Flexible Security for Your Peace of Mind

Gut, aber nicht ausreichend – weshalb hohe Passwortqualität mit Standard AD Richtlinien nicht umsetzbar ist

Active Directory ist in den meisten Unternehmen der zentrale Authentifizierungsdienst. Active Directory ist darüber hinaus auch Single Point of Truth für digitale Identitäten in Organisationen. In den meisten Fällen erfordert die Benutzerauthentifizierung Kennwörter. Obwohl Passwörter schwach sein können, weil die Anforderungen an Passwortsicherheit mit den Standardrichtlinien in Active Directory oftmals gar nicht umgesetzt werden können, werden sie in nächster Zeit nicht verschwinden. Unter anderem auch deshalb, weil ein Passwort (was Du weißt) nicht wie ein biometrisches Merkmal (was Du bist) oder ein Schlüssel (was Du hast) verloren gehen kann.

Das Durchsetzen von starken Passwörtern in Active Directory ist daher für den Schutz des Netzwerks vor unbefugtem Zugriff von entscheidender Bedeutung. Eine Active Directory – Passwortrichtlinie ist eine Reihe von Regeln, die die Anforderungen an die Passwortqualität in einer Organisation festlegen. Die Richtlinie wird für alle Benutzer als Teil der Gruppenrichtlinie (GPO) “Default Domain Policy” oder durch Anwendung einer feinabgestimmten Kennwortrichtlinie (FGPP) auf Sicherheitsgruppen durchgesetzt. Active Directory-Passwörter mit FGPP – Einstellungen können über das Active Directory – Verwaltungszentrum konfiguriert werden. Sowohl mit der Default Domain Policy als auch über FGPPs können nur sehr limitierte Anforderungen an die Kennwortqualität wie zum Beispiel:

  • Kennwortlänge
  • Historie
  • Alter und An/Abschalten von Komplexität

durchgesetzt werden.

Um starke Kennwörter in Unternehmen durchzusetzen, die den aktuellen Anforderungen beziehungsweise Empfehlungen der Sicherheitsbehörden entsprechen, sind diese Konfigurationsmöglichkeiten unzureichend. Daher ist der Einsatz von Passwort-Richtlinien-Tools von Drittanbietern wie der Specops Password Policy unabdingbar.

Wie Sie sicher werden.

Ihre Programme zur Verbesserung der Informationssicherheit sind nur so gut wie Ihr schwächstes Passwort. Wenn Sicherheitsaudits schwache Passwortrichtlinien aufdecken, hat man mit den Standardmöglichkeiten eines Active Directory nur begrenzte Möglichkeiten, dies zu adressieren.“One size does not fit all” funktioniert hier nicht. Die Umsetzung der Anforderungen an die Passwortsicherheit in Anlehnung an den BSI Grundschutz und die DSGVO müssen auch die individuellen Benutzergewohnheiten berücksichtigen.

Die Kunst liegt darin, sie in ein vernünftiges Verhältnis zwischen dem bestmöglich zu erreichenden Sicherheitsniveau und der Benutzerakzeptanz zu bringen. Um die IST – Situation besser einschätzen zu können, ist ein Passwort-Audit empfehlenswert, mit dem Ziel die damit einhergehenden Passwortsicherheitsrisiken zu identifizieren. Typischerweise wird dies durch Penetrationstests adressiert. Diese Audits können sowohl über das interne Cybersecurity-Team als auch durch externe Sicherheitsfirmen durchgeführt werden. Ziel dieser Tests ist es, hauptsächlich die in der Active Directory gespeicherten Passwörter zu identifizieren. Das wird entweder durch Brut Force Attacken oder auch durch im Internet verfügbare Listen von kompromittierten Kennwörtern erreicht. Darüber hinaus wird ein Passwort-Audit auch immer die Anforderungen an die Passwörter, die über die Password Policy definiert werden, bewerten.

In Abhängig der Resultate sollten davon ausgehend die Anforderungen an die Passwortsicherheit aktualisiert werden. Jedes identifizierte Risiko erfordert eine besondere Berücksichtigung zur Vorbeugung:

  • Sie müssen verhindern, dass Anwender Kennwörter wählen, die bereits kompromittiert und öffentlich zugänglich sind. Einbrüche in Unternehmensnetzwerke sind deshalb immer öfter erfolgreich, weil Passwörter verwendet werden, die bekannt sind.
  • Sie sollten ein Wörterbuch mit vorhersehbaren Begriffen in Bezug auf Ihre Organisation pflegen, um das Erraten von Passwörtern zu verhindern.
  • Wenn Benutzer bei jeder Passwortänderung nur minimale Änderungen im Vergleich zum vorherigen Passwort vornehmen, sollte Ihre Richtlinie definieren, wie sich das neue vom alten Kennwort unterscheiden muss.
  • Starke Passwörter sind lang, was die Wahrscheinlichkeit erhöht, dass Anwender Ihre Kennwörter vergessen, vor allem wenn zur Länge noch Komplexitätsanforderungen erfüllt sein müssen. Die Unterstützung von Passphrasen durch Active Directory hilft Benutzern, sich lange Kennwörter  besser zu merken.

Der Standardpasswortfilter von Active Directory stellt diese Anforderungen nicht zur Verfügung.

