Flexible Security for Your Peace of Mind

Die wichtigsten Einstellungen für eine Kennwortrichtlinie in Active Directory

Sie haben eine neue Kennwortrichtlinie für Ihre Active Directory User geplant? Dann ist es nun an der Zeit, diese mithilfe der richtigen Einstellungen in die Praxis umzusetzen. Falls Sie noch am Anfang der Planung einer neuen Kennwortrichtlinie stehen, finden Sie in diesem Whitepaper nützliche Tipps und Hinweise.
In diesem Blogbeitrag zeigen wir Ihnen, welche Einstellungsmöglichkeiten Active Directory bietet, um moderne Kennwortrichtlinien umzusetzen und wo mögliche Tools von Drittanbietern (wie Specops Password Policy) eine sinnvolle Erweiterung bieten.

Die wichtigsten Bestandteile von Kennwortrichtlinien

Im Folgenden finden Sie die wichtigsten Bestandteile einer Passwortrichtlinie. Zwar ist diese Liste nicht erschöpfend, aber es handelt sich um fünf Einstellungen, die in fast jeder Kennwortrichtlinie enthalten sein sollten, um eine entsprechende Resilienz der Passwörter und Accounts gegen Bruteforcing-Angriffe zu erzielen:

  • Länge der Passwörter
  • Komplexität der Passwörter
  • Passwort Blacklist
  • Verfallsdatum der Passwörter
  • Passwort-Historie / Passwortverlauf

Länge der Passwörter

Längere Kennwörter lassen sich nicht so einfach durch Brute-Force- Methoden erraten. Daher empfehlen wir eine Passwortlänge, die deutlich über die von vielen Unternehmen verwendeten acht Zeichen hinausgeht – am besten sind 15 Zeichen und mehr. Um solche langen Passwörter benutzerfreundlich zu machen, können Sie Ihre Nutzer ermutigen, Passphrasen zu erstellen, die trotz der Länge leicht zu merken sind.

In Active Directory können Sie die Mindestlänge für alle Benutzer mithilfe der Gruppenrichtlinie folgendermaßen festlegen:

Wenn Sie für bestimmte Benutzergruppen (die durch Sicherheitsgruppen definiert sind) unterschiedliche Längen vorgeben möchten, können Sie Fine Grained Password Policy (FGPP) verwenden. Diese wird über das Active Directory Administrative Center (ADAC) konfiguriert:

Mit Specops Password Policy können Sie diese Einstellung für klassische Passwörter hier vornehmen:

Für Passphrasen haben Sie separate Einstellungsmöglichkeiten:

Komplexität der Passwörter

Durch das Hinzufügen von Komplexitätsanforderungen werden der Zeichenraum und die möglichen Zeichenkombinationen stark erweitert. Dies kann die Entropie eines kurzen Passwortes wirkungsvoll erhöhen. Dabei gilt aber, dass komplexere Passwörter schwieriger zu merken sind, was dazu führen kann, dass Passwörter aufgeschrieben oder anderweitig unsicher aufbewahrt werden – besonders wenn es sich um Login-Passwörter handelt, die nicht in einem Passwortmanager gespeichert werden können.

Es gibt keine genau Kontrolle über die „Komplexität“ innerhalb der Microsoft-Gruppenrichtlinien- oder Fine Grained-Password Policies. Sie kann lediglich auf „ein“ gesetzt werden, was bedeutet:

  • 3 der 5 verschiedenen Zeichentypen (Großbuchstaben, Kleinbuchstaben, Ziffern, Sonderzeichen und Unicode)
  • Darf nicht Ihren Benutzernamen enthalten (Vorname, Nachname, Anzeigename oder sAMAccountName)

Hier die Einstellungsmöglichkeit in den Gruppenrichtlinien:

In den Fine Grained Password Policies:

In Specops Password Policy:

Passphrasen sollten ihre stärke in der Regel nicht durch Komplexität, sondern durch ihre Länge erreichen. Sie können jedoch Regular Expressions Ausdrücke verwenden, um unternehmenseigene Komplexitätsvorgaben für eine Passphrase zu erstellen:

Passwort Blacklist

Es bietet sich an bestimmte Begriffe oder Passwörter von vornherein zu verbieten. Einige Tools ermöglichen es auch, benutzerdefinierte Wörterbücher mit unternehmens- oder branchenspezifischen Begriffen zu erstellen. Zum Beispiel Firmen- oder Produktnamen, die von Benutzern bei der Erstellung ihrer Passwörter verwendet werden könnten.

