Falle: Active Directory-Kennwortrichtlinie mit 15 Zeichen

[English]In den Gruppenrichtlinien für Active Directory gibt es eine ärgerliche Sache. Diese verhindert, dass ein Administrator eine Kennwortrichtlinie setzt, die Kennwörter mit mindestens 15 Zeichen verlangt. Noch schlimmer: Versucht jemand die Kennwortlänge auf 15 Zeichen festzulegen, wird intern eine vorher vorgegebene Länge (von z.B. nur noch 7 Zeichen) verwendet. Es gibt aber Workarounds.


Anzeige

Ich bin über einen Facebook-Post von (Ex-)MVP-Kollege Mark Heitbrink auf das Thema gestoßen und dachte, es könnte vielleicht für den einen oder anderen Administrator von Interesse sein.

Active Directory-Richtlinienproblem
(Facebook-Eintrag von Mark Heitbrink)

Mark hat das Ganze auf seiner Webseite gruppenrichtlinien.die in diesem Beitrag aufbereitet. Die Kurzfassung: Er wollte 15 Zeichen als Standard-Mindestlänge für Active Directory-Kennwörter per Gruppenrichtlinie vorgeben (der Editor erlaubt 20 Zeichen). Aber die Security Baseline von Microsoft gibt schlicht 14 Zeichen vor, mehr geht (auf Grund eines Bugs) wohl nicht.

Denn dies ist die längste zulässige Länge von Kennwörtern, die sich ohne Probleme vorgeben lässt. Im Beitrag beschreibt er, was passiert, wenn ein Administrator über eine Default Domain Passwort Policy versucht, die Standard-Kennwortlänge auf 15 Zeichen zu setzen. Die dort vorgegebene minimale Kennwortlänge (im Test von Marc waren es 7 Zeichen) bleibt nach einem gpupdate erhalten, und wird als Standardrichtlinie im AD weiter gereicht. Erkennen lässt sich dies, weil in der Ereignisanzeige Warnungen der Art SceCli 1202, Die Sicherheitsrichtlinien wurden mit Warnungen propagiert. 0x57 : Falscher Parameter einlaufen.

Mark schreibt: Der Administrator geht davon aus, dass die vorgegebenen 15 Zeichen gelten, es sind durch die Standardrichtlinie, die plötzlich wirksam wird, auch Kennwörter mit mit z.B. 7 Zeichen Länge zulässig.

Im Beitrag beschreibt Mark, welches Lösungen es für dieses Dilemma gibt. Man kann die minimale Kennwortlänge per PowerShell für das AD-Attribut minPwdLength festlegen. Hat aber den Nachteil, dass die Warnungen in der Ereignisanzeige weiter eintreffen. Mark macht den Vorschlag, die Default Domain Policy auf 14 Zeichen Kennwortlänge einzustellen. Details sind in diesem Beitrag nachzulesen.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Software, Windows abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu Falle: Active Directory-Kennwortrichtlinie mit 15 Zeichen

  1. Bernhard Diener sagt:

    Hardcore.

    Hätte ich es damals schon gewusst, hätte ich das auch in meine Sammlung von MS' Security-Fehltritten aufgenommen: https://www.experts-exchange.com/articles/33415/5-crazy-windows-security-problems-that-are-homemade.html

  2. Bernhard Diener sagt:

    Bei genauerem Hinsehen: Bis vor gut einem Jahr war es über die GUI nicht möglich, mehr als 14 Zeichen zu setzen, siehe https://www.grouppolicy.biz/2018/05/group-policy-updated-to-support-20-character-minimum-password-length/ – nun machen sie es also möglich, aber aus Kompatibilitätsgründen sind immer noch nur 20 möglich. Auch das ist Leuten schon weitaus früher als Mark aufgefallen: https://twitter.com/JosephRyanRies/status/1051919677507670017

    Marks Schlussfolgerung "Die Lösung erscheint relativ trivial. Ihr ändert das AD Attribut minPwdLength. Es gibt Powershell Befehle mit denen das gemacht werden kann oder ihr tragt es einfach direkt per Hand in die dc=euredom,dc=tld ein. Das funktioniert technisch für die Vergabe der Kennworte einwandfrei, aber es bleibt der Fehler im Eventlog. Den kriegt ihr nicht weg, solange dort der Wert größer 14 Zeichen drin enthalten ist. Wer noch lokale Benutzer verwendet, der wird dieselben Fehler für diese Konten auf den Maschinen haben" ist auch inkorrekt. Ich erhalte weder am Server noch am Client eine Meldung im Eventlog, wenn ich das Attribut manuell ändere – es funktioniert einfach. Muss bei Mark vermutlich mit dem Vorhandensein zweier DCs zu tun haben (hier im Testbetrieb nur einer). Dann muss man es eben auf beiden DCs setzen – geht ja auch.

    • Günter Born sagt:

      Es gab auf den Beitrag zwei Rückmeldungen. Einer hat den von Mark gemeldeten Effekt bestätigt – einer konnte ihn nicht reproduzieren. Der Beitrag soll ja drauf hinweisen: Da ist eventuell was – dann müsst ihr halt testen.

  3. Bernhard Diener sagt:

    Ja natürlich ist es reproduzierbar vorhanden – das schreibe ich doch selbst. Nur hat es eben technische Gründe (kein Bug, sondern schlechtes Design: die GUI wertet eine Kompatibilitätsforderung aus, macht aber nicht darauf aufmerksam).
    Ich habe deshalb einen Link beigetragen, der über Marks geteiltes Wissen hinausgeht.

Schreibe einen Kommentar zu Bernhard Diener Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.