• Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN
info@firstattribute.com
by FirstAttribute
Active Directory FAQActive Directory FAQ
  • Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN

Zeichenfolgen in Passwörtern vermeiden

Mrz 11, 2021 (Letztes Update) | Posted by Holger Warth Active Directory, Administration, Azure AD, Konfiguration |

 

Zeichenfolgen in Passwörtern vermeiden

In diesem Beitrag erfahren Sie, wie man Zeichenfolgen in Passwörtern mit Azure AD Passwortschutz vermeidet. Standardmäßig bietet das Windows Betriebssystem über die Passwortrichtlinien an, die minimale Zeichenanzahl sowie eine vordefinierte Komplexität des Passwortes vorzugeben.

Diese definierte Komplexität (sofern aktiviert) erfordert:

  • dass ein neues Passwort mindestens ein Zeichen aus drei definierten Mengen (Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen) beinhalten muss,
  • sowie dass der Inhalt des Active Directory Attributes sAMAccountName und Teilzeichenfolgen des Attributes displayName (getrennt durch Komma, Punkt, Bindestrich, Unterstrich, Leerzeichen, Raute oder Tabulator) zur Ablehnung führen.

Für darüber hinausgehende Anforderungen an den Ausschluss von Zeichenfolgen muss ein eigener Passwortfilter entwickelt und eingebunden werden.

Inhaltsverzeichnis

  • 1 Mit Azure AD Passwortschutz Zeichenfolgen vermeiden
  • 2 Cloud Passwortschutz für lokalen Benutzerkonten
  • 3 Azure AD Passwortschutz mit Windows Server Active Directory
  • 4 Fazit

Mit Azure AD Passwortschutz Zeichenfolgen vermeiden

In der Microsoft Cloud bietet die Azure Active Directory (Azure AD) Passwortrichtlinie keine nennenswerten Unterschiede für Zeichenfolgen gegenüber dem Pendant im lokalen Active Directory.

Azure AD Passwortschutz Zeichenfolgen vermeiden

Aber es existiert eine zusätzliche Funktionalität Namens Azure AD Passwortschutz (Azure AD Password Protection), deren Ziel es ist, „schwache“ Passwörter zu vermeiden. Der Azure AD Passwortschutz basiert auf zwei Listen:

  • Globale Sperrliste: Diese Liste wird von Microsoft verwaltet und über Azure AD Telemetriedaten, mit globalen Password Leaks oder weiteren schwachen Zeichenfolgen aktualisiert. Dies ist ein fortlaufender Prozess, um aktuellen Rahmenbedingungen gerecht zu werden.
  • Benutzerdefinierte Sperrliste: Diese Liste wird in Eigenverantwortung verwaltet. Man kann ausschließen, dass z.B. der Firmenname oder Produktname in Passwörtern verwendet werden darf.

Mit den bereitgestellten Zeichenfolgen wird bei einem Passwortwechsel die eingegebene Zeichenfolge mit einem Punktesystem bewertet. Bei einem Wert von mindestens 5 wird die Zeichenfolge als gültig angesehen. Der Prozess der Bewertung ist wie folgt:

  1. Normalisierung: In diesem Schritt werden Großbuchstaben durch das kleingeschriebene Pendant ersetzt und gängiger Zeichenaustausch (z.B. „0“ nach „o“, „$“ nach „s“ oder „1“ nach „l“) wird zurückgenommen (Beispiel: „P@$$w0rd“ wird zu „password“).
  2. Fuzzy Übereinstimmung: Die Einträge aus den Sperrlisten werden vollständig oder als Teilübereinstimmung in der normalisierten Zeichenfolge gesucht. Dabei wird auch eine Editierdistanz von 1 angewendet, d.h. der Eintrag aus der Sperrliste unterscheidet sich mit der (Teil)-Zeichenfolge durch eine Einfüge-, Lösch- oder Ersetz-Operation. (Beispiel: „passwort“ = „password“ oder „passwort“ = „passort“)
  3. Vordefinierte Zeichenfolgen: Die jeweiligen Zeichenfolgen größer als drei Zeichen bestehend aus Vor- und Nachname sowie dem Namen des Azure Mandanten führen bei einer Übereinstimmung zur direkten Ablehnung des Passwortes
  4. Bewertung: Jede gefundene Fuzzy Übereinstimmung wird mit einem Punkt bewertet. Alle übrig gebliebenen Zeichen werden zusätzlich mit einem Punkt berechnet.

