{"id":269810,"date":"2022-06-28T00:29:00","date_gmt":"2022-06-27T22:29:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=269810"},"modified":"2022-08-27T15:53:18","modified_gmt":"2022-08-27T13:53:18","slug":"so-finden-sie-schwache-passwrter-im-active-directory-und-beseitigen-diese-mit-powershell","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/06\/28\/so-finden-sie-schwache-passwrter-im-active-directory-und-beseitigen-diese-mit-powershell\/","title":{"rendered":"So finden Sie schwache Passwörter im Active Directory und beseitigen diese mit PowerShell"},"content":{"rendered":"

\"SicherheitWerbung<\/em> – Schwache oder kompro\u00ad\u00admittierte Passw\u00ad\u00f6rter sind bekannt\u00ad\u00adlich ein Einfallstor f\u00fcr Angreifer. Hat man heraus\u00ad\u00adgefunden, welche Benutzer im Active Direc\u00adtory dadurch bedroht sind, dann hilft Power\u00adShell dabei, diesen Zustand abzu\u00ad\u00adstellen. Scripts k\u00f6nnen grund\u00ad\u00ads\u00e4tzliche AD-Defizite aber nicht auf\u00adheben, dazu braucht es pro\u00adfessionelle Tools.<\/p>\n

<\/p>\n

Passw\u00f6rter k\u00f6nnen aus verschiedenen Gr\u00fcnden leicht zu knacken sein. Dies ist der Fall, wenn sie zu kurz oder zu wenig komplex sind, den Namen des Benutzers enthalten oder ein triviales Passwort durch Anh\u00e4ngen von Ziffern oder Inter\u00adpunktions\u00adzeichen leicht variieren.<\/p>\n

Eine weitere Gefahr entspringt der Tatsache, dass viele Anwender in der Arbeit das gleiche Passwort verwenden wie f\u00fcr ihre privaten Konten in den sozialen Medien oder auf \u00f6ffentlichen Websites. Werden diese gehackt und die Kennw\u00f6rter weiter\u00adverbreitet, dann lassen sich diese f\u00fcr Angriffe auf AD-Konten einsetzen.<\/p>\n

Niedrige H\u00fcrde f\u00fcr Passw\u00f6rter im AD<\/h2>\n

Die Passwort\u00adrichtlinien des Active Directory sind kaum in der Lage, schwache Kennw\u00f6rter zu verhindern. Die Komplexit\u00e4ts\u00adregeln sind vorgegeben und lassen sich nicht anpassen, variabel sind nur die L\u00e4nge und die G\u00fcltigkeits\u00addauer. Ob Kennw\u00f6rter kompromittiert wurden, wissen die Bordmittel ohnehin nicht.<\/p>\n

Aus diesem Grund vergeben Benutzer trotz einer aktivierten Password Policy immer wieder schwache Kennw\u00f6rter. Daher ist es im Sinne der AD-Sicherheit geboten, das Verzeichnis regelm\u00e4\u00dfig auf untaugliche Passw\u00f6rter zu pr\u00fcfen.<\/p>\n

Schwache Kennw\u00f6rter im Active Directory finden<\/h3>\n

F\u00fcr diese Aufgabe empfiehlt sich der kostenlose Specops Password Auditor, den Sie hier herunterladen<\/a> k\u00f6nnen. Das Tool pr\u00fcft die Kennw\u00f6rter [Anmerkung: konkret werden die Passwort-Hashes verglichen] nach diversen Kriterien, beispielsweise ob mehrere User das gleiche Passwort verwenden, ob sie abgelaufen sind oder ob Konten gar kein Kennwort ben\u00f6tigen.<\/p>\n

Dar\u00fcber hinaus vergleicht das Programm alle Passw\u00f6rter [Anmerkung: Deren Hashes] mit einer umfangreichen und stets aktuellen Liste von gestohlenen Kennw\u00f6rtern. F\u00fcr jedes dieser Kriterien erzeugt der Password Auditor einen jeweils eigenen Report, der sich im CSV-Format exportieren l\u00e4sst.<\/p>\n

\"Specops<\/a>
\nSpecops Password Auditor generiert mehrere Reports, die helfen, Benutzerkonten zu sch\u00fctzen.<\/i><\/p>\n

Dies kann man sich zunutze machen, um Ma\u00dfnahmen gegen die erkannten M\u00e4ngel zu ergreifen. Denn es reicht nat\u00fcrlich nicht, die Konten mit schwachen oder kompromittierten Passw\u00f6rtern blo\u00df zu kennen.<\/p>\n

Wechsel des Passworts erzwingen mit PowerShell<\/h3>\n

Das folgende PowerShell-Fragment w\u00fcrde den Report zu allen Konten mit kompromittierten Kennw\u00f6rtern auslesen und jeden betroffenen User zwingen, bei der n\u00e4chsten Anmeldung das Passwort zu \u00e4ndern. Damit die Anwender den Grund f\u00fcr diese Ma\u00dfnahme erfahren, erhalten sie vom Script eine kurze Mail mit einer Erkl\u00e4rung.<\/p>\n

