Mehr Kennwortsicherheit in Active Directory

Video-Tipp #62: Passwortsicherheit in Active Directory Mehr Kennwortsicherheit in Active Directory

11.04.2023 Von Thomas Joos Lesedauer: 5 min |

Anbieter zum Thema

Unsichere Kennwörter oder wiederverwendete Passwörter stellen eine Gefahr für Active Directory da. Cyberkriminelle können sich dadurch unentdeckt im Netzwerk bewegen und auch größeren Schaden anrichten. In diesem Video-Tipp zeigen wir, welche Optionen Sie für optimale Kennwortsicherheit nutzen sollten.

Wenn Cyberkriminelle Zugriff auf Benutzerkennungen und Passwörter eines Unternehmensnetzwerks verschaffen, können sie sich meist ungestört im Netzwerk bewegen und Schaden anrichten.
(Bild: thodonal - stock.adobe.com)

Schwache Kennwörter können von Cyberkriminellen leicht übernommen werden. Nutzen Anwender parallel noch Kennwörter, die als geleaked bekannt sind, also Hacker bereits kennen, besteht die Gefahr, dass Angreifer auch über VPN oder auf anderen Wegen im Netzwerk schaden anrichten können.

Damit können sich die Kriminellen ungestört im Netzwerk bewegen und Schaden anrichten. Es ist daher sehr wichtig dafür zu sorgen, dass die Kennwörter möglichst sicher sind. Wir zeigen in diesem Beitrag was bezüglich von Kennwörtern wichtig ist.

Wie man unsichere Kennwörter oder wiederverwendete Passwörter in Active Directory verhindert, zeigen wir hier im Video-Tipp und in der Bildergalerie.

Bildergalerie

Specops Password Auditor scannt das Netzwerk auf unsichere und doppelte Kennwörter.

Nach dem Scanvorgang zeigt Specops Password Policy auch Kennwörter an, die im Internet bereits als geleaked bekannt sind.

Specops Password Policy kann auch Management-Berichte erstellen, um Verantwortlichen in Unternehmen Password-Probleme offenzulegen.

Mit Kennwortrichtlinien lassen sich die Kennwörter in Active Directory im ersten Schritt am besten absichern.

Bildergalerie mit 8 Bildern

Kennwörter und Richtlinien mit der PowerShell und dem Windows Admin Center verwalten

Wir haben darüber hinaus im Beitrag „Kennwortrichtlinien in Active Directory mit der PowerShell verwalten“ gezeigt, wie auch die PowerShell mit eingebunden werden kann, um Kennwörter in Active Directory abzusichern. So kann zum Beispiel mit dem Cmdlet „Get-ADDefaultDomainPasswordPolicy joos.int“ überprüft werden, welche Einstellungen für die Kennwortrichtlinie gesetzt sind.

Parallel dazu ist es möglich Kennwörter für Benutzer im Windows Admin Center zurückzusetzen. Dadurch können Admins über den Webbrowser die Kennwortänderungen von Benutzern anzustoßen und auch Kennworteinstellungen zu überwachen. Damit das funktioniert, muss die Erweiterung „Active Directory“ im Windows Admin Center zur Verfügung stehen, wenn die Verbindung zu einem Domänencontroller aufgebaut wird.

Überblick im Netzwerk schaffen mit Specops Password Auditor

Wenn sich Admins mit dem Thema Sicherheit in Active Directory auseinandersetzen und die Kennwörter von Admins und Benutzern so sicher wie nur möglich gestalten wollen, besteht der erste sinnvolle Schritt darin, sich einen Überblick zu verschaffen. Kostenlose Tools, wie Specops Password Auditor scannen das Netzwerk auf unsichere Kennwörter. Dabei erkennt das Tool nicht nur unsichere und schon lange nicht mehr geänderte Kennwörter, sondern es verfügt auch über eine Datenbank von Kennwörtern, die bereits in kriminellen Kreisen im Internet als bekannt/geleaked kursieren.

Nach dem Start scannt das Tool die Benutzerkonten und zeigt an, wann Benutzer ihr Kennwort beim letzten Mal geändert haben und auch wann sich der Benutzer das letzte Mal angemeldet hat. Im Tool lassen sich außerdem identische Kennwörter identifizieren und auch „Breached Password“, also die im Internet bekannten Kennwörter. Dazu kommt ein Bericht, der für Vorgesetzte offenlegt, warum das Netzwerk gefährdet ist. Mit dem Tool lässt sich daher sehr schnell ein Überblick gewinnen, wo Maßnahmen notwendig sind.

