Logo faq-o-matic.net
Logo faq-o-matic.net

Flexible Kennwortrichtlinien

von veröffentlicht am10. Oktober 2005, 15:02 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Active Directory, Sicherheit, Tools   Translate with Google Translate Translate EN   Die angezeigte Seite drucken
Zuletzt aktualisiert: 14. Januar 2014

In vielen Firmen ist die Situation hinsichtlich der Kennwortsicherheit leider katastrophal:

<Story aus der freien Wildbahn>
Da fragt man einen Admin einer großen Organisation nach einem Account, der in der Domäne Rechte hat. Er ruft „Administrator – Passwort ist „Password – hinten mit d“
</Story aus der freien Wildbahn>

Kurzer Ausflug in die Windows-NT-4.0-Geschichte

Vor der Einführung von Windows NT 4.0 SP2 gab es in Windows-Domänen nur die Möglichkeit sehr einfache Kennwortrichtlinien anhand folgender Kriterien zu bilden.

  • Kennwortchronik erzwingen
  • Maximales Kennwortalter
  • Minimale Kennwortlänge
  • Minimales Kennwortalter

Seit Windows NT 4.0 Service Pack 2 gibt es zusätzlich die Möglichkeit, eine von MS fest vorgegebene Kennwortkomplexität zu erzwingen.

Diese sieht vor, dass Kennwörter aus mindestens sechs Zeichen bestehen, nicht den Anmeldenamen bzw. Teile davon beinhalten und zusätzlich drei von vier der folgenden Kriterien innerhalb eines Kennwortes einhalten.

  • Kennwort beinhaltet Großbuchstaben
  • Kennwort beinhaltet Kleinbuchstaben
  • Kennwort beinhaltet Sonderzeichen
  • Kennwort beinhaltet Ziffern
Gegenwart seit Windows 2000

Was unter Windows NT 4.0 noch umständlich per manuellem Bearbeiten der Registry auf dem PDC (nur da werden Kennworte geändert), umgesetzt werden musste (http://support.microsoft.com/?scid=kb;en-us;1611990), wurde mit Windows 2000 fest in den Sicherheitsrichtlinien des Systems verankert. Die Kriterien allerdings haben sich nicht geändert. Bis heute ist es nicht „out-of-the-box“ möglich, eigene Kennwortrichtlinien zu generieren. Lediglich die Länge und Geltungsdauer eines Kennwortes kann vorgegeben werden.

Die Schwächen dieses Systems liegen auf der Hand: Trotz Einhaltung der geforderten Regeln sind relativ einfache Passworte machbar. Jeder Brute-force-Angriff wird diese innerhalb von Sekunden bzw. Minuten cracken. Beispiele hierfür sind „Sommer2005“, „Mutti1956“ oder ähnlich triviale Konstrukte. Wer sich schon mal @stake LC 5 ( www.atstake.com ) angeschaut hat und damit auf eine Test-SAM losgegangen ist, der weiß, wie schnell so etwas geht.

Abbildung: Crackzeit von „normalen“ Kennworten

Problemlösung 1 (Beten/Hoffen)

Man glaubt einfach an das Gute im Menschen und hofft, dass die Benutzer nicht gemerkt haben, dass „Sommer2005“ funktioniert. (Darauf sollte man sich aus Sicherheitsgründen natürlich nicht verlassen – Stichwort: Murphy)

Problemlösung 2 (Selber machen)

Man programmiert sich seine eigene passfilt.dll, um die eigenen Richtlinien durchsetzen zu können. Nachteil dabei ist, dass man jemanden kennen sollte, der sich mit C++ auskennt, sofern man das selbst nicht kann. Zusätzlich kommt natürlich immer noch das Risiko dazu, dass der Code nicht so funktioniert, wie es erwartet wird, denn immerhin kommt die .dll dann in einem sicherheitsrelevanten Bereich innerhalb des Betriebssystems zum Einsatz. Im MSDN stellt Microsoft einige Artikel und eine Beispiel passfilt.dll im Sourcecode zur Verfügung.

http://msdn.microsoft.com/library/en-us/secmgmt/security/sample_password_filter.asp

Im Internet finden sich noch einige wenige andere Seiten, die sich mit diesem Thema beschäftigen:

http://www.opencoe.com/accountpassword.htm

http://ntsecurity.nu/toolbox/strongpass

Wie man sieht, gibt es nicht wirklich viele Infos zu solch einem wichtigen Sicherheitsthema in Windows-Netzwerken.

