Der Umgang mit schwachen oder leicht zu erratenden Passwörtern in Active Directory kann sehr mühsam sein. Die Standard-Passwortrichtlinie von AD erzwingt lediglich grundlegende Anforderungen wie Länge und Komplexität, hindert Benutzer aber nicht daran, Passwörter wie „example.com“ Qwerty123456oder „example.com“ zu wählen P@ssw0rd. Diese entsprechen zwar technisch den Regeln, sind aber dennoch extrem angreifbar. Dieser Leitfaden zeigt daher bessere Möglichkeiten auf, solche schwachen oder kompromittierten Passwörter zu blockieren – beispielsweise durch das Erstellen eigener Sperrlisten für Passwörter oder die Verwendung von Enterprise-Tools –, um sicherzustellen, dass Benutzer nicht absichtlich auf minderwertige Sicherheit setzen.
Wie man schwache Passwörter aus Active Directory fernhält
Methode 1: Verwendung von PassFiltEx zum Blockieren gängiger schwacher Passwörter
Das ist zwar etwas improvisiert, funktioniert aber nach der Einrichtung recht zuverlässig.PassFiltEx ist eine schlanke Open-Source-Bibliothek, die sich in den Windows-Passwortfilter einklinkt. Sie ermöglicht es, eine Liste mit zu blockierenden Passwörtern vorab zu laden, sodass Benutzer nicht einfach „Passwort“ oder andere offensichtliche Passwörter eingeben können – besonders hilfreich, wenn Sie vermuten, dass häufig einfache Passwörter verwendet werden.
Wenn ein Benutzer sein Passwort ändert, prüft Windows das neue Passwort anhand der Filter. Mit aktiviertem PassFiltEx werden Passwörter abgelehnt, die einem Muster Ihrer Sperrliste entsprechen. Bei manchen Konfigurationen kann dies etwas knifflig sein. Daher kann es vorkommen, dass Sie den Domänencontroller neu starten oder die Registrierung anpassen müssen.
Laden Sie zunächst die Dateien aus dem GitHub-Repository des Projekts herunter ( https://github.com/ryanries/PassFiltEx ).Sie benötigen PassFiltEx.dlleine Blacklist-Textdatei, beispielsweise eine Datei mit einer Blacklist PassFiltExBlacklist.txt. Kopieren Sie diese in das Verzeichnis %SystemRoot%\System32 auf jedem Domänencontroller.
- PassFiltEx.dll – die Hauptfilterbibliothek
- PassFiltExBlacklist.txt – eine Liste im Klartext mit Passwörtern, die blockiert werden sollen, eines pro Zeile.
Ein paar kurze Tipps: PassFiltEx lädt diese Blacklist alle 60 Sekunden neu, daher ist für Aktualisierungen kein Neustart erforderlich. Die Groß-/Kleinschreibung wird nicht beachtet, daher werden „und“ passwordund Password„“ gleich behandelt. Unicode-Zeichen werden derzeit nicht unterstützt, verwenden Sie daher bitte nur ASCII-Zeichen.
Öffnen Sie als Nächstes den Registrierungs-Editor und navigieren Sie zu HKLM\SYSTEM\CurrentControlSet\Control\Lsa. Fügen Sie dort einen neuen Zeichenfolgenwert namens „Notification Packages“ hinzu, falls dieser noch nicht vorhanden ist, und fügen Sie ihn PassFiltExder Liste hinzu – es handelt sich um einen mehrteiligen Wert, fügen Sie ihn also einfach als neuen Eintrag hinzu.
Starten Sie anschließend den Domänencontroller neu, um sicherzustellen, dass der neue Filter geladen wird. Um die Funktion zu überprüfen, führen Sie tasklist /m PassFiltEx.dllden entsprechenden Befehl in der Eingabeaufforderung aus. Wenn ein Benutzer versucht, sein Kennwort in einen Eintrag auf Ihrer Sperrliste zu ändern, gibt Windows eine Fehlermeldung aus, dass das Kennwort die Anforderungen nicht erfüllt. Denken Sie daran, diese Schritte auf allen Domänencontrollern durchzuführen. Andernfalls könnte ein Benutzer zu einem anderen Domänencontroller wechseln und dort weiterhin ein schwaches Kennwort wählen.
