Sicherheit auf dem PrüfstandKennwortrichtlinien für die Windows-Domäne
Derek Melber
Wenn Sie Administrator einer Windows-Domäne sind, kennen Sie sich mit den Einschränkungen in Bezug auf Kennwortrichtlinien für Domänenbenutzerkonten nur allzu gut aus. Mit der Veröffentlichung von Windows Server 2008 werden jedoch einige dieser Einschränkungen aufgehoben. Im Folgenden wird untersucht, wie das neue Betriebssystem ein bestimmtes Problem löst: die Unfähigkeit, mehrere Kennwortrichtlinien zu implementieren.
Wenn Sie heute eine Version der Windows®-Domäne ausführen (Windows NT®, Windows 2000 Active Directory® oder Windows Server® 2003 Active Directory), sind Sie auf eine einzige Kennwortrichtlinie pro Domäne beschränkt. In Wirklichkeit stellt nicht nur die Kennwortrichtlinie eine Beschränkung dar, sondern auch die weiteren Einstellungen, die unter die Kontorichtlinien fallen. In Abbildung 1 werden diese Richtlinien und Einstellungen dargestellt.
Figure 1 Kontorichtlinien
| Kennwortrichtlinien |
| Kennwortverlauf erzwingen |
| Maximales Kennwortalter |
| Minimales Kennwortalter |
| Minimale Kennwortlänge |
| Kennwort muss Komplexitätsvoraussetzungen entsprechen |
| Kennwörter mit umkehrbarer Verschlüsselung speichern |
| Kontosperrungsrichtlinien |
| Kontosperrdauer |
| Kontensperrungsschwelle |
| Zurücksetzungsdauer des Kontosperrungszählers |
| Kerberos-Richtlinie |
| Benutzeranmeldeeinschränkungen erzwingen |
| Max. Gültigkeitsdauer des Diensttickets |
| Max. Gültigkeitsdauer des Benutzertickets |
| Max. Zeitraum, in dem ein Benutzerticket erneuert werden kann |
| Max. Toleranz für die Synchronisation des Computertakts |
Diese Richtlinieneinstellungen gelten standardmäßig für alle Domänen- und Benutzerkonten, die der Domäne zugeordnet sind. Das liegt an der Art und Weise, wie die Gruppenrichtlinie durch die Active Directory-Struktur hindurch erbt. Um zu verstehen, wie sich diese Richtlinien auf die Domänen- und lokalen Benutzerkonten auswirken, sollten Sie wissen, wo diese Richtlinien festgelegt werden und wie sich die Vererbung der Gruppenrichtlinie auf alle unterschiedlichen Benutzerkonten auswirkt. (Beachten Sie, dass die Kerberos-Richtlinieneinstellungen nur für Domänenbenutzerkonten gelten, da nur Domänenbenutzerkonten Kerberos zur Authentifizierung verwenden. Lokale Benutzerkonten verwenden stattdessen NTLMv2, NTLM oder LM zur Authentifizierung.)
Einstellen von Kontorichtlinien
Innerhalb von Active Directory werden die Kontorichtlinien für die gesamte Domäne von der Gruppenrichtlinie eingerichtet und kontrolliert. Dies erfolgt bei der anfänglichen Installation der Active Directory-Domäne über ein Standardgruppenrichtlinienobjekt (Group Policy Object, GPO), das mit dem Domänenknoten in Active Directory verknüpft ist. Dieses GPO, genannt Standarddomänenrichtlinie, enthält Standardkonfigurationen für alle drei Abschnitte der Kontorichtlinien. In Abbildung 2 ist eine umfassende Liste der anfänglichen Einstellungen für die Kennwortrichtlinienelemente auf einer Windows Server 2003-Domäne dargestellt.
Abbildung 2** Standardkennwortrichtlinien für die Windows Server 2003-Domäne **(Klicken Sie zum Vergrößern auf das Bild)
Die Einstellungen in diesem GPO kontrollieren die Kontorichtlinien für alle Domänenbenutzerkonten sowie für jeden Domänencomputer. Es muss unbedingt beachtet werden, dass alle Domänencomputer (Desktops und Server) über eine lokale Sicherheitskontenverwaltung (Security Accounts Manager, SAM) verfügen. Die Sicherheitskontenverwaltung wird von den Einstellungen in diesem Standard-GPO kontrolliert. Selbstverständlich enthalten die lokalen Sicherheitskontenverwaltungen auch lokale Benutzerkonten für den jeweiligen Computer.
