Werbung – Schwache oder kompromittierte Passwörter sind bekanntlich ein Einfallstor für Angreifer. Hat man herausgefunden, welche Benutzer im Active Directory dadurch bedroht sind, dann hilft PowerShell dabei, diesen Zustand abzustellen. Scripts können grundsätzliche AD-Defizite aber nicht aufheben, dazu braucht es professionelle Tools.
Anzeige
Passwörter können aus verschiedenen Gründen leicht zu knacken sein. Dies ist der Fall, wenn sie zu kurz oder zu wenig komplex sind, den Namen des Benutzers enthalten oder ein triviales Passwort durch Anhängen von Ziffern oder Interpunktionszeichen leicht variieren.
Eine weitere Gefahr entspringt der Tatsache, dass viele Anwender in der Arbeit das gleiche Passwort verwenden wie für ihre privaten Konten in den sozialen Medien oder auf öffentlichen Websites. Werden diese gehackt und die Kennwörter weiterverbreitet, dann lassen sich diese für Angriffe auf AD-Konten einsetzen.
Niedrige Hürde für Passwörter im AD
Die Passwortrichtlinien des Active Directory sind kaum in der Lage, schwache Kennwörter zu verhindern. Die Komplexitätsregeln sind vorgegeben und lassen sich nicht anpassen, variabel sind nur die Länge und die Gültigkeitsdauer. Ob Kennwörter kompromittiert wurden, wissen die Bordmittel ohnehin nicht.
Aus diesem Grund vergeben Benutzer trotz einer aktivierten Password Policy immer wieder schwache Kennwörter. Daher ist es im Sinne der AD-Sicherheit geboten, das Verzeichnis regelmäßig auf untaugliche Passwörter zu prüfen.
Anzeige
Schwache Kennwörter im Active Directory finden
Für diese Aufgabe empfiehlt sich der kostenlose Specops Password Auditor, den Sie hier herunterladen können. Das Tool prüft die Kennwörter [Anmerkung: konkret werden die Passwort-Hashes verglichen] nach diversen Kriterien, beispielsweise ob mehrere User das gleiche Passwort verwenden, ob sie abgelaufen sind oder ob Konten gar kein Kennwort benötigen.
Darüber hinaus vergleicht das Programm alle Passwörter [Anmerkung: Deren Hashes] mit einer umfangreichen und stets aktuellen Liste von gestohlenen Kennwörtern. Für jedes dieser Kriterien erzeugt der Password Auditor einen jeweils eigenen Report, der sich im CSV-Format exportieren lässt.
Specops Password Auditor generiert mehrere Reports, die helfen, Benutzerkonten zu schützen.
Dies kann man sich zunutze machen, um Maßnahmen gegen die erkannten Mängel zu ergreifen. Denn es reicht natürlich nicht, die Konten mit schwachen oder kompromittierten Passwörtern bloß zu kennen.
Wechsel des Passworts erzwingen mit PowerShell
Das folgende PowerShell-Fragment würde den Report zu allen Konten mit kompromittierten Kennwörtern auslesen und jeden betroffenen User zwingen, bei der nächsten Anmeldung das Passwort zu ändern. Damit die Anwender den Grund für diese Maßnahme erfahren, erhalten sie vom Script eine kurze Mail mit einer Erklärung.
Import-Csv -Path .\breached-PW-users.csv |
foreach{
$name = $_.account
Get-ADUser -Filter 'name -like $name -and PasswordNeverExpires -eq $FALSE' |
Set-AdUser -ChangePasswordAtLogon:$true
Send-MailMessage -to $_."Email address" -from "Admin <admin@fabrikam.de>" `
-Subject "Unsicheres Passwort" -SmtpServer "smtp.fabrikam.de" `
-body "Bitte vergeben Sie nach Ihrer nächsten Anmeldung ein sicheres Passwort!"
}Der Filter-Ausdruck von Get-ADUser stellt übrigens sicher, dass Konten übersprungen werden, deren Passwort nie abläuft. Bei diesen würde nämlich das ChangePasswordAtLogon zu einer Fehlermeldung führen.
