Sichere Kennwörter spielen in Active Directory eine wesentliche Rolle, wenn es um die Sicherheit des ganzen Netzwerks geht. Mit Bordmitteln lässt sich diese Sicherheit kaum optimal herstellen. Das Tool Lithnet Password Protection ist dabei eine sinnvolle Ergänzung.
Mit Windows-Bordmitteln lässt sich die Sicherheit der Anmeldekonten in Active Directory kaum optimal schützen. Aber zum Glück gibt es praktische Tools, die Admins dabei helfen können.
(Bild: chinnarach - stock.adobe.com)
Die Sicherheit der Anmeldekonten in Active Directory ist zu einem großen Teil von den Kennwörtern abhängig, die Anwender nutzen. Über Gruppenrichtlinien lassen sich zahlreiche Einstellungen vorgeben, mit denen die Sicherheit der Kennwörter zumindest zum großen Teil wesentlich verbessert werden kann. Allerdings lässt sich über die Gruppenrichtlinien nicht steuern, dass Anwender vor bereits geleakten Kennwörtern oder Zeichenfolgen aus geleakten Kennwörtern geschützt werden.
Mit welchen Tools und Informationen man Kennwörter in Active Directory möglichst gut schützen kann, zeigen wir hier im Video-Tipp und in der Bildergalerie.
Kennwörter in Active Directory mit Richtlinien absichern
Die Standardrichtlinien für Kennwörter sind in der Gruppenrichtlinienverwaltung in der „Default Domain Policy“ bei „Computerkonfiguration -> Richtlinien > Windows-Einstellungen -> Sicherheitseinstellungen -> Kontorichtlinien -> Kennwortrichtlinien zu finden. Wir haben unter anderem im Beitrag „Kennwortrichtlinien in Active Directory mit der PowerShell verwalten“ gezeigt, wie sich die Richtlinien auch mit Skripten und automatisiert über die PowerShell optimieren lassen. Im Beitrag „Windows-Passwörter mit Gruppenrichtlinien schützen“ sind weitere Anleitungen und ein Video zu finden, mit dem sich die Sicherheit von Kennwörtern in Windows und Active Directory noch einmal deutlich verbessern lässt.
Specops Password Auditor findet geleakte Kennwörter in Active Directory
Der Standardschutz reicht allerdings bei weitem nicht aus. Zwar ist es möglich mit kostenlosen Tools wie Specops Password Auditor das Active Directory auch kostenlos nach geleakten Kennwörtern zu untersuchen, allerdings geht das nur nachträglich, also wenn die Kennwörter bereits im Einsatz sind.
Password Filter in Active Directory vermeiden gehackte Kennwörter
Mit Password-Filtern in Active Directory lassen sich weitere Schutzmaßnahmen einbinden, durch die Benutzer daran gehindert werden überhaupt erst Kennwörter zu verwenden, die von vorneherein schon als gehackt im Internet bekannt sind. Das Tool Lithnet Password Protection (LPP) bindet sich an diese Filter in Active Directory an und verhindert durch Gruppenrichtlinien, dass Benutzer geleakte Kennwörter nutzen. Dazu kann das Tool auch bereits mit einer vorgefertigten Liste von Kennwörtern aktualisiert werden. Das Tool und die Liste stehen als Open Source auf GitHub zur Verfügung. Die Konfiguration kann übrigens auch mit der PowerShell erfolgen. Daher haben wir oben bereits unseren Beitrag zur Steuerung der Kennwortrichtlinie mit der PowerShell verlinkt.
Der erste Schritt bei der Verwendung von Lithnet Password Protection (LPP) (https://lithnet.io/products/password-protection) besteht darin das Tool auf einem Domänencontroller zu installieren. Durch die Installation werden die Password Filter in Active Directory erweitert. Dazu kommen zusätzliche ADMX-Dateien, mit denen sich die Gruppenrichtlinien zum Schutz von Kennwörtern deutlich erweitern lassen. Nach der Installation stehen die neuen Gruppenrichtlinieneinstellungen auch bereits bei „Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Lithnet -> Password Protection for Active Directory“ zur Verfügung. Beim Einsatz mehrerer DCs sollte darauf geachtet werden, dass die ADMX-Dateien des Tools auf allen Domänencontrollern zur Verfügung stehen.
Hier lassen sich ergänzende Einstellungen für Gruppenrichtlinien umsetzen, die für die Kennwörter angewendet werden. Darunter sind die Einstellungen zu verhindern, dass Anwender Kennwörter nutzen dürfen, die im Speicher von LPP als kompromittiert hinterlegt sind. Die Datenbank mit den geleakten Kennwörtern lässt sich auf den Domänencontrollern lokal ablegen, sodass für die Überprüfung keine Online-Verbindung notwendig ist.
