Het omgaan met zwakke of gemakkelijk te raden wachtwoorden in Active Directory kan een flinke hoofdpijn opleveren. Het standaard AD-wachtwoordbeleid handhaaft alleen basisvereisten zoals lengte en enige complexiteit, maar het voorkomt niet dat gebruikers wachtwoorden kiezen zoals Qwerty123456of P@ssw0rd. Deze voldoen technisch gezien wel aan de regels, maar zijn nog steeds erg kwetsbaar. Deze handleiding gaat daarom dieper in op betere manieren om die zwakke of gecompromitteerde wachtwoorden te blokkeren – zoals het maken van uw eigen lijsten met verboden wachtwoorden of zelfs het gebruik van tools voor bedrijven – om ervoor te zorgen dat mensen niet bewust kiezen voor mindere beveiliging.
Hoe voorkom je dat zwakke wachtwoorden in Active Directory terechtkomen?
Methode 1: PassFiltEx gebruiken om veelvoorkomende zwakke wachtwoorden te blokkeren
Dit is een beetje een doe-het-zelf-aanpak, maar het werkt behoorlijk betrouwbaar als het eenmaal is ingesteld.PassFiltEx is een lichtgewicht open-source bibliotheek die zich integreert in het wachtwoordfilterproces van Windows. Hiermee kun je een lijst met te blokkeren wachtwoorden vooraf laden, zodat gebruikers niet zomaar ‘wachtwoord’ of andere voor de hand liggende opties kunnen toevoegen – handig, vooral als je vermoedt dat mensen eenvoudige, veelgebruikte wachtwoorden gebruiken.
Wanneer een gebruiker zijn wachtwoord wijzigt, controleert Windows het nieuwe wachtwoord aan de hand van de filters. Met PassFiltEx ingeschakeld, worden wachtwoorden die overeenkomen met een patroon uit de zwarte lijst geweigerd. In sommige configuraties kan dit wat lastig zijn, dus wees niet verbaasd als u de domeincontroller (DC) opnieuw moet opstarten of wat aanpassingen in het register moet doen.
Begin met het downloaden van de bestanden uit de GitHub-repository van het project ( https://github.com/ryanries/PassFiltEx ).Je hebt PassFiltEx.dlleen blacklist-tekstbestand nodig, bijvoorbeeld PassFiltExBlacklist.txt. Kopieer deze bestanden naar de map %SystemRoot%\System32 op elke domeincontroller.
- PassFiltEx.dll – de belangrijkste filterbibliotheek
- PassFiltExBlacklist.txt – een lijst in platte tekst met de wachtwoorden die u wilt blokkeren, één per regel.
Enkele snelle tips: PassFiltEx herlaadt deze zwarte lijst elke 60 seconden, dus updates vereisen geen herstart. Het is niet hoofdlettergevoelig, dus passworden Passwordworden hetzelfde behandeld. Unicode-tekens worden momenteel niet ondersteund, dus gebruik alleen ASCII.
Open vervolgens de Register-editor en ga naar HKLM\SYSTEM\CurrentControlSet\Control\Lsa. Voeg een nieuwe tekenreekswaarde met de naam Notification Packages toe als deze er nog niet staat, en neem deze op PassFiltExin de lijst. Het is een waarde die uit meerdere tekenreeksen bestaat, dus voeg deze gewoon toe als een nieuwe vermelding.
Start daarna de domeincontroller opnieuw op om ervoor te zorgen dat het nieuwe filter wordt geladen. Om te controleren of het werkt, voert u de volgende opdracht uit tasklist /m PassFiltEx.dllin een opdrachtprompt: Wanneer een gebruiker probeert zijn wachtwoord te wijzigen in een wachtwoord dat op uw zwarte lijst staat, geeft Windows een foutmelding dat het wachtwoord niet aan de vereisten voldoet. Houd er rekening mee dat u dit op meerdere domeincontrollers overal moet doen. Anders kan een gebruiker overstappen naar een andere domeincontroller en alsnog een zwak wachtwoord kiezen.
