Benutzer und Kennwörter mit Gruppenrichtlinien absichern

Sicher aufbewahrt

Bei der Sicherheit im Unternehmensnetz stehen die Benutzer-Credentials ganz oben auf der Liste. Lassen sich Login-Daten einfach stehlen, haben Angreifer leichtes Spiel. Daher sollten Administratoren über Gruppenrichtlinien für robuste Kennwörter und den sicheren Umgang mit diesen sorgen. Seit Windows 8.1 und Windows 10 stehen zahlreiche Anmelde- und Sicherheitsfunktionen zur Verfügung, um die Anmeldung von Anwendern über Benutzernamen und Kennwörter zu kontrollieren.
Während die IT-Budgets in kleineren Unternehmen oft überschaubar ausfallen, sind die Anforderungen dieselben wie in großen Firmen. Die April-Ausgabe widmet ... (mehr)

Bevor wir uns an die Kennwort-Einstellungen machen, sollten Sie regelmäßig überprüfen, welche Benutzer im Active Directory nicht mehr aktiv sind. Der beste Schutz für Kennwörter im Verzeichnisdienst besteht nämlich darin, nicht mehr notwendige Konten zu entfernen. Dazu verwenden Sie auf dem Domaincontroller den Befehl

> dsquery user -inactive Anzahl der Wochen

So erkennen Sie auf einem Blick, welche Benutzerkonten nicht mehr aktiv sind.

Benutzerkonten, die im Alltag genutzt werden – auch von Administratoren –, sollten niemals über Administrator-Rechte verfügen. Auch Admins sollten bei der normalen Arbeit mit einfachen Benutzerkonten arbeiten. Nur bei Administrator-Aufgaben kommen spezielle Benutzerkonten zum Einsatz. In Netzwerken dürfen darüber hinaus nicht zu viele Administrator-Konten vorhanden sein. Und auch die Administrator-Konten sollten wiederum in ihren Rechten eingeschränkt sein und nur die für die Arbeit notwendigen Befugnisse besitzen. Administratoren müssen sich dann zwar häufiger neu anmelden, dafür steigt die Sicherheit. Natürlich sollten die Benutzerkonten dabei über sichere und komplexe Kennwörter mit mindestens 15 Zeichen Länge verfügen, die regelmäßig geändert werden.

Pass-the-Hash unterbinden

Wenig Schutz bietet dieses Vorgehen bei Pass-the-Hash-Attacken (PtH) – und damit geht es schon ans Eingemachte. Dabei handelt es sich um ausgefeilte Kennwort-Angriffe im Netzwerk. Davon betroffen sind ältere wie aktuelle Windows-Versionen. PtH-Angriffe zielen dabei nicht auf die Kennwörter selbst ab, sondern auf die Hash-Werte, die im Active Directory erzeugt werden, nachdem sich ein Benutzer authentifiziert hat. Vor allem in Umgebungen mit Single Sign-On (SSO) lassen sich Hashes leicht auslesen, da die Daten auch zu anderen Diensten verschickt werden, um Anwender zu authentifizieren. Der Hash des Kennworts –

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2021