Mit welchen Tools und Informationen man Kennwörter in Active Directory möglichst gut schützen kann, zeigen wir hier im Video-Tipp und in der Bildergalerie.
LPP kann auch auf die Daten der Datenbank HIBP zugreifen, in denen gehackte Kennwörter gespeichert sind. Soll die Datenbank auf den lokalen Domänencontrollern zum Einsatz kommen, muss auf jeden Fall mit einem Speicherplatz jenseits der 20 GB auf den Domänencontrollern gerechnet werden. Diesen Umfang hat die Datenbank mit gehackten Kennwörtern mittlerweile und die Tendenz ist eher wachsend. Die Daten können auf allen Domänencontrollern gespeichert werden, müssen das aber nicht. Es ist auch möglich eine lokale Datenbank freizugeben und auf den Domänencontrollern den Zugriff darauf zu konfigurieren. Parallel dazu unterstützt LPP auch DFS und natürlich auch die Replikation der Datenbank auf alle Domänencontroller.
Das Erstellen des Verzeichnisses und das Importieren der darin gespeicherten Daten in die Richtlinien erfolgt über die PowerShell zum Beispiel mit den folgenden Befehlen:
Benötigt wird die NTLM-formatierte Liste von HIBP. Diese hat eine Größe von etwa 12 GB bis 14 GB. Wenn die Datei heruntergeladen ist, lässt sie sich über die PowerShell in den lokal erstellten Store von LPP einbinden:
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
In den Gruppenrichtlinieneinstellungen von LPP sollte vor allem die Einstellung „Reject passwords found in the compromised password store“ aktiviert und die beiden Einstellungen darin gesetzt werden. Sobald die Richtlinien angewendet werden, können Anwender jetzt keine Kennwörter mehr verwenden, die im Store hinterlegt sind. Auch die anderen Einstellungen in diesem Bereich können gesetzt werden. Für jede Einstellung zeigt die Vorlage eine Hilfe. Sinnvoll ist es zum Beispiel zu verhindern, dass Anwender ihren Benutzernamen in das Kennwort mit einbinden („Reject passwords that contan the user`s account name“). Es macht Sinn, sich die einzelnen Möglichkeiten dazu genauer anzuschauen und diese entsprechend zu setzen.
Mit welchen Tools und Informationen man Kennwörter in Active Directory möglichst gut schützen kann, zeigen wir hier im Video-Tipp und in der Bildergalerie.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d1/c3/d1c3ea28cb57ef0c781c3a2ffdb64873/0129392960v2.jpeg "Sicherheitsforschende haben eine Schwachstelle in Google Gemini entdeckt, bei der böswillige Akteure eine unauffällige Payload in eine Kalendereinladung einbetten, die es ihnen ermöglicht, die Datenschutzmaßnahmen zu umgehen und sensible Daten des Nutzers zu stehlen, ohne dass dieser interagieren muss. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/30/27/3027664b0fb0bc9c398378e320ef390b/0128993714v2.jpeg "Cyberkriminelle sind aktiver denn je. Diese deutschen Unternehmen sind ihnen 2026 bereits zum Opfer gefallen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/47/ea/47eaea73f1cd6fe1da92eb6934b65745/0129487546v2.jpeg "Apple hat eine kritische Zero-Day-Sicherheitslücke im Dynamic Link Editor geschlossen, die alle unterstützten Apple-Betriebssysteme betrifft und Angreifern ermöglicht, beliebigen Code auszuführen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/bd/7b/bd7b5eab48b26e20fc849eb12e1bb6ae/0129167482v1.jpeg "KI-Anwendungen sind im Alltag angekommen. Der steigende Bedarf an Daten rückt Fragen zu Datenschutz, Governance und Vertrauen stärker in den Fokus, zeigt die Cisco-Studie. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/0f/ce/0fce7e5966d735b98a26a524b389bb40/0129086020v1.jpeg "Die beiden Gründer von Zeropoint Lavi Friedman (li.) und Joseph Gertz (re.) setzen auf einen Ansatz, der Netzwerkgrenzen nicht absichert, sondern physisch neu zieht. Keine Pakete rein, keine Daten raus – nur menschliche Interaktion und Pixel. (Bild: Zeropoint)")
