Cyber Security

Active Directory: Kennwortrichtlinien und Kontosperrungsrichtlinien ändern

Kennwort-Richtlinien der Default Domain Policy bestimmen unter anderem die Komplexität und die minimale Länge der Kennwörter einer Active Directory Domäne. Da die vorkonfigurierten Standardeinstellungen nur sub-optimal sind entscheiden sich viele Administratoren die Richtlinie zu ändern.

Kennwort- und Kontosperrungsrichtlinien abrufen

Die Standardeinstellungen sind auf einem Domain-Controller in gpmc.msc unter Domänen – DomänenName – Default Domain Policy zu finden.

1.PNG

Oder in PowerShell.

Get-ADDefaultDomainPasswordPolicy

2.PNG

Da die Richtlinien wie eingangs erwähnt meines Erachtens nur suboptimal sind empfehle ich die Änderung der minimalen Kennwortlänge und vor allem der Kontosperrungsschwelle. Als Minimum. Bei einer Kontosperrungsschwelle von 0 sind unendlich viele Anmeldeversuche möglich. Ein leichtes Spiel für Brute-Force Angriffe wie beispielsweise mit Hydra: Brute Force Angriffe mit Hydra.

Ändern der Kennwortrichtlinien

Die Default Domain Policy auswählen und mit der rechten Maustaste Bearbeiten wählen. Danach zu Computerkonfiguration – Richtlinien – Windows-Einstellungen – Sicherheitseinstellungen – Kontorichtlinien navigieren.

2.PNG

Unter Kennwortrichtlinien findet man die Einstellungen für Kennwörter.

3.PNG

In jeder dieser Einstellungen findet man auch eine Erklärung. Die Erklärungen sind bestens: Leser sind klar im Vorteil.

4.PNG

Ändern der Kontosperrungsrichtlinien

Unter Kontosperrungsrichtlinien ist unter anderem auch die Kontosperrungsschwelle zu finden. Über diese habe ich eingangs schon geraunzt. Ich empfehle diese nicht bei 0 zu belassen, sondern einen Wert zwischen 3 und 5 zu wählen.

5.PNG

Gibt ein Active Directory Benutzer sein Kennwort mehr als 3 mal falsch ein, so ist er für 30 Minuten gesperrt und kann sich nicht einloggen ==> Kontosperrdauer. Diese Zeit muss er aussitzen. Gibt ein Benutzer sein Kennwort 2 mal falsch ein, so muss er 30 Minuten warten bis er wieder 3 mal probieren kann ==> Zurücksetzungsdauer des Kontosperrungszählers.

Kennwort- und Kontosperrungsrichtlinien mit PowerShell ändern

Schluss mit der ganzen Klickserei. Ein One-Liner in PowerShell genügt. Hier wird die minimale Passwort-Länge auf 9 Zeichen und die maximalen Anmeldeversuche auf 3 für die Domäne pagr.inet verändert.

Set-ADDefaultDomainPasswordPolicy -Identity pagr.inet -MinPasswordLength 9 -LockoutThreshold 3

6.PNG

Fazit

Täglich werden Windows Server zu Active Directory Domänen-Controller hochgestuft und eine neue Domäne erstellt. Dabei verlässt man sich oft auf die Standardeinstellungen. Aus meiner Sicht keine gute Idee.

Wer sich mit einer Kennwortrichtlinie nicht begnügen möchte, der kann Fein abgestimmte Kennwortrichtlinien konfigurieren: Active Directory: Password Settings Objects (PSO).

4 replies »

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.