So konfigurieren Sie eine Domänenkennwortrichtlinie

In diesem Artikel erfahren Sie, wie Sie die Active Directory-Domänenkennwortrichtlinie konfigurieren.

Außerdem erfahren Sie Folgendes:

• Wie lautet die Standardrichtlinie für Domänenkennwörter?
• Verstehen Sie die Einstellungen für Kennwortrichtlinien
• am besten Vorgehensweisen
• Ändern der Domänenkennwortrichtlinie

Was ist die Standarddomänenkennwortrichtlinie?

Standardmäßig ist Active Directory mit einer Standarddomäne konfiguriert Kennwortrichtlinie. Diese Richtlinie definiert die Kennwortanforderungen für Active Directory-Benutzerkonten wie Kennwortlänge, Alter usw.

Diese Kennwortrichtlinie wird durch Gruppenrichtlinien konfiguriert und mit dem Stammverzeichnis der Domäne verknüpft. Gehen Sie folgendermaßen vor, um die Kennwortrichtlinie anzuzeigen:

1. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole

2. Erweitern Sie Domänen, Ihre Domäne, und gruppieren Sie dann Richtlinienobjekte

3. Klicken Sie mit der rechten Maustaste auf die Standarddomänenrichtlinie und klicken Sie auf Bearbeiten

4. Navigieren Sie nun zu Computerkonfiguration \ Richtlinien \ Windows-Einstellungen \ Sicherheitseinstellungen \ Kontorichtlinien \ Kennwortrichtlinie

. Sie können auch die anzeigen Standardkennwortrichtlinie mit Powershell unter Verwendung dieses Befehls.

Get-ADDefaultDomainPasswordPolicy

Wichtig: Die Standardkennwortrichtlinie wird auf alle Computer in angewendet die Domain. Wenn Sie unterschiedliche Kennwortrichtlinien auf eine Gruppe von Benutzern anwenden möchten, empfiehlt es sich, eine genau abgestimmte Kennwortrichtlinie zu verwenden. Erstellen Sie kein neues Gruppenrichtlinienobjekt und verknüpfen Sie es mit einer Organisationseinheit. Dies wird nicht empfohlen.

Kennwortrichtlinieneinstellungen verstehen

Nachdem Sie nun wissen, wie die Standardkennwortrichtlinie der Domäne angezeigt wird, können Sie einen Blick darauf werfen bei den Einstellungen.

Kennwortverlauf erzwingen:

Diese Einstellung definiert, wie viele eindeutige Kennwörter verwendet werden müssen, bevor ein altes Kennwort wiederverwendet werden kann. Zum Beispiel, wenn mein aktuelles Passwort „Th334goore0!“ Ist. Dann kann ich dieses Kennwort erst wiederverwenden, wenn ich mein Kennwort 24 Mal geändert habe (oder auf welche Nummer auch immer die Richtlinie festgelegt ist). Diese Einstellung ist nützlich, damit Benutzer nicht immer dasselbe Kennwort wiederverwenden. Die Standardeinstellung ist 24

Maximales Kennwortalter:

Diese Einstellung legt fest, wie lange ein Kennwort in Tagen verwendet werden kann, bevor es geändert werden muss. Die Standardeinstellung ist 42 Tage.

Mindestkennwort Alter

Diese Einstellung legt fest, wie lange ein Kennwort verwendet werden muss, bevor es geändert werden kann. Die Standardeinstellung ist 1 Tag.

Minimale Kennwortlänge

Diese Einstellung bestimmt Wie viele Zeichen ein Kennwort haben muss. Der Standardwert ist 7. Dies bedeutet, dass mein Kennwort mindestens 7 Zeichen enthalten muss.

Das Kennwort muss die Komplexitätsanforderungen erfüllen.

