Kennwortrichtlinien umsetzen

Über die Gruppenrichtlinien kann die Verwendung starker Kennwörter bei Windows erzwungen werden. Die Einstellungen für Kennwörter und ergänzende Aspekte werden in diesem Artikel erläutert.

Da in den meisten Netzwerken für die Authentifizierung mit der Kombination von Benutzernamen und Kennwort gearbeitet wird, ist es wichtig, für die Verwendung von Kennwörtern Regeln zu konfigurieren, mit denen eine ausreichende Stärke der Kennwörter sichergestellt wird. Der wichtigste Mechanismus dafür sind im Windows-Umfeld die Kennwortrichtlinien innerhalb der Gruppenrichtlinien.

Darüber hinaus gibt es aber auch noch die Option, eigene Filterdateien für Kennwörter zu erstellen, mit denen ein noch höheres Maß an Komplexität der Kennwörter erreicht werden kann.

Die Richtlinieneinstellungen

Um eine Richtlinie für Kennwörter zu erstellen, sollte eine neue Gruppenrichtlinie erstellt werden. Zwar könnte auch die Standard-Richtlinie Default Domain Policy angepasst werden. Damit man einfach auf diese zurückgehen kann, sollten Änderungen aber in getrennten Richtlinien durchgeführt werden. Die neue Richtlinie muss mit dem Bereich verknüpft werden, für den sie gelten soll (Bild 1).

Bild 1: Die Kennwortrichtlinien sollten in einer eigenständigen Richtlinie abgelegt werden.
Bild 1: Die Kennwortrichtlinien sollten in einer eigenständigen Richtlinie abgelegt werden.

Die Einstellungen werden pro authentifizierendem System gesetzt und finden sich daher im Bereich Computerkonfiguration unter Sicherheitseinstellungen/Kontorichtlinien/Kennwortrichtlinien (Bild 2). Dort finden sich insgesamt sechs Einstellungen:

Bild 2: Die Kennworteinstellungen in einer Gruppenrichtlinie.
Bild 2: Die Kennworteinstellungen in einer Gruppenrichtlinie.

  • Kennwort muss Komplexitätsvoraussetzungen entsprechen: Damit wird ab dem Windows Server 2003 sichergestellt, dass definierte Komplexitätsvoraussetzungen erfüllt sind. Diese Voraussetzungen sind in einer Datei passfilt.dll implementiert, die austauschbar ist. Der mit dem Betriebssystem gelieferte Standardpasswortfilter fordert, dass ein Kennwort nicht den Benutzernamen enthält, mindestens sechs Zeichen lang ist und Zeichen aus drei von vier Kategorien enthält. Die Kategorien sind Großbuchstaben, Kleinbuchstaben, arabische Ziffern und Sonderzeichen. Die Richtlinie sollte, nach entsprechender Information der Benutzer, aktiviert werden. Die Einstellung wird nur bei Domänencontrollern in neu installierten Windows Server 2003-Domänen automatisch gesetzt. Ansonsten muss sie explizit ausgewählt werden.

  • Kennwortchronik erzwingen: Mit diesem Parameter kann erreicht werden, dass sich das System bisherige Kennwörter merkt. Die Standardeinstellung bei der Aktivierung sind 24 Kennwörter. Wenn mit diesem Parameter gearbeitet wird, muss das Kennwort also 24 mal geändert werden, bevor es wieder verwendet werden darf. Damit wird aber nicht verhindert, dass mit Kennwörtern wie Hugo001, Hugo002 und so weiter gearbeitet wird. Ein solcher Schutz ließe sich auch mit Passwort-Filtern nur mit hohem Aufwand umsetzen.

  • Kennwörter mit umkehrbarer Verschlüsselung speichern: Diese Einstellung sollte in Richtlinien für starke Kennwörter in der Regel nicht verwendet werden. Kennwörter werden bei Windows in der Regel als Hash, also als eine nicht umkehrbare Ableitung des Kennworts über eine Einweg-Funktion, abgelegt. Die Speicherung mit umkehrbarer Verschlüsselung erlaubt es dagegen, die Kennwörter wieder herzustellen. Das ist im Windows-Umfeld in der Regel nicht erforderlich, da auch für die Synchronisation von Kennwörtern mit anderen Systemen geeignete APIs vorhanden sind.

  • Maximales Kennwortalter: Dieser Parameter legt das maximale Alter von Kennwörtern fest. Er sollte gesetzt werden, um die Änderung von Kennwörtern zu erzwingen. Bei ausgewählten Konten, bei denen das zu Problemen führen würde, beispielsweise Dienstkonten, kann beim Anlegen des Kontos von dieser Einstellung abgewichen werden. Der Wert sollte aber nicht zu hoch gewählt werden. In der Praxis wird überwiegend mit Zeiträumen zwischen 30 und 60 Tagen gearbeitet.

  • Minimale Kennwortlänge: Definiert die Mindestanzahl von Zeichen in einem Kennwort. Der Standardwert bei Verwendung der Komplexitätsprüfung sind sechs Zeichen. Es bietet sich in der Regel aber an, hier einen Wert von wenigstens acht Zeichen zu erzwingen. Falls ältere NTLMAuthentifizierungsmechanismen zugelassen werden, sollte ohnehin mit mindestens acht Zeichen gearbeitet werden, um Sicherheitsrisiken durch die spezielle Form der Hash-Bildung bei diesem Authentifizierungsprotokoll zu umgehen.

  • Minimales Kennwortalter: Schließlich gibt es noch die Festlegung für ein minimales Kennwortalter. Diese ist auf die Einstellung Kennwortchronik erzwingen zurückzuführen. Manche Anwender ändern zwar bei erzwungener Kennwortchronik ihr Kennwort innerhalb kurzer Zeit regelmäßig, kehren aber schließlich wieder zum alten, vertrauten Kennwort zurück. Da der Standardwert für die Chronik aber bei 24 Zeichen liegt, dürfte das keine allzu große praktische Relevanz haben.

Das ist eine im Vergleich mit anderen Systemen relativ geringe Zahl von Parametern. Da die Einstellung Kennwort muss Komplexitätsvoraussetzungen entsprechen aber eine recht komplexe Lösung darstellt, lassen sich auch bei Windows starke Kennwörter durchsetzen. Auf die Modifikation der passfilt.dll wird weiter unten noch näher eingegangen.

Bild 3: Die Festlegungen zu den Kennworteinstellu ngen für einen neuen Benutzer.
Bild 3: Die Festlegungen zu den Kennworteinstellu ngen für einen neuen Benutzer.