Die Einstellungen in der Standarddomänenrichtlinie betreffen alle Domänencomputer durch die Active Directory-Struktur hindurch über die normale Vererbung von GPOs. Da dieses GPO mit dem Domänenknoten verknüpft ist, sind alle Computerkonten in der Domäne davon betroffen.
Was Sie mit aktuellen Kennwortrichtlinien nicht vornehmen können
Eine Reihe von Missverständnissen über Kennwortsteuerelemente ergibt sich aus der aktuellen Implementierung von Active Directory (in Windows Server 2003) – trotz jahrelanger strenger Prüfung und mangels Beweisen, dass diese falschen Vorstellungen tatsächlich wahr sind. Klar ist, oder sollte es zumindest sein, dass die Funktionsweise der Richtlinie ihrem Entwurf entspricht.
Doch viele Administratoren glauben, dass es möglich ist, mehrere Kennwortrichtlinien für Benutzer in derselben Domäne einzurichten. Sie denken, dass ein GPO erstellt und mit einer Organisationseinheit verknüpft werden kann. Die Idee dabei ist, Benutzerkonten zur Organisationseinheit zu verschieben, damit sich das GPO auf die Objekte auswirkt. Innerhalb des GPOs werden die Kontorichtlinien geändert, um eine sicherere Kennwortrichtlinie zu erstellen, möglicherweise durch Festlegen der maximalen Kennwortlänge auf 14 Zeichen. Doch aus mehreren Gründen stellt diese Konfiguration in keinem Fall das gewünschte Ergebnis bereit. Erstens handelt es sich bei den Kennwortrichtlinieneinstellungen vielmehr um computerbasierte als benutzerbasierte Richtlinien. Mit dieser Einstellungsgrundlage werden sich die Einstellungen niemals auf ein Benutzerkonto auswirken. Zweitens besteht die einzige Möglichkeit, die Kontorichtlinieneinstellungen für ein Domänenbenutzerkonto zu ändern, innerhalb eines mit der Domäne verknüpften GPOs. Mit der Organisationseinheit verknüpfte GPOs, die so konfiguriert sind, dass sie die Kontorichtlinieneinstellungen verändern, verändern die lokale Sicherheitskontenverwaltung der Computer, die sich in der Organisationseinheit oder in den untergeordneten Organisationseinheiten der verknüpften Organisationseinheit befinden.
Ein zweites Missverständnis beruht darauf, dass die in der Stammdomäne (der Ausgangsdomäne der Active Directory-Gesamtstruktur) eingerichteten Kontorichtlinieneinstellungen bis zu den untergeordneten Domänen in der Gesamtstruktur vererbt werden. Auch dies ist nicht der Fall, und die Einstellungen können nicht in dieser Weise angewendet werden. GPOs, die mit der Domäne und den Organisationseinheiten innerhalb einer Domäne verknüpft sind, haben keine Auswirkung auf Objekte in einer anderen Domäne, selbst wenn die Domäne, mit der das GPO verknüpft ist, die Stammdomäne ist. Die einzige Methode, mit der GPO-Einstellungen Objekte in verschiedenen Domänen umfassen können, ist das Verknüpfen von GPOs mit Active Directory-Standorten.
Künftige Aussichten für Kennwörter
Wie oben beschrieben behandeln die aktuellen Versionen von Windows die Benutzerkontokennwörter auf einfache und direkte Weise. Dazu gehört ein Satz von Kennwortregeln für alle Domänenkonten sowie die Verwaltung der Kontorichtlinien durch ein Gruppenrichtlinienobjekt, das mit dem Domänenknoten in Active Directory verknüpft wird. Für Windows Server 2008 trifft all dies nicht mehr zu.
Bei Windows Server 2008 und der zugehörigen Active Directory-Infrastruktur kommt ein anderes Verfahren zum Einsatz. Im Gegensatz zu Kontorichtlinien in einem GPO, bei dem nur eine einzige Richtlinie für alle Domänenbenutzerkonten festgelegt werden konnte, befinden sich die Einstellungen jetzt in einem tieferen Bereich von Active Directory. Außerdem basieren die Kontorichtlinien nicht mehr auf Computerkonten. Jetzt können Sie einzelne Benutzer und Benutzergruppen festlegen, die ihre Kennworteinschränkungen selbst kontrollieren. Dies ist ein brandneues Konzept für Windows-Administratoren, da es bisher immer nur Kontorichtlinien für Computerkonten gab.
