Tipps zur Fehlerbehebung im Umgang mit der Liste der global gesperrten Kennwörter in Azure AD

Nicht alle Implementierungen des Azure AD-Kennwortschutzes verlaufen reibungslos. In diesem Blog werden einige Probleme mit der Liste der gesperrten Passwörter untersucht und Tipps zur Behebung dieser Probleme gegeben.

Das Scoring-System verstehen

Viele Teams stolpern bei der Einrichtung ihrer Kennwortrichtlinien in Azure AD. Die Liste mit verbotenen und gesperrten Kennwörtern enthält zwar Begriffe, die man für verboten halten könnte, aber es gibt auch eine Grauzone. AD verwendet ein Punktesystem für jedes erstellte Passwort. Jedes Passwort muss eine Punktzahl von 5 oder höher erreichen, um akzeptiert zu werden. Diese Punktzahl wird anhand der folgenden Kriterien ermittelt:

• Wie viele eindeutige Zeichen ein Passwortkandidat enthält
• Ob das Kennwort (ganz oder teilweise) Begriffe aus benutzerdefinierten oder globalen Listen verbotener Kennwörter enthält oder nicht.
• Ob ein Kennwort auch nach Abschluss der Normalisierung (durch Zeichenersetzung) noch brauchbar ist.
• Die “Bearbeitungsentfernung” von hinzugefügten oder gelöschten Zeichen, die bewertet, wie nah diese Änderungen am ursprünglichen (oder verbotenen) Kennwort liegen. Dadurch wird verhindert, dass Benutzer einfach einen Buchstaben weglassen oder einen Buchstaben an einen verbotenen Begriff anhängen, in der Hoffnung, damit durchzukommen.

Die Benutzer könnten überrascht sein, wenn ihre Kennwörter abgelehnt werden. So kann beispielsweise ein Teilstring-Abgleich einen problematischen Begriff innerhalb eines Kennworts (z. B. den Namen einer Person) erkennen und das Kennwort ablehnen, auch wenn das gesamte Kennwort nicht verboten ist. Außerdem können Benutzer ein verbotenes Kennwort nicht einfach ändern, indem sie ein einzelnes Zeichen hinzufügen oder weglassen. Wenn also abcdef verboten ist, wird AD Varianten wie abcdefg oder 1abcdef ablehnen, während etwas wie abc1def akzeptabel wäre.

Das Passwort-Schlupfloch

Interessanterweise vergibt AD bei Passwörtern einen Punkt für jedes erkannte verbotene Wort, wodurch sich die Punktzahl des Passworts auf 5 erhöht.

Das scheint unlogisch zu sein. Warum sollte AD Benutzer für die Aufnahme eines verbotenen Begriffs belohnen? Die Idee ist, dass unnötige (verbotene) Zeichenketten in einem potenziellen Kennwort immer noch zur Gesamtkomplexität des Kennworts beitragen.

Meine Listen gesperrter Passwörter werden nicht aktualisiert

Wenn es um gesperrte Kennwörter in Azure AD geht, gelten je nach Ihrer Bereitstellung unterschiedliche Regeln. Selbst wenn Sie eine neue benutzerdefinierte Liste erstellen oder Änderungen an einer vorhandenen Liste vornehmen, werden diese Änderungen möglicherweise nicht automatisch übertragen. Beispielsweise könnte ein Benutzer ein Passwort mit einem verbotenen Wort erstellen, obwohl dieses Wort gerade erst hinzugefügt wurde.

Während Änderungen an globalen Listen in Azure AD automatisch übertragen werden, gilt dies für benutzerdefinierte Änderungen nicht für diejenigen, die hybride Dienste ausführen. Domain Controller Agents (DC) fügen eine weitere Ebene der Komplexität hinzu. Microsoft warnt, dass Listen und Algorithmen erst dann aktualisiert werden, wenn die DC-Agent Software aktualisiert wurde. DCs müssen neu gebootet werden, damit die Änderungen übernommen werden können.

Wenn Sie diesen Prozess verstehen, wissen Sie, was Sie bei der Arbeit mit Listen gesperrter Kennwörter zu erwarten haben. Es kann mehrere Stunden dauern, bis Änderungen übernommen werden. Diejenigen, die native AD-Tools verwenden, sollten diese Aktualisierungen planen, um die Auswirkungen auf Administratoren und Dienste zu verringern. Regelmäßige Aktualisierungen von benutzerdefinierten Listen können Änderungen weniger schmerzhaft machen.

Verwendung einer Lösung eines Drittanbieters

Azure und viele bestehende externe Tools bieten kein gutes Benutzerfeedback. So wird beispielsweise bei der Ablehnung von Passwörtern eine generische Fehlermeldung für die Benutzer erzeugt. Azure AD-Administratoren können diese Warnmeldungen nicht anpassen.

Tools von Drittanbietern wie Specops Password Policy geben Administratoren mehr Kontrolle über das Benutzerfeedback.

• Das markierte Wort, das in einem bestimmten Wörterbuch verboten ist, sodass die Benutzer es in Zukunft nicht mehr verwenden
• Die Regeln, die Benutzer erfüllt haben
• Die Regeln, die Benutzer noch befolgen müssen, um ein richtlinienkonformes Passwort zu erstellen

Verbesserungen der Sicherheit

Specops Password Policy arbeitet optimal mit der Specops Breached Password Protection Liste zusammen. Letztere ist entstanden, weil Microsofts globale Liste keine geleakten Passwörter enthält. Breached Password Protection zieht Daten von Drittanbietern in den Mix ein. Diese Informationen stammen aus Datenbanken mit geleakten Passwörtern, die von Diensten wie Have I Been Pwned gepflegt werden.

Zusätzliche Flexibilität

Specops Password Policy kann jede GPO-Ebene, jede Gruppe, jeden Computer oder Benutzer mit Komplexitäts- und Passphrase-Einstellungen berücksichtigen. Benutzerdefinierte Wörterbücher und Listen mit kompromittierten Kennwörtern werden automatisch aktualisiert und angewendet. Schließlich können die Listen lokal oder in der Cloud gespeichert werden. Specops passt sich an Ihre Umgebungseinstellungen an und hilft, viele häufige Probleme von Azure AD-Benutzern zu lindern.