So verwalten Sie Ihre Passwortrichtlinien in Active Directory mit PowerShell

Werbung – Das Verwalten von Kennwortrichtlinien in Active Directory ist eine wesentliche Aufgabe für einen Systemadministrator, der AD DS-Umgebungen verwaltet. Kennwortrichtlinien helfen dabei, die optimalen Vorgaben oder Einschränkungen für neue Passwörter festzulegen, sodass diese nicht zu leicht erraten werden können. Passwortrichtlinien können nicht nur über den Group Policy Management Editor verwaltet und konfiguriert werden, sondern auch mithilfe von PowerShell-Eingaben.

Durch die Kombination von Active Directory mit der Flexibilität und Leistungsfähigkeit der PowerShell lassen sich die Aufgaben zur Verwaltung von Kennwortrichtlinien vereinfachen. Da Microsoft integrierte (offizielle) PowerShell-Module bereitstellt, die es Administratoren ermöglichen, mit Active Directory-Einstellungen zu interagieren, sie zu konfigurieren und zu verwalten, sind die ersten Schritte ganz einfach. Nachfolgend wird gezeigt, wie das geht, und es gibt einige praktische Beispiele zum Ausprobieren.

Passwortrichtlinien im Active Directory

In Active Directory regeln die Standard-Domänenrichtlinieneinstellungen die Einstellungen der Kennwortrichtlinien für alle Benutzerkonten. Es kann jedoch sein, dass eine Organisation für verschiedene Benutzer oder Gruppen unterschiedliche Richtlinien festlegen muss, die sogenannten fine-grained password policies.

Die Bedeutung von Kennwortrichtlinien

Kennwortrichtlinien sind ein wichtiger Aspekt der Sicherheitsarchitektur eines Unternehmens. Sie tragen dazu bei, Sicherheitsrisiken wie Brute-Force-Angriffe und die Kompromittierung von Unternehmenspasswörtern zu verringern, indem sie Anforderungen wie Mindestlänge des Passworts, maximales Passwortalter und Passwortverlauf vorschreiben.

Endbenutzer neigen dazu, schwache Passwörter zu erstellen, die normalerweise leicht zu erraten sind und von Hackern mit Brute-Force-Angriffen kompromittiert werden können. Noch schlimmer ist, dass hochrangige Domänenadministratorkonten schwache Passwörter oder sogar mehrere Konten mit demselben Passwort enthalten können.

Die Verwaltung von Passwortrichtlinien in Active Directory

Die Einstellungen der Active Directory-Kennwortrichtlinien werden in der Regel über die Group Policy Management Console (GPMC) konfiguriert. Die Default Domain Policy in Microsoft Active Directory enthält eine Standard-Kennwortrichtlinie, die an die Bedürfnisse des Unternehmens angepasst werden kann. In nachfolgender Abbildung findet sich eine Ansicht der Standarddomänenrichtlinie, die im Group Policy Management Editor angezeigt wird.

Darstellung der Default Passwort Policy in Active Directory in der Group Policy Management Console

Bedeutung der Einstellungsmöglichkeiten für die Default Kennwortrichtlinie

Administratoren können die Default-Einstellungen der Domänenrichtlinien in der Group Policy Management Console (GPMC) einsehen. Nach dem Start von gpmc.msc über eine Ausführungs- oder Cmd-Eingabeaufforderung finden sich diese Einstellungen unter:

Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Account Policies -> Password Policy

Die Einstellungsmöglichkeiten für die Kennwortrichtlinie umfassen Folgendes:

• Kennwortverlauf aktivieren (Enforce password history):  Definieren Sie eine bestimmte Anzahl von Kennwörtern, die gespeichert werden, und verhindern Sie, dass der Benutzer ein Kennwort festlegt, das er kürzlich verwendet hat. Dadurch wird AD in die Lage versetzt, Hashes von Kennwörtern zu speichern, um festzustellen, ob das Kennwort schon einmal verwendet wurde.
• Maximales Kennwortalter (Maximum password age): Legen Sie das maximale Kennwortalter fest, um Ihre Kennwortablaufrichtlinien durchzusetzen.
• Mindestalter des Kennworts (Minimum password age): Legen Sie ein Mindestalter für das Kennwort fest, das bestimmt, wie lange ein Kennwort verwendet werden muss, bevor der Benutzer es ändern kann.
• Mindestlänge des Kennworts (Minimum password length): Legen Sie die Mindestlänge des Kennworts fest, um zu verhindern, dass sehr kurze Kennwörter verwendet werden.
• Kennwörter müssen Komplexitätsanforderungen erfüllen: Diese Einstellung legt fest, ob Kennwörter Komplexitätsanforderungen erfüllen müssen. Wenn diese Richtlinie aktiviert ist, müssen Passwörter die folgenden Mindestanforderungen erfüllen:
  • Passwörter dürfen nicht den Kontonamen des Benutzers oder Teile des vollständigen Namens des Benutzers enthalten, die aus mehr als zwei aufeinander folgenden Zeichen bestehen.
  • Müssen mindestens sechs Zeichen lang sein
  • Müssen Zeichen aus drei der vier Kategorien enthalten:
    • Großbuchstaben aus dem Lateinischen Alphabet (A through Z)
    • Kleinbuchstaben aus dem Lateinischen Alphabet (a through z)
    • Zahlen von 0-9
    • Sonderzeichen (Zum Beispiel:, !, $, #, %)
  • Komplexitätsanforderungen werden erst dann erzwungen, wenn Passwörter geändert oder neu erstellt werden.
• Speichern von Kennwörtern mit umkehrbarer Verschlüsselung (reversible encryption): Bietet Unterstützung für Anwendungen, die Protokolle verwenden, die die Kenntnis des Kennworts des Benutzers zu Authentifizierungszwecken erfordern.

