Best Practices für Passwortrichtlinien für Active Directory und Cloud-Anwendungen in ADSelfService Plus

Benutzerkonten zuverlässig gegen Angriffe abzusichern, ist keine einfache Aufgabe für IT-Abteilungen. Die Sicherheit der verwendeten Passwörter ist dabei zwar nur einer von vielen Teilaspekten, sollte aber trotzdem nicht vernachlässigt werden.

Bei der Passwortsicherheit sind zwei Aspekte relevant: Zum einen sollten Sie strenge Passwortrichtlinien festlegen und mithilfe einer geeigneten Lösung wie ADSelfService Plus auch konsequent durchsetzen. Zum anderen lohnt es sich, Ihre Anwender regelmäßig zur Auswahl geeigneter Passwörter und deren Aufbewahrung zu schulen.

Wir haben in diesem Artikel einige Tipps und Tricks für Benutzer und Administratoren zusammengestellt, die beim Erstellen von sicheren Passwörtern für das Active Directory oder für Cloud-Anwendungen berücksichtigt werden sollten. Diese können Sie gerne an Ihre Mitarbeiter weitergeben.

Im zweiten Teil des Artikels zeigen wir Ihnen Schritt für Schritt, wie Sie die Passwortrichtlinien in ADSelfService Plus einrichten bzw. anpassen können und welche Best Practices wir Ihnen dabei empfehlen.

Dos and Don'ts für Anwender: Bewährte Best Practices für sichere Passwörter

Verwenden Sie keine häufig verwendeten Passwörter wie „Passwort“, Ihren Namen oder ein Wort aus dem Wörterbuch.

Verwenden Sie keine Tastaturfolgen oder Muster wie „asdf“ oder „123456“ in Ihrem Passwort.

Verwenden Sie keine leicht zugänglichen Informationen wie Ihr Geburtsdatum, Ihre Telefonnummer oder Ihr Autokennzeichen. Die Namen von Familienmitgliedern, Haustieren oder Ihres Lieblingsfußballvereines eignen sich übrigens auch nicht für sichere Passwörter.

Verwenden Sie Passwörter mit einer Mindestlänge von 10 bis 12 Zeichen, die Zahlen, Groß- und Kleinbuchstaben und Sonderzeichen enthalten. Je länger und komplexer das Passwort, desto schwieriger lässt es sich knacken.

Verwenden Sie Passphrasen. Während durchschnittliche Passwörter meist sechs bis zehn Zeichen lang sind, können Passphrasen bis zu mehreren hundert Zeichen lang sein. Sie können für eine Passphrase beispielsweise einen für Sie leicht zu merkenden Satz (bitte keine bekannten Zitate aus Gedichten oder Liedern) bilden und diesen nach individuellen Regeln verfremden (z. B. indem Sie bestimmte Buchstaben durch Zahlen oder Sonderzeichen ersetzen).

Schreiben Sie Ihre Passwörter nicht auf. Unter der Tastatur oder auf einem Post-it am Bildschirm ist kein sicherer Aufbewahrungsort für Passwörter. Und bitte speichern Sie Passwörter nicht in Ihrem Browser.
Besser sind Passwörter in Passwort-Management-Tools wie Password Manager Pro von ManageEngine aufgehoben.

Verwenden Sie keine voreingestellten Default-Passwörter. Falls Sie bei der Registrierung ein automatisch generiertes Passwort zugeschickt bekommen, ändern Sie dieses umgehend.

Geben Sie keine Passwörter an andere Personen weiter.

 

Verwenden Sie Passwörter nicht für mehrere Accounts.

 

Ändern Sie Ihre Passwörter alle 90 Tage.

Passwortrichtlinien in ADSelfService Plus konfigurieren

Egal, wie gut Sie Ihre Anwender zum Thema Passwortsicherheit schulen: Sie können nicht darauf vertrauen, dass alle die oben genannten Best Practices selbständig und korrekt umsetzen. Mit der Self-Service-Passwort-Management- und Single-Sign-On-Lösung ADSelfService Plus können Sie allerdings sehr einfach strenge Passwortrichtlinien konfigurieren und so die Anwender zwingen, diese Vorgaben bei ihren Passwörtern zu berücksichtigen.