Import-Csv -Path .\\breached-PW-users.csv |\r\nforeach{\r\n$name = $_.account\r\nGet-ADUser -Filter 'name -like $name -and PasswordNeverExpires -eq $FALSE' |\r\nSet-AdUser -ChangePasswordAtLogon:$true\r\n\r\nSend-MailMessage -to $_.\"Email address\" -from \"Admin <admin@fabrikam.de>\" `\r\n-Subject \"Unsicheres Passwort\"\u00a0 -SmtpServer \"smtp.fabrikam.de\" `\r\n-body \"Bitte vergeben Sie nach Ihrer n\u00e4chsten Anmeldung ein sicheres Passwort!\"\r\n}<\/code><\/pre>\n
Der Filter-Ausdruck von Get-ADUser<\/i> stellt \u00fcbrigens sicher, dass Konten \u00fcbersprungen werden, deren Passwort nie abl\u00e4uft. Bei diesen w\u00fcrde n\u00e4mlich das Change\u00adPassword\u00adAtLogon<\/i> zu einer Fehlermeldung f\u00fchren.<\/p>\n
Die Konten, deren Kennwort nie abl\u00e4uft, listet Specops Password Auditor in einem eigenen Report auf. Mit Hilfe von PowerShell k\u00f6nnte man diesen Status der Accounts wie folgt aufheben:<\/p>\n
Import-Csv -Path .\\PW-never-expires-users.csv |\r\nforeach{\r\n$name = $_.account\r\n\r\nGet-ADUser -Filter 'name -like $name' |\r\nSet-ADUser -PasswordNeverExpires $False\r\n}\r\n<\/code><\/pre>\n
Grenzen dieser L\u00f6sung<\/h3>\n
Es liegt auf der Hand, dass eine solche selbstgestrickte L\u00f6sung einige Defizite aufweist. So k\u00f6nnen Benutzer aufgrund der limitierten AD Password Policy bei der n\u00e4chsten Anmeldung wieder schwache Passw\u00f6rter vergeben. In der Regel wissen die User gar nicht, welchen Kriterien die Kennw\u00f6rter \u00fcberhaupt gehorchen m\u00fcssen.<\/p>\n
Selbstredend gelangen auch wieder kompromittierte Kennw\u00f6rter ins System, weil diese beim Wechsel des Passworts nicht gepr\u00fcft und entsprechend auch nicht abgewiesen werden. Insgesamt m\u00fcsste man den Auditor und die obigen PowerShell-Scripts mehrmals im Monat laufen lassen, um ungeeignete Kennw\u00f6rter zu eliminieren.<\/p>\n
Schlechte Kennw\u00f6rter von vorneherein ausschlie\u00dfen<\/h2>\n
Die von Specops Software entwickelte L\u00f6sung Specops Password Policy schlie\u00dft diese L\u00fccken. Damit lassen sich praktisch beliebige Regeln vorgeben, wie ein neues Passwort auszusehen hat. Unter anderem k\u00f6nnen Admins damit die Nutzung von Passphrasen anstatt von Passw\u00f6rtern erzwingen.<\/p>\n
Mit Specops Password Policy ist ein Leichtes, die regulatorischen Anforderungen von Beh\u00f6rden wie dem BSI, NCSS, SANS oder NIST zu erf\u00fcllen.<\/p>\n
Die Anwender erkennen bereits bei der Eingabe, ob Passw\u00f6rter den gew\u00fcnschten Kriterien entsprechen und erhalten genaue Hinweise, welche Zeichen noch erforderlich sind oder wann die notwendige L\u00e4nge erreicht ist.<\/p>\n
\"Specops
\nSpecops Password Policy zeigt dem User beim Wechsel des Passworts an, welchen Vorgaben es gen\u00fcgen muss.<\/i><\/p>\n
Dar\u00fcber hinaus pr\u00fcft Specops Password Policy die neuen Kennw\u00f6rter unmittelbar gegen eine Liste mit mehr als 2 Milliarden kompromittierter Passw\u00f6rter und stellt auf diese Weise sicher, dass diese gar nicht erst ins Active Directory gelangen.<\/p>\n
Mehr Informationen und eine kostenlose Demo von Password Policy erhalten Sie auf dieser Seite<\/a>. Sie interessieren f\u00fcr unsere Preise? Dann k\u00f6nnen Sie hier direkt eine Anfrage<\/a> senden.<\/p>\n
Dies ist ein bezahlter Beitrag von Specops Software.<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"
Werbung – Schwache oder kompro\u00ad\u00admittierte Passw\u00ad\u00f6rter sind bekannt\u00ad\u00adlich ein Einfallstor f\u00fcr Angreifer. Hat man heraus\u00ad\u00adgefunden, welche Benutzer im Active Direc\u00adtory dadurch bedroht sind, dann hilft Power\u00adShell dabei, diesen Zustand abzu\u00ad\u00adstellen. Scripts k\u00f6nnen grund\u00ad\u00ads\u00e4tzliche AD-Defizite aber nicht auf\u00adheben, dazu braucht es … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,2557],"tags":[4293,4328,3288],"class_list":["post-269810","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows-server","tag-allgemein","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/269810","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=269810"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/269810\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=269810"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=269810"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=269810"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}