Anmerkung: Das Speichern von Kennwörtern mit umkehrbarer Verschlüsselung ist bezüglich des Sicherheitsrisikos beinahe gleichbedeutend mit dem Speichern von Klartextversionen der Kennwörter. Aus diesem Grund sollte diese oben zuletzt genannte Richtlinie niemals aktiviert werden, es sei denn, die Anforderungen der Anwendung überwiegen die Notwendigkeit, die Kennwortdaten zu wirkungsvoll zu schützen.

PowerShell-Befehle für die Verwaltung von Active Directory-Kennwortrichtlinien

Wie bereits erwähnt, ist PowerShell ein hervorragendes Tool, um die Verwaltung und Konfiguration von Active Directory-Kennwortrichtlinien zu automatisieren. Im Folgenden finden Sie einige Beispiele für PowerShell-Befehle zur Verwaltung gängiger AD-Kennwortrichtlinieneinstellungen.

Beispiel 1: Abrufen der Default Domain Passwortrichtlinie

Mit nachfolgenden PowerShell-Befehlen lässt sich die Default Domain Passwortrichtlinie anzeigen.

Import-Module ActiveDirectory 
Get-ADDefaultDomainPasswordPolicy

Abrufen der Default Domain Passwortrichtlinie

Beispiel 2: Mindestlänge für Passwörter festlegen

Administratoren können PowerShell verwenden, um die Mindestlänge für Kennwörter wie folgt festzulegen:

Set-ADDefaultDomainPasswordPolicy -Identity "domain.com" -MinPasswordLength 10

Beispiel 3: Mindestalter für Passwörter festlegen

Mit dem nachfolgenden Befehl lässt sich das Mindestalter für Passwörter mithilfe der PowerShell festlegen:

Set-ADDefaultDomainPasswordPolicy -Identity "domain.com" -MinPasswordAge 2.00:00:00

Beispiel 4: Neue Fine Grained Password Policies erstellen

Mit den neueren Versionen der Microsoft Active Directory-Domain Services können Administratoren jetzt mehrere Kennworteinstellungsobjekte (PSOs) erstellen, um unterschiedliche Kennwortrichtlinien für verschiedene Benutzer, Computer, Standorte usw. anzuwenden. Zum Beispiel:

# Import the necessary Active Directory module 
Import-Module ActiveDirectory 
# Create a new PSO 
New-ADFineGrainedPasswordPolicy -Name "TestPasswordPolicy" -Precedence 500 -ComplexityEnabled $true -ReversibleEncryptionEnabled $false -MinPasswordLength 8 -PasswordHistoryCount 24 -MaxPasswordAge (New-TimeSpan -Days 60) -MinPasswordAge (New-TimeSpan -Days 1) -LockoutThreshold 5 -LockoutObservationWindow (New-TimeSpan -Minutes 30) -LockoutDuration (New-TimeSpan -Minutes 30)

Nachfolgende Abbildung zeigt Sie einen ähnlichen Befehl, um ein neues PSO-Object zu erstellen.

Befehl zu Erstellung einer neuen Fine-Grained Password Policy

Dieser Befehl erstellt ein neues PSO mit den folgenden Einstellungen:

• Name: TestPasswordPolicy
• Precedence: 500
• Password complexity: Enabled
• Reversible encryption: Disabled
• Minimum password length: 8 characters
• Password history count: The last 24 passwords
• Maximum password age: 60 days
• Minimum password age: 1 day
• Account lockout threshold: 5 failed logon attempts
• Lockout observation window: 30 minutes
• Lockout duration: 30 minutes

Bitte daran denken, den Parameter "TestPasswordPolicy" durch einen Namen Ihrer Wahl zu ersetzen und die anderen Parameter entsprechend den Anforderungen der eigenen Organisation an die Passwortrichtlinie anzupassen.

Nachdem die PSO erstellt wurde, muss diese auf einen Benutzer oder eine Gruppe angewandt werden. Beispielsweise ließe sich diese neue Richtlinie auf eine Gruppe namens "TestGroup" anwenden:

# Anwenden der PSO auf eine Gruppe 
Add-ADFineGrainedPasswordPolicySubject "TestPasswordPolicy " -Subjects "TestGroup"

Hinweis: Fein abgestufte Kennwortrichtlinien und die zugehörigen Cmdlets für deren Verwaltung (wie New-ADFineGrainedPasswordPolicy) erfordern mindestens Windows Server 2008.

