Behebung des schwächsten Glieds – der Passwörter – in Cybersecurity Today

Cyber Security News

Passwortsicherheit ist seit langem ein Thema für Unternehmen und deren Cybersecurity-Standards. Konto-Passwörter sind oft das schwächste Glied in der Gesamtsicherheitslage vieler Unternehmen.

Viele Unternehmen haben jahrzehntelang die Standard-Passwortrichtlinien von Microsoft verwendet. Obwohl diese angepasst werden können, akzeptieren Unternehmen oft die Standardwerte für ihre Organisation.

Die Windows-Standardkennwortrichtlinie ist ein guter Anfang, aber gibt es Sicherheitslücken, die mit ihr verbunden sind? Schauen wir uns die aktuellen Empfehlungen von führenden Cybersicherheitsbehörden an und sehen wir, wie sie sich mit der Windows-Standardkennwortrichtlinie messen.

Einstellungen der Windows-Standardkennwortrichtlinie

Viele, wenn nicht sogar die meisten, Unternehmen verwenden heute Microsoft Active Directory als Identitäts- und Zugriffsverwaltungslösung im Unternehmen. Active Directory dient Organisationen schon seit Jahrzehnten in dieser Funktion.

Eine der eingebauten Funktionen von Microsoft Active Directory Domain Services (ADDS) ist die eingebaute Fähigkeit, Kennwortrichtlinien für eine Organisation bereitzustellen.

Was ist eine Kennwortrichtlinie? Eine Kennwortrichtlinie stellt den Satz erforderlicher Kennworteigenschaften bereit, die Endbenutzer bei der Wahl ihres Kontokennworts erfüllen müssen. Im Folgenden finden Sie einen Überblick über die Konfiguration der Active Directory-Standarddomänenrichtlinie Kennwortrichtlinie mit typischen Werten, die viele Organisationen verwenden können.

Eine neu eingerichtete Windows Server 2019-Domänencontroller-Standarddomänengruppenrichtlinie zeigt die Standardeinstellungen für die Kennwortrichtlinie.

[Blocked Image: https://thehackernews.com/images/-Epx0THuxESM/YEnYOV9FxWI/AAAAAAAAA48/pcm86iMp6Okx9hYD5M40091b1VUJBlpVgCLcBGAsYHQ/s728-e1000/image-1.jpg]Standardeinstellungen der Windows-Kennwortrichtlinie in der Standard-Domänengruppenrichtlinie definiert

Wie Sie sehen können, sind bestimmte Richtlinieneinstellungen standardmäßig für Sie konfiguriert. Dazu gehören: Kennwortverlauf erzwingen – 24 gespeicherte Kennwörter Maximales Passwortalter – 42 Tage Minimales Passwort-Alter – 1 Tag Minimale Passwortlänge – 7 Zeichen Passwort muss Komplexitätsanforderungen erfüllen – Aktiviert Kennwörter mit umkehrbarer Verschlüsselung speichern – Deaktiviert

Wie vertragen sich diese Standardeinstellungen mit den aktuellen Empfehlungen führender Cybersicherheitsbehörden zu Kennwortempfehlungen?

Sind die Standardeinstellungen der Windows-Kennwortrichtlinie unsicher?

In den letzten Jahren gab es Änderungen und starke Empfehlungen in Bezug auf die Passwortsicherheit, die eine Verschiebung der Empfehlungen für die Passwortsicherheit darstellen. Cybersecurity-Experten der Branche betonen die Notwendigkeit, Passwörter gegen bekannte Listen mit schwachen Passwörtern (Wörterbücher) zu prüfen, und legen weniger Wert auf Richtlinien zum Ablauf von Passwörtern, die lange Zeit Teil der Passwortrichtlinien von Unternehmen waren.

Das National Institute of Standards and Technology (NIST) veröffentlichte die NIST Special Publication 800-63B (Digital Identity Guidelines – Authentication and Lifecycle Management).

