logo

Definition und Verwaltung von Active Directory-Kennwortrichtlinien

Weltweit ist die Zahl der Cyberangriffe explosionsartig gestiegen. Daher ist es für Unternehmen wichtiger denn je, zuverlässige Kennwortrichtlinien zu definieren und umzusetzen. Hacker nutzen häufig Anmeldeinformationen von rechtmäßigen Benutzern oder Administratoren, um sich Zugriff auf das Unternehmensnetzwerk zu verschaffen. Dadurch kommt es zu Sicherheitsvorfällen und Compliance-Verstößen.

In diesem Artikel geht es unter anderem darum, welche Einstellungen Sie für Active Directory-Kennwortrichtlinien vornehmen müssen, wie Sie die Komplexitätsvoraussetzungen für Kennwörter in Active Directory überprüfen und welche Best Practices für Kennwortrichtlinien Sie in Active Directory befolgen sollten. Im Anschluss an diese Themen beantworten wir häufig gestellte Fragen.

Wie Angreifer Kennwörter von Unternehmen kompromittieren

Angreifer nutzen verschiedene Techniken, um Kennwörter von Unternehmen zu kompromittieren. Hierzu gehören:

  • Phishing: Ein Hacker gibt vor, eine vertrauenswürdige Partei zu sein, und versucht, Ihnen persönliche Informationen zu entlocken. Sie erhalten beispielsweise eine Nachricht, deren Absender offenbar Ihre Bank ist und in der Sie gebeten werden, Ihr Kennwort für das Online-Banking zurückzusetzen. Tatsächlich stammt die Nachricht jedoch von einem Hacker. Wenn Sie in der Nachricht auf den Link zum Zurücksetzen Ihres Kennworts klicken, ist der Hacker in der Lage, Ihre Anmeldeinformationen abzugreifen.
  • Man-in-the-Middle-Angriff: Von einem Man-in-the-Middle-Angriff spricht man, wenn sich ein Hacker oder ein kompromittiertes System zwischen zwei nicht kompromittierten Systemen oder Personen befindet und die zwischen ihnen übermittelten Daten entschlüsselt (z. B. Kennwörter und Kontonummern).
  • Keylogging: Keylogger sind Schadprogramme, mit denen die Tastatureingaben von Nutzern erfasst und an einen Hacker übermittelt werden können. Nutzer können Keylogger herunterladen, ohne dies zu bemerken, z. B. wenn sie Software installieren, die sie für vertrauenswürdig halten.
  • Brute-Force-Angriff: Hacker führen Programme aus, die so lange potenzielle Kennwörter für ein bestimmtes Benutzerkonto eingeben, bis das richtige Kennwort gefunden ist.
  • Wörterbuchangriff: Beim Wörterbuchangriff handelt es sich um eine Sonderform eines Brute-Force-Angriffs. Als mögliche Kennwörter werden dabei Wörter aus einem Wörterbuch eingegeben.
  • Password-Spray-Angriff: Angreifer versuchen, sich mit häufig verwendeten Kennwörtern Zugriff auf verschiedene Benutzerkonten zu verschaffen.
  • Credential Stuffing: Mithilfe von automatisierten Tools geben Hacker Listen von Anmeldeinformationen auf den Anmeldeseiten verschiedener Unternehmensportale ein, um sich Zugriff zu verschaffen.
  • Spidering: Angreifer sammeln möglichst viele Informationen über das von ihnen anvisierte System und erstellen auf der Grundlage dieser Informationen eine Liste mit möglichen Kennwörtern, um sich Zugriff zu verschaffen.

Anzeigen und Bearbeiten von Active Directory-Kennwortrichtlinien

Um sich wirksam vor solchen Angriffen zu schützen, benötigen Unternehmen eine zuverlässige Active Directory-Kennwortrichtlinie. Kennwortrichtlinien definieren Regeln für die Erstellung von Kennwörtern, z. B. die Mindestlänge, Komplexität (ob das Kennwort Sonderzeichen enthalten muss) und die Gültigkeitsdauer, nach der das Kennwort geändert werden muss.