Die Konten, deren Kennwort nie abläuft, listet Specops Password Auditor in einem eigenen Report auf. Mit Hilfe von PowerShell könnte man diesen Status der Accounts wie folgt aufheben:
Import-Csv -Path .\PW-never-expires-users.csv |
foreach{
$name = $_.account
Get-ADUser -Filter 'name -like $name' |
Set-ADUser -PasswordNeverExpires $False
}
Grenzen dieser Lösung
Es liegt auf der Hand, dass eine solche selbstgestrickte Lösung einige Defizite aufweist. So können Benutzer aufgrund der limitierten AD Password Policy bei der nächsten Anmeldung wieder schwache Passwörter vergeben. In der Regel wissen die User gar nicht, welchen Kriterien die Kennwörter überhaupt gehorchen müssen.
Selbstredend gelangen auch wieder kompromittierte Kennwörter ins System, weil diese beim Wechsel des Passworts nicht geprüft und entsprechend auch nicht abgewiesen werden. Insgesamt müsste man den Auditor und die obigen PowerShell-Scripts mehrmals im Monat laufen lassen, um ungeeignete Kennwörter zu eliminieren.
Schlechte Kennwörter von vorneherein ausschließen
Die von Specops Software entwickelte Lösung Specops Password Policy schließt diese Lücken. Damit lassen sich praktisch beliebige Regeln vorgeben, wie ein neues Passwort auszusehen hat. Unter anderem können Admins damit die Nutzung von Passphrasen anstatt von Passwörtern erzwingen.
Mit Specops Password Policy ist ein Leichtes, die regulatorischen Anforderungen von Behörden wie dem BSI, NCSS, SANS oder NIST zu erfüllen.
Die Anwender erkennen bereits bei der Eingabe, ob Passwörter den gewünschten Kriterien entsprechen und erhalten genaue Hinweise, welche Zeichen noch erforderlich sind oder wann die notwendige Länge erreicht ist.
Specops Password Policy zeigt dem User beim Wechsel des Passworts an, welchen Vorgaben es genügen muss.
Darüber hinaus prüft Specops Password Policy die neuen Kennwörter unmittelbar gegen eine Liste mit mehr als 2 Milliarden kompromittierter Passwörter und stellt auf diese Weise sicher, dass diese gar nicht erst ins Active Directory gelangen.
Mehr Informationen und eine kostenlose Demo von Password Policy erhalten Sie auf dieser Seite. Sie interessieren für unsere Preise? Dann können Sie hier direkt eine Anfrage senden.
Dies ist ein bezahlter Beitrag von Specops Software.
Anzeige
Haben wir in der Firma tatsächlich so im Einsatz. Recht einfach zu implementieren und macht was es soll. Gibt auch noch einen Self-Service bei dem sich die Anwender ein vergessenes Kennwort selbst zurücksetzen können wenn bestimmte, zu definierende Voraussetzungen erfüllt sind.
Die Software von Specops ist sehr leistungsfähig, eigentlich müsste man erwarten dass diese Funktion bereits in Windows enthalten ist. Andererseits, was der Software niemals gelingen wird, ist der Abgleich eines Benutzerpassworts mit dessen im Browser oder privat genutzten Passwörtern. Und was nicht stimmt, ist dass es im AD keine Passwortkomplexität vorzugeben ist, da gibt es neben der Länge schon etwas bezüglich Sonderzeichen usw., wenn auch nicht so ausgefeilt wie was Specops da anbietet.
Nur eine kurze Information auf die sicher wichtigen Fragen – ich hatte heute diesbezüglich ein Gespräch mit der Firma. Es werden keine Passwörter abgeglichen, sondern die Passwort-Hashes werden mit bekannten Passwort-Hashes verglichen. Ich habe daher oben im Text eine entsprechende Ergänzung eingefügt.
Ergänzung aus Facebook-Kommentaren, wo ähnliche Fragen kamen. Ich zitiere mal die Antwort von Gruppenrichtlinien-Pabst Mark Heitbrink, der sich als IT-Dienstleister mit dem Thema wohl auseinander gesetzt hat:
Da brauche ich wenig hinzuzufügen.
Nutzen Passwörter im Active Directory etwa keinen Salt?