In Abschnitt 5.1.1, “Memorized Secrets”, wird diese spezielle Anleitung in Bezug auf den Vergleich von Passwörtern mit bekannten Passwörtern aus einem Wörterbuch oder einer Verletzungsliste erwähnt:

“Bei der Verarbeitung von Anfragen zum Erstellen und Ändern von gespeicherten Geheimnissen MÜSSEN die Prüfer die potenziellen Geheimnisse mit einer Liste vergleichen, die Werte enthält, von denen bekannt ist, dass sie häufig verwendet, erwartet oder kompromittiert werden. Die Liste KANN z. B. enthalten, ist aber nicht beschränkt auf: Passwörter, die aus früheren Sicherheitsverletzungen stammen. Wörterbuch-Wörter. Sich wiederholende oder aufeinanderfolgende Zeichen (z. B. ‘aaaaaa’, ‘1234abcd’). Kontextspezifische Wörter, wie z. B. der Name des Dienstes, der Benutzername und Ableitungen davon.”

Ein weiterer zu beachtender Abschnitt der NIST-Anleitung bezüglich der obligatorischen Passwortänderungen in regelmäßigen Abständen:

“Verifizierer SOLLTEN NICHT verlangen, dass gespeicherte Geheimnisse willkürlich (z.B. periodisch) geändert werden. Verifizierer MÜSSEN jedoch eine Änderung erzwingen, wenn es Hinweise auf eine Kompromittierung des Authentifikators gibt.”

Die NIST-Anleitung in Bezug auf periodische Kennwortänderungen wird nun von Microsoft passiv empfohlen. In der Security Baseline (DRAFT) für Windows 10 v1903 und Windows Server v1903 weist Microsoft auf Folgendes bezüglich erzwungener regelmäßiger Kennwortänderungen hin:

“Neuere wissenschaftliche Untersuchungen stellen den Wert vieler langjähriger Kennwortsicherheitspraktiken wie Kennwortablaufrichtlinien in Frage und verweisen stattdessen auf bessere Alternativen wie die Erzwingung von Listen mit verbotenen Kennwörtern (ein hervorragendes Beispiel ist der Azure AD-Kennwortschutz) und die Multi-Faktor-Authentifizierung. Während wir diese Alternativen empfehlen, können sie nicht mit unseren empfohlenen Sicherheitskonfigurations-Baselines ausgedrückt oder erzwungen werden, die auf den integrierten Gruppenrichtlinieneinstellungen von Windows aufbauen und keine kundenspezifischen Werte enthalten können.”

Microsofts Anleitung weist auf einen Fehler in den eingebauten Active Directory-Gruppenrichtlinienfunktionen hin. Es gibt keine eingebauten Mittel, um verbotene Kennwörter einfach durchzusetzen. Während Microsoft in seinem Leitfaden den Prozess zur Registrierung einer Kennwortfilter-.dll dokumentiert, müssen Organisationen ihre eigenen benutzerdefinierten Kennwortfilter-.dlls schreiben. Dieser Prozess kann eine Reihe von Herausforderungen mit sich bringen.

Betrachtet man die anderen aktivierten Standardwerte der Gruppenrichtlinie Kennwortrichtlinie, so fällt auf, dass die Mindestlänge des Kennworts von 7 Zeichen hinter dem zurückbleibt, was von vielen führenden Cybersecurity-Best-Practices und Empfehlungen führender Behörden angegeben wird.

Beachten Sie im Folgenden die spezifischen Kennwortrichtlinien-Standard-Mindestkennwortlängen und ob sie empfehlen, Kennwörter mit einer Wörterbuchliste zu vergleichen. SANS Institute (Admins) – 12 Zeichen, Wörterbuch NIST – 8 Zeichen, Wörterbuch NCSC – Wörterbuch Microsoft Technet – 14 Zeichen Microsoft Research – 8 Zeichen, Wörterbuch

Wie können Unternehmen ihre aktuellen Kennwortrichtlinien in ihrer Umgebung einfach überprüfen und sicherstellen, dass diese den empfohlenen Best Practices für Kennwortsicherheit entsprechen? Wie können Listen mit verbotenen Kennwörtern in Active Directory-Umgebungen ohne diese integrierte Funktion einfach implementiert werden?

Specops Passwort-Auditor und Passwort-Richtlinien

Sowohl der Specops Password Auditor (kostenlos) als auch die Specops Password Policy von Specops Software bieten extrem robuste Tools, die Unternehmen dabei helfen können, ihre aktuellen Passwortrichtlinien zu überprüfen und schnell einen Schutz vor verletzten Passwörtern und benutzerdefinierten Wörterbüchern zu implementieren.

Organisationen können diese Funktionalität implementieren, ohne eine eigene Passwortfilter-.dll programmieren und entwickeln zu müssen.

