http://www.altusnet.com/
Vollständiger Artikel im IT-Administrator, Ausgabe 10/2005
Test: Passfilt Pro 3.1.6
Passwörter für Windows-Server
http://www.it-administrator.de/artikel/13828.html
|
Passfilt Pro von Altus Network Solutions, Inc. http://www.altusnet.com/ |
|
|
Verfasser: Norbert Fehlauer Vollständiger Artikel im IT-Administrator, Ausgabe 10/2005 |
Test: Passfilt Pro 3.1.6 Passwörter für Windows-Server http://www.it-administrator.de/artikel/13828.html |
Kennwortrichtlinienverwaltung im Active Directory
In vielen Firmen ist die Situation hinsichtlich der Kennwortsicherheit leider
katastrophal.
<Story aus der freien Wildbahn>
Da fragt man einen Admin einer großen Organisation nach einem Account, der in
der Domäne Rechte hat …
Er ruft „Administrator - Passwort ist „Password – hinten mit d“
</Story aus der freien Wildbahn>
Kurzer Ausflug in die Windows NT 4.0 Geschichte
Vor der Einführung von Windows NT 4.0 SP2 gab es in Windows Domänen nur die
Möglichkeit sehr einfache Kennwortrichtlinien anhand folgender Kriterien zu
bilden.
- Kennwortchronik erzwingen
- Maximales Kennwortalter
- Minimale Kennwortlänge
- Minimales Kennwortalter
Seit Windows NT 4.0 Service Pack 2 gibt es zusätzlich die Möglichkeit eine
von MS fest vorgegebene Kennwortkomplexität zu erzwingen.
Diese sieht vor, dass Kennwörter aus mindestens 6 Zeichen bestehen, nicht den
Anmeldenamen bzw. Teile davon beinhalten und zusätzlich drei von vier der
folgenden Kriterien innerhalb eines Kennwortes einhalten.
- Kennwort beinhaltet Großbuchstaben
- Kennwort beinhaltet Kleinbuchstaben
- Kennwort beinhaltet Sonderzeichen
- Kennwort beinhaltet Ziffern
Gegenwart seit Windows 2000
Was unter Windows NT 4.0 noch umständlich, per manuellem Bearbeiten der Registry
auf dem PDC (nur da werden Kennworte geändert), umgesetzt werden musste (http://support.microsoft.com/?scid=kb;en-us;1611990),
wurde mit Windows 2000 fest in den Sicherheitsrichtlinien des Systems verankert.
Die Kriterien allerdings haben sich nicht geändert. Bis heute ist es nicht „out-of-the-box“
möglich, eigene Kennwortrichtlinien zu generieren. Lediglich die zu Länge und
Geltungsdauer eines Kennwortes kann vorgegeben werden.
Die Schwächen dieses Systems liegen auf der Hand. Trotz Einhaltung der
geforderten Regeln sind relativ einfache Passworte machbar. Jeder
Bruteforce-Angriff wird diese innerhalb von Sekunden bzw. Minuten cracken.
Beispiele hierfür sind „Sommer2005“, „Mutti1956“ oder ähnlich triviale
Konstrukte.
Wer sich schon mal @stake LC 5 (http://www.atstake.com) angeschaut hat, und damit auf eine Test-SAM losgegangen ist, der weiß, wie schnell so etwas geht.
 |
| Abbildung 1: Crackzeit von „normalen“ Kennworten |
Problemlösung 1
(Beten/Hoffen)
Man glaubt einfach an das Gute im Menschen und hofft, dass die Benutzer nicht
gemerkt haben, dass „Sommer2005“ funktioniert. (Darauf sollte man sich aus
Sicherheitsgründen natürlich nicht verlassen – Stichwort: Murphy)
Problemlösung 2 (Selber machen)
Man programmiert sich seine eigene passfilt.dll um die eigenen Richtlinien
durchsetzen zu können. Nachteil dabei ist, dass man jemanden kennen sollte der
sich mit C++ auskennt, sofern man das selbst nicht kann. Zusätzlich kommt
natürlich immer noch das Risiko dazu, dass der Code nicht so funktioniert wie es
erwartet wird, denn immerhin kommt die .dll dann in einem sicherheitsrelevanten
Bereich innerhalb des Betriebssystems zum Einsatz. Im MSDN stellt Microsoft
einige Artikel und eine Beispiel passfilt.dll im Sourcecode zur Verfügung.
http://msdn.microsoft.com/library/en-us/secmgmt/security/sample_password_filter.asp
Im Internet finden sich noch einige wenige andere Seiten die sich mit diesem
Thema beschäftigen:
http://www.opencoe.com/accountpassword.htm
http://ntsecurity.nu/toolbox/strongpass
Wie man sieht, gibt es nicht wirklich viele Infos zu solch einem wichtigen
Sicherheitsthema in Windows-Netzwerken.
