Sicher bei jedem Login – rund um die Uhr.

Table of Contents

Kostenloses Active-Directory-Audit-Tool

Jetzt ausprobieren
Callout-Box mit gesperrtem Kennwort

Einführung in Active Directory-Listen gesperrter Kennwörter

Table of Contents

Die Cloud-Sicherheit hat sich zu einem Hauptanliegen für Sicherheitsadministratoren entwickelt, da die Popularität von Plattformen zunimmt. Diese Lösungen werden täglich genutzt und hosten eine Vielzahl von Ressourcen, auf die Teams von überall aus sicher zugreifen können müssen. Diese Remote-Laufwerke und -Repositories sind von entscheidender Bedeutung. Sie enthalten Projektdokumentationen, Ökosystemdaten, Kontaktinformationen und Business Intelligence.

Die häufigste erste Verteidigungslinie ist der Anmeldeprozess. Die kennwortgesteuerte Authentifizierung (normalerweise) stellt sicher, dass nur verifizierte Benutzer die Burgmauern durchbrechen können. Keine Methode ist jedoch narrensicher. Die Authentifizierung ist seit Jahrzehnten ein Problem für Anbieter und Teams gleichermaßen.

Verbesserung der Sicherheit

Laufende Auseinandersetzungen zwischen Bequemlichkeit und Festigung haben sich immer auf die Sicherheit ausgewirkt. Wir würden uns zwar alle wünschen, unsere Kennwörter 1234 zu nennen und es dabei zu belassen, aber diese Kennwörter sind schmerzlich vorhersehbar. Das untergräbt die systemische Sicherheit und verschafft böswilligen Akteuren größere Möglichkeiten, Chaos anzurichten.

Ein wachsames Auge wurde auf Windows-basierte Systeme gerichtet, die mit Abstand am beliebtesten sind. Teams, die Windows Server nutzen, sind auch mit Active Directory (AD) vertraut. Administratoren verwenden AD, um Ressourcen und Benutzerberechtigungen zu überwachen. Die Kennwortverwaltung ist daher eine wichtige Komponente – und insbesondere das Blockieren schwacher Kennwörter. Wir werden untersuchen, wie Administratoren ihre Netzwerke über Active Directory absichern.

Active Directory-Listen gesperrter Kennwörter

Active Directory, das jetzt unter dem Dach von Azure firmiert, wird häufig verwendet, um schlechte Kennwörter vollständig zu unterbinden. Die Einstellung der Benutzer zur Sicherheit war in der Vergangenheit nonchalant. Dementsprechend spielt die Benutzerschulung eine wichtige Rolle. Wie reagieren Teams, wenn Benutzer unweigerlich von den Richtlinien abweichen?

Administratoren wissen, dass bestimmte Kennwörter automatisch unantastbar sein sollten. Dazu gehören alle humorvoll-klischeehaften Stammgäste wie password, 1111 und sogar qwerty. So wie Kubernetes-Experten wissen, dass Single-Endpoint-Schwachstellen katastrophal sein können, wissen Systemadministratoren, dass ein schlechtes Kennwort das Kartenhaus zum Einsturz bringen kann.

Normalerweise wird ein Kennwort während der Erstellung „bewertet“, abhängig von seiner alphanumerischen Komplexität bewertet das System seine Stärke. Längere, vielfältige Kennwörter sind in der Regel vorteilhaft. Aus diesem Grund schlagen iCloud Keychain und andere Authentifizierungsmanager hochkomplizierte Kennwörter vor. Sie sind unglaublich schwer zu knacken.

Listen gesperrter Kennwörter bieten eine zusätzliche Schutzebene. Wie geschieht das? Active Directory vergleicht ein potenzielles Kennwort mit Listen gesperrter Kennwörter. Dieses Kennwort wird abgelehnt, wenn es eine Übereinstimmung gibt. Der gleiche Vorgang erfolgt bei Kennwortänderungen und -zurücksetzungen. Benutzer müssen es erneut versuchen, bis die Anforderungen erfüllt sind.

Generieren der Listen

Diese Listen gesperrter Kennwörter werden auf zwei Arten erstellt. Microsoft Entra ID (ehemals Azure Active Directory) führt eine globale Standardliste mit schlechten Kennwörtern. Hier ist keine Administratoraktion erforderlich. Stattdessen identifiziert der AD Identity Protection diese durch kontinuierliche Datenanalyse. Folgendes kann bestimmte Kennwörter verurteilen:

  • Sie sind zu häufig
  • Sie bilden die Grundlage für andere bekannte, schwache Kennwörter (d. h. sie sind Stammwörter)
  • Sie waren an früheren Datenschutzverletzungen beteiligt

Diese globalen Listen basieren auf internen Daten, nicht auf externen Daten. Diese basieren auf Sicherheitstelemetrie, was bedeutet, dass routinemäßige Audits in der gesamten Azure-Infrastruktur und in den Aufzeichnungen durchgeführt werden. Analytische Verfahren von Active Directory-Mitarbeitern kommen allen Benutzern zugute. Das Gleiche gilt für Organisationen. Jeder Enterprise-AD-Benutzer wird als Mandant bezeichnet, und Kennwortregeln werden auf alle Benutzer innerhalb eines Mandanten angewendet.

Diese Listen werden aus Sicherheitsgründen privat gehalten. Darüber hinaus können lokale oder regionale Begriffe für Benutzer weltweit gelten.

