Julian

Willkommen auf meinem Blog. Hier schreibe ich über Security, Privacy, CTFs (capture the flag) und andere IT-Themen.

1 minute read

Vor kurzem war ich als Teilnehmer auf einem heise Security Workshop, in dem es um die Absicherung von Windows Domänen mit einem Active Directory ging. Dort wurde ein praktisches Tool zur Passwortsicherheit vorgestellt, welches überraschenderweise keiner der Teilnehmer:innen so wirklich kannte.

password.jpg

Es handelt sich um die Fine-Grained Password Policies bzw. fein abgestimmte Passwortrichtlinien, im Folgenden einfach kurz FGPP genannt. Die meisten Admins werden für ihre Domäne die Passwortvorgaben mit der Gruppenrichtlinie Default Domain Policy verwalten. Diese Vorgabe gilt allerdings für die gesamte Domain für alle User. Wer sich eine granulare Passwortrichtlinien wünscht, zum Beispiel um privilegierte Accounts besser zu schützen, hat mit den FGPPs das richtige Werkzeug von Microsoft zur Verfügung.

Einrichtung der FGPP

Die FGPP lassen sich über das Active Directory Administrative Center bzw. Active Directory-Verwaltungscenter steuern. Dieses ist Bestandteil der Remote Server Administration Tools (RSAT) und auf Domaincontrollern vorinstalliert. Während Passwortrichtlinien per GPO zu einer Organisationseinheit als Computereinstellungen umgesetzt werden, werden FGPP Sicherheitsgruppen zugewiesen. So kann eine allgemeine Passwortrichtlinie per GPO festgelegt werden und spezielle Anforderungen für privilegierte Accounts (etwa Adminaccounts) über die FGPP erstellt werden.

Im Active Directory-Verwaltungscenter gibt es den Container System, in dem sich der Passwort Settings Container befindet. Im Password Settings Container werden FGPPs konfiguriert und gespeichert.

Screenshot des AD-Verwaltungscenters
Den Container System öffnen, um zu den FGPPs zu gelangen.
Screenshot des Password Settings Container Ordners
Unter System findet sich der Password Settings Container.

Im Password Settings Container klickt man auf der rechten Fensterseite auf neu, um eine Passwortrichtlinie zu erstellen.

Screenshot der FGPP-Einstellungen
Die Kennworteinstellungen bieten Optionen zur Komplexität des Passworts und zu Kontosperrungsrichtlinien.

  • Zur Besserung Übersicht gebe ich der Richtlinie den Namen entsprechend der Sicherheitsgruppe, auf welche sie angewendet wird.

  • Die Rangfolge ist wichtig, wenn für einen Account mehrere Richtlinien gelten. Dann wird die Richtlinie mit der niedrigsten Rangfolge angewendet.

  • Das Kennwort muss Komplexitätsanforderungen erfüllen bedeutet, dass es Zeichen aus 3 der 5 Kategorien enthalten muss: Kleinbuchstaben, Großbuchstaben, Zahlen, Sonderzeichen, Unicode-Zeichen.

  • Kennwort mit umkehrbarer Verschlüsselung speichern nicht aktivieren, da ansonsten Passwörter entschlüsselt werden könnten

  • Unter Kontosperrungsrichtlinien erzwingen kann man festlegen nach wie vielen fehlgeschlagenene Anmeldeversuchen ein Konto für Zeitraum X gesperrt werden soll.

  • Direkt anwendbar auf: Hier wird die Sicherheitsgruppe festgelegt, für welche die Richtlinie gelten soll

Best Practices für Passwörter werden in diesem Artikel vorgestellt. War mein Artikel hilfreich oder habt ihr Fragen oder Anregungen dazu, schreib mir gerne bei Mastodon oder eine E-Mail.

Tags:

Updated:

You May Also Enjoy

TryHackMe Startup

2 minute read

Dies ist ein writeup zum TryHackMe Raum Startup.

Rich Preview von Mastodon Posts in iMessage

less than 1 minute read

Seit der Einführung von iOS 16.4 bietet iMessage die Funktion “Rich Preview” für Inhalte, welche auf Mastodon gepostet wurden. Konkret bedeutet das, dass iMe...

Entwicklungsumgebung zum Bloggen

3 minute read

Ich habe kürzlich mit dem Gedanken gespielt, meinen Blog von Jekyll zu Wordpress zu migrieren. Allerdings bin ich schnell zu dem Fazit gekommen, dass ich gar...