Problemlösung 3 (Kaufen)
Als Drittes besteht noch die Möglichkeit kommerzielle Programme zu verwenden.
Eines davon ist Passfilt Pro von Altus Network Solutions, Inc. (http://www.altusnet.com).
Es bietet neben der freien Definition von komplexen Kriterien auch noch eine
Funktion die in den Newsgroups immer wieder angefragt wird, aber bisher immer
mit der Antwort „geht nicht, bzw. nur mit mehreren Domains“ beantwortet werden
musste. Denn normalerweise existiert nur eine Kennwortrichtlinie pro Domäne.
Passfilt Pro MPE hebt diese Begrenzung auf, und gestattet bis zu 4 verschieden
konfigurierte Richtlinien.
Aufmerksam geworden bin ich auf das Produkt ebenfalls durch die Newsgroups (Danke an Nils).
Hier nur eine kurze Gegenüberstellung der Kriterien die man mittels Passfilt Pro konfigurieren kann.
| Feature | Windows | Passfilt Pro |
| minimale Kennwortlänge | X | X |
| maximale Kennwortlänge | X | X |
| Kennwort muss
drei von vier Kategorien beinhalten 1. Ziffern 2. Großbuchstaben 3. Kleinbuchstaben 4. Sonderzeichen |
X | X |
| eine
Mindestanzahl von Zeichen aus bis zu vier Kategorien: 1. Ziffern 2. Großbuchstaben 3. Kleinbuchstaben 4. Sonderzeichen |
X | |
| minimale und maximale Anzahl von Ziffern (0-9) | X | |
| minimale und maximale Anzahl von Großbuchstaben (A-Z) | X | |
| minimale und maximale Anzahl von Kleinbuchstaben (a-z) | X | |
| minimale und maximale Anzahl von Buchstaben (a-z oder A-Z) | X | |
| minimale und maximale Anzahl von Nicht-Buchstaben | X | |
| minimale und maximale Anzahl von Ziffern oder Sonderzeichen | X | |
| Begrenzen der Sonderzeichen zu einem Set von 12 oder weniger | X | |
| Ablehnen von Kennworten die Vokale enthalten (a, e, i, o, u und y in sowohl Groß- als auch Kleinschreibung) | X | |
| Ablehnen von Kennworten die Freizeichen enthalten | X | |
| Ablehnen von Kennworten die aufeinander folgende identische Zeichen beinhalten (z.B. aa, bb, etc.) | X | |
| Ablehnen von Kennworten die drei aufeinander folgende identische Zeichen beinhalten (z.B. aaa, bbb, etc.) | X | |
| Ablehnen von Kennworten die mit einer Ziffer beginnen. | X | |
| Ablehnen von Kennworten die mit einer Ziffer enden. | X | |
| Erzwingen von Kennworten die an einer bestimmten Stelle eine Ziffer enthalten. | X | |
| Erzwingen von Kennworten die an einer bestimmten Stelle ein Sonderzeichen enthalten. | X | |
| Ablehnen von Kennworten die Teile des kompletten Namens des Users enthalten. | X | |
| Ablehnen von Kennworten die Teile des Usernamens beinhalten. | X | |
| Das vom User vorgesehene Kennwort gegen ein anpassbares Wörterbuch prüfen. | X | |
| Das Wörterbuch nach exaktem Treffer (case-insensitiv) oder Treffen von Teilketten (case-insensitiv) durchsuchen (z.B. das Wort im Wörterbuch ist an einer beliebigen Stelle Kennwort enthalten). | X | |
| Die Richtlinie auf mehrere globale Gruppen anwenden. | X | |
| Ausschliessen von globalen Gruppen von der Richtlinie. | X |
Weitere Informationen und
Bezugsquellen:
| Hersteller: | |
|
|
Altus Network Solutions, Inc.
4920 Highway 9 PMB #313 Alpharetta, GA 30004 Phone: 1-888-309-7488 Fax: 404-393.9589 http://www.altusnet.com/products/pfp/purchase.asp |
| Homepage | http://www.altusnet.com |
|
Evaluvierungsversion |
|
| Produktinformation | http://www.altusnet.com/products/pfp/ |
| Dokumentation | http://www.altusnet.com/products/pfp/datasheet.asp |
|
deutsche ADM Templates, von Norbert Fehlauer |
http://www.gruppenrichtlinien.de/adm/passfiltpro-mpe-german.txt http://www.gruppenrichtlinien.de/adm/passfiltpro-pprospeclient-german.txt |
(c) 2003 - heute, Mark Heitbrink,
weitere Informationen unter WebSite-Info\Copyright