Zur Konfiguration einer Domänen-Kennwortrichtlinie können Administratoren die Standarddomänen-Richtlinie verwenden. Hierbei handelt es sich um ein Gruppenrichtlinienobjekt (GPO) mit Einstellungen, die sich auf alle Objekte in der Domäne auswirken. Um dieses Gruppenrichtlinienobjekt anzuzeigen oder zu bearbeiten, gehen Sie nach den folgenden Schritten vor:

  1. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole.
  2. Erweitern Sie den Ordner „Domänen“, wählen Sie die Domäne, auf deren Richtlinie Sie zugreifen möchten, und wählen Sie Gruppenrichtlinienobjekte.
  3. Klicken Sie mit der rechten Maustaste auf den Ordner „Standarddomänen-Richtlinie“ und anschließend auf Bearbeiten.
  4. Navigieren Sie zu Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Kontorichtlinien -> Kennwortrichtlinie.

Alternativ können Sie auf die Kennwortrichtlinie Ihrer Domäne zugreifen, indem Sie den folgenden PowerShell-Befehl ausführen:

Get-ADDefaultDomainPasswordPolicy

Beachten Sie bitte, dass alle Änderungen an der Standard-Kennwortrichtlinie einer Domäne auf alle Konten in dieser Domäne angewendet werden.

Termin für persönliche Demo vereinbaren:

Einstellungen für Active Directory-Kennwortrichtlinien

Im Folgenden sind die sechs Einstellungen von Active Directory-Kennwortrichtlinien und ihre Standardwerte aufgeführt:

  • Kennwortchronik erzwingen: Der Standardwert ist 24. Diese Einstellung legt fest, wie viele eindeutige Kennwörter Benutzer erstellen müssen, bevor sie ein altes Kennwort erneut verwenden können. Es wird empfohlen, den Standardwert beizubehalten. So mindern Sie das Risiko, dass Benutzer Kennwörter verwenden, die bereits kompromittiert wurden.
  • Maximales Kennwortalter: Der Standardwert ist 42 Tage. Diese Einstellung legt fest, wie alt ein Kennwort sein darf, bevor das System den Benutzer auffordert, es zu ändern. In der Regel erhalten Benutzer eine Pop-up-Warnung, wenn der Ablauf ihres Kennworts bevorsteht. Sie können diese Einstellung mit PowerShell überprüfen, indem Sie den Befehl net user USERNAME/domain ausführen. Bitte beachten Sie: Wenn Benutzer zu häufig aufgefordert werden, ihr Kennwort zu ändern, kann dies dazu führen, dass sie ihre Kennwörter aufschreiben oder einfach den aktuellen Monat an einen immer wieder verwendeten Begriff anhängen. Dadurch steigt das Sicherheitsrisiko. Wenn Sie für die Einstellung „Maximales Kennwortalter“ den Wert 0 wählen, laufen Kennwörter niemals ab (was in der Regel nicht empfehlenswert ist).
  • Minimales Kennwortalter: Der Standardwert ist 1 Tag. Diese Einstellung legt fest, wie alt ein Kennwort mindestens sein muss, bevor der Benutzer es ändern darf. Wenn Sie ein Mindestalter festlegen, verhindern Sie, dass Benutzer ihre Kennwörter immer wieder zurücksetzen, um die Einstellung „Kennwortchronik erzwingen“ zu umgehen und ihr Lieblingskennwort gleich wiederzuverwenden.
  • Minimale Kennwortlänge: Der Standardwert ist 7. Diese Einstellung legt fest, aus wie vielen Zeichen ein Kennwort mindestens bestehen muss. Zwar können kürzere Kennwörter einfacher von Hackern geknackt werden, doch kann ein sehr hoher Wert für die Kennwortlänge zu Kontosperrungen infolge von fehlerhaften Eingaben und zu Sicherheitsrisiken führen, weil Benutzer ihre Kennwörter aufschreiben. Best Practices empfehlen eine minimale Kennwortlänge von acht Zeichen.
  • Komplexitätsvoraussetzungen: Diese Einstellung ist standardmäßig aktiviert. Sie legt fest, welche Art von Zeichen eine Kennwortzeichenfolge enthalten muss. Früher sollte diese Einstellung gemäß Best Practices aktiviert bleiben. Inzwischen hat sich jedoch die Auffassung durchgesetzt, dass die Kennwortlänge als Strategie besser geeignet ist als die Komplexität oder eine häufige Änderung von Kennwörtern. Komplexitätsvoraussetzungen sehen in der Regel vor, dass ein Kennwort eine Kombination aus Folgendem enthält:
    • Groß- oder Kleinbuchstaben (A bis Z und a bis z)
    • Ziffern (0 bis 9)
    • Sonderzeichen wie $, # oder %
    • maximal zwei Zeichen aus dem Kontonamen oder Anzeigenamen des Benutzers
  • Kennwörter mit umkehrbarer Verschlüsselung speichern: Diese Einstellung ist standardmäßig deaktiviert. Sie bietet Unterstützung für Anwendungen, in denen Benutzer ein Kennwort eingeben müssen, um sich zu authentifizieren. Administratoren sollten diese Einstellung deaktiviert lassen, da andernfalls Angreifer diese Verschlüsselung knacken könnten, um sich nach Kompromittierung des Kontos im Netzwerk anzumelden. Sie können diese Einstellung dann aktivieren, wenn Sie Internet Authentication Services (IAS) oder das Challenge Handshake Authentication-Protokoll (CHAP) verwenden.

