:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/66/66/66663fb55130791b4fb9775e2c6bc20e/0115056185.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/50/d7/50d7fe52fecf5c07fbb17b637be4a279/0115138647.jpeg "Der Datenschutz möchte und wird ein gewichtiges Wort bei der Gestaltung und Nutzung von KI mitreden. Neben dem AI Act der EU werden die Vorgaben der DSGVO eine zentrale Rolle spielen. (Bild: phonlamaiphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6f/c8/6fc89f7ea3b729aac10a382de00a5f90/0115140486.jpeg "Sysdig stellt neue Benchmark für Cloud-Sicherheit vor (Bild: Canva)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c1/54c16a567692f949cac390626820b34e/0115102427.jpeg "Die Balance zwischen fortschrittlicher Technologie und dem Schutz unserer menschlichen Identität zu wahren ist eine Gratwanderung. (Bild: Andrea Danti - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d9/2e/d92e5468b41274136166ffb7127b6d61/0115141779.jpeg "Mitarbeitende müssen über aktuelle Schwachstellen und Bedrohungen aufgeklärt werden und ein Sicherheitsbewusstsein entwickeln, um verhaltensabhängige Einfallstore zu minimieren. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/5e/405e9a7158844a3b1c403d4e106f5c64/0115101339.jpeg "Dass IT-Sicherheit auf die Management- und Geschäftsleitungsebene gehört, predigen Sicherheitsfachleute seit Jahren. Nun gießt auch die EU-Direktive NIS-2 dieses Credo in entsprechende gesetzliche Regelungen. (Bild: leowolfert - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/27/d9/27d93d4db274659ea08f4acf24d690c9/0113633997.jpeg "Ein Passkey ist ein auf dem Public-Key-Verfahren basierendes, sicheres Anmeldeverfahren ohne Passwort. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/c3/79/c37904becb849d8b2f9535b2b979da3f/0113634011.jpeg "Ein Cyber-physisches System besteht aus Mechanik, Software und vernetzter Informationstechnik zum Zweck der Steuerung und des Betrieb komplexer Anlagen und Infrastrukturen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Video-Tipp #57: Lithnet Password Protection Kennwörter in Active Directory optimal schützen
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/117800/117805/65.png "VIT_Logo_RGB_Full.png ()")
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Sichere Kennwörter spielen in Active Directory eine wesentliche Rolle, wenn es um die Sicherheit des ganzen Netzwerks geht. Mit Bordmitteln lässt sich diese Sicherheit kaum optimal herstellen. Das Tool Lithnet Password Protection ist dabei eine sinnvolle Ergänzung.
Die Sicherheit der Anmeldekonten in Active Directory ist zu einem großen Teil von den Kennwörtern abhängig, die Anwender nutzen. Über Gruppenrichtlinien lassen sich zahlreiche Einstellungen vorgeben, mit denen die Sicherheit der Kennwörter zumindest zum großen Teil wesentlich verbessert werden kann. Allerdings lässt sich über die Gruppenrichtlinien nicht steuern, dass Anwender vor bereits geleakten Kennwörtern oder Zeichenfolgen aus geleakten Kennwörtern geschützt werden.
Mit welchen Tools und Informationen man Kennwörter in Active Directory möglichst gut schützen kann, zeigen wir hier im Video-Tipp und in der Bildergalerie.
:quality(80)/p7i.vogel.de/wcms/a7/54/a754f7cbb4ecdd409511588999a8783d/0109500761.jpeg "Über die Default Domain Policy lässt sich die Sicherheit von Kennwörtern in Active Directory steuern.")
:quality(80)/p7i.vogel.de/wcms/31/23/3123eb1548eff2fcf5ff01e99aa1df07/0109500760.jpeg "Anpassen der standardmäßigen Einstellungen für die Sicherheit von Kennwörtern in Active Directory.")
:quality(80)/p7i.vogel.de/wcms/d2/1f/d21fa89184002a8bd80326cac5ac5546/0109500764.jpeg "Specops Password Auditor findet gehackte Kennwörter in Active Directory.")