:quality(80)/p7i.vogel.de/wcms/14/4d/144dfeb59fa22d4f60c9bc5f94784088/0129483540v1.jpeg "Das Jahr 2026 markiert einen Wendepunkt für die Cybersicherheit und Security-Teams bleibt nicht viel Zeit sich darauf einzustellen. (Bild: © Jss - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/68/4968cfb619f90613cca8ba77511df54d/0129472744v2.jpeg "Das BSI empfiehlt, klassische asymmetrische Verschlüsselungsverfahren bis Ende 2031 nicht mehr zu verwenden, da sie aufgrund der Entwicklungen im Quantencomputing nicht sicher sind, was einen dringenden Umstieg auf hybride Verfahren, die quantensichere Algorithmen integrieren, erforderlich mache. (Bild: Alex - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/cd/dacd0e89cad4438353a1e68ce241ee08/0129347964v1.jpeg "Für die zentrale Verarbeitung von Log- und Ereignisdaten liefert die Windows-Ereignisweiterleitung die technische Basis. (Bild: © TommyNa - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/55/235504bbda4efcf043fbef7c7acc23d3/0129423267v2.jpeg "Omnichannel-Inboxen verbinden alle Kundenkanäle in einer Plattform, aber ohne Zero-Trust-Architektur wird diese zentrale Schnittstelle zum Einfallstor für Angreifer. (Bild: © kucherav - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/a0/63a08ef8cf2f357846891924a0c362b5/0129422042v1.jpeg "Active Directory Passwort-Resets explodieren insbesondere bei hybrider Arbeit. Sichere Self-Service-Passwort-Reset-Tools steuern dem entgegen. (Bild: Specops)")
:quality(80)/p7i.vogel.de/wcms/9f/4c/9f4c8b769319bae704bc65017a4ada98/0129424999v2.jpeg "Cyber-Resilienz 2026 bedeutet Handlungsfähigkeit unter laufendem Angriff, aber unkontrollierte Identitäten untergraben genau diese Fähigkeit und machen Systeme unsteuerbar. (Bild: © AminaDesign - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f1/db/f1dbe322f0469f58d749a8d7439e02aa/0129455085v1.jpeg "ITDR-Lösungen erkennen Konfigurationsprobleme sowie Anomalien in Echtzeit, bevor Angreifer gestohlene Zugangsdaten ausnutzen können. (Bild: aldomurillo / gettyimages)")
:quality(80)/p7i.vogel.de/wcms/5f/ce/5fceb535aae0ba446c45d422e7c0c740/0129495522v2.jpeg "Kommt der Wunsch nach einer Nachbesserung der DSGVO einer Aufweichung des Datenschutzes gleich? (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/85/eb/85ebcb9d59c789244b0672056a79aa6d/0129519820v2.jpeg "Europas Cybersecurity-Startups erfinden die Abwehr neu: Auf dem Web Summit in Lissabon stellten junge Unternehmen aus Portugal, Deutschland und Estland Lösungen für Post-Quantum-Bedrohungen, souveräne KI und explodierende Cloud-Risiken vor. (Bild: © Bundi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/a7/54/a754f7cbb4ecdd409511588999a8783d/0109500761.jpeg "Über die Default Domain Policy lässt sich die Sicherheit von Kennwörtern in Active Directory steuern.(Bild: Microsoft / Joos)")
:quality(80)/p7i.vogel.de/wcms/31/23/3123eb1548eff2fcf5ff01e99aa1df07/0109500760.jpeg "Anpassen der standardmäßigen Einstellungen für die Sicherheit von Kennwörtern in Active Directory.(Bild: Microsoft / Joos)")
:quality(80)/p7i.vogel.de/wcms/d2/1f/d21fa89184002a8bd80326cac5ac5546/0109500764.jpeg "Specops Password Auditor findet gehackte Kennwörter in Active Directory.(Bild: Microsoft / Joos)")
:quality(80)/p7i.vogel.de/wcms/88/5a/885ad58ed8d99aa7146915d22bc79c6b/0109500767.jpeg "Specops Password Auditor zeigt die Konten an, die gehackte Kennwörter in Active Directory nutzen.(Bild: Microsoft / Joos)")
:quality(80)/images.vogel.de/vogelonline/bdb/1807700/1807755/original.jpg "Mit der Powershell können Administratoren die Kennwortrichtlinien in ihrem Active Directory automatisiert verwalten. (jariyawat - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1186300/1186363/original.jpg "Wie man mit Gruppenrichtlinien verschiedene wichtige Einstellungen für mehr Sicherheit von Passwörtern steuert, zeigt unser Video-Tipp. (Pixabay)")
:quality(80)/p7i.vogel.de/wcms/4f/a2/4fa237fbb0c6f003308eff09e0adce6e/0124369870v1.jpeg "Überwachung und Sicherheit im Active Directory: Durch Gruppenrichtlinien und Tools wie auditpol.exe lassen sich Benutzeraktionen, Richtlinienänderungen und Zugriffe auf Domänencontroller detailliert nachverfolgen – ein zentraler Baustein zum Schutz vor unbefugten Eingriffen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ed/48/ed486a0822a9f675e1d04c36be3a1c15/0124316844v1.jpeg "Die PowerShell bietet Administratoren eine flexible Möglichkeit, die Überwachungsrichtlinien für Defender for Identity effizient zu verwalten und sicherzustellen, dass alle sicherheitsrelevanten Ereignisse im Active Directory erfasst werden.
(Bild: Vittaya_25 - stock.adobe.com)")