaden zu den neuen Richtlinien zu reviewen. Denken Sie daran, die Inhalte einfach und leicht verständlich zu halten. Wenn sie von einer kurzen, komplexen Passwortrichtlinie (z. B. acht Zeichen mit einer Mischung aus Zahlen, Kleinbuchstaben, Großbuchstaben und einem Sonderzeichen) zu einfacheren, aber längeren Passphrasen wechseln, wird dies ein gewisser Kulturschock sein und sich von den Richtlinien unterscheiden, die sie in der Vergangenheit befolgen mussten.
Bedenken Sie auch, dass Specops Password Auditor nur einen Bruchteil (1 Milliarde einzigartige kompromittierte Passwörter) der gesamten Specops-Datenbank (über 4 Milliarden einzigartige kompromittierte Passwörter) verwendet. Doch der Vorteil des Audits ist, dass er nur wenige Augenblicke in Anspruch nimmt.
Alternativ können Sie auch die Continuous Scanning-Funktion von Specops Password Policy mit Breached Password Protection nutzen, die die vorhandenen Active Directory-Passwörter Ihrer Benutzer mit unserer kompletten Datenbank abgleicht und einen umfassenderen Bericht erstellt. Dies wird wahrscheinlich weitere Benutzer entdecken, allerdings nimmt dieser Scan mehr Zeit in Anspruch.

Specops Password Auditor Reports
Schlummern kompromittierte Kennwörter In Ihrem Active Directory? Jetzt kostenlos überprüfen!

Gestaffelter Rollout der neuen Richtlinien

Vielleicht möchten Sie die Einführung innerhalb eines bestimmten Zeitrahmens abschließen, vielleicht vor dem nächsten Pentest oder Audit. Dies könnte zu einen Konflikt mit den Zeiträumen führen, in denen einige (oder viele) Nutzer ihre Passwörter ändern müssen. Manche Unternehmen haben sogar Passwörter, die nie ablaufen. In diesem Fall gibt es einige Strategien, die Sie anwenden können. Hier finden Sie eine kurze Anleitung zum Ändern des pwdlastset-Attributs, wenn Sie Hilfe beim Ablauf von Kennwörtern benötigen. Außerdem erklären wir in diesem Blogbeitrag, wie Sie Passwörter an einem bestimmten Tag in der Zukunft für einige oder alle Ihre Benutzer ablaufen lassen können.

Sollten Sie sich dafür entscheiden, empfehlen wir Ihnen auf jeden Fall, als Benachrichtigung zum Ablauf von Kennwörtern die E-Mail Funktion zu nutzen, die Teil Ihrer Specops Password Policy Lösung ist. Außerdem hilft Ihnen auch hier der Specops Password Auditor mit einem Bericht darüber, welche Passwörter in bis zu einem Jahr ablaufen – dies kann dabei helfen, herauszufinden, welche User Sie zuerst kontaktieren sollten. Wenn z.B. eine Gruppe von Passwörtern in den nächsten Tagen oder Wochen ohnehin abläuft, warum nicht die neue Richtlinie zuerst auf diese Benutzer anwenden? Für Benutzer, deren Kennwörter noch lange nicht ablaufen, weil sie sie erst kürzlich geändert haben, könnte es frustrierend sein, sie so bald wieder ändern zu müssen – diese könnten Sie bis zum nächsten Termin warten.

Telearbeit, Remote-Standorte und unterschiedliche Geräte

Wenn Sie Specops Authentication Client auf jedem Windows-Client und -Server installieren können, der Ihren Benutzern einen Desktop präsentiert, wie z.B. normale Windows 10/11 Laptops, Server, Terminalserver/Citrix und andere Windows VDI-Systeme, ist das ideal. Der Specops Authentication Client gibt Ihren Anwendern bei der Vergabe des neuen Passwortes direkt Feedback dazu, welche Punkte der neuen Passwortrichtlinie zu beachten sind. Es empfiehlt sich, den Client möglichst vor der Einführung Ihrer neuen Richtlinie zu installieren, da er sowohl mit den Standardsettings von Microsoft als auch mit Ihren neuen Richtlinien funktioniert. So können Sie die Nachfragen bei Ihrem Service Desk dank klarer Anweisungen wirkungsvoll reduzieren.

Klare Kommunikation der Richtlinien und Kriterien mit dem Specops Authentication Client

Auch der Standort Ihrer Benutzer, an dem Sie sie auffordern, ihre Kennwörter zu ändern, ist ein wichtiger Faktor.
Kommen alle Benutzer irgendwann an eine Unternehmensstandort zurück, dann ist es ziemlich einfach. Sie haben alle “Sichtverbindung” zu einem Domänencontroller (DC) und werden bei der nächsten Anmeldung an ihrem domänenverbundenen Windows-Gerät aufgefordert, ihr Kennwort zu ändern. Wenn sie jedoch kein domänenverbundenes Windows-Gerät verwenden (z. B. Mac, iOS, Android, Chromebook, Linux oder einen PC oder Laptop, der nur mit einer Entra-ID verbunden ist), ist der Specops-Client nicht installiert und sie erhalten keine Aufforderung zur Passwortänderung.
Eine weitere Sache, die bei Remote-Usern beachtet werden muss. Selbst wenn sie domänenverbundene Geräte haben, werden sie nicht zur Änderung aufgefordert, wenn Sie kein “Always on VPN” haben, das die Verbindung zu Ihren DCs herstellt. Diese Endbenutzer werden auch auf alle möglichen Probleme mit zwischengespeicherten Zugangsdaten stoßen – das Ändern ihres Kennworts bei der nächsten Anmeldung wird schwierig und verwirrend sein, um das Mindeste zu sagen. Hier kann ein Self-Service Password Reset System sehr hilfreich sein.

Self-Service Password Reset

Falls Sie über eine externe SSPR-Lösung verfügen, kann diese bei den im vorherigen Abschnitt erwähnten Geräten helfen, die nicht dauerhaft mit der Domain verbunden sind. Allerdings sollten Sie bedenken, dass Ihre Benutzer kein Feedback über den Specops Authentication Client erhalten, wenn es sich nicht um Specops uReset handelt, und dass nur Specops uReset in der Lage ist, die zwischengespeicherten Zugangsdaten auf einem Remote-Laptop zu aktualisieren. Wir empfehlen Ihnen, einen Hinweis in Ihre Benachrichtigungen aufzunehmen, dass der Benutzer das SSPR-System verwenden sollte, um seine Passwörter zu ändern, oder zu warten, bis er das nächste Mal vor Ort ist, bevor er versucht, das Passwort zu ändern.

Wie können wir Ihnen weiterhelfen?

Die in diesem Beitrag vorgestellten Best Practices sind bewusst sehr allgemein gehalten, da jede Organisation anders ist. Wenn Sie jedoch spezielle Fragen zu Ihren individuellen Anforderungen haben, stehen Ihnen unsere Experten jederzeit zur Verfügung.

Das gehört zu unserem Service – zögern Sie also nicht, sich mit uns in Verbindung zu setzen und ein Gespräch zu vereinbaren, um Ihre spezifischen Anforderungen zu besprechen.

NIST 800 Anforderungen an Passwortsicherheit
Kompromittierte Kennwörter In Ihrer externen Angriffsfläche? Jetzt kostenloses Assessment vereinbaren!

(Zuletzt aktualisiert am 22/10/2024)

Zurück zum Blog