Die globale Sperrliste steht standardmäßig für jedes cloudbasierte Benutzerkonto zur Verfügung. Für die Verwendung einer benutzerdefinierten Sperrliste ist mindestens eine Azure AD Premium P1 Lizenz notwendig.

Authentifizierungsmethoden im Azure AD

Cloud Passwortschutz für lokalen Benutzerkonten

Microsoft hat die Funktionalität um eine Komponente für das Windows Server Active Directory erweitert, d.h. die globale und, sofern genutzt, die benutzerdefinierte Sperrliste wird bei einer Passwortänderung eines Active Directory Benutzerkontos mit dem oben beschriebenen Bewertungssystem angewendet. Die Funktionalität kann in einem von zwei Modi betrieben werden:

  1. Überwachungs-Modus: In diesem Modus wird eine Passwortänderung gemäß der lokal geltenden Passwortrichtlinien erlaubt, aber eine Konformität oder Ablehnung gegenüber der Sperrlisten wird im Ereignisprotokoll des jeweiligen Domänencontrollers vermerkt.
  2. Erzwingungs-Modus: In diesem Modus gelten sowohl die lokalen Passwortrichtlinien als auch der Azure AD Passwortschutz bei einer Passwortänderung. Zusätzlich wird, wie im Überwachungs-Modus, eine entsprechende Information im Ereignisprotokoll vermerkt.
Kennwortschutz für Cloud und On-Prem Umgebung

Unabhängig davon werden die Sperrlisten in der SYSVOL Freigabe zwischengespeichert. Stündlich verifiziert jeder Domänencontroller das Alter der Sperrlisten. Sind diese älter als eine Stunde, dann wird eine Aktualisierung angefordert.

IDM-Portal Password Reset

Passwörter selbst zurücksetzen

Prozesse, um Passwörter zurückzusetzen, dauern lange und überlasten die IT-Abteilung. Mit Hilfe des FirstWare IDM-Portals und unter Berücksichtigung wichtiger Sicherheitsaspekte, setzen Helpdesk, Abteilungskollegen oder Vorgesetzte das Kennwort von anderen zurück.

Azure AD Passwortschutz mit Windows Server Active Directory

Für diese Funktionalität hat Microsoft ein Architekturschaubild vorbereitet, so dass eine einfache Bereitstellung ohne Planung ausgeschlossen werden kann. Doch erst einmal zu den Voraussetzungen:

  • Einen Azure Mandanten
  • Alle Azure Benutzerkonten, die aus dem Windows Server Active Directory in das Azure AD synchronisiert werden, müssen mindestens eine Azure AD Premium P1 Lizenz zugeordnet haben (Alle nicht-synchronisierten Benutzer dürfen den Azure AD Passwortschutz auch nutzen)
  • Mindestens einen Mitgliedsserver, der eine Proxy Funktionalität zwischen den Agenten auf den Domänencontrollern und dem Azure AD wahrnimmt (darf nicht den Azure AD-Anwendungsproxy enthalten)
  • Die Replikation der SYSVOL Ordnerstruktur im Windows Server Active Directory wird mit dem Dienst DFS-R durchgeführt (der Dateireplikationsdienst wird nicht unterstützt)

Sind diese Voraussetzungen erfüllt, dann können die benötigten Dienste eingerichtet und die Funktionalität für das Windows Server Active Directory aktiviert werden. Dazu nun das bereits erwähnte Architekturschaubild:

Architekturschaubild für Azure AD Passwortschutz

Die Einrichtung beginnt mit dem Azure AD Passwortschutz Proxydienst, der auf einem Mitgliedsserver in der bereitzustellenden Active Directory Gesamtstruktur installiert wird (z.B. auf dem Azure AD Connect System). Für einen besseren Ausfallschutz des Dienstes sollte dieser noch auf einem weiteren System geplant werden. Per PowerShell cmdlet wird für jede Instanz des Proxydienstes ein Service Connection Point (SCP) im Windows Server Active Directory angelegt und gleichzeitig die Registrierung im Azure AD durchgeführt (Azure AD Global Admin und Organisations-Admin werden dazu benötigt).

