Nützliche PowerShell-Befehle zur Verwaltung von Active Directory-Kennwortrichtlinien

Die Verwaltung von Kennwortrichtlinien in Active Directory ist eine wesentliche Aufgabe für einen Systemadministrator, der AD DS-Umgebungen verwaltet. Kennwortrichtlinien tragen dazu bei, die Best Practices für Kennwortrichtlinien durchzusetzen, sodass Kennwörter nicht leicht zu erraten oder zu kompromittieren sind. Das Verwalten und Konfigurieren von Kennwortrichtlinieneinstellungen kann nicht nur über den Gruppenrichtlinienverwaltungs-Editor, sondern auch mit PowerShell erfolgen.

Die Kombination aus Active Directory-Verwaltung mit der Flexibilität und Leistungsfähigkeit von PowerShell kann zur Optimierung der Kennwortrichtlinienverwaltungsaufgaben beitragen. Da Microsoft offizielle PowerShell-Module integriert hat, mit denen Administratoren mit Active Directory-Einstellungen interagieren, diese konfigurieren und verwalten können, ist der Einstieg einfach. Wir erklären Ihnen, wie es geht, und geben Ihnen einige Beispiele zum Ausprobieren.

Active Directory-Kennwortrichtlinien

In Active Directory steuern die Standarddomänenrichtlinieneinstellungen die Kennwortrichtlinieneinstellungen für alle Benutzerkonten. Eine Organisation muss jedoch möglicherweise unterschiedliche Richtlinien für verschiedene Benutzer oder Gruppen festlegen, die als differenzierte Kennwortrichtlinien bekannt sind.

Die Bedeutung von Kennwortrichtlinien

Kennwortrichtlinien sind ein kritischer Aspekt der Sicherheitsinfrastruktur einer Organisation. Sie tragen dazu bei, Sicherheitsrisiken wie Brute-Force-Angriffe und die Kompromittierung von Unternehmenskennwörtern zu mindern, indem sie Anforderungen wie die Mindestkennwortlänge, das maximale Kennwortalter und den Kennwortverlauf durchsetzen.

Endbenutzer neigen dazu, schwache Kennwörter zu erstellen, die im Allgemeinen leicht zu erraten sind und Brute-Force-Angriffskampagnen von Hackern ausgesetzt sind. Schlimmer noch, Domänenadministratorkonten auf hoher Ebene haben möglicherweise schwache Kennwörter oder sogar mehrere Konten mit demselben Kennwort.

Kennwortrichtlinien in Active Directory

Active Directory-Kennwortrichtlinieneinstellungen werden in der Regel über die Gruppenrichtlinien-Verwaltungskonsole (GPMC) konfiguriert. Die Standarddomänenrichtlinie in Microsoft Active Directory enthält eine Standardkennwortrichtlinie, die an die Bedürfnisse der Organisation angepasst werden kann. Nachfolgend sehen Sie eine Ansicht der Standarddomänenrichtlinie, die im Gruppenrichtlinienverwaltungs-Editor aufgerufen wurde.

Standardkennwortrichtlinieneinstellungen

Sie können die Standarddomänenrichtlinieneinstellungen in der Gruppenrichtlinien-Verwaltungskonsole (GPMC) anzeigen. Nach dem Starten von gpmc.msc über eine Run- oder CMD-Eingabeaufforderung befinden sich diese Einstellungen unter „Computerkonfiguration“ -> „Richtlinien“ -> „Windows-Einstellungen“ -> „Sicherheitseinstellungen“ -> „Kontorichtlinien“ -> „Kennwortrichtlinie“.

Die Kennwortrichtlinieneinstellungen umfassen Folgendes:

• Kennwortverlauf erzwingen – Definieren Sie eine festgelegte Anzahl gespeicherter Kennwörter, um zu verhindern, dass der Benutzer ein Kennwort festlegt, das er kürzlich verwendet hat. Dies ermöglicht es AD im Wesentlichen, Kennworthashes zu speichern, um festzustellen, ob das Kennwort bereits verwendet wurde.
• Maximale Kennwortgültigkeitsdauer – Legen Sie die maximale Kennwortgültigkeitsdauer fest, um Ihre Kennwortablaufrichtlinien durchzusetzen, wenn ein Kennwort abläuft.
• Minimale Kennwortgültigkeitsdauer – Wählen Sie eine minimale Kennwortgültigkeitsdauer aus, die den Zeitraum bestimmt, in dem ein Kennwort verwendet werden muss, bevor der Benutzer es ändern kann.
• Minimale Kennwortlänge – Legen Sie die minimale Kennwortlänge fest, um zu verhindern, dass sehr kurze Kennwörter verwendet werden.
• Passwords must meet complexity requirements – This setting determines whether passwords must meet complexity requirements. If this policy is enabled, passwords must meet the following minimum requirements: 
  • Darf nicht den Kontonamen des Benutzers oder Teile des vollständigen Namens des Benutzers enthalten, die zwei aufeinanderfolgende Zeichen überschreiten
  • Muss mindestens sechs Zeichen lang sein
  • Contain characters from three of the following four categories: 
    • Englische Großbuchstaben (A bis Z)
    • Englische Kleinbuchstaben (a bis z)
    • Basis-10-Ziffern (0 bis 9)
    • Nicht-alphabetische Zeichen (z. B. !, $, #, %)
  • Komplexitätsanforderungen werden durchgesetzt, wenn Kennwörter geändert oder erstellt werden.
  • Klicken Sie hier für einen tieferen Einblick in die Überprüfung der Kennwortkomplexitätsanforderungen in Active Directory.
• Kennwörter mit reversibler Verschlüsselung speichern – Bietet Unterstützung für Anwendungen, die Protokolle verwenden, die Kenntnisse des Kennworts des Benutzers für Authentifizierungszwecke erfordern. Das Speichern von Kennwörtern mit reversibler Verschlüsselung ist im Wesentlichen dasselbe wie das Speichern von Klartextversionen der Kennwörter. Aus diesem Grund sollte diese Richtlinie niemals aktiviert werden, es sei denn, die Anwendungsanforderungen überwiegen die Notwendigkeit, Kennwortinformationen zu schützen.