Die Lösung bietet erweiterte Optionen für Passwortrichtlinien, die folgendes ermöglichen:

  1. Minimieren Sie die Wiederverwendung von Passwörtern
  2. Schränken Sie schwache Passwörter, Wörterbuchwörter, Tastaturfolgen, Muster und Palindrome ein
  3. Verwenden Sie den „Have I Been Pwned“-API-Dienst
  4. Erzwingen Sie Mindest- und Höchstlängen von Benutzerpasswörtern
  5. Zeigen Sie Ihren Benutzern die Passwortstärke beim Zurücksetzen und Ändern von Passwörtern an
  6. Fördern Sie die Verwendung von Passphrasen.
  7. Setzen Sie Passwörter für Dienstkonten einmal pro Jahr und lokale Admin-Konten alle 180 Tage zurück.
  8. Dokumentieren Sie die Passwort-Self-Service-Aktivitäten Ihrer Anwender für Audit-Zwecke.
  9. Benachrichtigen Sie Ihre Anwender per SMS, E-Mail oder Push-Benachrichtigung, wenn deren Passwörter in Kürze ablaufen.
  10. Erzwingen Sie eine Multi-Faktor-Authentifizierung (MFA) zur Anmeldung an Endpoints.

1. Minimieren Sie die Wiederverwendung von Passwörtern, indem Sie einen Passwortverlauf erzwingen.

So verhindern Sie mit ADSelfService Plus, dass Anwender alte Passwörter wiederverwenden:

  • Melden Sie sich bei ADSelfService Plus an und klicken Sie auf den Reiter Konfiguration.
  • Klicken Sie unter Self-Service auf Kennwortrichtlinienerzwinger.
  • Wählen Sie in der Dropdown-Liste Richtlinie auswählen eine Richtlinie aus.
  • Aktivieren Sie Spezifische Kennwortrichtlinie erzwingen.
  • Klicken Sie auf Restrict Repetion, setzen Sie das Häkchen bei Anzahl alter Kennwörter zum Einschränken bei Kennwortrücksetzung und geben Sie die gewünschte Anzahl ein.
  • Klicken Sie auf Speichern.
Screenshot ADSelfService Plus: Passwortwiederholung in Passwortrichtlinien einschränken
Screenshot ADSelfService Plus: In den Passwortrichtlinien können Sie die Wiederholung alter Passwörter einschränken.

2. Wehren Sie Angriffe auf Anmeldedaten ab, indem Sie schwache Passwörter, Wörterbuchwörter, Tastaturfolgen, Muster und Palindrome einschränken.

So verhindern Sie schwache Passwörter in ADSelfService Plus:

  • Gehen Sie zu Konfiguration > Self-Service > Kennwortrichtlinienerzwinger.
  • Wählen Sie in der Dropdown-Liste Richtlinie auswählen die Richtlinie aus, die Sie ändern möchten.
  • Aktivieren Sie Spezifische Kennwortrichtlinie erzwingen.
  • Klicken Sie auf Restrict Pattern und aktivieren Sie die folgenden Einstellungen:
    • Palindrom-Kennwörter verbieten
    • Verwendung von Wörterbucheinträgen (Hier können Sie mit einem Klick auf Wörterbuch wählen das Wörterbuch auswählen, das verwendet werden soll.)
    • Verwendung dieser Muster verbieten (Klicken Sie auf Muster ändern, um eigene Muster hinzufügen).
  • Klicken Sie auf Speichern.
Screenshot ADSelfService Plus: Muster und Wörterbuchwörter in Passwortrichtlinien einschränken
Screenshot ADSelfService Plus: In den Passwortrichtlinien können Sie die Verwendung von Wörterbucheinträgen, Palindromen oder anderen Mustern verbieten.

3. Verwenden Sie den „Have I Been Pwned“-API-Dienst, um sicherzustellen, dass Benutzer beim Zurücksetzen und Ändern von Passwörtern keine kompromittierten Passwörter verwenden.

Eine detaillierte Anleitung, wie Sie den Dienst „Have I been Pwned“ in ADSelfService Plus integrieren, finden Sie hier.
 

4. Verhindern Sie Brute-Force-Angriffe, indem Sie die Mindest- und Höchstlänge von Passwörtern für Benutzer auf der Grundlage ihrer OU- und Gruppenmitgliedschaften erzwingen.

So stellen Sie die Mindest- und Höchstlänge von Passwörtern in ADSelfService Plus ein:

  • Gehen Sie zu Konfiguration > Self-Service > Kennwortrichtlinienerzwinger.
  • Wählen Sie in der Dropdown-Liste Richtlinie auswählen die Richtlinie aus, die Sie ändern möchten.
  • Aktivieren Sie Spezifische Kennwortrichtlinie erzwingen.
  • Klicken Sie auf Restrict Length, aktivieren Sie Minimale Kennwortlänge und Maximale Kennwortlänge und geben Sie die gewünschten Werte ein.
  • Klicken Sie auf Speichern.
Screenshot ADSelfService Plus: Mindestlänge von Passwörtern in Passwortrichtlinien festlegen
Screenshot ADSelfService Plus: In den Passwortrichtlinien können Sie die Mindest- und maximale Länge von Passwörtern vorgeben.