Differenzierte Richtlinien und ihre Konfiguration

In älteren Versionen von Active Directory war es möglich, für jede Domäne nur eine Kennwortrichtlinie zu erstellen. Dank der Einführung von differenzierten Kennwortrichtlinien (FGPP) können Administratoren nun mehrere Kennwortrichtlinien erstellen, um den geschäftlichen Anforderungen besser gerecht zu werden. Beispielsweise können Sie damit festlegen, dass für Administratorkonten komplexere Kennwörter erforderlich sind als für gewöhnliche Benutzerkonten. Sie sollten Ihre Organisationsstruktur sorgfältig definieren, damit sie den gewünschten Kennwortrichtlinien entspricht.

Während die Standard-Kennwortrichtlinie für eine Domäne in einer GPO-Kennwortrichtlinie definiert wird, werden differenzierte Kennwortrichtlinien in Kennworteinstellungsobjekten (PSOs) definiert.

Sie können differenzierte Kennwortrichtlinien im Active Directory-Verwaltungscenter in Windows Server erstellen und verwalten: Öffnen Sie das Verwaltungscenter, klicken Sie auf Ihre Domäne, navigieren Sie zum Ordner „System“ und klicken Sie auf den Kennworteinstellungscontainer.

Kennwortrichtlinien nach dem Standard NIST SP 800-63

Das National Institute of Standards (NIST) ist eine US-Bundesbehörde, deren Aufgabe die Festlegung von Kontrollen und Anforderungen für die Verwaltung digitaler Identitäten ist. In der Special Publication 800-63B sind die Standards für Kennwörter definiert. Aktueller Standard ist die überarbeitete Ausgabe 3 von SP 800-63B, die 2017 herausgegeben und 2019 aktualisiert wurde.