PowerShell für die Active Directory-Kennwortrichtlinienverwaltung

Wie bereits erwähnt, ist PowerShell ein hervorragendes Tool, um den Verwaltungs- und Konfigurationsprozess von Active Directory-Kennwortrichtlinien zu automatisieren. Hier sind einige PowerShell-Befehlsbeispiele für die Verwaltung gängiger AD-Kennwortrichtlinieneinstellungen.

Beispiel 1: Abrufen der Standarddomänenkennwortrichtlinie

Import-Module ActiveDirectory  
Get-ADDefaultDomainPasswordPolicy 

Beispiel 2: Festlegen der minimalen Kennwortlänge

Sie können PowerShell verwenden, um die minimale Kennwortlänge mit Folgendem festzulegen:

Set-ADDefaultDomainPasswordPolicy -Identity "domain.com" -MinPasswordLength 10 

Beispiel 3: Festlegen der minimalen Kennwortgültigkeitsdauer

Legen Sie die minimale Kennwortgültigkeitsdauer mit dem folgenden PowerShell-Code fest:

Set-ADDefaultDomainPasswordPolicy -Identity "domain.com" -MinPasswordAge 2.00:00:00 

Beispiel 4: Erstellen neuer differenzierter Kennwortrichtlinien

Mit den neueren Versionen von Microsoft Active Directory Domain Services können Sie jetzt mehrere Kennworteinstellungsobjekte (PSOs) erstellen, um unterschiedliche Kennwortrichtlinien für verschiedene Benutzer, Computer, Standorte usw. anzuwenden.

Zum Beispiel:

# Import the necessary Active Directory module 

Import-Module ActiveDirectory 

# Create a new PSO 

New-ADFineGrainedPasswordPolicy -Name "TestPasswordPolicy" -Precedence 500 -ComplexityEnabled $true -ReversibleEncryptionEnabled $false -MinPasswordLength 8 -PasswordHistoryCount 24 -MaxPasswordAge (New-TimeSpan -Days 60) -MinPasswordAge (New-TimeSpan -Days 1) -LockoutThreshold 5 -LockoutObservationWindow (New-TimeSpan -Minutes 30) -LockoutDuration (New-TimeSpan -Minutes 30) 

Nachfolgend verwenden wir einen ähnlichen Befehl, um ein neues PSO-Objekt zu erstellen.

Dieser Befehl erstellt ein neues PSO mit den folgenden Einstellungen:

• Name: TestPasswordPolicy
• Priorität: 500
• Kennwortkomplexität: Aktiviert
• Reversible Verschlüsselung: Deaktiviert
• Minimale Kennwortlänge: 8 Zeichen
• Kennwortverlauf-Anzahl: Die letzten 24 Kennwörter
• Maximale Kennwortgültigkeitsdauer: 60 Tage
• Minimale Kennwortgültigkeitsdauer: 1 Tag
• Kontosperrschwelle: 5 fehlgeschlagene Anmeldeversuche
• Sperrbeobachtungsfenster: 30 Minuten
• Sperrdauer: 30 Minuten

Denken Sie daran, „CustomPasswordPolicyName“ durch den Namen Ihrer Wahl zu ersetzen und die anderen Parameter entsprechend den Kennwortrichtlinienanforderungen Ihrer Organisation anzupassen.

Nachdem Sie das PSO erstellt haben, müssen Sie es auf einen Benutzer oder eine Gruppe anwenden. Hier erfahren Sie, wie Sie diese neue Richtlinie auf eine Gruppe namens „TestGroup“ anwenden können:

# Apply the PSO to a group 

Add-ADFineGrainedPasswordPolicySubject "MyCustomPasswordPolicy" -Subjects "TestGroup" 

Hinweis: Für differenzierte Kennwortrichtlinien und die zugehörigen Cmdlets für deren Verwaltung (wie New-ADFineGrainedPasswordPolicy) ist mindestens die Windows Server 2008-Domänenfunktionsebene erforderlich.