Kontorichtlinien innerhalb von Windows Server 2008
Innerhalb von Windows Server 2008 werden Kontorichtlinien nicht mit der Standarddomänenrichtlinie eingerichtet. Genau genommen werden GPOs zum Erstellen von Kontorichtlinien für Domänenbenutzerkonten überhaupt nicht verwendet. In Windows Server 2008 werden Sie zur Active Directory-Datenbank geleitet, um dort Änderungen vorzunehmen. Insbesondere steht das Tool ADSIEdit zur Verfügung, mit dem Sie das Active Directory-Objekt und seine zugeordneten Attribute ändern.
Der Grund für diese Änderung liegt darin, dass die Gruppenrichtlinie nicht für mehrere Kennwörter innerhalb derselben Domäne entworfen wurde. Die Implementierung der Fähigkeit in Windows Server 2008, mehrere Kennwörter pro Domäne zu haben, ist zwar elegant, doch lange nicht so benutzerfreundlich wie allgemein erwünscht. Mit der Zeit wird es jedoch einfacher werden, auf die Schnittstelle für das Konfigurieren der Einstellungen zuzugreifen. Vorläufig müssen Sie sich auf hartnäckige Active Directory-Datenbankarbeit gefasst machen, um die Änderungen im System vorzunehmen.
Sie müssen zum Ändern der Kontorichtlinieneinstellungen nicht ADSIEdit verwenden, wenn Sie eine andere Methode bevorzugen. Sie können jedes andere LDAP-Bearbeitungstool verwenden, das die Active Directory-Datenbank nutzen kann, oder sogar Skripterstellung. Beim Implementieren von Kennwortrichtlinien in Windows Server 2008 müssen Sie jetzt einen ganz anderen Ansatz wählen als bisher. Die neuen Funktionen bedeuten, dass Sie beachten müssen, welche Benutzer und Gruppen welche Kennworteinstellungen erhalten.
Sie müssen nicht nur die Kennwortlänge, sondern auch die zusätzlichen Einschränkungen bedenken, die mit den Kennwortrichtlinieneinstellungen einhergehen, darunter Mindest- und Höchstalter, Verlauf und so weiter. Andere Aspekte umfassen die Kontrolle der Richtlinieneinstellungen für die Benutzersperre und der Kerberos-Einstellungen. Es gibt eine 1:1-Beziehung zwischen den aktuellen Kontorichtlinieneinstellungen und den Einstellungen, die in der Active Directory-Datenbank in Windows Server 2008 konfiguriert sind. Dabei muss jedoch beachtet werden, dass die Namen der einzelnen Richtlinieneinstellungen, die jetzt Active Directory-Objekte und -Attribute sind, anders lauten.
Um die neuen Kennworteinstellungen zu implementieren, muss ein Kennworteinstellungsobjekt (Password Settings Object, PSO) namens „msDS-PasswordSettings“ unter dem Kennworteinstellungscontainer erstellt werden, der den LDAP-Pfad „cn=Password Settings,cn=System,dc=domainname,dc=com” aufweist. Beachten Sie, dass die funktionale Ebene der Domäne, in der Sie arbeiten, auf Windows Server 2008 festgelegt sein muss. Unter diesem neuen Objekt füllen Sie die Informationen für mehrere Attribute aus (siehe Abbildung 3).