:quality(80)/p7i.vogel.de/wcms/88/5a/885ad58ed8d99aa7146915d22bc79c6b/0109500767.jpeg "Specops Password Auditor zeigt die Konten an, die gehackte Kennwörter in Active Directory nutzen.")
Kennwörter in Active Directory mit Richtlinien absichern
Die Standardrichtlinien für Kennwörter sind in der Gruppenrichtlinienverwaltung in der „Default Domain Policy“ bei „Computerkonfiguration -> Richtlinien > Windows-Einstellungen -> Sicherheitseinstellungen -> Kontorichtlinien -> Kennwortrichtlinien zu finden. Wir haben unter anderem im Beitrag „Kennwortrichtlinien in Active Directory mit der PowerShell verwalten“ gezeigt, wie sich die Richtlinien auch mit Skripten und automatisiert über die PowerShell optimieren lassen. Im Beitrag „Windows-Passwörter mit Gruppenrichtlinien schützen“ sind weitere Anleitungen und ein Video zu finden, mit dem sich die Sicherheit von Kennwörtern in Windows und Active Directory noch einmal deutlich verbessern lässt.
Specops Password Auditor findet geleakte Kennwörter in Active Directory
Der Standardschutz reicht allerdings bei weitem nicht aus. Zwar ist es möglich mit kostenlosen Tools wie Specops Password Auditor das Active Directory auch kostenlos nach geleakten Kennwörtern zu untersuchen, allerdings geht das nur nachträglich, also wenn die Kennwörter bereits im Einsatz sind.
Password Filter in Active Directory vermeiden gehackte Kennwörter
Mit Password-Filtern in Active Directory lassen sich weitere Schutzmaßnahmen einbinden, durch die Benutzer daran gehindert werden überhaupt erst Kennwörter zu verwenden, die von vorneherein schon als gehackt im Internet bekannt sind. Das Tool Lithnet Password Protection (LPP) bindet sich an diese Filter in Active Directory an und verhindert durch Gruppenrichtlinien, dass Benutzer geleakte Kennwörter nutzen. Dazu kann das Tool auch bereits mit einer vorgefertigten Liste von Kennwörtern aktualisiert werden. Das Tool und die Liste stehen als Open Source auf GitHub zur Verfügung. Die Konfiguration kann übrigens auch mit der PowerShell erfolgen. Daher haben wir oben bereits unseren Beitrag zur Steuerung der Kennwortrichtlinie mit der PowerShell verlinkt.
:quality(80)/images.vogel.de/vogelonline/bdb/1807700/1807755/original.jpg "Mit der Powershell können Administratoren die Kennwortrichtlinien in ihrem Active Directory automatisiert verwalten. (jariyawat - stock.adobe.com)")
Automatisierung der Sicherheit in Active Directory
Kennwortrichtlinien in Active Directory mit der PowerShell verwalten
Lithnet Password Protection in Betrieb nehmen
Der erste Schritt bei der Verwendung von Lithnet Password Protection (LPP) (https://lithnet.io/products/password-protection) besteht darin das Tool auf einem Domänencontroller zu installieren. Durch die Installation werden die Password Filter in Active Directory erweitert. Dazu kommen zusätzliche ADMX-Dateien, mit denen sich die Gruppenrichtlinien zum Schutz von Kennwörtern deutlich erweitern lassen. Nach der Installation stehen die neuen Gruppenrichtlinieneinstellungen auch bereits bei „Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Lithnet -> Password Protection for Active Directory“ zur Verfügung. Beim Einsatz mehrerer DCs sollte darauf geachtet werden, dass die ADMX-Dateien des Tools auf allen Domänencontrollern zur Verfügung stehen.
Hier lassen sich ergänzende Einstellungen für Gruppenrichtlinien umsetzen, die für die Kennwörter angewendet werden. Darunter sind die Einstellungen zu verhindern, dass Anwender Kennwörter nutzen dürfen, die im Speicher von LPP als kompromittiert hinterlegt sind. Die Datenbank mit den geleakten Kennwörtern lässt sich auf den Domänencontrollern lokal ablegen, sodass für die Überprüfung keine Online-Verbindung notwendig ist.
