Konfigurieren von benutzerdefinierten und Online-Wörterbüchern

Sie können ein Kennwort-Wörterbuch verwenden, d.h., eine Datei mit Wörtern, die leicht als einprägsame Kennwörter verwendet werden könnten, um zu verhindern, dass Benutzer Kennwörter erstellen, die anfällig für Wörterbuchangriffe sind. Specops Password Policy unterstützt auch Hash-Wörterbücher, die den Hash von neuen Kennwörtern mit denen von großen Lecks vergleichen, um die Verwendung angreifbarer Kennwörter zu verhindern.

Benutzerdefinierte Wörterbücher bieten Ihnen die Möglichkeit, Ihr eigenes Wörterbuch zu erstellen, ein aus dem Internet heruntergeladenes Wörterbuch zu importieren oder die von Specops veröffentlichten Online-Wörterbücher zu verwenden.

Benutzer-Wörterbücher verwenden

Mit einem benutzerdefinierten Wörterbuch können Sie Kennwort- und Kennwort-Hash-Wörterbücher hinzufügen, konfigurieren und entfernen. Das Kennwort-Wörterbuch wird bei jeder Kennwortänderung in Active Directory durchsucht. Ein neues Kennwort wird abgelehnt, wenn es im Wörterbuch gefunden wird. Das Kennwort-Hash-Wörterbuch enthält gehashte Kennwörter, die mit dem Hash-Wert jedes neuen Kennworts verglichen werden. Zum Beispiel beim Testen gegen geleakte LinkedIn-Kennwort-Hashes.

Wenn Sie eine Kennwortdatei importiert haben, können Sie diverse Einstellungen dieser konfigurieren, z. B. den Teilwortabgleich und umgekehrte Wortschreibungen. Wenn Sie eine Kennwort-Hash-Datei importiert haben, müssen Sie die Hash-Funktion für die Wörter im Wörterbuch angeben.

Die Wörter in der Wörterbuchdatei müssen durch Zeilenumbrüche getrennt sein.

  1. Klicken Sie im Gruppenrichtlinien-Verwaltungseditor mit der rechten Maustaste auf das GPO, das Sie anvisieren möchten, und wählen Sie Bearbeiten...
  2. Erweitern Sie den Knoten Benutzerkonfiguration, Richtlinien, Windows-Einstellungen und wählen Sie Specops-Kennwortrichtlinie. Klicken Sie auf Neue Kennwortrichtlinie erstellen oder Kennwortrichtlinie konfigurieren.
  3. Wählen Sie die Kennwortregeln
  4. Aktivieren Sie das Kontrollkästchen Benutzerdefinierte Wörterbücher verwenden und klicken Sie auf Verwalten.
  5. Sie haben dann die Möglichkeit, eine Kennwort- oder eine Kennwort-Hash-Datei zu importieren oder ein neues Wörterbuch im Editor zu erstellen.
    1. Wenn Kennwortdatei ausgewählt ist, suchen Sie nach der gewünschten Kennwortdatei.
    2. Wenn Kennwort-Hash-Datei importieren ausgewählt ist, suchen Sie die gewünschte Hash-Datei.
    3. Wenn Sie Neues Wörterbuch wählen, können Sie Ihr eigenes Wörterbuch erstellen, indem Sie Wörter in den Wörterbuch-Editor eingeben. Geben Sie die Wörter, die Sie hinzufügen möchten, in das Textfeld ein.
  6. Wenn Kennwortdatei oder Neues Wörterbuch ausgewählt wurde, können Sie weitere Einstellungen vornehmen. Klicken Sie beim gewünschten Wörterbuch auf Auswahl konfigurierenund erweitern Sie Optionen für die folgenden Einstellungen:
    1. Teil des neuen Kennworts: Wenn diese Option aktiviert ist, wird jeder Versuch abgewiesen, ein Kennwort zu ändern, das ein Wort aus dem Wörterbuch enthält. Wenn das Kennwort-Wörterbuch beispielsweise "Specops" enthält, wird bei Aktivierung dieser Option eine Kennwortänderung in "specops", "SPECOPS", "Specops", "Specops1" oder "1Specops" abgelehnt. Eine Kennwortänderung auf "Specop1" oder "cops" wird durch diese Einstellung nicht abgelehnt.
    2. Zeichenersetzung (Leetspeak): Wenn diese Option aktiviert ist, werden Zeichenersetzungen bei der Überprüfung eines Kennworts in das Originalzeichen umgewandelt. Wenn beispielsweise das Wort "Password" im Wörterbuch enthalten ist, wird bei Aktivierung dieser Option eine Kennwortänderung in "p@ssword" oder "p4ssw0rd" abgelehnt.
      HINWEIS
      Für die Konvertierung werden folgende Zeichenersetzungen verwendet:
      å, Å, ä, Ä, â, Â, à, À, á, Á, @, 4 = a
      8 = b
      é, É, è, È, ë, Ë, ê, Ê, 3, € = e
      6, 9 = g
      î, Î, Ï, ï, 1 = i
      |, î, Î, Ï, ï = l
      ô, Ô, ö, Ö, 0 = o
      5, $, § = s
      ù, Ù, ú, Ú, û, Û, ü, Ü, = u
      7 = t
      2 = z
      I, ! = 1
    3. Umkehrung des neuen Kennworts: Wenn das Kennwort-Wörterbuch "abc123" enthält, wird bei Aktivierung dieser Option auch die Umkehrung des Wortes abgelehnt, d. h. "321cba".
      HINWEIS
      Die Aktivierung von "Teil des neuen Kennworts" oder "Umkehrung des neuen Kennworts" bei Verwendung großer Wörterbücher erhöht nicht unbedingt die Sicherheit und kann es den Endbenutzern erschweren, Kennwörter zu erstellen, da eigentlich gute Kennwörter dadurch möglicherweise abgelehnt werden. Eine Ausnahme kann für "Teil des neuen Kennworts" gemacht werden, wenn kleinere Wörterbücher verwendet werden, die firmen- oder produktspezifische Wörter enthalten.
    4. Wörter aus dem Wörterbuch, die kürzer als x Zeichen sind, werden ignoriert: Standardmäßig werden Wörter mit einer Länge von 3 Zeichen oder weniger ignoriert.
  7. Wenn Kennwort-Hash-Datei importieren ausgewählt ist, geben Sie die Hash-Funktion für die Wörter im Wörterbuch an. Dieser Wert muss mit dem Hashwert übereinstimmen, der beim Hashen der Kennwörter im zu importierenden Wörterbuch verwendet wurde. Wenn der Wert nicht übereinstimmt, schlägt die Wörterbuchprüfung fehl.

Weitere Informationen zu Kennwort-Wörterbüchern und Empfehlungen zu bewährten Verfahren für die oben genannten Einstellungen finden Sie hier.

HINWEIS
Aktivieren Sie das Kontrollkästchen Benutzer ungültiges Wörterbuchwort anzeigen, um die Benutzer darauf hinzuweisen, welches Wort in ihrem Kennwort nicht zulässig ist.