Mit den richtigen Werkzeugen können Sie eine Richtlinie erzeugen, die das Erstellen von schwachen Passwörtern verhindert. Die Richtlinie sollte die verschiedenen Rollen in Ihrer Organisation abdecken. Die Personen, die keinen Zugang zu geschäftskritischen Daten haben, müssen ihr Konto normalerweise nicht auf dieselbe Art und Weise schützen wie jemand in der Rechts-, Finanz- oder IT-Abteilung. Sprechen Sie mit den Beteiligten und entwerfen Sie Richtlinien, die den Bedürfnissen und dem benötigten Schutzbedarf entsprechen. Weitere hilfreiche Hinweise finden Sie unter Best practice tips for your password policy.

Mehrere Richtlinien innerhalb derselben Domain

Sicherheitsexperten werden Ihnen sagen, dass schwache Passwörter zu einer Gefährdung von Daten oder zu einer vollständigen Übernahme aller Computer im Netzwerk führen können. Dies gilt für alle Konten im Netzwerk, insbesondere für solche mit Zugang zu sensiblen Daten oder administrativen Privilegien. Standardbenutzer und Hochsicherheitsbenutzer sollten nicht an die gleichen Passwort-Einstellungen gebunden sein.

So kann man Standardanwendern eine Gruppenrichtlinie zuweisen, mit der beispielsweise Passphrasen durchgesetzt werden, die aufgrund der Länge und damit einhergehenden Stärke (Entropie) keine regelmäßigen Passwortänderungen erfordern. Es sei denn, das Kennwort ist kompromittiert. Bei administrativen Konten würde man im Gegenzug dafür eher eine Richtlinie die Länge, Komplexität + regelmäßige Änderung durchsetzt, wählen 

 

 

Standards für Passwort-Richtlinien

In Bezug auf Passwortsicherheit dokumentieren Compliance Standards, Anforderungen auf Basis von verschiedenen Industrie Best Practices und Empfehlungen von Sicherheitsbehörden, die sich allerdings teilweise in Bezug auf Ablauf, Länge und Komplexität von Passwörtern widersprechen. Es gibt jedoch eine Empfehlung, die alle gemeinsam haben: Passwörter für Benutzer zu vereinfachen und eine Änderung nur im Falle einer Kompromittierung durchzusetzen.

Obwohl die Verantwortlichen in den Unternehmen angehalten sind, angemessene technische und organisatorische Maßnahmen zur Verbesserung der Passwortsicherheit durchzuführen, wurden viel zu lange die Anwender für schlechte Passwörter verantwortlich gemacht. Die traditionellen Passwortrichtlinien, die ihre ungünstige Wahl förderten, wurden schlicht ignoriert. Traditionelle Richtlinien basieren auf den klassischen Komplexitätsregeln: Mindestlänge, Groß- und Kleinschreibung sowie Zahlen-/Sonderzeichen. Ein neuer Ansatz erfordert, dass die IT-Abteilung die bestehenden Richtlinien neben einem benutzerfreundlichen Authentifizierungssystem, das Passphrasen und Multi-Faktor-Authentifizierung fördert, neu überdenkt und gleichzeitig kompromittierte Passwörter verbietet.

Natürlich haben die Benutzer auch noch einen weiten Weg vor sich. Und die IT hat die schwierige Aufgabe, Anwender über Passwortsicherheit und das “Warum” aufzuklären und davon zu überzeugen, sich idealerweise freiwillig für lange und damit starke Kennwörter zu entscheiden. Neben der Schulung der Mitarbeiter ist ein auf der Länge des gewählten Passworts basierendes Ablaufdatum ein effektiver Weg, die Nutzer “ins Boot zu holen”.

Weitere Informationen über die Anforderungen zur Einhaltung der Passwortrichtlinien einschließlich der aktuellen Empfehlungen des National Institute of Standards and Technology (NIST), finden Sie in unserem Blog NIST Password Standards. Leider können viele der Empfehlungen mit dem Standard Active Directory Passwortfilter nicht erfüllt werden.

Viel zu lange wurden Benutzer für schlechte Passwörter verantwortlich gemacht...

Schlussfolgerung

Sie suchen nach einer Lösung eines Drittanbieters für Passwortrichtlinien, um Ihre IT-Sicherheit zu erhöhen? Jetzt können Sie die Sicherheit Ihrer Passwortrichtlinien in Active Directory den aktuellen Empfehlungen anpassen. Specops Password Policy ist ein Passwortfilter und wird über die Gruppenrichtlinie mit erweiterten Einstellungen, die über herkömmliche Richtlinien hinausgehen, konfiguriert. Die Specops Password Policy – Verwaltungstools integrieren sich in die Active Directory Gruppenrichtlinien-Verwaltungskonsole (GPMC) und ermöglichen Administratoren die effektive Verwaltung von Passwortrichtlinien in ihrer gesamten Organisation unter Verwendung vertrauter Tools und Verfahren.

3rd Party Passwortfilter auf Domänen Controllern sind in der Microsoft-Sicherheitsarchitektur vorgesehen und stellen keine Systemänderung dar, die nicht durch Microsoft unterstützt würde.

× Schließen

Sie wollen mehr über
Specops Password Policy
erfahren?

Jetzt Password Policy testen Nein, danke.