Kennwortrichtlinien

Autor: Mark Heitbrink - vom 09.01.2013 - Kategorie(n): Anleitungen Erste Schritte Hintergrundwissen

Sonderfälle: 

  • Kennwortrichtlinien
  • Kontosperrungsrichtlinien
  • Kerberosrichtlinien 


Diese 3 Einstellungen sind nur auf Domänen Ebene möglich und sind zwingend bindend für alle Objekte, die im Active Directory verwaltet werden. Man kann keine unterschiedlichen Werten für verschiedene Benutzergruppen oder ähnliches definieren. Diese 3 Sonderfälle müssen nicht in der Default Domain Policy definiert werden, aber es empfielht sich es zu tun. Es sind die einzigen Werte, die die Default Domain Policy nach der Installation enthält. Wenn diese Werte nicht in das eigene Konzept passen, dann dürfen sie geändert werden. Es bedarf keiner eigenen "Kennwortrichtlinie" wie sie z.B.: der Small Business Server mitbringt.
 
Jede an anderen Stelle konfigurierte Kennwortrichtlinie hat nur Auswirkungen auf die LOKALEN Benutzerkonten der betreffenden Computer in der OU, auf der diese Richtlinie wirkt. Es gibt wie gesagt PRO DOMAIN nur eine Konfiguration dieser 3 Richtlinien für alle. Für unterschiedliche Definitionen müssen Subdomains erstellt werden oder man verwendet eine Drittanbieter Software.

nFront Password Filter (ehemals Altus)
http://www.nfrontsecurity.com/

 
Password Settings Object:
Fine Grained Password Policies eingeführt mit Windows Server 2008 sind KEINE! Richtlinien, sondern nur Objekte, die für ein erstelltes Objekt im AD verwendet werden können. Eine echte KENNWORTRICHTLINIE ist aber schon gültig, während das Objekt noch erstellt wird, es noch keine SID hat. PSO/FGPP greifen aber erst, wenn es das Objkekt eine SID hat und es erstellt ist! Das ist technisch ein riesiger Unterschied.  Zur Verwaltung der PSOs kann ich erneut Specops empfehlen
Siehe auch: Fine Grained Password Policies (FGPP) - Password Settings Objects (PSO)

Specops Password Policy Basic (Free)
http://www.specopssoft.com/products/specops-password-policy/specops-password-policy-basic-download_1
 
Komplexe Kennworte?
Beispiele:  12$%aS    34%&ert    Qwert!2    12QW§$    ?=98Po

Das ist ein guter Ansatz, aber wer merkt sich denn sowas? Am Ende werden es Tastatur Muster, oder fortlaufdende Begriffe wie: Sonne123, darauf folgt Sonne234, und Sonne345 beim nächsten Wechseln. Das bringt doch nichts. Warum nimmt man nicht einen ganzen Satz oder eine Kombination von wahllos gesuchten echten Worten? Wesentlich einfach und leicht zu merken. Schreibt das komplett aus, überlegt euch keine Abkürzungen, das macht es komplizierter als 25 Zeichen einfach "runterzutippen".
 

Sätze oder Kombinationen!

Beispiele: "Montags will ich nicht","Mir ist langweilig"," Ich kann so nicht arbeiten" oder wahllose Kombinationen "Sommer Schnitte","Wuzel Logistik", "Telefon Gabelstapler"


Am Ende bleibt:

  • Aufklärung der Mitarbeiter über Sinn und Zweck. 
  • Der Hinweis, dass weder am Telefon noch sonst wo sie jemals nach dem Passwort fragen wird. 
  • Ein Administrator der danach fragen muss ist keiner, denn er könnte es als Administrator zurücksetzen und braucht sie nicht fragen
  • Kleine Hilfe zum Erstellen von sicheren Kennwörtern bieten, wie gerade geschehen.


Kennwortrichtlinie auf Minimum einstellen
Genau genommen dürfte man das gar nicht als HowTo veröffentlichen, aber es gibt Situationen in denen man ohne Kennworte arbeiten möchte. Die Definition der Einstellungen auf "Nicht konfiguriert" hilft in dem Fall nicht und deswegen eine kleine Anleitung, wie es geht.

„Nicht konfiguriert“ bedeutet, daß AN DIESER STELLE in der Richtlinie kein Wert definiert ist. Darausfolgt, daß der Wert wieder gültig ist, der am DC in der lokalen Sicherheitsrichtlinie hinterlegt ist und das ist bei einem Server seit 2003 immer mindestens 6 Zeichen und Komplexität.
 Man muss die betreffende Einstellung auf „Deaktiviert“ oder auf „0“ setzen. Erst dann ist es aktiv ausgeschaltet. 
 

Kennwort muss Komplexitätsvorraussetzungen entsprechen Deaktiviert
Wurde diese Richtlinie aktiviert, müssen Kennwörter die folgenden Mindestvoraussetzungen erfüllen:

  • Sie dürfen weder einen Teil noch den vollständigen Kontonamen des jeweiligen Benutzers enthalten.
  • Sie müssen mindestens sechs Zeichen lang sein. 
  • Sie müssen Zeichen aus drei der vier folgenden Kategorien enthalten:
  • Großbuchstaben von A bis Z 
  • Kleinbuchstaben von A bis Z 
  • Ziffern der Basis 10 (0 bis 9) 
  • Nicht-Alphanumerische Zeichen (z. B. !, $, #, %)
Minimale Kennwortlänge 0
Legt die Mindestanzahl der Zeichen fest, die ein Kennwort für ein Benutzerkonto enthalten muss. Sie können einen Wert zwischen 1 und 14 Zeichen festlegen oder angeben, dass kein Kennwort erforderlich ist, indem Sie für die Anzahl der Zeichen den Wert 0 festlegen.
Das beiden genannten Richtlinien alleine erlauben nun leere Kennworte. Zusätzlich sollten aber noch die folgenden Richtlinien gesetzt werden, da sie bei einem leeren Passwort überhaupt keinen Sinn ergeben.
Kennwortchronik erzwingen 0
Legt die Anzahl eindeutiger neuer Kennwörter fest, die vor der erneuten Verwendung eines alten Kenntwortes einem Benutzerkonto zugeordnet werden müssen. Dieser Wert muss zwischen 0 und 24 liegen. Damit die Wirksamkeit der Kennwortchronik gewährleistet ist, sollten Sie bei der Konfiguration der Option Minimales Kennwortalter das sofortige Ändern von Kennwörtern nicht zulassen.
Maximales Kennwortalter 0
Legt fest, wie lange (in Tagen) ein Kennwort unverändert verwendet werden darf. Für das Ablaufen von Kennwörtern können Sie einen Zeitraum von 1 bis 999 Tagen festlegen. Sollen Kennwörter nie ablaufen, wird für die Anzahl der Tage der Wert 0 festgelegt.
Minimales Kennwortalter 0
Legt fest, wie lange (in Tagen) ein Kennwort verwendet werden muss, bevor es vom Benutzer geändert werden kann. Sie können einen Wert zwischen 1 und 999 Tagen festlegen. Wollen Sie sofortige Änderungen zulassen, wird für die Anzahl der Tage der Wert 0 festgelegt.