
So richten Sie die Schlüsselkomponenten einer Kennwortrichtlinie in Active Directory ein
Table of Contents
Sobald Sie eine neue Kennwortrichtlinie geplant haben, ist es an der Zeit, sie in die Praxis umzusetzen, indem Sie die richtigen Konfigurationen in Ihrem Active Directory festlegen. Wenn Sie sich noch in der Planungsphase befinden, empfehlen wir Ihnen, unsere Strategietipps für die Planung einer Kennwortrichtlinie zu lesen. Aber wenn Sie nach Hinweisen suchen, wo Sie Richtlinienkomponenten einrichten können, sind Sie hier genau richtig. Wir zeigen Ihnen, wo Sie sie in Ihren Standard-Active Directory-Tools einrichten können und auch, wo Sie sie konfigurieren können, wenn Sie Specops Password Policy verwenden.
Diese Schritte stammen aus unserem aktuellen Bericht: „“So implementieren Sie eine Kennwortrichtlinie in Active Directory: End-to-End-Anleitung. Neben der Konfigurationshilfe erhalten Sie Planungstipps, Ratschläge für eine reibungslose Implementierung und Anleitungen zur Endbenutzerkommunikation. Laden Sie hier den vollständigen Bericht herunter.
Einrichten von Kennwortrichtlinien-Schlüsselkomponenten
Wir führen Sie durch die Konfiguration der folgenden Kennwortrichtlinien-Schlüsselkomponenten. Diese Liste ist nicht erschöpfend, aber dies sind fünf Einstellungen, von denen wir erwarten, dass fast jede Kennwortrichtlinie sie abdeckt:
- Kennwortlänge
- Kennwortkomplexität
- Kennwortsperrung
- Kennwortablauf
- Kennwortverlauf
Kennwortlänge
Längere Kennwörter sind durch Brute-Force-Techniken viel schwerer zu knacken. Wir empfehlen, deutlich über die standardmäßigen acht Zeichen hinauszugehen, die von vielen Organisationen verwendet werden – Längen von 15 und mehr sind am besten. Endbenutzer zu ermutigen, Passphrasen zu erstellen, ist der beste Weg, um starke Kennwörter zu erhalten, die dennoch leicht zu merken sind.
Innerhalb von Active Directory können Sie Ihre Basislinienlänge für alle Benutzer mithilfe der Gruppenrichtlinie hier festlegen:
Und wenn Sie unterschiedliche Längen für Teilmengen von Benutzern (definiert durch Sicherheitsgruppen) anwenden möchten, können Sie die differenzierte Kennwortrichtlinie (FGPP) verwenden – diese wird mithilfe des Active Directory Administrative Center (ADAC) konfiguriert:
Hier können Sie die Kennwortlänge in Specops Password Policy festlegen:
Oder hier, wenn Sie Passphrasen verwenden möchten:
Kennwortkomplexität
Das Hinzufügen von Komplexitätsanforderungen erhöht die möglichen Zeichenkombinationen erheblich. Ein MD5-gehashtes Kennwort mit 15 Zeichen, das aus Zahlen, Großbuchstaben, Kleinbuchstaben und Symbolen besteht, würde 22,7 Milliarden Jahre zum Knacken benötigen. Ein ebenso komplexes Kennwort mit acht Zeichen würde jedoch nur drei Stunden zum Knacken benötigen – daher ist es wichtig, Länge und Komplexität zu kombinieren.
Es gibt keine Kontrolle über die „Komplexität“ innerhalb der Microsoft-Gruppenrichtlinie oder der Einstellungen für differenzierte Kennwortrichtlinien. Sie kann rein auf „Ein“ gesetzt werden, was Folgendes bedeutet:
- 3 von 5 verschiedenen Zeichentypen (Großbuchstaben, Kleinbuchstaben, Ziffern, Sonderzeichen und Unicode)
- Darf Ihren Benutzernamen nicht enthalten (Vorname, Nachname, Anzeigename oder sAMAccountName)
Gruppenrichtlinie:
Differenzierte Kennwortrichtlinie:
Hier können Sie die benutzerdefinierte Kennwortkomplexität in Specops Password Policy festlegen:
Passphrasen verwenden typischerweise keine Komplexität, stattdessen bietet die Länge die Stärke. Sie können jedoch reguläre Ausdrücke verwenden, um die eigene Definition einer Passphrase für Ihr Unternehmen zu erstellen:
Kennwortsperrung
Sie können bestimmte Listen bekannter kompromittierter Kennwörter sperren. Mit einigen Tools ist es auch möglich, benutzerdefinierte Wörterbücher mit Wörtern zu erstellen, die spezifisch für Ihr Unternehmen oder Ihre Branche sind. Zum Beispiel Unternehmens- oder Produktnamen, die Endbenutzer möglicherweise versucht sind zu verwenden.