5. Unterstützen Sie Anwender bei der Erstellung sicherer Passwörter, indem Sie die Passwortstärke beim Zurücksetzen und Ändern von Passwörtern anzeigen.

Die Funktion „Password Strength Analyzer“ von ADSelfService Plus zeigt Anwendern bei der Eingabe eines neuen Passworts mithilfe einer Farbskala an, ob das neue Passwort die Vorgaben für sichere Passwörter erfüllt (rot = neues Passwort erfüllt nicht alle Vorgaben, grün = Passwort entspricht den Passwortrichtlinien).

So aktivieren Sie die Funktion „Password Strength Analyzer“ in ADSelfService Plus:

  • Gegen Sie zu Konfiguration > Self-Service > Richtlinienkonfiguration.
  • Klicken Sie auf das Zahnrad in der Spalte Erweiterte.
  • Klicken Sie im nun geöffneten Fenster auf den Reiter Zurücksetzen und Entsperren.
  • Aktivieren Sie Analyzer für die Kennwortsicherheit aktivieren.
  • Klicken Sie auf Speichern.

6. Fördern Sie die Verwendung von Passphrasen.

Um Ihren Anwendern die Verwendung von Passphrases zu ermöglichen, sollten Sie die maximale Passwortlänge in den Passwortrichtlinien von ADSelfService Plus nicht so kurz wählen (siehe 4.)


7. Setzen Sie Passwörter für Dienstkonten einmal pro Jahr und lokale Admin-Konten alle 180 Tage zurück.


8. Dokumentieren Sie die Passwort-Self-Service-Aktivitäten Ihrer Anwender für Audit-Zwecke.

ADSelfService Plus bietet drei verschiedene Audit-Berichte, mit denen Sie die Aktivitäten Ihrer Anwender dokumentieren können. Weitere Details finden Sie hier.

9. Benachrichtigen Sie Ihre Anwender per SMS, E-Mail oder Push-Benachrichtigung, wenn deren Passwörter in Kürze ablaufen.

So aktivieren Sie die Benachrichtigungen zu in Kürze ablaufenden Passwörtern in ADSelfService Plus:

  • Gegen Sie zu Konfiguration > Self-Service > Kennwortablaufbenachrichtigung.
  • Wählen Sie bei Wähle Domain die gewünschte Domain und bei Noctification TypeBenachrichtigung über Kennwortablauf“ aus.
  • Passen Sie bei Planername ggf. den Namen der Benachrichtigung an.
  • Aktivieren Sie bei Notify Via die gewünschte(n) Methode(n) zur Benachrichtigung Ihrer Anwender.
  • Wählen Sie bei Notification Frequency aus, ob der Planer täglich, wöchentlich oder an einem bestimmten Tag ausgeführt werden soll.
  • Passen Sie ggf. an, wie viele Tage vor Ablauf die Erinnerung versendet werden soll.
  • Geben Sie den gewünschten Betreff ein und individualisieren Sie ggf. den Text der Nachricht.
  • Klicken Sie auf Speichern.
Screenshot ADSelfService Plus: Benachrichtigung bei Kennwortablauf
Screenshot ADSelfService Plus: Mit der Kennwortablaufbenachrichtigung können Sie Ihre Anwender automatisch informieren, dass ihr Passwort in Kürze abläuft.

10. Erzwingen Sie eine Multi-Faktor-Authentifizierung (MFA) zur Anmeldung an Endpoints.

So aktivieren Sie die Multi-Faktor-Authentifizierung (MFA) in ADSelfService Plus:

  • Melden Sie sich in ADSelfService Plus an und klicken Sie auf den Reiter Konfiguration.
  • Gehen Sie zu Self-Service > Multifaktor-Authentisierung > Authenticators Setup.
  • Wählen Sie in der Liste die Richtlinie aus, die Sie konfigurieren möchten.
  • Aktivieren Sie die gewünschten MFA-Methoden.

ManageEngine – Support & Kontakt


MicroNova AG
Unterfeldring 6
85256 Vierkirchen

Vertrieb
   +49 8139 9300-456
   Sales-ManageEngine@micronova.de

Technische Unterstützung
   Support kontaktieren