Für erweiterte Steuerungsmöglichkeiten können Sie unter „Registry-Optionen“ die Einstellungen anpassen HKLM\SOFTWARE\PassFiltEx, beispielsweise den Pfad zur Blacklist ändern, den minimalen Übereinstimmungsprozentsatz festlegen oder den Debug-Modus für Protokolle aktivieren. Ehrlich gesagt, habe ich bei manchen Konfigurationen beobachtet, dass die Blockierung nicht sofort wirksam wird. Das liegt in der Regel daran, dass der Cache aktualisiert oder der Dienst neu gestartet werden muss. Im Allgemeinen ist es jedoch eine sehr praktische Möglichkeit, die Passwortsicherheit zusätzlich zu erhöhen.
Methode 2: Passwörter mit Lithnet Password Protection erzwingen
Sie suchen eine Lösung für größere Unternehmen? Lithnet Password Protection (LPP) ist ein zuverlässiges und supportetes Tool, das speziell für größere Organisationen entwickelt wurde. Es erweitert die Standardrichtlinien von Active Directory, indem es nicht nur offensichtlich schwache Passwörter blockiert, sondern auch kompromittierte, bei Datenlecks gestohlene oder von Ihnen definierten Mustern entsprechende Passwörter. Es synchronisiert sich sogar mit Diensten wie „ Have I Been Pwned “, um zu verhindern, dass Benutzer bekanntermaßen geleakte Passwörter verwenden.
Installieren Sie zunächst den Lithnet-Agenten auf jedem Domänencontroller. Das Projekt ist auf GitHub ( https://github.com/lithnet/ad-password-protection ) verfügbar und enthält eine Installationsanleitung. Nach der Installation können Sie verbotene Wörter, Muster oder Hashes per Gruppenrichtlinie oder PowerShell in das System laden. Beispielbefehle sind:
Import-Module LithnetPasswordProtectionAdd-BannedWord -Value "admin"Import-BannedWords -Filename "C:\temp\blacklist.txt"In der Praxis empfiehlt es sich, eine Liste unsicherer Passwörter zu importieren, beispielsweise aus einer Datenbank wie „Have I Been Pwned“ oder durch eigene Recherchen. Wenn ein Benutzer versucht, sein Passwort zu ändern oder festzulegen, gleicht das System die Liste mit der Datenbank ab und blockiert den Zugriff, falls ein Treffer oder ein ähnliches Muster gefunden wird.
Es unterstützt außerdem den direkten Import kompromittierter Passwörter in seine Datenbank. Durch Sync-HashesFromHibpregelmäßige Aktualisierung bleibt Ihre Sperrliste stets aktuell, was äußerst praktisch ist. Auf jedem Domänencontroller läuft der Passwortfilter unauffällig im Hintergrund und blockiert unsichere Passwörter, bevor diese den Bildschirm des Benutzers verlassen. Es ist, als hätte man einen Sicherheitsdienst für die Passwortwahl – quasi einen Passwort-Spamfilter.
Wenn alle anderen Maßnahmen fehlschlagen oder Sie die Sicherheit noch weiter erhöhen möchten, können Sie Gruppenrichtlinienobjekte (GPOs) mit ihren ADMX-Vorlagen einrichten, um die Richtlinieneinstellungen zu steuern. So haben Sie eine zentrale Möglichkeit, Kennwortbeschränkungen durchzusetzen, ohne auf jedem Domänencontroller umfangreiche Registrierungsänderungen vornehmen zu müssen.
Zusammenfassung
- Implementieren Sie PassFiltEx, um häufig auftretende schwache Passwörter mithilfe benutzerdefinierter Sperrlisten zu blockieren. Die Einrichtung ist einfach, erfordert jedoch einige Registry-Anpassungen und Neustarts des Domänencontrollers.
- Für Unternehmen bietet Lithnet Password Protection mehr Kontrolle, darunter den Schutz vor kompromittierten Passwörtern und die Integration externer Datenbanken. Etwas komplexer, aber deutlich leistungsfähiger.
Zusammenfassung
Zusammenfassend lässt sich sagen, dass diese Methoden die Sicherheit Ihrer AD-Passwörter deutlich verbessern können. Bei korrekter Einrichtung verhindern sie, dass schwache, wiederverwendete oder durchgesickerte Passwörter unbemerkt eingeschleust werden. Absolute Sicherheit gibt es jedoch nicht – Benutzer finden oft Umgehungsmöglichkeiten – daher sollten Sie diese Methoden mit einer guten Benutzerschulung und weiteren Sicherheitsmaßnahmen kombinieren. Hoffentlich hilft dies jemandem, einen weiteren Albtraum mit Passwörtern zu vermeiden.