Wichtige Aspekte für die Automatisierung von Kennwortrichtlinien in Active Directory mit PowerShell

1. Fine Grained-Kennwortrichtlinien

Die oft vergessenen fine-grained password policies in Active Directory bieten eine granulare Kontrolle über die Domänenkennwortrichtlinie. Da sie die Erstellung mehrerer Kennwortrichtlinien innerhalb derselben Domäne ermöglichen, eignen sie sich perfekt für Situationen, in denen besondere Kennwortanforderungen für bestimmte Benutzerkonten oder Gruppen erforderlich sind, für andere jedoch nicht.

2. Schutz vor Brute-Force-Angriffen mithilfe von Lockout-Richtlinien

Brute-Force-Angriffe auf Benutzerkonten sind eine reale Bedrohung. Der effektive Einsatz der Parameter LockoutThreshold, LockoutObservationWindow und LockoutDuration in der Active-Directory-Passwortrichtlinie kann eine erste Verteidigung gegen solche Versuche sein. Administratoren sollten daran denken, dass jeder fehlgeschlagene Anmeldeversuch eine mögliche Gefahr für die Passwörter der Mitarbeiter darstellt.

3. Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit wahren

Die Durchsetzung einer soliden Kennwortrichtlinie verhindert schwache Kennwörter und erhöht die Kennwortsicherheit. Zu strenge Richtlinien können jedoch zu häufigen Passwortwechseln führen, die Unannehmlichkeiten verursachen und möglicherweise unsichere Praktiken wie das Aufschreiben von Passwörtern zur Folge haben.

Verwenden Sie PowerShell-Befehle, um ein ausgewogenes Verhältnis zu finden, und konzentrieren Sie sich dabei auf Parameter wie MinPasswordLength, MaxPasswordAge und PasswordHistoryCount. Ihr Ziel sollte es sein, die Sicherheit zu maximieren, ohne die Benutzerfreundlichkeit wesentlich zu beeinträchtigen.

Fortgeschrittene Passwortrichtlinie für Active Directory mit Specops Password Policy

Standardeinstellungen im AD sind zwar praktisch, reichen aber möglicherweise nicht aus, um moderne, starke Passwortrichtlinien durchzusetzen. Hier können fortschrittlichere Lösungen von Drittanbietern wie z.B. Specops Password Policy helfen.

Specops Password Policy erweitert die Funktionalität der Active Directory-Passwortrichtlinieneinstellungen. Es arbeitet mit Ihren bestehenden Gruppenrichtlinien und ist keine "Rip and Replace" Lösung. Sie ermöglicht es Ihnen, Ihre Kennwortrichtlinien zu verbessern, indem Sie Funktionen wie den dauerhaften Schutz vor kompromittierten Kennwörtern, benutzerdefinierte Wörterbuchlisten und eigene Einstellungen für Passphrasen hinzufügen. Wie unten gezeigt, ermöglicht Specops den Administratoren viel mehr Optionen zur Umsetzung aktuellen Empfehlungen zu Passwortrichtlinien als die Standardeinstellungen von Active Directory.

Administratoren können so Compliance-Anforderungen durchsetzen und mit dem dynamischen sowie informativen Client-Feedback den Anwendern helfen, sicherere Passwörter im Active Directory zu vergeben. Die Lösung kann auf jede GPO-Ebene, jede Gruppe, jeden Benutzer oder Computer mit Wörterbuch- und Passphraseneinstellungen abzielen.

Specops Password Policy bietet vielfältige Einstellungsmöglichkeiten für Ihre Kennwortrichtlinien

Es ist jedoch wichtig, daran zu denken, dass selbst starke Passwörter durch die Wiederverwendung von Passwörtern über mehrere Accounts hinweg, durch Phishing-Angriffe oder Datenpannen kompromittiert werden können.

Specops Password Policy verfügt ebenfalls über die Option mithilfe von Breached Password Protection, bereits kompromittierte Kennwörter zu entdecken (diese Funktion ist in Active Directory standardmäßig nicht vorhanden). Mit der Funktion "Breached Password Protection" können Administratoren die Benutzerkennwörter mit der Specops-Liste von über 4 Milliarden kompromittierten Kennwörtern abgleichen, darunter auch solche, die derzeit bei Cyberangriffen verwendet werden.

Überprüfen Sie täglich ihre Active Directory Passwörter mit Specops Breached Password Protection

Angesichts der zunehmenden Bedrohungen für die Cybersecurity können fortschrittliche Tools wie Specops Password Policy die Passwortsicherheit in Ihrem Unternehmen erheblich verbessern. Durch die kontinuierlichen Scans nach kompromittierten Kennwörtern und die Einhaltung von Best Practices für Passwortrichtlinien können Sie sicherstellen, dass Ihr Unternehmen gut gerüstet ist, um potenzielle Sicherheitsbedrohungen abzuwehren.

Testen Sie Specops Password Policy jetzt kostenlos, und steigern Sie die Sicherheit Ihrer Active Directory Umgebungen

Dies ist ein bezahlter Beitrag von Specops Software.