Tipps zur Fehlerbehebung im Umgang mit der Liste der global gesperrten Kennwörter in Azure AD

Nicht alle Implementierungen von Microsoft Entra Password Protection (ehemals Azure AD Password Protection) verlaufen reibungslos. Dieser Blog untersucht einige Eigenheiten der Listen mit gesperrten Passwörtern und bietet Tipps zur Behebung von Problemen und zur Fehlerbehebung im Zusammenhang mit Listen mit gesperrten Passwörtern in Microsoft Entra.

Das Punktesystem verstehen

Viele Teams stolpern bei der Festlegung ihrer Kennwortrichtlinien in Entra ID (ehemals Azure AD), und das aus gutem Grund.Erstens gibt es zwei Listen mit gesperrten Passwörtern. Eine ist die globale Liste mit gesperrten Passwörtern, die keine Liste mit durchgesickerten Passwörtern ist und die Compliance-Empfehlungen für eine Kennwort-Deny-Liste nicht erfüllt. Stattdessen stützt sie sich ausschließlich auf die eigene Analyse von Microsoft darüber, was in verschiedenen Entra ID-Umgebungen (ehemals Azure AD) verwendet wird. Die andere, ist die benutzerdefinierte Liste mit gesperrten Passwörtern, die das Wettbewerbsangebot von Microsoft zu den benutzerdefinierten Wörterbuchlisten von Specops Password Policy darstellt.

Obwohl die Liste mit gesperrten Passwörtern Begriffe enthält, von denen Sie vielleicht glauben, dass sie gesperrt sind, gibt es einen gewissen Graubereich. AD verwendet ein Punktesystem für jedes erstellte Passwort. Jedes Passwort muss mindestens 5 Punkte erreichen, um akzeptiert zu werden. Diese Punktzahl wird anhand der folgenden Kriterien ermittelt:

• Wie viele eindeutige Zeichen ein Passwortkandidat enthält.
• Ob sie (ganz oder teilweise) Begriffe aus benutzerdefinierten oder globalen Listen mit gesperrten Passwörtern enthalten.
• Ob ein Passwort auch nach der Normalisierung (durch Zeichensubstitution) noch brauchbar ist.
• Der „Editierabstand“ von hinzugefügten oder gelöschten Zeichen, der bewertet, wie nahe diese Änderungen in Bezug auf das ursprüngliche (oder gesperrte) Passwort liegen. Dies verhindert, dass Benutzer einfach einen Buchstaben weglassen oder an einen gesperrten Begriff anhängen, in der Hoffnung, ihn zu bestehen.

Benutzer könnten überrascht sein, wenn ihre Passwörter abgelehnt werden. Beispielsweise könnte eine Substring-Übereinstimmung einen problematischen Begriff innerhalb eines Passworts (wie den Namen einer Person) kennzeichnen und ablehnen, obwohl das vollständige Passwort nicht gesperrt ist. Außerdem können Benutzer ein gesperrtes Passwort nicht einfach ändern, indem sie ein einzelnes Zeichen hinzufügen oder weglassen. Folglich lehnt AD Variationen wie abcdefg oder 1abcdef ab, wenn abcdef gesperrt ist. Etwas wie abc1def wäre jedoch akzeptabel.

Das Passwort-Schlupfloch

Interessanterweise vergibt AD Passwörtern einen Punkt für jedes erkannte gesperrte Wort, wodurch die Punktzahl dieses Passworts näher an 5 herangeführt wird.

Das scheint kontraintuitiv. Warum sollte AD Benutzer dafür belohnen, dass sie einen gesperrten Begriff einfügen? Die Idee ist, dass verschwendete (gesperrte) Zeichenketten innerhalb eines potenziellen Passworts dennoch zur allgemeinen Passwortkomplexität beitragen.

Listen mit gesperrten Passwörtern werden nicht aktualisiert

Wenn es um Microsoft Entra (ehemals Azure AD) gesperrte Passwörter geht, gelten je nach Bereitstellung unterschiedliche Regeln. Wenn Sie die benutzerdefinierte Liste zum ersten Mal erstellen oder Änderungen an der bereits verwendeten Liste vornehmen, werden diese Änderungen möglicherweise nicht automatisch übernommen. Beispielsweise könnte ein Benutzer ein Passwort mit einem gesperrten Wort erstellen, obwohl dieses Wort gerade erst hinzugefügt wurde. Änderungen an globalen Listen werden in Entra ID (ehemals Azure AD) automatisch übernommen, dies kann jedoch einige Minuten dauern.

Verwendung einer Drittanbieterlösung

Entra ID (ehemals Azure AD) und viele bestehende externe Tools bieten kein gutes Benutzer-Feedback. Beispielsweise generieren Passwortablehnungen eine generische Fehlermeldung für Benutzer. Entra ID (ehemals Azure AD) Administratoren können diese Warnungen nicht anpassen.

Drittanbieter-Tools wie Specops Password Policy geben Administratoren mehr Kontrolle über das Benutzer-Feedback.

• Das gekennzeichnete Wort, das in einem bestimmten Wörterbuch gesperrt ist, damit Benutzer es in Zukunft nicht mehr verwenden
• Die Regeln, die Benutzer erfüllt haben
• Die Regeln, die Benutzer noch befolgen müssen, um ihr Passwort konform zu machen

Sicherheitsverbesserungen

Mit Specops Password Policy und Breached Password Protection, die zusammen verwendet werden, können Unternehmen über 5 Milliarden kompromittierte Passwörter in Active Directory blockieren. Diese kompromittierten Passwörter umfassen solche, die heute in realen Angriffen verwendet werden oder sich auf bekannten Listen mit kompromittierten Passwörtern befinden, was es einfach macht, Branchenvorschriften wie NIST oder NCSC einzuhalten. Die Datenerfassungssysteme zur Angriffsüberwachung unseres Forschungsteams aktualisieren den Dienst täglich und stellen sicher, dass Netzwerke vor realen Passwortangriffen geschützt sind, die gerade stattfinden. Der Breached Password Protection Service blockiert diese gesperrten Passwörter in Active Directory mit anpassbaren Endbenutzer-Nachrichten, die dazu beitragen, Anrufe beim Service Desk zu reduzieren.

Zusätzliche Flexibilität

Specops Password Policy kann jede GPO-Ebene, Gruppe, jeden Computer oder Benutzer mit Komplexitäts- und Passphrase-Einstellungen ansprechen. Benutzerdefinierte Wörterbücher und Listen mit Sicherheitslücken werden automatisch aktualisiert und angewendet. Schließlich können Listen lokal oder in der Cloud gespeichert werden. Specops passt sich Ihrer Umgebung an und hilft, viele häufige Probleme zu lindern, mit denen Entra ID (ehemals Azure AD) Benutzer konfrontiert sind.