Sollen mehrere Windows Server Active Directory Gesamtstrukturen im Unternehmensnetzwerk den Azure AD Passwortschutz verwenden, dann wird pro Gesamtstruktur mindestens eine Instanz des Azure AD Passwortschutz Proxydienstes vorausgesetzt. Zusätzlich muss jede Windows Server Active Directory Gesamtstruktur einmalig für Azure AD Passwortschutz im Azure AD bekannt gemacht werden.

Windows Server Active Directory Gesamtstruktur einmalig für Azure AD Passwortschutz im Azure AD bekannt machen

Nachdem der Proxy Dienst in der lokalen Infrastruktur bereitgestellt ist, können die Azure AD Passwortschutz DC Agenten auf Domänencontrollern installiert werden. Bei der Installation wird auf dem Domänencontroller eine zusätzliche Passwortfilter-DLL registriert, die mit dem Azure AD Passwortschutz DC Agenten kommuniziert, um ein Kennwort gegen die lokalen Kopien der beiden Sperrlisten zu verifizieren.

Die Passwortfilter-DLL ist eine Ergänzung zu den schon bestehenden Filtern. Für das Active Directory ist eine Zeichenfolge valide, wenn alle Passwortfilter dieser zustimmen. Um eine Aktualisierung der Sperrlisten zu erhalten, kommuniziert der Azure AD Passwortschutz DC Agent mit dem Proxydienst, der über den registrierten SCP im Active Directory gefunden wird. Eine neu erhaltene Liste wird in der SYSVOL-Dateistruktur abgelegt (siehe Bild) und somit auf alle Domänencontroller der Domäne repliziert, so dass auch nicht jeder Domänencontroller die Sperrlisten anfragen muss.

Passwortfilter-DLL

Die Bereitstellung der Agenten auf alle Domänencontroller einer Domäne kann stufenweise erfolgen, so dass in diesem Fall der Azure AD Passwortschutz nur auf den Domänencontrollern aktiv ist, auf denen auch der Azure AD Passwortschutz DC Agent in Betrieb ist. D.h. ändert ein Benutzer sein Passwort auf einem Domänencontroller, auf dem der Agent noch nicht bereitgestellt ist, dann finden die beiden vordefinierten Sperrlisten keine Anwendung. Diese Vorgehensweise kann z.B. für erste Tests der Funktionalität in der produktiven Infrastruktur genutzt werden.

Zeichenfolgen in Passwörtern

Der Azure AD Passwortschutz sollte zuerst im Überwachungs-Modus verwendet werden, um sich als Administrator mit dem Betrieb des Dienstes vertraut zu machen. Gegebenenfalls können die Auswirkungen der beiden Sperrlisten abgeschätzt oder Benutzer auf eine unvorteilhafte Zusammensetzung der gewählten Zeichenfolge für das eigene Kennwort hingewiesen werden. In einem zweiten Schritt kann der Modus dann gewechselt und der Azure AD Passwortschutz vollständig aktiviert werden.

Fazit

Sind die vorausgesetzten Azure Lizenzen vorhanden, dann kann mit relativ einfachen Mitteln die Qualität der Benutzerpasswörter im Azure AD und im Windows Server Active Directory eines Unternehmens erhöht werden. Die Weboberfläche im Azure Portal bietet die Möglichkeit, die benutzerdefinierte Sperrliste für Azure AD und Windows Server Active Directory einheitlich zu pflegen. Im Unternehmensnetzwerk verhindert die Architektur des Dienstes, dass die Domänencontroller einen direkten Kommunikationsweg mit einem Clouddienst unterhalten. Durch einen lokalen Cache wird eine vorübergehende Einschränkung in der Erreichbarkeit des Clouddienstes kompensiert.