Mit welchen Tools und Informationen man Kennwörter in Active Directory möglichst gut schützen kann, zeigen wir hier im Video-Tipp und in der Bildergalerie.
HIBP: LPP nutzt die Have i been pwned-Datenbank
LPP kann auch auf die Daten der Datenbank HIBP zugreifen, in denen gehackte Kennwörter gespeichert sind. Soll die Datenbank auf den lokalen Domänencontrollern zum Einsatz kommen, muss auf jeden Fall mit einem Speicherplatz jenseits der 20 GB auf den Domänencontrollern gerechnet werden. Diesen Umfang hat die Datenbank mit gehackten Kennwörtern mittlerweile und die Tendenz ist eher wachsend. Die Daten können auf allen Domänencontrollern gespeichert werden, müssen das aber nicht. Es ist auch möglich eine lokale Datenbank freizugeben und auf den Domänencontrollern den Zugriff darauf zu konfigurieren. Parallel dazu unterstützt LPP auch DFS und natürlich auch die Replikation der Datenbank auf alle Domänencontroller.
Das Erstellen des Verzeichnisses und das Importieren der darin gespeicherten Daten in die Richtlinien erfolgt über die PowerShell zum Beispiel mit den folgenden Befehlen:
mkdir C:\password-protection\storeImport-Module LithnetPasswordProtectionOpen-Store -Path "C:\password-protection\store"Benötigt wird die NTLM-formatierte Liste von HIBP. Diese hat eine Größe von etwa 12 GB bis 14 GB. Wenn die Datei heruntergeladen ist, lässt sie sich über die PowerShell in den lokal erstellten Store von LPP einbinden:
Import-CompromisedPasswords -Filename "c:\password-protection\hashes.org-2022.txt"Es ist auch möglich jederzeit Kennwörter in die Liste aufzunehmen. Auch das wird in der PowerShell durchgeführt, zum Beispiel mit:
Add-CompromisedPassword -Value p@ssw0rdUm zu überprüfen, ob ein Kennwort in der Liste steht, kann in der PowerShell der folgende Befehl genutzt werden:
Test-IsCompromisedPassword -Value p@ssw0rd:quality(80)/images.vogel.de/vogelonline/bdb/1186300/1186363/original.jpg "Wie man mit Gruppenrichtlinien verschiedene wichtige Einstellungen für mehr Sicherheit von Passwörtern steuert, zeigt unser Video-Tipp. (Pixabay)")
Video-Tipp: Kennwortrichtlinien mit GPOs
Windows-Passwörter mit Gruppenrichtlinien schützen
In den Gruppenrichtlinieneinstellungen von LPP sollte vor allem die Einstellung „Reject passwords found in the compromised password store“ aktiviert und die beiden Einstellungen darin gesetzt werden. Sobald die Richtlinien angewendet werden, können Anwender jetzt keine Kennwörter mehr verwenden, die im Store hinterlegt sind. Auch die anderen Einstellungen in diesem Bereich können gesetzt werden. Für jede Einstellung zeigt die Vorlage eine Hilfe. Sinnvoll ist es zum Beispiel zu verhindern, dass Anwender ihren Benutzernamen in das Kennwort mit einbinden („Reject passwords that contan the user`s account name“). Es macht Sinn, sich die einzelnen Möglichkeiten dazu genauer anzuschauen und diese entsprechend zu setzen.
Mit welchen Tools und Informationen man Kennwörter in Active Directory möglichst gut schützen kann, zeigen wir hier im Video-Tipp und in der Bildergalerie.
(ID:49043736)
:quality(80)/p7i.vogel.de/wcms/7e/28/7e28b814cea7d8d0761d3de4fb88ec1c/0110808188.jpeg "Wenn Cyberkriminelle Zugriff auf Benutzerkennungen und Passwörter eines Unternehmensnetzwerks verschaffen, können sie sich meist ungestört im Netzwerk bewegen und Schaden anrichten. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")