Figure 3 Kennwortattribute in Active Directory
| Active Directory-Attributname | Attributbeschreibung |
| msDS-PasswordSettingsPrecedence | Bestimmt den Vorrang in Situationen, in denen ein Benutzer Mitglied mehrerer Gruppen mit verschiedenen Kennwortrichtlinien ist. |
| msDS-PasswordReversibleEncryptionEnabled | Schaltet um, falls die umkehrbare Verschlüsselung aktiviert ist. |
| msDS-PasswordHistoryLength | Bestimmt, wie viele Zwischenkennwörter eindeutig sein müssen, bevor eins wiederverwendet werden kann. |
| msDS-PasswordComplexityEnabled | Richtet die Anzahl und die Art der in einem Kennwort erforderlichen Zeichen ein. |
| msDS-MinimumPasswordLength | Richtet die Mindestlänge eines Kennworts ein. |
| msDS-MinimumPasswordAge | Bestimmt, wie lange ein Benutzer ein Kennwort beibehalten muss, bevor es geändert werden kann. |
| msDS-MaximumPasswordAge | Bestimmt, wie lange ein Benutzer ein Kennwort verwenden kann, bevor es geändert werden muss. |
| msDS-LockoutThreshold | Bestimmt, wie viele fehlgeschlagene Kennwortversuche zugelassen werden, bevor ein Benutzerkonto gesperrt wird. |
| msDS-LockoutObservationWindow | Bestimmt den Zeitraum, nach dem der Kontosperrungszähler zurückgesetzt wird. |
| msDS-LockoutDuration | Bestimmt die Kontosperrdauer nach zu vielen fehlgeschlagenen Kennwortänderungsversuchen. |
Wie oben beschrieben werden alle Gruppenrichtlinieneinstellungen, die sich auf die Kontorichtlinieneinstellungen beziehen, als Attribute dupliziert. Beachten Sie, dass es auch eine Vorrangeinstellung gibt. Sie ist unerlässlich beim Implementieren mehrerer Kennwörter in derselben Domäne, da mit Sicherheit Konflikte auftreten werden und für ihre Behandlung eine Methode vorhanden sein muss.
Kontorichtlinieneinstellungen zuweisen
Sie müssen für jedes Objekt, das Sie erstellen, alle Attribute ausfüllen, um die Kontorichtlinien für alle Benutzer zu gestalten. Es gibt ein neues Attribut namens „msDS-PSOAppliesTo“, das festlegt, welche Objekte den Satz der Richtlinieneinstellungen erhalten. Dies ist das goldene Attribut, mit dem Sie bestimmte Einstellungen an bestimmte Benutzer leiten. Bei der Liste unter diesem Attribut kann es sich entweder um Benutzer oder um Gruppen handeln, doch wie bei allem, was mit dem Einrichten einer Zugriffssteuerungsliste zu tun hat, ist es am besten, Gruppen statt Benutzer zu verwenden. Gruppen sind stabiler, transparenter und in der Regel leichter zu behandeln.
Grund zur Freude
Nach jahrelangem Warten darauf, mehrere Kennwörter innerhalb derselben Active Directory-Domäne verwenden zu können, ist diese Möglichkeit jetzt endlich vorhanden. Wenn es um Kennwörter geht, gilt nicht mehr die gleiche Sicherheitsstufe für jeden Benutzer in der gesamten Domäne. Jetzt sind zum Beispiel Standardbenutzer mit einem 8-Zeichen-Kennwort und IT-Experten (die möglicherweise Administratorrechte haben) mit einem komplexeren 14-Zeichen-Kennwort möglich.
Es ist etwas gewöhnungsbedürftig, die Active Directory-Datenbank aufzurufen, um Kontorichtlinieneinstellungen einzurichten oder zu ändern. Erfreulicherweise ahmen die neuen Einstellungen jedoch das nach, womit Sie bereits vertraut sind. Machen Sie sich mit diesen neuen Einstellungen unbedingt vertraut, sobald Ihnen Windows Server 2008 vorliegt, da diese Einstellungen sicherlich zum ersten Satz an Konfigurationen gehören, die Sie vornehmen.
Derek Melber, MCSE, CISM, MVP, ist unabhängiger Berater und Trainer. Zu seinem Tätigkeitsbereich gehören Schulungen zur sowie die Verbreitung der Microsoft-Technologie, wobei er sich auf Active Directory, die Gruppenrichtlinie, Sicherheit und die Desktopverwaltung konzentriert. Derek Melber hat mehrere IT-Bücher verfasst, einschließlich „Microsoft Windows Group Policy Guide“ (Microsoft Press, 2005). Er ist unter derekm@braincore.net zu erreichen.
© 2008 Microsoft Corporation und CMP Media, LLC. Alle Rechte vorbehalten. Die nicht genehmigte teilweise oder vollständige Vervielfältigung ist nicht zulässig.