Angesichts der weltweit zunehmenden Cyberangriffe ist es für Unternehmen wichtiger denn je, über eine robuste Kennwortrichtlinie zu verfügen. Hacker erhalten häufig über legitime Benutzer- oder Administratoranmeldeinformationen Zugriff auf Unternehmensnetzwerke, was zu Sicherheitsvorfällen und Compliance-Fehlern führt. In diesem Artikel erfahren Sie, wie Sie eine starke und effektive Active Directory-Kennwortrichtlinie erstellen und verwalten.
Wie Angreifer Unternehmenskennwörter kompromittieren
Hacker verwenden eine Vielzahl von Techniken, um Unternehmenskennwörter zu kompromittieren, darunter die folgenden:
- Brute-Force-Angriff – Hacker führen Programme aus, die verschiedene potenzielle Passwortkombinationen eingeben, bis sie auf die richtige stoßen.
- Wörterbuchangriff — Dies ist eine spezielle Form des Brute-Force-Angriffs, bei dem im Wörterbuch gefundene Wörter als mögliche Passwörter ausprobiert werden.
- Password Spraying attack – Hacker geben einen bekannten Benutzernamen oder eine andere Kontokennung ein und probieren mehrere gängige Passwörter aus, um festzustellen, ob sie funktionieren.
- Credential Stuffing attack – Hacker verwenden automatisierte Tools, um Listen mit Anmeldeinformationen für verschiedene Unternehmensportale einzugeben.
- Spidering – Böswillige Benutzer sammeln so viele Informationen wie möglich über ein Hacking-Ziel und probieren dann Kennwortkombinationen aus, die mit diesen Daten erstellt wurden.
Anzeigen und Bearbeiten von Active Directory-Kennwortrichtlinien
Zum Schutz vor diesen Angriffen benötigen Unternehmen eine starke Active Directory-Kennwortrichtlinie. Kennwortrichtlinien definieren unterschiedliche Regeln für die Kennworterstellung, z. B. die Mindestlänge, Details zur Komplexität (z. B. ob ein Sonderzeichen erforderlich ist) und die Dauer des Kennworts, bevor es geändert werden muss.
Die Standarddomänenrichtlinie ist ein Gruppenrichtlinienobjekt (Group Policy Object, GPO), das Einstellungen enthält, die sich auf alle Objekte in der Domäne auswirken. Zum Anzeigen und Konfigurieren einer Domänenkennwortrichtlinie können Administratoren die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) verwenden. Erweitern Sie den Ordner Domänen, wählen Sie die Domäne aus, auf deren Richtlinie Sie zugreifen möchten, und wählen Sie dann Gruppenrichtlinienobjekte aus. Klicken Sie mit der rechten Maustaste auf den Ordner Standarddomänenrichtlinie, und wählen Sie Bearbeiten. Navigieren Sie zu Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Kontorichtlinien -> Kennwortrichtlinie.
Alternativ können Sie auf Ihre Domänenkennwortrichtlinie zugreifen, indem Sie den folgenden PowerShell-Befehl ausführen:
Get-ADDefaultDomainPasswordPolicy
Denken Sie daran, dass alle Änderungen, die Sie an der Standard-Domänenkennwortrichtlinie vornehmen, für jedes Konto innerhalb dieser Domäne gelten. Sie können feinkörnige Kennwortrichtlinien mit dem Active Directory Management Center (ADAC) in Windows Server erstellen und verwalten.
AD-Kennwortrichtlinieneinstellungen verstehen
Hier sind die sechs Kennwortrichtlinieneinstellungen und ihre Standardwerte:
- Passwort—Verlauf erzwingen – Standard ist 24. Diese Einstellung gibt die Anzahl der eindeutigen Kennwörter an, die Benutzer erstellen müssen, bevor sie ein altes Kennwort wiederverwenden können. Es wird empfohlen, den Standardwert beizubehalten, um das Risiko zu verringern, dass Benutzer über kompromittierte Kennwörter verfügen.
- Maximales Passwortalter — Standard ist 42. Diese Einstellung legt fest, wie lange ein Kennwort bestehen kann, bevor das System den Benutzer zwingt, es zu ändern. Benutzer erhalten normalerweise eine Popup-Warnung, wenn sie das Ende des Passwortablaufs erreichen. Sie können diese Einstellung über PowerShell überprüfen, indem Sie den Befehl net user USERNAME/domain ausführen. Beachten Sie, dass das Erzwingen häufiger Kennwortänderungen dazu führen kann, dass Benutzer ihre Kennwörter aufschreiben oder Praktiken wie das Anhängen des Monats an ein von ihnen wiederverwendetes Stammwort anwenden, was die Sicherheitsrisiken tatsächlich erhöht. Wenn Sie „Maximales Kennwortalter“ auf 0 setzen, laufen Kennwörter niemals ab (was im Allgemeinen nicht empfohlen wird).