Problemlösung 3 (Kaufen)

Als Drittes besteht noch die Möglichkeit kommerzielle Programme zu verwenden. Eines davon ist Passfilt Pro von Altus Network Solutions, Inc. ( http://www.altusnet.com ).

Es bietet neben der freien Definition von komplexen Kriterien auch noch eine Funktion, die in den Newsgroups immer wieder angefragt wird, aber bisher immer mit der Antwort „geht nicht bzw. nur mit mehreren Domains“ beantwortet werden musste. Denn normalerweise existiert nur eine Kennwortrichtlinie pro Domäne. Passfilt Pro MPE hebt diese Begrenzung auf und gestattet bis zu 4 verschieden konfigurierte Richtlinien.

Einen ausführlichen Testbericht bringt der IT-Administrator (www.it-administrator.de) in der Oktoberausgabe 2005, deswegen hier nur eine kurze Gegenüberstellung der Kriterien, die man mittels Passfilt Pro konfigurieren kann.

Feature Windows Passfilt Pro
minimale Kennwortlänge X X
maximale Kennwortlänge X X
Kennwort muss Zeichen aus drei von vier Kategorien beinhalten

  1. Ziffern
  2. Großbuchstaben
  3. Kleinbuchstaben
  4. Sonderzeichen
X
eine Mindestanzahl von Zeichen aus bis zu vier Kategorien:

  1. Ziffern
  2. Großbuchstaben
  3. Kleinbuchstaben
  4. Sonderzeichen
X
minimale und maximale Anzahl von Ziffern (0-9) X
minimale und maximale Anzahl von Großbuchstaben (A-Z) X
minimale und maximale Anzahl von Kleinbuchstaben (a-z) X
minimale und maximale Anzahl von Buchstaben (a-z oder A-Z) X
minimale und maximale Anzahl von Nicht-Buchstaben X
minimale und maximale Anzahl von Ziffern oder Sonderzeichen X
Begrenzen der Sonderzeichen zu einem Set von 12 oder weniger X
Ablehnen von Kennworten, die Vokale enthalten (a, e, i, o, u und y in sowohl Groß- als auch Kleinschreibung) X
Ablehnen von Kennworten, die Freizeichen enthalten X
Ablehnen von Kennworten, die aufeinander folgende identische Zeichen beinhalten (z.B. aa, bb, etc.) X
Ablehnen von Kennworten, die drei aufeinander folgende identische Zeichen beinhalten (z.B. aaa, bbb, etc.) X
Ablehnen von Kennworten, die mit einer Ziffer beginnen. X
Ablehnen von Kennworten, die mit einer Ziffer enden. X
Erzwingen von Kennworten, die an einer bestimmten Stelle eine Ziffer enthalten. X
Erzwingen von Kennworten, die an einer bestimmten Stelle ein Sonderzeichen enthalten. X
Ablehnen von Kennworten, die Teile des kompletten Namens des Users enthalten. X
Ablehnen von Kennworten, die Teile des Usernamens beinhalten. X
Das vom User vorgesehene Kennwort gegen ein anpassbares Wörterbuch prüfen. X
Das Wörterbuch nach exaktem Treffer (case-insensitiv) oder Treffen von Teilketten (case-insensitiv) durchsuchen (z.B. das Wort im Wörterbuch ist an einer beliebigen Stelle Kennwort enthalten). X
Die Richtlinie auf mehrere globale Gruppen anwenden. X
Ausschließen von globalen Gruppen von der Richtlinie. X

Vielen Dank an Greg Branham von Altusnet für das Bereitstellen einer Testversion von Passfilt Pro MPE sowie die schnelle Unterstützung bei einigen Fragen, die während der Testphase auftraten.

© 2005-2017 bei faq-o-matic.net. Alle Rechte an den Texten liegen bei deren Autorinnen und Autoren.

Jede Wiederveröffentlichung der Texte oder von Auszügen daraus - egal ob kommerziell oder nicht - bedarf der ausdrücklichen Genehmigung durch die jeweiligen Urheberinnen oder Urheber.

Das Impressum findet sich unter: http://www.faq-o-matic.net/impressum/

Danke, dass du faq-o-matic.net nutzt. Du hast ein einfaches Blog sehr glücklich gemacht!