Benutzer und Kennwörter mit Gruppenrichtlinien absichern

Bevor wir uns an die Kennwort-Einstellungen machen, sollten Sie regelmäßig überprüfen, welche Benutzer im Active Directory nicht mehr aktiv sind. Der beste Schutz für Kennwörter im Verzeichnisdienst besteht nämlich darin, nicht mehr notwendige Konten zu entfernen. Dazu verwenden Sie auf dem Domaincontroller den Befehl

> dsquery user -inactive Anzahl der Wochen

So erkennen Sie auf einem Blick, welche Benutzerkonten nicht mehr aktiv sind.

Benutzerkonten, die im Alltag genutzt werden – auch von Administratoren –, sollten niemals über Administrator-Rechte verfügen. Auch Admins sollten bei der normalen Arbeit mit einfachen Benutzerkonten arbeiten. Nur bei Administrator-Aufgaben kommen spezielle Benutzerkonten zum Einsatz. In Netzwerken dürfen darüber hinaus nicht zu viele Administrator-Konten vorhanden sein. Und auch die Administrator-Konten sollten wiederum in ihren Rechten eingeschränkt sein und nur die für die Arbeit notwendigen Befugnisse besitzen. Administratoren müssen sich dann zwar häufiger neu anmelden, dafür steigt die Sicherheit. Natürlich sollten die Benutzerkonten dabei über sichere und komplexe Kennwörter mit mindestens 15 Zeichen Länge verfügen, die regelmäßig geändert werden.

Pass-the-Hash unterbinden

Wenig Schutz bietet dieses Vorgehen bei Pass-the-Hash-Attacken (PtH) – und damit geht es schon ans Eingemachte. Dabei handelt es sich um ausgefeilte Kennwort-Angriffe im Netzwerk. Davon betroffen sind ältere wie aktuelle Windows-Versionen. PtH-Angriffe zielen dabei nicht auf die Kennwörter selbst ab, sondern auf die Hash-Werte, die im Active Directory erzeugt werden, nachdem sich ein Benutzer authentifiziert hat. Vor allem in Umgebungen mit Single Sign-On (SSO) lassen sich Hashes leicht auslesen, da die Daten auch zu anderen Diensten verschickt werden, um Anwender zu authentifizieren. Der Hash des Kennworts –

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.