Punkte, die Sie sich bei der PowerShell-Kennwortrichtlinienautomatisierung in Active Directory merken sollten

1. Differenzierte Kennwortrichtlinien

Die oft übersehenen, differenzierten Kennwortrichtlinien in Active Directory bieten eine detaillierte Kontrolle über die Domänenkennwortrichtlinie. Indem sie die Erstellung mehrerer Kennwortrichtlinien innerhalb derselben Domäne ermöglichen, sind sie perfekt in Szenarien, in denen eindeutige Kennwortanforderungen für bestimmte Benutzerkonten oder Gruppen erforderlich sind, aber nicht für andere.

2. Schutz vor Brute-Force-Angriffen mit Sperrrichtlinien

Brute-Force-Angriffe auf Benutzerkonten sind eine echte Bedrohung. Die effektive Verwendung der Parameter LockoutThreshold, LockoutObservationWindow und LockoutDuration in Ihrer Active Directory-Kennwortrichtlinie kann Ihre erste Verteidigung gegen solche Versuche sein. Denken Sie daran, dass jeder fehlgeschlagene Anmeldeversuch eine potenzielle Kompromittierung von Unternehmenskennwörtern darstellt.

3. Aufrechterhaltung des Gleichgewichts zwischen Sicherheit und Benutzerfreundlichkeit

Die Durchsetzung einer robusten Kennwortrichtlinie verhindert schwache Kennwörter und erhöht die Kennwortsicherheit. Richtlinien, die zu streng sind, können jedoch zu häufigen Kennwortänderungen führen, was zu Unannehmlichkeiten führt und möglicherweise zu unsicheren Praktiken wie dem Aufschreiben von Kennwörtern führt.

Verwenden Sie PowerShell-Befehle, um ein Gleichgewicht herzustellen, wobei Sie sich auf Parameter wie MinPasswordLength, MaxPasswordAge und PasswordHistoryCount konzentrieren. Ihr Ziel sollte es sein, die Sicherheit zu maximieren, ohne die Benutzererfahrung wesentlich zu beeinträchtigen.

Erweiterte Active Directory-Kennwortrichtlinienverwaltung mit Specops

Standardeinstellungen in AD sind zwar praktisch, reichen aber möglicherweise nicht aus, um moderne, starke Kennwortrichtlinien durchzusetzen. Hier können fortschrittlichere Lösungen wie Specops Password Policy helfen.

Specops Password Policy erweitert die Funktionalität der Active Directory-Kennwortrichtlinieneinstellungen. Es funktioniert mit Ihren vorhandenen Gruppenrichtlinien und ist keine „Rip-and-Replace“-Lösung. Es ermöglicht Ihnen, Ihre Kennwortrichtlinien zu verbessern, indem Sie Funktionen wie Schutz vor kompromittierten Kennwörtern, benutzerdefinierte Wörterbuchlisten und Passphrase-Einstellungen integrieren. Wie unten gezeigt, ermöglicht Specops Administratoren viel mehr Optionen zur Kennwortdurchsetzung als die Standardeinstellungen von Active Directory.

Administratoren können Compliance-Anforderungen durchsetzen und Benutzern helfen, stärkere Kennwörter in Active Directory mit dynamischem, informativem Client-Feedback zu erstellen. Sie können die Funktionalität von Gruppenrichtlinien erweitern und die Verwaltung von differenzierten Kennwortrichtlinien vereinfachen. Die Lösung kann jede GPO-Ebene, Gruppe, Benutzer oder Computer mit Wörterbuch- und Passphrase-Einstellungen ansprechen.

Es ist jedoch wichtig zu bedenken, dass selbst starke Kennwörter durch Kennwortwiederverwendung, Phishing-Angriffe oder Datenschutzverletzungen kompromittiert werden können. Specops Password Policy bietet auch die Option einer Breached Password Protection-Funktion, die in Active Directory standardmäßig nicht vorhanden ist. Breached Password Protection ermöglicht es Administratoren, ihre Active Directory-Umgebungen mit der Specops-Liste von über 4 Milliarden eindeutigen kompromittierten Kennwörtern abzugleichen, einschließlich derer, die gerade in Cyberangriffen verwendet werden.

Angesichts der anhaltenden Zunahme von Cyberbedrohungen können fortschrittliche Tools wie Specops die Kennwortsicherheit Ihres Unternehmens erheblich verbessern. Durch die Automatisierung der Verwaltung von Active Directory-Kennwortrichtlinieneinstellungen und die Einhaltung der Best Practices für Kennwortrichtlinien können Sie sicherstellen, dass Ihr Unternehmen gut gerüstet ist, um potenzielle Sicherheitsbedrohungen abzuwehren. Testen Sie Specops Password Policy kostenlos, um die Sicherheit Ihres Active Directory schnell zu erhöhen.