a) Kennwortrichtlinie auf Minimum einstellen
b) Wie kann ich sichere Kennwörter gestalten und den Benutzern leicht
vermitteln?
Kennwortrichtlinie auf Minimum einstellen
Genau genommen dürfte man das gar nicht als HowTo veröffentlichen, da ich selber
wohl mit zu den größten Verfechtern von sicheren Kennwörter gehöre und jedem für
gewöhnlich auf die Finger klopfe, der sich nicht daran halten mag, oder sogar
auf die stumpfsinnige Idee kommt einen Benutzer beim Start des System
automatisch anmelden zu lassen.
Privater Kommentar:
Du hast soeben deine EC Karte in den Automaten gesteckt, hast den PIN schon
eingegeben und gehst jetzt noch mal Fluppen holen, ohne die Karte
herauszunehmen.
Da aber die Frage in den diversen Newsgroups immer wieder auftaucht und ich
nicht jedes Mal die Einstellungen raussuchen möchte mache ich mir also hier über
diesen Weg ein bischen weniger Arbeit.
Doch bevor ich hier den Weg beschreibe, wie man sich ohne ein Kennwort durch das AD mogeln kann, möchte ich jedem folgenden Artikel ans Herz legen:
"Die Grundsatzdiskussion: Kennwort-Sätze oder Kennwörter"
http://www.microsoft.com/germany/technet/sicherheit/newsletter/kennwoerter.mspx
Jesper M. Johansson, Ph.D., ISSAP, CISSP Security Program Manager Microsoft
Corporation
Schönen Dank an Barbara Joost, die diesen Artikel gefunden und in der NG
gepostet hat.
Das Wichtigste vorweg:
Die einzige Stelle an der die Kennwortrichtlinie für ein Active Directory
erstellt und verwaltet werden kann ist auf Domänen-Ebene, bevorzugt in der
Default Domain Policy. Der SBS 2003 bietet hier ein gutes Beispiel, da er mit
einer eigenen "Kennwortrichtlinie" daherkommt, die auf Domänen-Ebene verknüpft.
ist.
Es ist auch die einzige Stelle ist, an der sie eine Auswirkung auf die
Domänen-Benutzerkonten hat.
Jede an anderen Stelle konfigurierte Kennwortrichtlinie hat nur Auswirkungen auf
die LOKALEN Benutzerkonten der betreffenden Computer in der OU, auf der diese
Richtlinie wirkt.
Einziger Ausweg führt über Drittanbieter Software, z.B.:
http://www.gruppenrichtlinien.de/Software/6.Specops_Password_Policy.htm
http://www.gruppenrichtlinien.de/Software/7.Altus_Passfiltpro.htm
Das Konzept als solches:
1. Kennwortrichtlinien sind Computerkonfigurationen und werden auch nur von
Computerobjekten gelesen. Benutzer wissen nichts damit anzufangen.
2. Kennwortrichtlinien im AD können nur auf Domänenebene für Domänenbentzer
erstellt werden und nicht "pro Computer"
3. Kennwortrichtlinien "pro Computer" gelten nur für die lokalen Benutzerkonten
eines Computers, aber nicht für die sich anmeldenden Benutzer des ADs, denn
diese werden ja weiterhin vom AD verwalten und damit letztlich einem DC und nicht
von dem Computer an dem man gerade sitzt.
Eine weitere wichtige Information:
„Nicht konfiguriert“ zeigt nicht den gewünschten Effekt. Soll heissen, wenn man
einige Einstellungen der Kennwortrichtlinien auf „Nicht konfiguriert“ stellt, so
hat es nicht den gewünschten Effekt, dass eine der Einstellungen damit unwirksam
werden.
Denn: „Nicht konfiguriert“ bedeutet letztlich nichts anderes, als dass die
aktuelle Einstellung (die schon durch das Erstellen des AD´s mit den Default
Sicherheitsrichtlinien gesetzt wurde) „Nicht konfiguriert“ wird. Also es so
bleibt, wie es schon eingestellt war und somit weiterhin ist.
Man muss die betreffende Einstellung auf „Deaktiviert“ oder auf
„0“ setzen. Erst
dann ist es möglich eine minimale Sicherheit einzurichten und z.B.: mit leeren
Passwörtern zu arbeiten.