Diese Richtlinien dienen Unternehmen als Grundlage für den Aufbau einer zuverlässigen Infrastruktur für Kennwortsicherheit. Nach den Empfehlungen des NIST sollten Unternehmen:

  • für Kennwörter, die von Benutzern erstellt werden, eine Mindestlänge von acht Zeichen festlegen (bei maschinell erzeugten Kennwörtern mindestens sechs Zeichen)
  • Benutzern die Erstellung von Kennwörtern ermöglichen, die bis zu 64 Zeichen lang sind
  • Benutzern die Verwendung von ASCII-/Unicode-Zeichen in ihren Kennwörtern erlauben
  • keine Kennwörter mit aufeinanderfolgenden Buchstaben und Ziffern („12345“ oder „abcd“) oder Zeichenwiederholungen („kkkk“) zulassen
  • Benutzer nicht regelmäßig zum Ändern ihres Kennworts auffordern. Lange Zeit war es in Unternehmen gängige Praxis, dass Benutzer ihre Kennwörter regelmäßig ändern mussten. Dies führt jedoch häufig dazu, dass Benutzer lediglich geringfügige Änderungen an einem Basiskennwort vornehmen, ihre Kennwörter aufschreiben oder ihr Konto gesperrt wird, weil sie das neue Kennwort vergessen haben. Entsprechend wird in den aktuellen Standards NIST 800-63B empfohlen, Richtlinien zum Ablauf von Kennwörtern nur nach sorgfältiger Abwägung zu implementieren. Um die Sicherheit zu erhöhen, sollten Unternehmen nach neuesten Erkenntnissen auf Alternativen wie die Verwendung von Listen mit unzulässigen Kennwörtern, längere Passphrasen und Multi-Faktor-Authentifizierung (MFA) setzen.

Best Practices für Active Directory-Kennwortrichtlinien

im Überblick

Best Practices für Active Directory-Kennwortrichtlinien sind professionelle oder kommerzielle Verfahren, die vorgeschrieben sind oder als besonders wirksam oder korrekt gelten. Im Folgenden finden Sie einen Überblick über Best Practices und Benutzerschulungen zu Active Directory-Kennwortrichtlinien.

Die Best Practices für das Einrichten und Ändern einer Kennwortrichtlinie in Active Directory beinhalten folgende Empfehlungen:

  • Legen Sie fest, dass Kennwörter mindestens acht Zeichen lang sein müssen.
  • Setzen Sie eine Richtlinie für die Kennwortchronik durch, die mindestens die zehn letzten Kennwörter eines Benutzers berücksichtigt.
  • Legen Sie ein Kennwortalter von mindestens drei Tagen fest, damit Benutzer nicht einfach in kurzer Folge ihre bisherigen Kennwörter durchlaufen oder ein zuvor benutztes Kennwort erneut verwenden.
  • Gleichen Sie neue Kennwörter mit Listen unzulässiger Kennwörter, Listen kompromittierter Kennwörter und Kennwörtern ab, die in Wörterbüchern zu finden sind.
  • Setzen Sie Kennwörter von lokalen Administratoren alle 180 Tage zurück (beispielsweise mit dem kostenlosen Tool Netwrix Bulk Password Reset).
  • Setzen Sie Kennwörter für Gerätekonten mindestens einmal pro Jahr zurück.
  • Legen Sie fest, dass Kennwörter für Domänen-Administratorkonten mindestens 15 Zeichen lang sein müssen.
  • Richten Sie E-Mail-Benachrichtigungen ein, um Benutzer über den bevorstehenden Ablauf ihrer Kennwörter zu informieren (beispielsweise mit dem kostenlosen Tool Netwrix Password Expiration Notifier).
  • Erstellen Sie detaillierte Kennwortrichtlinien, die mit bestimmten Organisationseinheiten verknüpft sind, anstatt die Einstellungen der Standarddomänen-Richtlinie zu ändern.
  • Nutzen Sie für die Speicherung von Kennwörtern Tools für die Kennwortverwaltung.
  • Ermöglichen Sie Benutzern das Ändern von Kennwörtern über einen Web-Browser und helfen Sie ihnen, richtlinienkonforme Kennwörter zu wählen.
  • Legen Sie Richtlinien für Kontosperrungen fest, um Brute-Force-Angriffe zu vermeiden.

Weitere Informationen finden Sie auch unter Best Practices für Kennwortrichtlinien zur Verbesserung der Sicherheit in Active Directory.