Nicht immer ;-)
Die LAPS Kennwörter, die in einem Attribut am Computer Objekt im AD hängen, sind z.B. im Klartext gespeichert. Per Default haben allerdings nur Domänenadmins auf dieses Attribut lesenden Zugriff…… Ist aber ein anderes Thema ;-)
Ein einziger Wahnsinn.
Moin!
Ich finde es immer schwierig Dritthersteller Software so tief in die AD eingreifen zu lassen. Da sollte man sich vorher auf jedenfall die Genehmigung der GF einholen.
Ansonsten hat man später die A-Karte, wenn später die Software kompromitiert wird, aus dem Support fällt oder die AD Schaden nimmt.
Naja, normalerweise führt hoffentlich keiner in einer Firma so eine Software ein, ohne sich das vorher absegnen zu lassen. Im Normalfall gibt es für so etwas hoffentlich einen Freigabeprozess. Parallel muss so was ohnehin irgendwo sauber dokumentiert werden.
Ist sicher ein Punkt, dass man sich da vorher Gedanken macht. Aber dies würde bedeuten, dass man so gut wie kein Tool oder kein PowerShell-Script einsetzen könnte, wenn man nicht den Quellcode und die Funktion verinnerlicht hat.
Nach meiner aktuellen Einschätzung ist doch folgende Situation: Die Software wird standalone heruntergeladen und läuft lokal. Alle Zugriffe erfolgen nur lesend und werden nur lokal protokolliert. Es ist ein Monitoring-Tool, welches Firmen helfen soll, am Ende des Tages das AD vor Angriffen über unsichere Passwörter bestmöglich zu schützen (die Software liefert Hinweise, wenn es da Schwachstellen gibt) – und gibt Admins die Möglichkeit, einen Überblick zu bekommen und im Anschluss die Password-Policies durchzusetzen.
Wenn das mit Bordmitteln oder selbstgestricktem geht, um so besser. Bin da nicht so drin, aber ich habe den Eindruck, dass es da an Bordmitteln wenig gibt. Aber letztendlich, da bin ich bei dir, muss das im Unternehmen abgestimmt sein und kann nicht "nach Gusto" von einem Admin mal eben verwendet werden.
Ich denke nicht, dass es schlechte Passwörter per se gibt, sondern nur schlechte Passwort-Policies.
Lasst die Leute Passwörter wählen, die sich sich merken können und bringt ihnen Strategien bei, wie sie diese generieren. Ich bekomme immer einen Krampf bei Komplexitätsanforderungen und Gültigkeitsintervallen, die die Sicherheit am Ende sogar verschlechtern.
p.s. Klassiker dazu https://xkcd.com/936/
Das ist der Grund, warum wird bei uns nur noch wirklich sehr komplexe Passwörter zulassen, dafür aber das Kennwort 5 Jahre gültig ist.
Komplexe Passwörter und monatliche Änderung sind kontraproduktiv.
Guten Morgen,
ich hatte auch in Betracht gezogen, das Tool zu nutzen und war/ bin bei sowas immer sehr skeptisch. Ich habe das dann mit unserem Datenschutzbeauftragen diskutiert. Wir kamen also zu folgender Bewertung:
Es handelt sich um ein kostenloses Tool eines Anbieters mit Sitz in den USA.
Wir unterliegen hier also der Geheimdienstproblematik, dass der Anbieter auf Anforderung die Daten an die US-Behörden liefern muss, ohne dass er hierüber im Einzelfall oder auch nur in allgemeiner Form informieren darf.
Da ein Zugriff auf personenbezogene Daten möglich – und auch Teil der Dienstleistung ist – empfiehlt sich auf jeden Fall ausführlich über einen Einsatz des Tools nachzudenken.
Evtl. sind diese Informationen ja interessant für den ein oder anderen Leser.
MfG,
Nils
@Nils: Zu "Es handelt sich um ein kostenloses Tool eines Anbieters mit Sitz in den USA".
Kann es sein, dass es da um ein anderes Tool ging? Specops Software hat zwar ein Büro in Philadelphia (und eines in Toronto). Aber die 2001 gegründete Firma hat ihren Sitz in Stockholm (Schweden) – siehe auch hier.
