Erstellen Sie eine solide Active Directory-Kennwortrichtlinie

Die Informationstechnologielandschaft bietet viele verschiedene Methoden zur Authentifizierung von Benutzern, einschließlich digitaler Zertifikate, Einmalkennwort-Token und Biometrie.

Der Allgegenwart des Passworts kann sich jedoch nicht entziehen. Die beste Active Directory-Kennwortrichtlinie für Ihr Unternehmen sollte den Schwellenwert für hohe Sicherheit und Zufriedenheit der Endbenutzer erfüllen und gleichzeitig den Wartungsaufwand minimieren.

Das Passwort muss im Laufe der Zeit angepasst werden

Vor der Veröffentlichung von Windows Server 2008 wurden Active Directory-Kennwortrichtlinien (AD) ausschließlich auf Domänenebene festgelegt. Die AD-Domäne stellte die grundlegende Sicherheits- und Verwaltungsgrenze innerhalb einer AD-Gesamtstruktur dar.
Die damalige Anleitung bestand darin, allen Benutzern innerhalb einer Domäne die gleichen Sicherheitsanforderungen zu geben. Wenn ein Unternehmen mehr als eine Kennwortrichtlinie benötigt, besteht Ihre einzige Wahl darin, die Gesamtstruktur in eine oder mehrere untergeordnete Domänen oder separate Domänenbäume aufzuteilen.
In Windows Server 2008 wurden detaillierte Kennwortrichtlinien eingeführt, mit denen Administratoren verschiedenen AD-Gruppen unterschiedliche Kennworteinstellungsobjekte zuweisen können. Ihre Domänenbenutzer hätten eine Kennwortrichtlinie, während Sie unterschiedliche Richtlinien für Domänenadministratoren und Ihre Dienstkonten hätten.

Mehr Sicherheitsrichtlinien bedeuten mehr Verwaltungsaufwand

Durch das Bereitstellen mehrerer Kennwortrichtlinien in einer einzelnen AD-Domäne können Sie Ihre Compliance-Kontrollkästchen aktivieren und zusätzliche Flexibilität erhalten. Es gibt jedoch Kompromisse. Erstens führt die Erhöhung der Komplexität Ihrer Active Directory-Kennwortrichtlinieninfrastruktur zu einem höheren Verwaltungsaufwand und einem erhöhten Aufwand für die Fehlerbehebung.
Zweitens sind Ihre Benutzer umso unglücklicher, je komplizierter die Kennwortrichtlinie ist. Dies spricht für das Informationssicherheits-Gegengewicht zwischen Sicherheitsstärke einerseits und Benutzerkomfort andererseits.
Was macht ein Qualitätspasswort aus? Am längsten hatten wir folgende Empfehlungen:

  • Mindestlänge von 8 Zeichen;
  • eine Mischung aus Groß- und Kleinbuchstaben;
  • Aufnahme von mindestens einer Nummer;
  • Aufnahme von mindestens einem nicht alphanumerischen Zeichen; und
  • Keine Fragmente eines Benutzernamens.

Idealerweise sollte das Passwort keinem Wort in einem Wörterbuch entsprechen, um wörterbuchbasierte Wörter zu vereiteln Brute-Force-Angriffe. Eine Möglichkeit, ein sicheres Passwort zu entwickeln, besteht darin, eine Passphrase zu erstellen und die Passphrase mit Zahlen und / oder nicht alphanumerischen Zeichen zu “salzen”.

Im Idealfall sollte das Kennwort keinem Wort in einem Wörterbuch entsprechen, um wörterbuchbasierte Brute-Force-Angriffe zu verhindern.

Der Schlüssel zum Erinnern an eine Passphrase besteht darin, sie so persönlich wie möglich zu gestalten. Nehmen Sie zum Beispiel den folgenden Satz: Der Hot Dog-Verkäufer hat mir 18 Cold Dogs verkauft.
Dieser Satz kann eine private Bedeutung haben, die es fast unmöglich macht, ihn zu vergessen. Als nächstes nehmen wir den ersten Buchstaben jedes Wortes und die Zahlen, um die folgende Zeichenfolge zu erhalten: Thdvsm18cd.
Wenn wir die Buchstaben s durch ein Dollarzeichen ersetzen, haben wir eine solide Passphrase von erstellt Thdv $ m18cd.

Die richtige Balance finden

Ein Ratschlag, den ich meinen Beratungskunden fast immer gebe, ist, Ihre Infrastruktur so einfach wie möglich, aber nicht zu einfach zu halten. Im Zusammenhang mit Ihrer Active Directory-Kennwortrichtlinie bedeutet dies Folgendes:

  • Halten Sie Ihre Domains in Ihrer AD-Gesamtstruktur auf ein Minimum.
  • Minimieren Sie Ihre Passwortrichtlinien, während Sie Ihre organisatorischen / Sicherheitsanforderungen einhalten.
  • Lockern Sie die Einschränkungen der Passwortrichtlinien. und
  • Ermutigen Sie die Benutzer, eine einzige Passphrase zu erstellen, die sowohl leicht zu merken als auch schwer zu erraten ist.

Die Passwortrichtlinien werden im Laufe der Zeit angepasst

Entspannen Sie die Passwortrichtlinie? Ja das ist richtig. Im Juni 2017 veröffentlichte das Nationale Institut für Standards und Technologie (NIST) die Sonderpublikation 800-63B, in der ein ausgewogenerer Ansatz vorgestellt wurde Benutzerfreundlichkeit und Sicherheit.
Wenn Sie Ihre Domain-Benutzer dazu zwingen, ihre Kennwörter regelmäßig zu ändern, werden sie wahrscheinlich einen Teil ihrer vorherigen Kennwörter wiederverwenden, z Passwort, Passwort1, Passwort2, und so weiter.
Die neue NIST-Anleitung schlägt vor, dass Benutzerkennwörter:

  • Bereich zwischen 8 und 64 Zeichen lang;
  • die Fähigkeit haben, nicht-alphanumerische Zeichen zu verwenden, dies jedoch nicht erforderlich machen;
  • sequentielle oder sich wiederholende Zeichen verhindern;
  • Verhindern Sie kontextspezifische Kennwörter wie Benutzername und Firmenname.
  • häufig verwendete Passwörter verhindern; und
  • verhindern, dass Passwörter bekannt werden Verstöße gegen öffentliche Daten.

Steigern Sie die Passwortqualität mithilfe von Tools

Dies sind großartige Vorschläge, die sich jedoch nur schwer mit nativen Active Directory-Kennwortrichtlinientools implementieren lassen. Aus diesem Grund erwerben viele Unternehmen ein Kennwortverwaltungstool eines Drittanbieters, z. B. Anixis Password Policy Enforcer, ManageEngine ADSelfService Plus, nFront-Kennwortfilter, Specops-Kennwortrichtlinie, Thycotic Secret Server und Tools4ever Password Complexity Manager, um nur einige zu nennen.
Tools für Kennwortrichtlinien von Drittanbietern greifen auf die Cloud zu, um Datenbanken mit Verstößen gegen die öffentliche Identität, Listen der am häufigsten verwendeten Kennwörter und andere Quellen zu nutzen und Ihre Domain-Kennwortrichtlinie zeitgemäßer und organischer zu gestalten. Es lohnt sich, die Kosten dieser Produkte zu berücksichtigen, wenn Sie den potenziellen Verlust einer Datenverletzung berücksichtigen, die aufgrund eines schwachen Kennworts aufgetreten ist.

Similar Posts

Leave a Reply