Benutzerschulungen

Die Schulung Ihrer Benutzer ist ebenso wichtig wie eine zuverlässige Kennwortrichtlinie. Für Ihre Benutzer gelten folgende Verhaltensregeln:

  • Kennwörter dürfen nicht aufgeschrieben werden. Benutzer sollten sichere Kennwörter oder Passphrasen wählen, die sie sich leicht merken können, und ein Tool zur Verwaltung von Kennwörtern verwenden.
  • Kennwörter dürfen nicht eingegeben werden, während eine andere Person zuschaut.
  • Benutzer müssen sich bewusst sein, dass URLs, die mit „https://“ beginnen, sicherer sind als URLs mit „http://“.
  • Ein Kennwort darf nicht für verschiedene Websites verwendet werden, die Zugriff auf sensible Informationen gewähren.

Lösungen von Netwrix

Sie sollten nicht nur eine zuverlässige Kennwortrichtlinie für Active Directory einrichten und verwalten, sondern auch eine umfassende Active Directory-Sicherheitslösung wie die Lösung von Netwrix für die Sicherheit von Active Directory implementieren. Mit diesem leistungsfähigen Tool können Sie Ihre IT-Infrastruktur und wichtige Daten schützen, indem Sie:

  • Sicherheitslücken identifizieren und beseitigen: Mit den Tools von Netwrix für die Analyse von Active Directory erhalten Sie einen Überblick über die Sicherheit Ihrer Umgebung und können Ihre Maßnahmen zur Risikominderung priorisieren. Die Tools können außerdem unsichere Kennwörter identifizieren, Schatten-Administratorkonten und zu weit gefasste Zugriffsrechte erkennen, die eine Gefahr für Ihr Active Directory darstellen, und eine sichere Konfiguration Ihrer Active Directory-Infrastruktur gewährleisten.
  • Gefahren erkennen und mit geeigneten Maßnahmen abwehren: Mit der Lösung von Netwrix können Sie Gefahren identifizieren und darauf reagieren, indem Sie die Eigenschaften und Mitgliedschaften von Gruppen verwalten, Maßnahmen zum Schutz vor Identitätsdiebstahl ergreifen, Ihre Angriffsfläche verringern, Anmeldeinformationen vor komplexen Bedrohungen schützen und potenziell gefährliche Änderungen an Active Directory und Gruppenrichtlinienobjekten verhindern.
  • Auswirkungen von Sicherheitsvorfällen in Active Directory mindern: Mit der Lösung von Netwrix können Cybersicherheitsteams schnell auf Vorfälle reagieren, indem sie Maßnahmen zur Abwehr erwarteter Bedrohungen automatisieren und aussagekräftige Erkenntnisse bereitstellen. Sie können beispielsweise ein Konto deaktivieren oder sperren, einen Vorfall an Ihre ITSM-, SIEM– oder sonstige Cybersicherheitslösung eskalieren oder Kennwörter einzeln oder gesammelt zurücksetzen.

Möchten Sie mehr darüber erfahren, wie die Lösung von Netwrix für die Sicherheit von Active Directory Sie bei der Überwachung und beim Schutz Ihrer Daten unterstützen kann? Laden Sie eine kostenlose Testversion herunter.

Häufig gestellte Fragen

Wo kann ich die Kennwortrichtlinie für Active Directory finden und bearbeiten?

Es gibt zwei Methoden, wie Sie die Active Directory-Kennwortrichtlinie für eine bestimmte Domäne finden können:

  • Navigieren Sie über die Verwaltungskonsole zu Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Kontorichtlinien -> Kennwortrichtlinie.
  • Geben Sie den PowerShell-Befehl Get-ADDefaultDomainPasswordPolicy ein.

Sind Kennwörter in Active Directory verschlüsselt?

Ja. Von Benutzern erstellte Kennwörter werden mit einem Hash-Algorithmus verschlüsselt.

Was bedeuten die Komplexitätsvoraussetzungen für Kennwörter in Active Directory?