Und das Büro in Philadelphia hat keinen Zugriff auf die Daten?
Ist egal, die Firma in Schweden hat den Zugriff und 'Dank' ihrer US-Filiale unterliegt die ganze Firma damit mW US-Recht.
Der Knackpunkt ist also mMn:
Wie garantiert man, dass die Software niemals mehr als die ersten 5 Stellen des Hashes nach [wohinauchimmer] schickt?
Langsam wird es imho lächerlich! Du führst ein Tool lokal aus, welches dir einen Report erzeugt und Passwort-Hashes mit öffentlichen Datenbanken abgleicht.
Again: Es wurde oben ein Tool vorgestellt, welches ich als sinnvoll für den Bereich AD erachte. Ob man das Tool einsetzt oder nicht, wird von jedem Administrator bzw. GF entschieden – da kann und will ich euch nichts abnehmen oder raten.
Aber versucht doch nicht hier in der Diskussion irgend etwas herein zu geheimsen, was das Ganze nicht her gibt, aber auf der anderen Seite setzt ihr Software (AD, Windows, Office 365 etc.) ein, die von US-Unternehmen etc. entwickelt wird.
Außerdem, so ein Tool hat man ja wohl auf einem Admin-Server laufen. Und jetzt die obligatorische Frage: Welcher Server darf überhaupt ungehindert ins Internet funken? Wenn, dann macht man da doch ganz gezielt einzelne Türchen auf, und nicht mehr.
ungeachtet anderer neg/pos Aspekte:
Das "Büro in Philadelphia" (== eine US-Niederlassung) ist aber mW bereits hinreichend, um von Cloud Act & Co erfasst zu sein.
Sehe ich auch so, daher die o.g. Nachfrage bzgl. des Datenzugriffs dort.
Lächerlich – wenn es danach gehen würde könnten wir jede Software/Übertragung etc. gleich in Frage stellen. Am besten wir schließen alle Unternehmen, dann haben wir auch keine Datenschutzvorfälle. Typisch Deutsch – alles zerreden und bürokratisieren bis nichts mehr geht.
Was habt ihr denn sonst noch so an Software im Einsatz? Habt ihr überall darauf geachtet, dass der Hersteller kein Büro in den USA hat? (Aber dafür eins in Moskau? – Najagut, jetzt sicher nicht mehr, oder?)
JEEZ?!
Warum musst Du in gefühlt jedem 2. Kommentar derailen, völlig fach- und sachfremd die Politik mit reinbringen?!
P.S. Die Amadeu-Antonio-Striftung ordnet das auf netz-gegen-nazis.de als "rechtspopulistische Rhetorik" ein. Ich spare mir jetzt den passenden Hashtag…
Das sollten wir jetzt auslaufen lassen, sonst muss ich die Kommentare löschen. Ist schade um den Thread.
Ich sage einfach mal "Danke für die Info!".
Das Thema Sicherheit von Passwörtern und 2FA für privilegierte Accounts steht bei uns auch auf der Tagesordnung. Klar gibt es eine Passwortrichtlinie, aber wir können da sicherlich noch besser werden. Ich werde mir das Tool auf jeden Fall mal ansehen.
Gruß Singlethreaded
Es gibt solche Passwortfilter nicht, weil sie etwas sicherer machen, sondern weil sie Admins ein gutes Gefühl gibt, sowas zu haben und es sich somit gut verkauft.
Nehme ich als Kennwort Gärtnerstraße24 (da wohne ich), dann erfülle ich die Komplexitätsanforderungen und kann allenfalls über Wörterbücher stolpern, die einzelne Strings verbieten (Gärtner, Straße). Solche Wörterbücher foppen die Nutzer und dann schreiben sie evtl. doch wieder Ihr neues schwieriges Kennwort auf einen Zettel.
Ergo: weg von Kennwörtern. 2FA wie SmartCard-Authentifizierung ist doch schon eingebaut und findet in der Regel hohe Akzeptanz. SmartCard+Reader für jeden ist sicherlich nicht teurer als ein 5-Jahres-Abo Specops. Damit kann man dann auch NTLM-Hashrotation täglich einführen, das bietet Specops nicht (unmöglich bei Kennwörtern).
