Flexible Security for Your Peace of Mind

Individuelle Kennwortfilter-.dll für Unternehmen

Unternehmen können die Sicherheit ihrer Active Directory-Passwörter erhöhen, indem sie die Vergabe oder Verwendung spezifische Passwörter mithilfe von Kennwortfilter blockieren. Mithilfe von Kennwortfiltern kann der Sicherheitsstandard der Active Directory Kennwortrichtlinien erhöht werden, indem sichergestellt wird, dass Endbenutzer keine Kennwörter verwenden können, die zwar den Anforderungen entsprechen, aber dennoch schwach oder leicht zu erraten sind.

Zu diesem Zweck hat Microsoft Active Directory so erweitert, dass Unternehmen eigene Kennwortfilter-.dlls einfügen können, um die Verwendung bestimmter Kennwörter in ihrer Umgebung zu verhindern. In diesem Beitrag erfahren Sie, was eine Kennwortfilter-.dll ist, wie sie verwendet wird und was man bei der Erstellung einer individuellen Lösung beachten sollte. Als Erstes wollen wir uns die Kennwortfilter-.dlls im Allgemeinen genauer ansehen und herausfinden, wie sie zur Passwortsicherheit in Active Directory beitragen.

Was ist eine Kennwortfilter-.dll?

Eine Kennwortfilter-.dll ist eine dynamische Link-Library, die entweder selbst geschrieben oder als Teil einer kommerziellen Lösung bereitgestellt wird und es ermöglicht, bestimmte Kennwörter von der Verwendung in der Active Directory-Umgebung einer Organisation auszuschließen. Warum sollte man aber einen Kennwortfilter verwenden, wenn eine Organisation bereits über eine Active Directory-Passwortrichtlinie verfügt?

Obwohl Active Directory Passwortrichtlinien dazu beitragen können, die Qualität von Active Directory-Passwörtern in Ihrer Infrastruktur zu verbessern, kann es vorkommen, dass Endbenutzer dennoch schwache oder leicht zu erratende Passwörter verwenden. Wie ist das möglich? Werfen wir einen Blick auf eine Standardkonfiguration der Active Directory Passwortrichtlinie und sehen wir uns an, wie schwache Passwörter dennoch vergeben werden können.

Unten sehen Sie ein Beispiel für eine recht standardmäßige Active Directory-Passwortrichtlinie. Wie Sie unten sehen können, definiert die Kennwortrichtlinie das Folgende:

  • Maximales Alter des Kennworts
  • Mindestalter des Kennworts
  • Mindestlänge des Kennworts
  • Kennwort muss Komplexitätsanforderungen erfüllen
Standardeinstellungen für Kennwortrichtlinien in Active Directory

Mit den oben genannten Einstellungen kann man Passwörter mit entsprechender Entropie erzwingen. Dennoch lässt sich nicht ausschließen, dass trotz der Vorgaben schwache oder leicht zu erratende Passwörter erstellt werden. Ein Beispiel: Angreifer könnten Passwörter auf Grundlage Ihres Firmennamens erraten. Nehmen wir an, der Name Ihres Unternehmens lautet “MeinTierfuttershop”. Wenn ein Endbenutzer ein Kennwort mit dem Namen “MeinTierfuttershop1” erstellt, würde dieses Kennwort mit der oben genannten Passwortrichtlinie übereinstimmen. Es enthält sowohl Groß- und Kleinbuchstaben als auch eine Zahl und erfüllt damit drei der vier erforderlichen Komplexitätsmerkmale.Ein Angreifer oder eine andere Person könnte dieses Kennwort jedoch leicht erraten.

Kennwortfilter helfen dabei, die Vergabe von schwachen oder offensichtlichen Passwörtern einzuschränken.

Schlummern kompromittierte Kennwörter In Ihrem Active Directory? Jetzt kostenlos überprüfen!

Was gibt es bei der Erstellung individueller Kennwortfilter-.dlls zu beachten?

Neben dem Download von Kennwortfilter-.dlls können auch individuell programmierte Kennwortfilter-.dlls erstellt werden, um bestimmte Kennwörter in ihrer Active Directory-Umgebung zu verhindern. Es ist wichtig zu beachten, dass die Programmierung eines maßgeschneiderten Kennwortfilters nichts für Unerfahrene ist. Bei falscher Konfiguration kann das dazu führen, dass Passwörter von Benutzern offengelegt werden, anstatt diese zu schützen. Beachten Sie unbedingt die folgenden Empfehlungen von Microsoft für individuelle Kennwortfilter:

  • Lassen Sie bei der Arbeit mit Klartextkennwörtern große Vorsicht walten. Das Senden von Passwörtern im Klartext über Netzwerke kann eine Gefahr für ihre Sicherheit darstellen. Netzwerk-“Sniffer” können den Datenverkehr mit Klartextkennwörtern leicht beobachten.
  • Mit der Funktion SecureZeroMemory sollten Sie den gesamten zum Speichern von Kennwörtern verwendeten Speicher bereinigen, ehe Sie diesen wieder freigeben.
  • Alle Puffer, die an Kennwortbenachrichtigungs- und Filterroutinen beteiligt sind, sollten als schreibgeschützt behandelt werden. Das Schreiben von Daten in diese Puffer kann zu Instabilitäten führen.
  • Alle Benachrichtigungen und Filterroutinen für Kennwörter sollten thread-sicher sein. Zum Schutz der Daten sollten gegebenenfalls Critical Sections oder andere synchrone Programmiertechniken verwendet werden.
  • Die Benachrichtigung und Filterung von Kennwörtern findet nur auf dem Computer statt, auf dem sich das Konto befindet.
  • Da alle Domain Controller beschrieben werden können, müssen Kennwortfilter auf allen Domain Controllern vorhanden sein.
  • Windows NT 4.0-Domänen: Die Benachrichtigung für Domain Accounts findet nur auf dem primären Domain Controller statt. Zusätzlich zum primären Domain Controller sollten die Pakete des Kennwortfilters auf allen Backup-Domain Controllern installiert werden, damit die Benachrichtigungen auch bei einem Wechsel der Serverrolle fortgesetzt werden können.
  • Alle Kennwortfilter-DLLs werden im Sicherheitskontext des lokalen Systemkontos ausgeführt.

Für die Installation und Registrierung einer Kennwortfilter-.dll-Datei auf Ihren Active Directory-Domänencontrollern hat Microsoft ein Framework bereitgestellt.

In der von Microsoft zur Verfügung gestellten “Installing and Registering a Password Filter DLL” KB finden Sie vier Schritte, um eine individuelle Kennwortfilter-.dll-Datei in Ihrer Umgebung zu installieren.

Eine einfachere Methode zur Kennwortfilterung

Die Programmierung eines benutzerdefinierten Kennwortfilters ist mit den richtigen Ressourcen machbar. Viele Unternehmen, darunter auch kleine und mittelständische Unternehmen, sind nicht in der Lage, dies eigenständig zu tun. Mit Specops Password Policy lassen sich eigene Passwortfilter und individuelle Wörterbücher ganz einfach in Ihrer Umgebung implementieren. Specops Password Policy erweitert die Active Directory Kennwortrichtlinien und enthält eine eigene Datenbank mit über 4 Milliarden kompromittierten Kennwörter out-of-the-Box.

Mit Specops Password Policy haben Sie neben den Standardeinstellungen eine Vielzahl weiterer Möglichkeiten, um die Erstellung starker Passwörter zu fördern.

Eine einfachere Methode zur Kennwortfilterung

Die Programmierung eines benutzerdefinierten Kennwortfilters ist mit den richtigen Ressourcen machbar. Viele Unternehmen, darunter auch kleine und mittelständische Unternehmen, sind jedoch nicht in der Lage, dies sicher eigenständig zu tun. Mit Specops Password Policy lassen sich eigene Passwortfilter und individuelle Wörterbücher ganz einfach in Ihrer Umgebung umsetzen. Specops Password Policy erweitert die Active Directory Kennwortrichtlinien, bietet benutzerdefinierte Wörterbücher und enthält eine eigene Datenbank mit über 4 Milliarden kompromittierten Kennwörter out-of-the-Box. Sparen Sie sich mit Specops Password Policy die Entwicklung und Kopfzerbrechen einer benutzerdefinierten Passwortfilter-.dll.

Fazit

Die Verwendung bestimmter Begriffe bei der Erstellung von Passwörtern, ist für die Passwortsicherheit von entscheidender Bedeutung. Selbst mit einer traditionellen Active Directory Passwortrichtlinie können Endbenutzer immer noch Kombinationen und Iterationen von Passwörtern verwenden, die leicht erraten werden können. Die Verwendung einer Kennwortfilter-.dll ist eine hervorragende Möglichkeit, die Kennwortsicherheit zu erhöhen, indem bestimmte Begriffe und andere gängige Kennwörter nicht zugelassen werden. Das Erstellen einer individuellen Password-.dll erfordert jedoch Fachwissen und erfordert ein hohes Maß an Sicherheit bei der Entwicklung. Specops Password Policy bietet eine viel einfachere Möglichkeit für Unternehmen, diese und weitere Funktionen zur Verbesserung der Passwortsicherheit zu implementieren. Gerne beraten unsere Experten Sie darüber, wie ein Einsatz von Specops Password Policy in Ihrer Active Directory-Umgebung aussehen könnte.

Kompromittierte Kennwörter In Ihrer externen Angriffsfläche? Jetzt kostenloses Assesment vereinbaren!

(Zuletzt aktualisiert am 07/03/2024)

Zurück zum Blog