SID-500

Home » PowerShell » Active Directory: Kennwortrichtlinien und Kontosperrungsrichtlinien ändern

Active Directory: Kennwortrichtlinien und Kontosperrungsrichtlinien ändern

Kennwort-Richtlinien der Default Domain Policy bestimmen unter anderem die Komplexität und die minimale Länge der Kennwörter einer Active Directory Domäne. Da die vorkonfigurierten Standardeinstellungen nur sub-optimal sind entscheiden sich viele Administratoren die Richtlinie zu ändern.

Kennwort- und Kontosperrungsrichtlinien abrufen

Die Standardeinstellungen sind auf einem Domain-Controller in gpmc.msc unter Domänen – DomänenName – Default Domain Policy zu finden.

1.PNG

Oder in PowerShell.

Get-ADDefaultDomainPasswordPolicy

2.PNG

Da die Richtlinien wie eingangs erwähnt meines Erachtens nur suboptimal sind empfehle ich die Änderung der minimalen Kennwortlänge und vor allem der Kontosperrungsschwelle. Als Minimum. Bei einer Kontosperrungsschwelle von 0 sind unendlich viele Anmeldeversuche möglich. Ein leichtes Spiel für Brute-Force Angriffe wie beispielsweise mit Hydra: Brute Force Angriffe mit Hydra.

Ändern der Kennwortrichtlinien

Die Default Domain Policy auswählen und mit der rechten Maustaste Bearbeiten wählen. Danach zu Computerkonfiguration – Richtlinien – Windows-Einstellungen – Sicherheitseinstellungen – Kontorichtlinien navigieren.

2.PNG

Unter Kennwortrichtlinien findet man die Einstellungen für Kennwörter.

3.PNG

In jeder dieser Einstellungen findet man auch eine Erklärung. Die Erklärungen sind bestens: Leser sind klar im Vorteil.

4.PNG

Ändern der Kontosperrungsrichtlinien

Unter Kontosperrungsrichtlinien ist unter anderem auch die Kontosperrungsschwelle zu finden. Über diese habe ich eingangs schon geraunzt. Ich empfehle diese nicht bei 0 zu belassen, sondern einen Wert zwischen 3 und 5 zu wählen.

5.PNG

Gibt ein Active Directory Benutzer sein Kennwort mehr als 3 mal falsch ein, so ist er für 30 Minuten gesperrt und kann sich nicht einloggen ==> Kontosperrdauer. Diese Zeit muss er aussitzen. Gibt ein Benutzer sein Kennwort 2 mal falsch ein, so muss er 30 Minuten warten bis er wieder 3 mal probieren kann ==> Zurücksetzungsdauer des Kontosperrungszählers.

Kennwort- und Kontosperrungsrichtlinien mit PowerShell ändern

Schluss mit der ganzen Klickserei. Ein One-Liner in PowerShell genügt. Hier wird die minimale Passwort-Länge auf 9 Zeichen und die maximalen Anmeldeversuche auf 3 für die Domäne pagr.inet verändert.

Set-ADDefaultDomainPasswordPolicy -Identity pagr.inet -MinPasswordLength 9 -LockoutThreshold 3

6.PNG

Fazit

Täglich werden Windows Server zu Active Directory Domänen-Controller hochgestuft und eine neue Domäne erstellt. Dabei verlässt man sich oft auf die Standardeinstellungen. Aus meiner Sicht keine gute Idee.

Wer sich mit einer Kennwortrichtlinie nicht begnügen möchte, der kann Fein abgestimmte Kennwortrichtlinien konfigurieren: Active Directory: Password Settings Objects (PSO).


4 Comments

  1. […] Sinn, wenn unterschiedliche Active Directory Kennwortrichtlinien konfiguriert werden sollen. Die Standard Kennwortrichtlinie ist in der Default Domain Policy (gpmc.msc) festgelegt und sie gilt für alle Benutzer der […]

    Like

  2. […] wird Step-by-Step demonstriert wie LAPS in eine Active Directory Domäne integriert werden kann. Kennwörter einer Active Directory Domäne sind zentral gespeichert. Aber was ist mit dem lokalen Konto des Administrators? Viele verwenden […]

    Like

  3. […] Nicht umsonst werden nach der Installation von Windows gefühlte 4000 Updates installiert und man sitzt emotionslos vor dem Bildschirm und wartet bis der Balken sich endlich bewegt. Darunter fallen aber nicht nur Schwachstellen des Betriebssystems, sondern sicherheits-relevante (Miss-)Konfigurationen des Administrators, wie das Deaktivieren der Windows Firewall (leider aus Panik meist deshalb, weil das Know-How fehlt) oder das Belassen der Standardpasswörter a la password. Auch Standardeinstellungen der Active Directory Domänendienste gehören in diese Kategorie: Active Directory: Kennwortrichtlinien und Kontosperrungsrichtlinien ändern. […]

    Like

  4. […] Weitere Informationen zu Kennwort- und Kontosperrichtlinien einer Active Directory Domäne in meinem Beitrag Active Directory: Kennwortrichtlinien und Kontosperrungsrichtlinien ändern. […]

    Like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

Categories

Who is the blogger?

My name is Patrick Grünauer (pewa2303). I am from Austria. On sid-500 I write about Windows, Cisco and IT-Security in English and German. Have fun while reading!

Patrick Gruenauer
Follow SID-500 on WordPress.com