Governance & Compliance Logo

In den letzten Wochen habe ich mich viel mit Passwortrichtlinien auseinandergesetzt und wie man diese in hybriden Szenarien mit Microsoft 365 konfiguriert. Beginnen wir aber zunächst bei der eigentlichen Problemstellung: Um den sicheren Umgang mit Passwörtern zu gewährleisten sind Administratoren dazu aufgefordert bestimmten Anforderungen an die Passwortsicherheit zu erfüllen. Dazu zählt beispielsweise die minimale Passwortlänge, das maximale Passwortalter oder das Einsetzen einer Passworthistorie. Diese Richtlinien sollen letztendlich verhindern das Mitarbeiter Passwörter wie „Password1!“ vergeben können, oder aber Passwörter vergeben, die direkt dem Unternehmen zuzuordnen sind – ein Beispiel dafür wäre ein spezifischer Produktname. Beim beschreiben der Baseline trenne ich die Welten „On-Premise“ von „In-Cloud“ Accounts, da für diese jeweils andere Möglichkeiten und Optionen zur Verfügung stehen. Voraussetzungen hierfür sind:

  • Active Directory Domain Services im Einsatz,
  • Installierte Azure AD Connect Instanz,
  • Azure Active Directory Premium Plan 2

On-Premise Accounts

Spricht man über Active Directory Accounts gelten die Passwortrichtlinien der lokalen Domäne. Bei der Pflege der Accounts im lokalen AD DS können durch die GPOs des Domain Controller folgende Einstellungen unter dem Pfad „Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy“ angepasst werden:

  • Minimale Passwortlänge
    • Mindestpasswortlänge von 8 Zeichen
  • Minimales Passwortalter
    •  Standardwert: 1 Tag
  • Maximales Passwortalter
    • Standardwert: 42 Tage
    • Ist Azure AD Password Protection im Einsatz, ist die Empfehlung den Wert auf 0 zu setzen
  • Passwort muss Komplexitätsanforderungen entsprechend
    • Standardwert: Enabled
  • Erzwingen einer Passworthistorie
    • Standardwert: 24 Passwörter

In-Cloud Accounts

Werden die Accounts in Azure Active Directory angelegt und nicht aus einer lokalen Domäne synchronisiert gelten die Passwortrichtlinien von Microsoft. Zum Zeitpunkt des Blogartikels kann man diese noch nicht vollumfänglich anpassen. Unter dem folgenden Link findet man eine Beschreibung der geltenden Richtlinien: Azure AD password policies

  • Minimale Passwortlänge
    • Festgesetzt auf 8, kann nicht angepasst werden
  • Maximales Passwortalter
    • Standardwert: 90 Tage, kann mit PowerShell angepasst werden
  • Benachrichtigung zu Passwortablauf
    • Standardwert: 14 Tage, kann mit PowerShell angepasst werden
  • Passwort läuft niemals ab
    • Standardwert: false, kann mit PowerShell angepasst werden
  • Passworthistorie
    • Standardwert: 1, kann nicht angepasst werden

Zusätzlich erlaubt der Azure AD Premium Plan 2 den Einsatz der Azure AD Password Protection. Das Feature kann für beide Accounttypen in den Einsatz gebracht werden. Der Mechanismus erlaubt bei der Vergabe eines Passworts einen Abgleich gegen eine anpassbare „Custom Banned Password List“ sowie eine Liste von Microsoft’s global gebannten Kennwörtern. Wichtig zu erwähnen ist an dieser Stelle auch noch, dass die Anpassung der Passwortrichtlinien mitunter auch einen Impact auf die User mit sich bringt (z.B. neue Passwortvergabe). Deshalb sollte bereits davor ein Self-Service Password Reset im Einsatz sein sowie die Multi-Faktor-Authentifizierung erzwungen werden.

Eine spezifischere Anpassung der lokalen Passwortrichtlinien kann nur mithilfe von Drittanbietertools erreicht werden. Dieser Blogpost sollte einen Überblick zu dem Thema geben und einen Einblick mit welchen Fragestellungen man sich auseinandersetzen sollte um einen sicheren Umgang mit Passwörtern zu gewährleisten. Hier noch ein paar Links die ich für meine Recherchen genutzt habe und um sich weiter einzulesen:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Neueste Kommentare