Kennwortrichtlinien in Active Directory nutzen

Über neue oder bereits vorhandene Gruppenrichtlinien in Active Directory lassen sich die wichtigsten Einstellungen vorgeben. Die Einstellungen für Kennwörter sind über „Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Kontorichtlinien/Kennwortrichtlinien“ zu finden. Hier sollten die verschiedenen, verfügbaren Richtlinien maximal sicher gestaltet sein.

Zunächst sollte sichergestellt sein, dass „Kennwort muss Komplexitätsvoraussetzungen entsprechen“ gesetzt sein. Das stellt sicher, dass die Benutzer drei der fünf Kriterien beim Setzen ihrer Kennwörter setzen müssen:

1. Großbuchstaben (A bis Z)

2. Kleingeschriebene Buchstaben (a bis z)

3. Ziffern (0 bis 9)

4. Sonderzeichen (zum Beispiel !, &, /, %)

5. Unicodezeichen (€, @, ®)

Außerdem darf in diesem Fall das Kennwort keinen Teil des Benutzer- oder Anzeigenamens enthalten.

Parallel dazu sollten Admins sicherstellen, dass die Kennwortchronik auf einem hohen Wert von 24 stehen, damit Benutzer nicht ständig die gleichen Kennwörter nutzen. Der Wert bei „Maximales Kennwortalter“ legt wiederum fest, wann Benutzer spätestens ihr Kennwort ändern sollten. Die Option „Minimale Kennwortlänge“ steuert wiederum wie lange die Benutzerkennwörter sein sollten. Hier sollte der absolute Mindestwert 8 Zeichen sein, besser 16 Zeichen. Durch das Setzen dieser Optionen sind die Kennwörter zunächst zuverlässig abgesichert.

Regelmäßiger Passwortwechsel bring nicht mehr Sicherheit!

Studien zeigen immer wieder, dass häufiges Wechseln der Passwörter nicht unbedingt zu einem Sicherheitsgewinn führt. Anwender versuchen beim Wechsel eines Kennworts ähnliche Passwortmuster zu verwenden, um sich das neue Passwort besser merken zu können. Ist also einem Cyberkriminellen ein Passwort bereits bekannt, ist ein Wechsel auf ein ähnliches Passwort kein Sicherheitsgewinn. Besser als regelmäßige Passwortänderungen sind Fallbezogene Änderungen, wenn ein Passwort als kompromittiert bekannt ist oder es bewusst weitergegeben wurde. In einem solchen Fall ist es dann aber wichtig, keine Abwandlung eines alten Passworts zu verwenden, sondern ein komplett neues Kennwort zu vergeben.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Stand vom 30.10.2020

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.

Erweiterte Richtlinieneinstellungen setzen

Nachdem die grundlegenden Sicherheitseinstellungen gesetzt sind, besteht der nächste Schritt darin mit zusätzlichen Richtlinien in diesem Bereich für mehr Sicherheit zu sorgen. Weitere Einstellungen dazu sind bei „Die wichtigsten Einstellungen für mehr Sicherheit von Kennwörtern sind im Bereich Computerkonfiguration\<Richtlinien>\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen“ zu finden.

Zunächst sollte an dieser Stelle die Option „Interaktive Anmeldung: Anwender vor Ablauf des Kennworts zum Ändern des Kennworts auffordern“ gesetzt werden. Hier erhalten die Anwender mehrere Tage vor der notwendigen Änderung des Kennwortes die Information, wann die Änderung erfolgen muss. Dadurch ändern viele Anwender ihr Kennwort vor dem notwendigen Ablauf, ohne dazu gezwungen zu sein.

Kennwörter mit reversibler Verschlüsselung speichern

Parallel zu den Möglichkeiten komplexe Kennwörter zu nutzen, steht auch die Einstellung „Kennwörter mit reversibler Verschlüsselung speichern“ über den Pfad „Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Kontorichtlinien/Kennwortrichtlinien“ zur Verfügung. Generell wird diese Richtlinie vor allem für dem Einsatz zur Authentifizierung für Anwendungen von Drittanbietern genutzt, oder wenn CHAP und die Digest-Authentifizierung bei IIS zum Einsatz kommen. Vor allem dann, wenn Kennwörter in Klartext übermittelt werden, oder die Gefahr besteht, dass in IIS oder bei der jeweiligen Anwendung das passiert, ist die reversible Verschlüsselung sinnvoll, um das Kennwort zu schützen. Die Aktivierung sollte nur dann erfolgen, wenn die Domänencontroller maximal abgesichert sind und Anwendungen im Netzwerk den Einsatz rechtfertigen. Generell sollte diese Funktion in einer eigenen Richtlinie nur für die Anwender granular gesetzt werden, die mit den entsprechenden Anwendungen auch arbeiten.