Was muss ich also „wie“ konfigurieren um ein leeres Kennwort bei einem Windows
2003 AD zuzulassen?
Tip: Nach Konfiguration 5 Minuten warten (Standard Anwendungsinterval der
Richtlinien auf einem DomänenController) oder die Richtlinie per gpupdate
(Windows 2003), bzw. secedit (Windows 2000) erzwingen
| Kennwort muss Komplexitätsvorraussetzungen entsprechen Wurde diese Richtlinie aktiviert, müssen Kennwörter die folgenden
Mindestvoraussetzungen erfüllen: |
Deaktiviert |
| Minimale Kennwortlänge Legt die Mindestanzahl der Zeichen fest, die ein Kennwort für ein Benutzerkonto enthalten muss. Sie können einen Wert zwischen 1 und 14 Zeichen festlegen oder angeben, dass kein Kennwort erforderlich ist, indem Sie für die Anzahl der Zeichen den Wert 0 festlegen. |
0 |
| Kennwortchronik erzwingen Legt die Anzahl eindeutiger neuer Kennwörter fest, die vor der erneuten Verwendung eines alten Kenntwortes einem Benutzerkonto zugeordnet werden müssen. Dieser Wert muss zwischen 0 und 24 liegen. Damit die Wirksamkeit der Kennwortchronik gewährleistet ist, sollten Sie bei der Konfiguration der Option Minimales Kennwortalter das sofortige Ändern von Kennwörtern nicht zulassen. |
0 |
| Maximales Kennwortalter Legt fest, wie lange (in Tagen) ein Kennwort unverändert verwendet werden darf. Für das Ablaufen von Kennwörtern können Sie einen Zeitraum von 1 bis 999 Tagen festlegen. Sollen Kennwörter nie ablaufen, wird für die Anzahl der Tage der Wert 0 festgelegt. |
0 |
| Minimales Kennwortalter Legt fest, wie lange (in Tagen) ein Kennwort verwendet werden muss, bevor es vom Benutzer geändert werden kann. Sie können einen Wert zwischen 1 und 999 Tagen festlegen. Wollen Sie sofortige Änderungen zulassen, wird für die Anzahl der Tage der Wert 0 festgelegt. Der Wert für das minimale Kennwortalter muss kleiner als der unter Maximales Kennwortalter festgelegte Wert sein. Soll die Option Kennwortchronik erzwingen wirksam sein, müssen Sie für das minimale Kennwortalter einen Wert größer als 0 festlegen. |
0 |
Ich hoffe der Artikel ist genügend mit Sarkasmuss und ein wenig Ironie versehen,
sodass hier jeder für sich entscheiden kann, ob es nicht doch Sinn macht mit
etwas mehr Sicherheit zu arbeiten.
Wie kann ich sichere Kennwörter gestalten und den Benutzern leicht vermitteln?
Da ich hier jetzt aber schon die großen Reden Schwinge, komme ich am Ende des
Artikels nicht drumherum, ein wenig Hilfe zu bieten, wie man den Benutzern mit
einfachen Mittel ein sicheres Kennwort so angenehm wie möglich macht.
Schauen wir uns die Komplexitätsregeln noch einmal an:
- Sie dürfen weder einen Teil noch den vollständigen Kontonamen des jeweiligen
Benutzers enthalten.
- Sie müssen mindestens sechs Zeichen lang sein.
- Sie müssen Zeichen aus drei der vier folgenden Kategorien enthalten:
- Großbuchstaben von A bis Z
- Kleinbuchstaben von A bis Z
- Ziffern der Basis 10 (0 bis 9)
- Nicht-Alphanumerische Zeichen (z. B. !, $, #, %)
Das ist ein guter Ansatz, aber wie sehen solche Kennwörter dann aus?
Beispiele: 12$%aS 34%&ert Qwert!2 12QW§$ ?=98Po
Das wird passieren, wenn sie die User direkt auf die Thematik loslassen werden.
Jeder der User wird sich beschweren, denn Sinn nicht verstehen und mit dem
Argument kommen: „Das versteht ja keiner und kann sich keiner merken“
Das Resultat sind Passwörter wie oben [1] oder sie finden die berühmten Zettel
unter der Tastatur, am Schreibtisch oder gar als PostIT am Monitor. [2]
Letztlich wäre jetzt keinem geholfen.
[1] Tippen sie die Beispiel Passwörter mal ab. So sicher sind die gar nicht ...
[2] Allgemein eine gute Quelle für die Passwörter. Wenn sie jetzt noch den Namen
der Frau/Freundin, Mann/Freund, der Kinder, des Dackels, das Geburtdatum,
Hochzeitstag, Namen der Jahreszeiten, „geheim“, „passwort“ und die anderen
üblichen Verdächtigen hinzunehmen, benötigt man idR höchsten 10 Anläufe um ein
Passwort eines Benutzers zu erraten.
Was also ist zu tun?
- Aufklärung der Mitarbeiter über Sinn und Zweck.
- Der Hinweis, dass weder am Telefon noch sonst wo sie jemals nach dem Passwort
fragen wird.
Ein Administrator der danach fragen muss ist keiner, denn er könnte
es als Administrator zurücksetzen
und braucht sie nicht fragen
- Kleine Hilfe zum Erstellen von sicheren Kennwörtern bieten
Nehmen sie von einem Satz die Anfangsbuchstaben und kombinieren sie dort mit
Zahlen und/oder Zahlen anstelle von Buchstaben. Liedertexte, Refrains, Gedichte
usw. eignen sich prima dazu, denn diese muss man sich oftmals nicht merken, denn
man kennt sie ja schon ;-)
| Ein paar Beispiele, Wort/Satz | So könnte das Passwort aussehen |
| Achtung | 8tung! |
| Fest gemauert in der Erden | FgidE |
| Himmel, Hilf! | Him,Hi! |
| Buchstaben zu Zahlen: | aus „E“ wird „3“ aus „H“ wird „4“ aus „I“ wird „1“ oder „!“ aus „Z“ wird „7“ beliebig weiterzuführen, wenn die Optik für jemanden passt. |
| 11 Freunde sollt ihr sein | !IFsis |
(c) 2003 - heute, Mark Heitbrink, weitere Informationen unter WebSite-Info\Copyright