Voor geavanceerde instellingen kunt u registeropties aanpassen HKLM\SOFTWARE\PassFiltEx, zoals het wijzigen van het pad naar de zwarte lijst, het instellen van een minimaal overeenkomstpercentage of het inschakelen van de debugmodus voor logboeken. Eerlijk gezegd heb ik bij sommige configuraties gezien dat de blokkering niet direct in werking treedt, wat meestal een kwestie is van wachten tot de cache is vernieuwd of de service opnieuw is opgestart. Maar over het algemeen is het een erg handige manier om een extra beveiligingslaag voor wachtwoorden toe te voegen.
Methode 2: Wachtwoorden afdwingen met Lithnet-wachtwoordbeveiliging
Zoekt u een oplossing die meer geschikt is voor grote bedrijven? Lithnet Password Protection (LPP) is een robuuste, ondersteunde tool die speciaal is ontworpen voor grotere organisaties. Het breidt het reguliere Active Directory-beleid uit door niet alleen overduidelijk zwakke wachtwoorden te blokkeren, maar ook gecompromitteerde wachtwoorden, wachtwoorden die zijn gestolen bij datalekken of wachtwoorden die overeenkomen met door u gedefinieerde patronen. Het synchroniseert zelfs met services zoals ” Have I Been Pwned ” om te voorkomen dat gebruikers wachtwoorden kiezen waarvan bekend is dat ze zijn gelekt.
Om te beginnen installeert u de Lithnet-agent op elke domeincontroller. Het project is te vinden op GitHub ( https://github.com/lithnet/ad-password-protection ) en bevat installatie-instructies. Na de installatie kunt u Groepsbeleid of PowerShell gebruiken om verboden woorden, patronen of hashes in het systeem te laden. Voorbeelden van opdrachten zijn:
Import-Module LithnetPasswordProtectionAdd-BannedWord -Value "admin"Import-BannedWords -Filename "C:\temp\blacklist.txt"In de praktijk is het handig om een lijst met slechte wachtwoorden te importeren, bijvoorbeeld afkomstig van “Have I Been Pwned” of uit eigen onderzoek. Wanneer een gebruiker een wachtwoord probeert te wijzigen of in te stellen, controleert het systeem de database en blokkeert de poging als er een overeenkomst of een vergelijkbaar patroon wordt gevonden.
Het ondersteunt ook het rechtstreeks importeren van gecompromitteerde wachtwoorden in de database. Door Sync-HashesFromHibphet periodiek uit te voeren, blijft de lijst met geblokkeerde wachtwoorden actueel, wat erg handig is. Op elke domeincontroller draait het wachtwoordfilter stil op de achtergrond en blokkeert het ongeldige wachtwoorden voordat ze het scherm van de gebruiker verlaten. Het is alsof je een bewaker hebt voor je wachtwoordkeuze – een soort wachtwoordspamfilter.
Als al het andere faalt of als u de beveiliging nog verder wilt aanscherpen, kunt u GPO’s met ADMX-sjablonen instellen om beleidsinstellingen te beheren. Op deze manier kunt u wachtwoordbeperkingen centraal afdwingen zonder al te veel gedoe met registeraanpassingen op elke domeincontroller.
Samenvatting
- Implementeer PassFiltEx om veelvoorkomende zwakke wachtwoorden te blokkeren met behulp van aangepaste zwarte lijsten. Eenvoudig in te stellen, maar vereist enkele aanpassingen in het register en herstarts van de domeincontroller.
- Voor bedrijven biedt Lithnet Password Protection meer controle, waaronder het voorkomen van gecompromitteerde wachtwoorden en integratie met externe databases. Iets complexer, maar veel krachtiger.
Samenvatting
Al met al kunnen deze methoden de wachtwoordbeveiliging van je Active Directory aanzienlijk verbeteren. Mits correct ingesteld, voorkomen ze dat zwakke, hergebruikte of gelekte wachtwoorden erdoorheen glippen. Niet alles is waterdicht – gebruikers vinden vaak wel een manier om de beveiliging te omzeilen – dus combineer dit met goede gebruikersvoorlichting en andere beveiligingslagen. Laten we hopen dat dit iemand helpt om weer een wachtwoordgerelateerde nachtmerrie te voorkomen.