- Mindestalter des Passworts – Standard ist 1 Tag. Diese Einstellung gibt an, wie lange ein Kennwort vorhanden sein muss, bevor der Benutzer es ändern darf. Das Festlegen eines Mindestalters verhindert, dass Benutzer ihr Kennwort wiederholt zurücksetzen, um die Einstellung „Kennwortverlauf erzwingen“ zu umgehen und ein bevorzugtes Kennwort sofort wiederzuverwenden.
- Minimale Kennwortlänge – Standard ist 7. Diese Einstellung legt die geringste Anzahl von Zeichen fest, die ein Kennwort haben kann. Während kürzere Passwörter für Hacker leichter zu knacken sind, kann die Anforderung wirklich langer Passwörter zu Aussperrungen durch Tippfehler und zu Sicherheitsrisiken durch Benutzer führen, die ihre Passwörter aufschreiben.
- Komplexitätsanforderungen – Standard ist aktiviert. Diese Einstellung beschreibt die Zeichentypen, die ein Benutzer in eine Kennwortzeichenfolge aufnehmen muss. Best Practices empfehlen, diese Einstellung mit einer Mindestkennwortlänge von mindestens 8 zu aktivieren. Komplexitätsanforderungen erfordern in der Regel, dass das Kennwort eine Mischung aus:
-
- Groß- oder Kleinbuchstaben (A bis Z und a bis z)
- Numerische Zeichen (0-9)
- Nicht alphanumerische Zeichen wie $, # oder %
- Nicht mehr als zwei Symbole aus dem Kontonamen oder Anzeigenamen des Benutzers
- Kennwörter mit reversibler Verschlüsselung speichern – Standard ist deaktiviert. Diese Einstellung bietet Unterstützung für Apps, bei denen Benutzer zur Authentifizierung ein Kennwort eingeben müssen. Administratoren sollten diese Einstellung deaktiviert lassen, da Angreifer, die mit dem Brechen dieser Verschlüsselung vertraut sind, sich beim Kompromittieren des Kontos beim Netzwerk anmelden können. Ausnahmsweise können Sie diese Einstellung aktivieren, wenn Sie Internet Authentication Services (IAS) oder das Challenge Handshake Authentication Protocol (CHAP) verwenden.
Feinkörnige Richtlinie und Konfiguration
Ältere Versionen von AD ermöglichten die Erstellung nur einer Kennwortrichtlinie für jede Domäne. Die Einführung von feinkörnigen Kennwortrichtlinien (FGPP) in späteren Versionen von AD hat es Administratoren ermöglicht, mehrere Kennwortrichtlinien zu erstellen, um die Geschäftsanforderungen besser zu erfüllen. Beispielsweise möchten Sie möglicherweise, dass Administratorkonten komplexere Kennwörter als normale Benutzerkonten verwenden. Es ist wichtig, dass Sie Ihre Organisationsstruktur sorgfältig definieren, damit sie Ihren gewünschten Kennwortrichtlinien entspricht.
Während Sie die standardmäßige Domänenkennwortrichtlinie innerhalb eines Gruppenrichtlinienobjekts definieren, werden FGPPs in Kennworteinstellungsobjekten (PSOs) festgelegt. Um sie einzurichten, öffnen Sie den ADAC, klicken Sie auf Ihre Domain, navigieren Sie zum Systemordner und klicken Sie dann auf den Container Kennworteinstellungen.
NIST SP 800-63 Passwortrichtlinien
Das National Institute of Standards (NIST) ist eine Bundesbehörde, die mit der Erteilung von Kontrollen und Anforderungen zur Verwaltung digitaler Identitäten beauftragt ist. Die Sonderpublikation 800-63B behandelt Standards für Passwörter. Revision 3 von SP 800-63B, herausgegeben im Jahr 2017 und aktualisiert im Jahr 2019, ist der aktuelle Standard.
Diese Richtlinien bieten Organisationen eine Grundlage für den Aufbau einer robusten Kennwortsicherheitsinfrastruktur. NIST-Empfehlungen umfassen Folgendes:
- Benutzergenerierte Passwörter müssen mindestens 8 Zeichen lang sein (6 für maschinengenerierte).
- Ermöglicht Benutzern das Erstellen von Passwörtern mit einer Länge von bis zu 64 Zeichen.
- Benutzern erlauben, beliebige ASCII/Unicode-Zeichen in ihren Passwörtern zu verwenden.
- Passwörter mit fortlaufenden oder wiederholten Zeichen nicht zulassen.