Wenn aktivierte Kennwörter diese Anforderungen erfüllen müssen :

• Enthält nicht den Kontonamen des Benutzers oder Teile des vollständigen Namens des Benutzers, die zwei aufeinanderfolgende Zeichen überschreiten.
• Mindestens sechs Zeichen lang
• Conta in Zeichen aus drei der folgenden vier Kategorien:
  • Englische Großbuchstaben (A bis Z)
  • Englische Kleinbuchstaben (a bis z)
  • Basis 10 Ziffern ( 0 bis 9)
  • Nicht alphabetische Zeichen (z. B. !, $, #,%)

Dies wird aktiviert durch Standard

Kennwörter mit umkehrbarer Verschlüsselung speichern

Diese Einstellung bestimmt, ob das Betriebssystem Kennwörter mit umkehrbarer Verschlüsselung speichert. Dies entspricht im Wesentlichen dem Speichern der niedrigsten Versionen von Kennwörtern. Diese Richtlinie sollte NIEMALS aktiviert sein, es sei denn, Sie haben bestimmte Anwendungsanforderungen.

Best Practices für Kennwortrichtlinien

Hierzu gibt es unterschiedliche Meinungen, daher werde ich auf zwei Quellen verweisen. Die Kennwortrichtlinie Ihres Unternehmens kann auch von Compliance- / Regulierungsanforderungen wie PCI / SOX / CJIS usw. abhängen.

Von Microsoft empfohlene Kennworteinstellungen

Diese Einstellungen stammen aus dem Security Compiance Toolkit von Microsoft. Dieses Toolkit enthält empfohlene GPO-Einstellungen von Microsoft.

• Kennwortverlauf erzwingen: 24
• Maximales Kennwortalter: nicht festgelegt
• Mindestkennwortalter: nicht festgelegt
• Mindestkennwort Länge: 14
• Kennwort muss der Komplexität entsprechen: Aktiviert
• Kennwörter mit reversibler Verschlüsselung speichern: Deaktiviert

HINWEIS: Microsoft hat die Richtlinien zum Ablauf des Kennworts gelöscht beginnend mit der Sicherheitsgrundlinie von 1903. Sie können hier mehr darüber lesen.

Ich denke, dies ist eine gute Entscheidung, aber einige Organisationen müssen noch bestimmte Richtlinien befolgen (wie PCI, SOX, CJIS). Hoffentlich werden diese bald aktualisiert.

CIS-Benchmark-Kennworteinstellungen

Diese Einstellungen stammen aus den CIS-Benchmarks.Das Zentrum für Internetsicherheit ist eine gemeinnützige Organisation, die Sicherheitsrichtlinien und Benchmarks entwickelt.

• Kennwortverlauf erzwingen: 24
• Maximales Kennwortalter: 60 oder weniger Tage
• Mindestkennwortalter: 1 oder mehr
• Minimale Kennwortlänge: 14
• Kennwort muss der Komplexität entsprechen: Aktiviert
• Kennwörter mit reversibler Verschlüsselung speichern: Deaktiviert

Standard-Domänenkennwortrichtlinie ändern

Um die Kennwortrichtlinie zu ändern, müssen Sie die Standarddomänenrichtlinie ändern.

1. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole

2. Erweitern Sie Domänen, Ihre Domäne, und gruppieren Sie dann Richtlinienobjekte

3. Klicken Sie mit der rechten Maustaste auf die Standarddomänenrichtlinie und klicken Sie auf Bearbeiten

4. Navigieren Sie nun zu Computerkonfiguration \ Richtlinien \ Windows-Einstellungen \ Sicherheitseinstellungen \ Kontorichtlinien \ Kennwortrichtlinie

5. Doppelklicken Sie nun auf eine der zu bearbeitenden Einstellungen. Zum Beispiel werde ich die Mindestlänge des Passworts verdoppeln.

Ich werde diese Einstellung von 7 auf 14 Zeichen ändern und dann auf „Anwenden“ klicken.

Doppelklicken Sie auf eine andere Kennwortrichtlinieneinstellung, um sie zu ändern.

Ich hoffe, Ihnen hat dieser Artikel gefallen.

Haben Sie Fragen? Lass es mich in den Kommentaren unten wissen.