Für einen Benutzer ist die Einrichtung transparent. Dieser erhält, egal ob über eine Passwortrichtlinie oder den Azure AD Passwortschutz, den identischen kryptischen Hinweis, dass seine gewählte Zeichenfolge gegen eine Kennwortvorgabe verstößt. Ein Administrator muss, sofern er keinen zentralen Sammeldienst für Ereignisse hat, den entsprechenden Domänencontroller finden, auf dem die Kennwortänderung durchgeführt wurde. Anschließend muss er nach dem Protokolleintrag suchen, der Aufschluss gibt, weshalb eine Zeichenfolge basierend auf dem Azure AD Passwortschutz abgelehnt worden ist.

Unterstützung benötigt?

Gerne stellen wir Ihnen unsere Leistungen und Lösungen in einem persönlichen Gespräch vor und würden uns über Ihre Kontaktaufnahme sehr freuen!

Artikel weiterempfehlen:
  • teilen
  • tweeten
  • sharen
  • xingen
  • mailen
Artikel erstellt am: 02.03.2021
Tags: Azure ADAzure AD Passwort
1

You also might be interested in

windows-365-azure-virtual-desktop

Windows 365 und Azure AD verstehen in Theorie und Praxis

Aug 31, 2021

Mit Windows 365 stellt Microsoft seinen neuen Cloud-PC zur Verfügung,[...]

user principal name featured image

Azure Basics: Azure AD User Pricipal Name – UPN

Okt 27, 2016

Auch beim Thema Azure AD User Principal Name gilt: Eine sorgfältige[...]

azure-portal-azure-ad

AD Verwaltung jetzt auch im neuen Azure Portal

Sep 15, 2016

Seit Kurzem ist die Verwaltung des AzureAD nun auch über[...]

Leave a Reply

<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>
Cancel Reply

FirstWare IDM-Portal im Test: IT-Administrator 08-2022

 

ADFAQ-FirstAttribute

Wer schreibt ?

Team der FirstAttribute AG

Consultants und Entwickler der FirstAttribute arbeiten seit mehr als 20 Jahren in IAM- und Cloud-Transition-Projekten.
Zusammen verfügen Sie über einen wertvollen Erfahrungsschatz im Bereich Active Directory und Azure AD und teilen diesen auf Active Directory FAQ.

Neueste Artikel

  • 8 Tipps für mehr Sicherheit in Active Directory und Backups von AD
  • Azure AD Custom Security Attributes ermöglichen flexible Berechtigungsstrukturen
  • Dateiberechtigungen in MS Teams und SharePoint Online verwalten – So funktioniert es
  • AD-Gruppen in Microsoft Teams verwenden – Dynamische Gruppen in der Praxis
  • Verbindung zwischen Microsoft 365 und SharePoint Online zu Azure AD

Unsere IAM-Lösungen

Ihre IAM-Lösung: FirstWare IDM-Portal

 

my-IAM für Cloud Identity Management in Microsoft Teams

Kontakt aufnehmen

Sie haben eine Frage oder Anmerkung? Schicken Sie uns schnell eine Nachricht.

Nachricht senden
Jetzt AD Tasks vereinfachen und delegieren: FirstWare IDM-Portal

Folgen Sie uns

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 400
  • https://www.firstattribute.com

Schlagwörter

.Net ACL Active Directory AD LDS AD Objekt Azure AD Berechtigung Cloud cmdlets Delegation Domain Controller dynamicgroup dynamische Gruppen Exchange Exchange-Ordner Exchange-Postfach Exchange Migration Federation FirstWare Get-Mailbox Global Catalog Group Policy Gruppen Gruppenmitgliedschaft IDM-Portal LDAP m365 Microsoft Azure Migration New-ADUser Novell NTFS Office 365 PowerShell QMM QMM AD QMM Exchange Quest Migration Manager Schema Set-ADUser SID SID History Update Windows 10 Windows Server 2012 R2

Neueste Kommentare

  • activedirectoryfaq.com sharepoint login - infoslist bei Windows 365 und Azure AD verstehen in Theorie und Praxis
  • Domäne Letzte Anmeldung - ObenGesichert.com bei LastLogon vs. LastLogonTimestamp
  • Teams Code Zur Anmeldung - ObenGesichert.com bei Authentifizierung für MS Teams in hybriden Netzwerken
Login
Impressum
Datenschutzerklärung

© 2023 · Active-Directory-FAQ by firstattribute.com

Prev Next