Specops Password Auditor bietet einen einfachen Weg, um schnell Einblick in Passwort-Sicherheitsrisiken in Ihrer Umgebung zu erhalten. Dazu gehören insbesondere Konten mit leeren Passwörtern, Passwörter, die nicht ablaufen, verletzte Passwörter, veraltete Admin-Konten und viele andere. Eine der Funktionen, die es bietet, ist die Möglichkeit, Ihre Kennwortrichtlinien zu überprüfen.

Im Folgenden können Sie mit dem Specops Password Auditor schnell und einfach Ihre aktuellen Domain-Passwortrichtlinien überprüfen und sie mit den Empfehlungen führender Industriestandards für Passwortrichtlinien vergleichen.

[Blocked Image: https://thehackernews.com/images/-MazEqbrz2zs/YEnYtXBnGoI/AAAAAAAAA5E/TRk4cD50G5syrpvOKAvS-x8m3BG81UpNQCLcBGAsYHQ/s0/image-2.jpg]Vergleich der Active Directory-Domänenrichtlinien mit den Best-Practice-Empfehlungen der Industrie für Passwörter

Sie können jede Empfehlung aufschlüsseln und sehen, welche spezifische Anforderung von Ihrer aktuellen Active Directory-Kennwortrichtlinie nicht erfüllt wird.

[Blocked Image: https://thehackernews.com/images/-qV9fuFxtavw/YEnZCRu3TGI/AAAAAAAAA5M/joEPyYPfwFYCG22PQLi3xAfgTWvHdwXsQCLcBGAsYHQ/s0/image-3.jpg]Anzeigen von Kennwortrichtlinien-Einstellungen im Vergleich zu bestimmten Best Practices der Branche

Zusätzlich zu der Sichtbarkeit und den Funktionen, die Specops Password Auditor bietet, bietet Specops Password Policy eine mühelose Möglichkeit, Listen mit verbotenen Passwörtern in Ihrer Active Directory-Umgebung zu implementieren. Es geht sogar noch einen Schritt weiter, indem es Ihnen erlaubt, den Schutz vor verletzten Passwörtern zu implementieren.

[Blocked Image: https://thehackernews.com/images/-A05ULK2YVI8/YEnZZz6MnNI/AAAAAAAAA5U/pGJkABALS6soxspBTHxq99N0z2pYzc4LACLcBGAsYHQ/s0/image-4.jpg]Specops Password Policy Schutz vor verletzten Passwörtern

Sie können Benutzer auch dazu zwingen, ihre Passwörter zu ändern, wenn ihr Passwort verletzt wird.

[Blocked Image: https://thehackernews.com/images/-hTVZHYU8nUo/YEnZtGZ0xNI/AAAAAAAAA5c/rCnnNRh2-ech-P2irOiPnC6jK-cO8kH2gCLcBGAsYHQ/s0/image-5.jpg]Erzwingen einer Passwortänderung, wenn ein Endbenutzerkennwort geknackt wird

Die von Specops Password Policy bereitgestellte Funktionalität der Liste verletzter und verbotener Passwörter erweitert die Standard-Passwortrichtlinie von Windows. Daher verfügen Organisationen über eine viel robustere und sicherere Passwort-Policy für ihre Umgebung.

Zusammenfassung

Passwortsicherheit ist entscheidend für die effektive Gesamtsicherheit Ihrer geschäftskritischen Daten. Hacker nutzen häufig den Diebstahl von Zugangsdaten als einfachen Weg in Ihre IT-Infrastruktur.

Microsoft Active Directory Domain Services (ADDS) ist in den meisten Unternehmensumgebungen eine weit verbreitete Lösung für die Identitäts- und Zugriffsverwaltung. Sie übernimmt für viele auch die Durchsetzung von Kennwortrichtlinien.

Die Windows-Standardkennwortrichtlinie, wie sie von Active Directory konfiguriert und durchgesetzt wird, weist in vielen Bereichen Mängel auf. Insbesondere fehlt eine eingebaute Möglichkeit, Kennwörter gegen benutzerdefinierte Wörterbuchlisten oder Listen mit verletzten Kennwörtern zu prüfen.

Specops Password Auditor und Password Policy hilft Unternehmen, schnell einen Überblick über Passwort-Risiken in der Umgebung zu erhalten und einfach den Schutz von Listen mit verbotenen Passwörtern und verletzten Passwörtern hinzuzufügen.

Download Specops Password Auditor.

Haben Sie diesen Artikel interessant gefunden? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com