Oder: Die kostenlose Variante von Specops, welche mit Sanktionen arbeitet, also Kennwörter für schwach befindet und dann zur sofortigen(!) Änderung auffordert, kann doch automatisiert werden. Einfach mehrmals täglich laufen lassen und die Freude an schwachen Kennwörtern verfliegt im Nu. Für lau.
Vielen Dank für diesen hervorragenden Artikel! Gute unabhängige Informationen findet man heute nur noch selten. Deswegen lese ich gerne hier. Da du Specops so empfiehlst werde ich mri auch deren andere Produkte anschauen. Nochmal vielen Dank für den Arktikel!
Zu: "Da Du Specops so empfiehlst". Sollte man im Kontext betrachten. Ich bekomme so gut wie täglich alle möglichen Anfragen für "sponsored" Posts. Lehne ich so gut wie immer ab. Specops ist der zweite sponsored Post für 2022. Ich habe mir deren Agenda angesehen und fand, dass die Produkte für den Leserkreis hier im Blog einen zweiten Blick wert sein könnten. Zudem gibt es Connections zu bloggenden Kollegen, wo es Empfehlungen gab. Dass Mark Heitbrink (der als IT-Dienstleister) unabhängig davon noch was zu geschrieben hat, passt natürlich als weitere Stimme. Nur kann ich das Produkt (mangels Umgebung und tiefem Wissen über AD) nicht selbst evaluieren.
Daher: Die Entscheidung zum Test und ggf. zum Einsatz trifft jeder vor Ort selbst – und die oben aufgeworfenen Fragen der Art "traue ich …" wird jeder beantworten müssen (nur sollte hier in der Diskussion halt die "Kirche im Dorf" bleiben).
Der obige Beitrag ist insofern auch besonders, weil ich die Kommentierung zugelassen habe. Ich habe wenige Stunden nach Veröffentlichung mit der Firma telefoniert, weil es die Diskussion gab "traue ich …" und bekam "lassen Sie die Kommentierung zu, so bekommen wir ggf. auch noch Feedback, wir wollen ja wissen, was die Leute bewegt" zu hören. Ich habe bisher nur einen Troll-Kommentar der Art "Bullshit Bingo Werbung, Passwörter im AD sind nicht das Problem" gelöscht.
Wer einAD betreibt weiss das er es mit Dummies zu tun hat.
Und ein schwaches Passwort hat bisher auch noch nie zu Problemen geführt.
Pish SCAM sicher aber nicht schwache Passwörter.
Ein Problem etbalieren und Nachfrage schaffen. ;)
Danke aber nein danke.
Ich formuliere es mal so: Wenn ich die Sicherheitsmeldungen, die mir als Blogger so unterkommen, durchgehe, sind da durchaus die von dir negierten "schwachen Passwörter" dabei.
Aber hey, wenn Du der Meinung bist, dass ihr das nicht braucht, ist das doch voll in Ordnung. Warum Du dann jetzt "Problem etablieren und Nachfrage schaffen" als Kommentar hinterlassen musstest, erschließt sich mir irgendwie nicht. Deutsche Gewohnheiten?
Aus welchem Grund ist dieser sicher interessante Artikel seit Tagen zuoberst fixiert ? Ärgerlich. Sonst meinen besten Dank für Ihren sehr interessanten Blog !
Lieber Martin – wenn Du genau geschaut hättest – wäre dir sicherlich aufgefallen, dass dort "Werbung" als erstes Wort steht. Das ist ein sponsored Post, der diesen Blog mit finanziert. Ich hatte es schon mal in einem Kommentar erwähnt: Der Beitrag ist schlicht für ca. 3 Wochen auf der Startseite des Blogs fixiert – werde den irgendwann Mitte des Monats aus der Fixierung lösen. Warum das ärgerlich ist, erschließt sich mir irgendwie nicht.
"Warum das ärgerlich ist, erschließt sich mir irgendwie nicht."
Kann da nur von mir berichten:
Für den flüchtigen oder den recht neuen Leser sieht der ganz oben angeheftete Post wie "Schade, keine neuen Blogeinträge!" aus (so ging es mir am Tag nach diesem 'sponsored Blogpost').