Anwenden benutzerdefinierter Regeln

Während sich Unternehmen rein auf globale Listen verlassen können, haben Organisationen manchmal strengere Anforderungen. Es gibt auch viele Schlagworte, die in Organisationen existieren. Produktnamen, Akronyme, Standorte und Terminologie sind Allgemeinwissen. Aus diesem Grund entspricht es nicht den Best Practices, sie in das eigene Kennwort aufzunehmen. Stattdessen sollten sie Ihrem Active Directory-Kennwortwörterbuch hinzugefügt werden, um zu verhindern, dass Benutzer diese allgemein bekannten Begriffe verwenden. Kombinationen und Varianten von Schlüsselbegriffen sind ebenfalls problematisch.

Unternehmen wissen das, weshalb bestimmte Phrasen blockiert werden. Angreifer werden sich zuerst um die am tiefsten hängenden Früchte kümmern, daher ist es an der Zeit, etwas zu beschneiden. Alle benutzerdefinierten Listen werden automatisch mit globalen Listen zusammengeführt.

Allerdings beschränkt Active Directory benutzerdefinierte Listen gesperrter Kennwörter auf 1.000 Einträge. Administratoren müssen entscheiden, welche Begriffe von größter Bedeutung sind. Das bedeutet, die Hacker-Mentalität anzunehmen und genau zu analysieren, welche Kennwörter anfällig sind.

Continuous Scan Password Policy icon
Blockieren Sie kontinuierlich mehr als 5 Milliarden kompromittierte Passwörter in Ihrem Active Directory
Sehen Sie, wie

Kennwort-Spray-Angriffe

Eine gängige Angriffsmethode ist der Spray-Angriff, bei dem eine Handvoll Kennwörter gleichzeitig über zahlreiche Konten hinweg versucht werden. Das Ziel ist nicht, Dutzende von Konten zu kompromittieren, sondern auf diejenigen mit minderwertigem Schutz zuzugreifen. Hacker testen gängige Kennwörter, um dies zu erreichen.

Glücklicherweise können Active Directory-Listen gesperrter Kennwörter diese Bemühungen mit Leichtigkeit vereiteln. Die gleichen Schutzmaßnahmen, die Benutzer vor sich selbst bewahren, können Konten schützen. Wenn diese gängigen Kennwörter nicht im Spiel sind, haben Angreifer keine Munition.

Was ist, wenn mein Setup hybridisiert ist?

Das Beste an Active Directory ist, dass es Setup-agnostisch ist. Sicherheit ist nicht nur für diejenigen unerlässlich, die reine Cloud-Systeme betreiben. Viele Unternehmen unterhalten On-Premises-Komponenten. Der Konfigurationsprozess ist etwas anders; Active Directory erfordert, dass Administratoren Active Directory Domain Services-Agenten auf lokalen Servern installieren.

Da diese Agenten mit AD zusammenarbeiten, unterliegen alle Kennwortänderungen der Prüfung der Liste gesperrter Kennwörter. Die in Azure angewendeten Regeln werden auf das Rechenzentrum ausgedehnt – mit einem Vorbehalt. Die Kennwortstärke ist entscheidend, was bedeutet, dass Kennwörter, die gesperrte Terminologie enthalten, akzeptiert werden können. Das vollständige Kennwort ist potenziell zulässig, wenn es gemäß dem Bewertungssystem stark genug ist.

Was genau passiert?

  1. Ein Kennwort wird normalisiert, wobei gesperrte Kennwörter mit Sätzen abgeglichen werden, die schwächer sind. Falländerungen und Zeichenersetzungen erfolgen bei Bedarf; dies verhindert, dass Benutzer Variationen gesperrter Kennwörter festlegen, die weiterhin riskant sind.
  2. Ein Kennwort wird verifiziert. Microsoft verwendet „Fuzzy Matching“ und Substring-Analyse, um die Stärke zu bewerten; wenn ein Kennwort eine aufeinanderfolgende Zeichenfolge gesperrter Zeichen enthält, wird dieses Kennwort abgelehnt, selbst wenn ein Zeichen geändert wurde.
  3. Ein Kennwort wird bewertet, wobei es basierend auf seiner Einbeziehung (oder seinem Ausschluss) eindeutiger Zeichen bewertet wird. Jedes eindeutige Zeichen ist einen Punkt wert. Kennwörter, die gesperrte Kennwörter enthalten, müssen unterschiedliche Grade der Differenzierung aufweisen. Nur Kennwörter mit einer Punktzahl von fünf oder höher werden akzeptiert.

Lesen Sie hier mehr über die Kennwortbewertungsmethode von Microsoft.

Das Navigieren in Listen gesperrter Kennwörter ist einfach

Teams, die die Sicherheit stärken möchten, werden in Active Directory-Listen gesperrter Kennwörter einen enormen Wert finden.

Specops Password Policy bietet einen Dienst zum Schutz vor kompromittierten Kennwörtern, der es Unternehmen ermöglicht, über 5 Milliarden kompromittierte Kennwörter zu blockieren. Der Dienst verhindert, dass Benutzer gesperrte Kennwörter auswählen, und informiert den Benutzer darüber, warum er die Kennwörter nicht verwenden kann.

Kontaktieren Sie uns, um Ihre kostenlose Testversion von Specops Password Policy zu starten.

Zuletzt aktualisiert am 12/01/2026

Back to Blog

Related Articles

Kostenloses Active-Directory-Audit-Tool

Authentication and password security is more important than ever. Our password audit tool scans your Active Directory and identifies password-related vulnerabilities. The collected information generates multiple interactive reports containing user and password policy information.

Jetzt ausprobieren