- Erfordert keine häufigen Kennwortänderungen. Obwohl viele Organisationen seit Jahren von Benutzern verlangen, dass sie ihre Kennwörter häufig ändern, führt diese Richtlinie häufig dazu, dass Benutzer inkrementelle Änderungen an einem Basiskennwort vornehmen, ihre Kennwörter aufschreiben oder Aussperrungen erfahren, weil sie ihre neuen Kennwörter vergessen haben. Dementsprechend fordern die neuesten NIST 800-63B-Standards die sorgfältige Verwendung von Richtlinien zum Ablauf von Kennwörtern. Neuere Forschungen legen nahe, dass bessere Alternativen die Verwendung verbotener Passwortlisten, die Verwendung längerer Passphrasen und die Durchsetzung der Multi-Faktor-Authentifizierung für zusätzliche Sicherheit umfassen.
Best Practices für AD-Kennwortrichtlinien
Im weiteren Sinne sollten Administratoren sicherstellen, dass:
- Legen Sie eine minimale Kennwortlänge von 8 Zeichen fest.
- Legen Sie Anforderungen an die Passwortkomplexität fest.
- Erzwingen Sie eine Kennwortverlaufsrichtlinie, die auf die letzten 10 Kennwörter eines Benutzers zurückblickt.
- Machen Sie das Mindestalter des Passworts 3 Tage.
- Setzen Sie lokale Administratorkennwörter alle 180 Tage zurück (verwenden Sie dazu das kostenlose Netwrix-Tool zum Zurücksetzen von Massenkennwörtern).
- Gerätekontokennwörter während der Wartung einmal pro Jahr zurücksetzen.
- Kennwörter für Domänenadministratorkonten müssen mindestens 15 Zeichen lang sein.
- Richten Sie E-Mail-Benachrichtigungen ein, damit Benutzer wissen, dass Kennwörter ablaufen (das kostenlose Tool Netwrix Password Expiration Notifier kann helfen).
- Erwägen Sie, granulare Kennwortrichtlinien zu erstellen, um sie mit bestimmten Organisationseinheiten zu verknüpfen, anstatt die standardmäßigen Domänenrichtlinieneinstellungen zu bearbeiten.
- Verwenden Sie verbotene Kennwortlisten.
- Verwenden Sie Kennwortverwaltungstools, um mehrere Kennwörter zu speichern.
Weitere Informationen finden Sie in unseren Best Practices für Kennwortrichtlinien für starke Sicherheit in AD.
Die Schulung der Benutzer ist genauso wichtig wie jede Kennwortrichtlinie. Informieren Sie Ihre Benutzer über die folgenden Verhaltensregeln:
- Schreiben Sie keine Passwörter auf. Wählen Sie stattdessen sichere Kennwörter oder Passphrasen aus, die Sie sich leicht merken können, und verwenden Sie Kennwortverwaltungstools.
- Geben Sie Ihr Passwort nicht ein, wenn jemand zusieht.
- Verstehen Sie, dass HTTPS://-Adressen sicherer sind als HTTP://-URLs.
- Verwenden Sie nicht dasselbe Kennwort für mehrere Websites, die Zugriff auf vertrauliche Informationen bieten.
FAQ
Wie finde und bearbeite ich meine Active Directory-Kennwortrichtlinie?
Ihre aktuelle AD-Kennwortrichtlinie für eine bestimmte Domäne finden Sie entweder, indem Sie über die Verwaltungskonsole zu Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Kontorichtlinien -> Kennwortrichtlinie navigieren oder den PowerShell-Befehl Get-ADDefaultDomainPasswordPolicy verwenden.
Werden Kennwörter in Active Directory verschlüsselt?
Ja. Von einem Benutzer erstellte Kennwörter durchlaufen einen Hashalgorithmus, der sie verschlüsselt.
Was ist Active Directory-Kennwortkomplexität?
Komplexitätsanforderungen steuern die Zeichen, die in einem Kennwort nicht enthalten sein können oder nicht. Beispielsweise können Benutzer daran gehindert werden, ihren Benutzernamen als Kennwort zu verwenden, oder sie müssen mindestens eine Zahl und einen Kleinbuchstaben in das Kennwort aufnehmen.
Was ist die Windows Server-Kennwortrichtlinie?
Windows Server-Kennwortrichtlinie steuert Kennwörter für den Zugriff auf Windows-Server.
Wie finde, bearbeite oder deaktiviere ich eine Kennwortrichtlinie in Windows Server?
Suchen Sie das Gruppenrichtlinienobjekt über die Gruppenrichtlinienverwaltungskonsole, und klicken Sie auf Bearbeiten.
Was ist eine gute Passwortrichtlinie?
Best Practices umfassen Folgendes:
- Lassen Sie Benutzer mindestens 10 neue Passwörter erstellen, bevor sie ein altes wiederverwenden.
- Wenden Sie ein maximales Passwortalter von 42 Tagen an.
- Wenden Sie ein Mindestalter für das Passwort von 3 Tagen an.
- Lassen Sie Benutzer Kennwörter erstellen, die mindestens 8 Zeichen lang sind.
- Aktivieren Sie die Option „Komplexitätsanforderungen“.
- Deaktivieren Sie die reversible Verschlüsselung.