Leider gibt es dafür keine Out-of-the-Box-Lösung innerhalb von Microsofts AD-Standardtools. Wie Sie dies mithilfe von Specops Password Policy umsetzen können, erfahren Sie hier:

Specops Password Auditor Reports
Schlummern gestohlene Kennwörter In Ihrem Active Directory? Jetzt kostenlos überprüfen!

Verfallsdatum der Passwörter

Bis vor kurzem wurde empfohlen, dass Unternehmen ihre Passwörter alle 60, 90 oder 120 Tage ändern sollten. Dies führt jedoch oft zu iterativen Änderungen – also dazu, dass Benutzer “Passwort1” in “Passwort2” ändern. Eine komplette Abschaffung von Verfallsdaten für Passwörter empfehlen wir nicht, da es durchaus vorkommen kann, dass Passwörter kompromittiert werden (Shouldersurfing, Passwort im Benutzernamen eingetippt o.ä.). Überlegen Sie daher, welcher Zyklus für Ihr Unternehmen am besten geeignet ist. Erfahren Sie in diesem Blogbeitrag mehr über mögliche Kompromisse beim Verfallsdatum für Passwörter.

In Active Directory können Sie pro Richtlinie ein Verfallsdatum definieren. Mittels Gruppenrichtlinie definieren Sie die globale Einstellung und können dann mithilfe von Fine Grained Password Policy andere Ablaufdaten für bestimmte Benutzergruppen festlegen.

Fine Grained Passwort Policy

Specops Password Policy ermöglicht Ihnen die Vergabe von Verfallsdaten abhängig von der Länge des Passwortes – so können Sie längere Passwörter und Passphrasen fördern, ohne diese Explizit vorzuschreiben.

Passwortverlauf

Der Kennwortverlauf bestimmt die Anzahl der einzigartigen Passwörter, die ein Benutzer erst verwenden muss, bevor er ein altes Passwort als “neu” gewertet wird. Dies ist eine wichtige Einstellung angesichts der Wiederverwendung von Kennwörtern und der sich daraus ergebenden Risiken.

Sie können den Verlauf für Kennwörter in der Gruppenrichtlinie festlegen:

Hier die Einstellungsmöglichkeiten für den Kennwortverlauf in den Fine Grained Passwort Policies

Hier die Einstellungsmöglichkeiten in Specops Password Policy

Regelmäßige Scans nach kompromittierten Passwörtern

Starke Passwortrichtlinien können die Erstellung schwacher Passwörter verhindern, aber auch vermeintlich starke Passwörter können kompromittiert werden. Wie unsere Untersuchung ergab, erfüllten 83 % der kompromittierten Passwörter bereits die meisten Vorgaben. Dies hindert aber nicht die Passwörter daran, durch Phishing-Angriffe oder Wiederverwendng auf unsicheren Portalen kompromittiert oder durch Malware gestohlen zu werden. Bislang prüfen die meisten 3rd-Party Tools Passwörter nur bei einer Änderung oder einem Reset darauf, ob diese bereits kompromittiert sind. Das stellt natürlich eine große Lücke in der Abdeckung dar, wenn Benutzer solche Events nicht regelmäßig triggern.

Specops Password Policy mit Breached Password Protection bietet eine kontinuierliche Scan-Funktion, die täglich alle Ihre Active Directory-Passwörter mit unserer Breached Password Protection API auf Kompromittierung überprüft. So schützen Sie sich wirkungsvoll vor der Verwendung von mehr als 4 Milliarden bekannten kompromittierten Passwörtern.

Unsere Datenbank enthält Informationen aus bekannten Leaks sowie unserem eigenen Honeypot-System und Zugangsdaten, die durch Malware gestohlen wurden. Wollen Sie mehr darüber erfahren, wie die Tools von Specops Sie bei der Stärkung Ihrer Passwortsicherheit unterstützen kann? Wir beraten Sie gerne!

NIST 800 Anforderungen an Passwortsicherheit
Kompromittierte Kennwörter In Ihrer externen Angriffsfläche? Jetzt 14-tägige Demo vereinbaren!

(Zuletzt aktualisiert am 10/10/2024)

Zurück zum Blog