Active Directory ist in den meisten Unternehmen der zentrale Authentifizierungsdienst. Active Directory ist darüber hinaus auch Single Point of Truth für digitale Identitäten in Organisationen. In den meisten Fällen erfordert die Benutzerauthentifizierung Kennwörter. Obwohl Passwörter schwach sein können, weil die Anforderungen an Passwortsicherheit mit den Standardrichtlinien in Active Directory oftmals gar nicht umgesetzt werden können, werden sie in nächster Zeit nicht verschwinden. Unter anderem auch deshalb, weil ein Passwort (was Du weißt) nicht wie ein biometrisches Merkmal (was Du bist) oder ein Schlüssel (was Du hast) verloren gehen kann.
Das Durchsetzen von starken Passwörtern in Active Directory ist daher für den Schutz des Netzwerks vor unbefugtem Zugriff von entscheidender Bedeutung. Eine Active Directory – Passwortrichtlinie ist eine Reihe von Regeln, die die Anforderungen an die Passwortqualität in einer Organisation festlegen. Die Richtlinie wird für alle Benutzer als Teil der Gruppenrichtlinie (GPO) “Default Domain Policy” oder durch Anwendung einer feinabgestimmten Kennwortrichtlinie (FGPP) auf Sicherheitsgruppen durchgesetzt. Active Directory-Passwörter mit FGPP – Einstellungen können über das Active Directory – Verwaltungszentrum konfiguriert werden. Sowohl mit der Default Domain Policy als auch über FGPPs können nur sehr limitierte Anforderungen an die Kennwortqualität wie zum Beispiel:
- Kennwortlänge
- Historie
- Alter und An/Abschalten von Komplexität
durchgesetzt werden.
Um starke Kennwörter in Unternehmen durchzusetzen, die den aktuellen Anforderungen beziehungsweise Empfehlungen der Sicherheitsbehörden entsprechen, sind diese Konfigurationsmöglichkeiten unzureichend. Daher ist der Einsatz von Passwort-Richtlinien-Tools von Drittanbietern wie der Specops Password Policy unabdingbar.