Leider gibt es keine Möglichkeit für diese Kennwortrichtlinien-Schlüsselkomponente innerhalb des Standard-Microsoft AD-Toolsets. Hier können Sie bestimmte Sätze von Kennwörtern in Specops Password Policy sperren:
Kennwortablauf
Frühere Anleitungen empfahlen Organisationen, Kennwortänderungen alle 60, 90 oder 120 Tage zu verlangen. Dies führt jedoch oft dazu, dass Benutzer „Password1“ in „Password2“ ändern. Berücksichtigen Sie den besten Kennwortänderungszyklus für Ihr Unternehmen – es gibt weitere Informationen zu Best Practices für den Kennwortablauf hier.
Vergessen Sie nicht, dass Specops Password Policy es Ihnen auch ermöglicht, Benutzer zu belohnen, die längere Kennwörter festlegen, indem Sie längere Ablaufzeiten gewähren. Wir nennen dies längenbasierte Kennwortalterung. Im folgenden Beispiel sehen Sie, dass diese Richtlinie zwar immer noch kürzere Kennwörter zulässt, längere Kennwörter mit 15-19 Zeichen jedoch mit einer 1-jährigen Gültigkeit belohnt werden und wenn ein Benutzer eine 20+-Passphrase wählt, diese nur abläuft, wenn das Kennwort kompromittiert wird.
Hier erfahren Sie, wie Sie den Kennwortablauf und die längenbasierte Alterung in Specops Password Policy einrichten:
Microsoft hat kein Konzept der längenbasierten Alterung, aber Sie können unterschiedliche Ablaufzeiten pro Richtlinie konfigurieren, z. B. definiert der Gruppenrichtlinienablauf Ihre globalen Einstellungen und verwenden Sie dann die differenzierte Kennwortrichtlinie, um eine andere Ablaufzeit auf eine andere Benutzergruppe anzuwenden.
Gruppenrichtlinie:
Differenzierte Kennwortrichtlinie:

Kennwortverlauf
Der Kennwortverlauf bestimmt die Anzahl eindeutiger Kennwörter, die ein Benutzer verwenden muss, bevor er ein altes Kennwort wieder verwenden kann. Dies ist eine wichtige Einstellung aufgrund der Kennwortwiederverwendung und ihrer Folgerisiken.
Sie können den Kennwortverlauf innerhalb der Gruppenrichtlinie festlegen:
Und auch mit der differenzierten Kennwortrichtlinie:
Hier erfahren Sie, wie Sie den Kennwortverlauf in Specops Password Policy einrichten:
Stellen Sie sicher, dass Sie auf kompromittierte Kennwörter prüfen können
Kennwortrichtlinien können die Erstellung schwacher Kennwörter verhindern, aber auch starke Kennwörter können kompromittiert werden. Unsere Forschung hat ergeben, dass 83 % der kompromittierten Kennwörter tatsächlich die meisten regulatorischen Standards erfüllten. Diese Kennwörter wurden möglicherweise durch Phishing-Angriffe kompromittiert, durch Malware gestohlen oder durch Kennwortwiederverwendung verletzt (z. B. verwendet ein Mitarbeiter sein Active Directory-Kennwort für die Arbeit auf einer zwielichtigen persönlichen Website wieder, die verletzt wird). Einige Tools prüfen während des Ablaufs oder bei Zurücksetzungsereignissen anhand von Listen verletzter Kennwörter, dies reicht jedoch möglicherweise nicht aus.
Ein Tool wie Specops Password Policy mit Breached Password Protection bietet eine kontinuierliche Scanfunktion, die alle Ihre Active Directory-Kennwörter einmal täglich mit unserer Breached Password Protection API auf Kompromittierung überprüft. Dies schützt vor der Verwendung von mehr als 4 Milliarden eindeutiger bekannter kompromittierter Kennwörter.
Die Datenbank enthält Kennwortdaten aus bekannten Lecks, unserem eigenen Honeypot-System, das Kennwörter sammelt, die bei echten Kennwort-Spray-Angriffen verwendet werden, und gestohlene Anmeldeinformationen, die von Malware erhalten wurden. Möchten Sie mehr erfahren? Testen Sie Specops Password Policy kostenlos.
Fanden Sie die Empfehlungen in diesem Blog hilfreich? Lesen Sie den vollständigen Bericht „ So implementieren Sie eine Kennwortrichtlinie in Active Directory: End-to-End-Anleitung“ hier.
(Zuletzt aktualisiert am 22/07/2025)