Auch deshalb wäre eine deutlichere Kennzeichnung (gerne zusätzlich zu "Werbung" eine Art "pinned Post") vielleicht nicht verkehrt.
Deutlichere Kennzeichnung?
"Werbung", als das erste Wort im Fliesstext ist schon recht unauffällig. Ein Blogpost über Adblocker könnte ebenso (z.B. "Werbung – viele Netznutzer mögen sie nicht, auch weil sie ein Einfallstor für Malware ist") beginnen.
"Schade, keine neuen Blogeinträge!"
Genau das war es !
Und weiter geht's, morgen wieder vorbeischauen …
"Und weiter geht's, morgen wieder vorbeischauen …"
Das ist doch jetzt auch nur noch Trollen/Dumm_stellen. Ich schrieb oben nicht ohne Grund vom "flüchtigen oder den recht neuen Leser".
Zum Einen fragt sich der verständige Leser spätestens am 3. Tag ohne Änderung "Hä? 3 Tage nix Neues? Kann doch gar nicht sein!" und scrollt mal ein wenig herunter. Damit hat er auch schon gelernt, das zukünftig immer zu tun, wenn scheinbar nix Neues da ist.
Zum Anderen hat Herr Born dem Titel des Posts doch jetzt extra ein "[pinned]" vorangestellt (Danke!)* – damit sollte auch dem Neuling klar sein, dass eventuelle Änderungen eben darunter sind.
* mein innerer Monk lässt anfragen, ob zwischen das "[pinned]" und den Titel bitte noch ein Leerzeichen eingefügt werden könnte…
Günter, lass dich nicht von den Trollen und Querulanten stressen. Die gibt es leider immer und überall….
Ich finde du machst hier einen super Job.
Den specops Artikel/Werbung finde ich gut. Hatte mir die SW selber auch schon angesehen und getestet. Auch aus den Kommentaren kann man was mitnehmen. Abgesehen von den Sinnlosen bashing Kommentaren.
Mich stört ab und zu ein sponsored Artikel überhaupt nicht. Bei der Zeit und Energie die du in den Blog steckst ist das absolut in Ordnung. Vor allem weil du da ja kein Schlangenöl vorstellst ;), sondern etwas durchaus brauchbares. Ob es dann jemand nutzt ist was anderes.
Bitte mach einfach so weiter :)
Ich stimme Ihnen grundsätzlich zu, wünschte mir aber eine deutlichere Kennzeichnung von "Werbung".
Im Übrigen Grüsse von der Corona-Diskussionsfront: Was als "Schlangenöl"/"Schwurbelei" angesehen/bezeichnet wird und was als die einzig heilsbringende Erlösung hängt doch sehr vom Weltbild (und den Zielen) des Betrachters ab.
Genau. Gerade auf mobilen Geräten, scrollt man nicht.
Ging mir einige Tage so:
Startseite aufgerufen, ohhhh keine neuen Beiträge, hoffentlich nichts persönliches bei Günter oder Blog komplett eingestellt, weitergesurft.
Hi,
dies ist der letzte Blog-Eintrag, den ich noch lesen kann. Neuere werden nicht mehr aufgeführt.
In nutze Firefox unter W10. Auch mit Edge habe ich das gleiche Ergebnis: Keine Beiträge mehr nach dem 28. Juni 2022
.-((
kann ich hier nicht nachvollziehen – ich werde die Fixierung aber bald aufheben.
Haben Sie denn mal 'runtergescrollt? Es steht doch da "pinned", angeheftet.
Alle neueren Beiträge befinden sich darunter, ähnlich wie z.B. bei Twitter.
Danke!
Habe ich mittlerweile auch bemerkt.
Was ich aber nicht wegkriege, ist das [pinned].
Wie geht das????
Gar nicht – das habe ich im Titel eingefügt, weil hier die Leser mit "im Blog wird nichts neues veröffentlicht" eingeschlagen sind. Der sponsored Post soll einfach für knappe 3 Wochen an erster Stelle auf der Startseite bleiben – dann löse ich die Verankerung und entferne das "pinned".