Die Komplexitätsvoraussetzungen für Active Directory-Kennwörter regeln, welche Zeichen ein Kennwort enthalten darf und welche nicht. Es kann z. B. festgelegt werden, dass Benutzer keine aufeinanderfolgenden Buchstaben oder Ziffern verwenden dürfen oder dass das Kennwort mindestens eine Ziffer und einen Kleinbuchstaben enthalten muss.

Was ist die Windows Server-Kennwortrichtlinie?

Die Windows Server-Kennwortrichtlinie steuert Kennwörter für den Zugriff auf Geräte, auf denen das Betriebssystem Windows Server ausgeführt wird.

Wo kann ich die Kennwortrichtlinie von Windows Server finden, bearbeiten oder deaktivieren?

Suchen Sie in der Gruppenrichtlinien-Verwaltungskonsole nach dem Gruppenrichtlinienobjekt und klicken Sie auf Bearbeiten.

Was macht eine gute Kennwortrichtlinie aus?

Gemäß Best Practices sollten Kennwörter für Active Directory folgende Anforderungen erfüllen:

  • Benutzer sollten mindestens zehn neue Kennwörter erstellen, bevor ein altes wiederverwendet werden kann.
  • Gleichen Sie neue Kennwörter mit Listen kompromittierter Kennwörter und Kennwörtern ab, die in Wörterbüchern zu finden sind.
  • Legen Sie ein Mindestalter von drei Tagen fest.
  • Von Benutzern erstellte Kennwörter sollten mindestens acht Zeichen lang sein.
  • Deaktivieren Sie die umkehrbare Verschlüsselung.

Was beinhaltet die Kennwortrichtlinie in Active Directory?

Die Kennwortrichtlinie in Active Directory besteht aus verschiedenen Regeln, die festlegen, welche Kennwörter in einem Unternehmen zulässig sind. Die Kennwortrichtlinie sollte Standards für die Länge und Komplexität von Kennwörtern sowie die Häufigkeit festlegen, in der Kennwörter für Konten geändert werden müssen. Ziel der Kennwortrichtlinie ist es, Angreifern das Auslesen oder Knacken von Kennwörtern mittels Brute-Force-Angriff über ein Netzwerk zu erschweren.

Beachten Sie bitte, dass die Standard-Kennwortrichtlinie für alle Computer in Ihrer Domäne gilt. Wenn Sie unterschiedliche Kennwortrichtlinien auf eine Gruppe von Benutzern anwenden möchten, sollten Sie eine detaillierte Kennwortrichtlinie definieren.

Was bedeutet das Kennwortalter in Active Directory?

Das Kennwortalter in Active Directory legt fest, wie lange ein Kennwort verwendet werden muss, bevor der Benutzer es ändern kann. Der Standardwert beträgt 42 Tage.

Was bedeutet die maximale Kennwortlänge in Active Directory?

Kennwörter in Active Directory dürfen maximal 256 Zeichen lang sein. Über die grafische Benutzeroberfläche von Windows können Benutzer jedoch höchstens 127 Zeichen eingeben, um sich anzumelden.

Wie kann ich die Kennwortrichtlinie in Active Directory konfigurieren?

Gehen Sie wie folgt vor, um die Einstellungen der Kennwortrichtlinie in Active Directory zu ändern:

  1. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole.
  2. Erweitern Sie den Ordner „Domänen“ und klicken Sie auf Ihre Domäne und Ihre Gruppenrichtlinienobjekte.
  3. Klicken Sie mit der rechten Maustaste auf die Standarddomänen-Richtlinie und anschließend auf Bearbeiten.

Navigieren Sie zu Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Kontorichtlinien -> Kennwortrichtlinie.

Password management, Privileged account management
Mehr große lesefreude
password security, password management
Tags
Active Directory CISSP Cyber attack Data classification Data security GDPR IT compliance IT security Office 365 Risk assessment SharePoint Windows Server
...