5. Juni 2019 Susan Bradley* und Julia Krokoszinski

So richten Sie Passwortrichtlinien in Azure AD Password Protection ein

Wann haben Sie Ihre Passwortrichtlinien zum letzten Mal überprüft? Möglicherweise ist es an der Zeit, ein entsprechendes Update vorzunehmen, und Microsoft Azure verfügt über ein gutes Tool zum Einrichten und Verwalten dieser Richtlinien. [...]

img-1
Starke Passwortrichtlinien sind eine der wichtigsten Präventivmaßnahmen für die Netzwerksicherheit. Microsoft Azure bietet ein passendes Tool dafür (c) Pixabay.com

Wenn Sie wie die meisten IT-Administratoren arbeiten, haben Sie schon lange das Mandat, regelmäßig Ihre Passwörter zu ändern. Dabei haben Sie wahrscheinlich eine Mindestlänge von Passwörtern festgelegt. Und doch wählen Ihre Benutzer immer noch leicht zu erratene Passwörter. Wie in den Sicherheitsrichtlinien von Windows 10 1903 erwähnt wird, fördern Passwortrichtlinien, die häufige Passwortänderungen erfordern, tatsächlich eine schlechtere Passwortauswahl.

Ihre Richtlinien sollten gute Passwörter fördern und schlechte verhindern. Eine Möglichkeit, dies zu erreichen, ist mit Azure AD Password Protection. Natürlich müssen Sie Azure Active Directory dazu mit Ihrer bestehenden AD-Infrastruktur synchronisieren.

Melden Sie sich zunächst mit einem globalen Administratorkonto im Microsoft Azure-Portal an. Navigieren Sie anschließend zu Azure Active Directory und dann zu den Authentifizierungsmethoden, wo Sie den Passwortschutz sehen, wie dargestellt:

img-2
Azure AD Passwortschutz Authentifizierungsmethoden (c) Susan Bradley

Authentifizierungsverfahren in Azure AD Password Protection

Sie sollten eine benutzerdefinierte Liste mit gesperrten Passwörtern aktivieren, die die Auflistung bekannter, häufig verwendeter Passwörter enthält, um sicherzustellen, dass diese nicht in Ihrem Netzwerk verwendet werden.

Um den Azure-Passwortschutz in Ihr lokales Netzwerk zu integrieren, richten Sie die Infrastruktur auf Ihrer vorhandenen Domäne ein. So lauten die Anforderungen, die Sie erfüllen müssen:

  • Alle Domain Controller, die den Domain Controller (DC) Agent Service für den Azure AD Passwortschutz installiert haben, müssen Windows Server 2012 oder höher verwenden. Sie brauchen 2012 nicht, da die AD-Domain oder das Forest Level auf 2012 Level sind. Es ist keine minimale Funktionsebene der Domäne oder des Forest Functional Level erforderlich.
  • Auf allen Rechnern, auf denen der DC-Agentendienst installiert ist, muss .NET 4.5 (oder höher) installiert sein.
  • Alle Computer, auf denen der Proxy-Dienst für den Passwortschutz von Azure AD installiert ist, müssen Windows Server 2012 R2 oder höher verwenden. Der Proxy-Dienst muss installiert sein, auch wenn der Server direkten Zugriff auf das Internet hat.
  • Auf allen Rechnern, auf denen der Azure AD Password Protection Proxy-Dienst installiert wird, muss .NET 4.7 installiert sein. Wenn .NET 4.7 nicht installiert ist, laden Sie das Installationsprogramm herunter und führen Sie es aus.
  • Alle Computer, einschließlich den Domain Controllern, auf denen Azure AD Passwortschutz-Komponenten installiert sind, müssen über die Universal C Runtime verfügen. Sie können die Runtime über die Update-Website für Universal C Runtime im Windows herunterladen.
  • Die Netzwerkverbindung muss zwischen mindestens einem Domain Controller in jeder Domain und mindestens einem Server, der den Proxy-Dienst zum Passwortschutz hostet, bestehen. Diese Konnektivität muss es dem Domain Controller ermöglichen, auf den RPC-Endpunkt-Mapper-Port 135 und den RPC-Server-Port im Proxy-Dienst zuzugreifen. Standardmäßig ist der RPC-Serverport ein dynamischer RPC-Port, kann aber so konfiguriert werden, dass er einen statischen Port verwendet.
  • Alle Computer, die den Proxy-Dienst hosten, müssen Netzwerkzugriff auf die folgenden URLs haben:
    • https://login.microsoftonline.com (Authentifizierungsanfragen)
    • https://enterpriseregistration.windows.net (Azure AD Passwortschutz-Funktionalität)
  • Alle Computer, die den Proxy-Dienst zum Passwortschutz hosten, müssen so konfiguriert sein, dass sie ausgehenden TLS 1.2 HTTP-Verkehr zulassen.
  • Ein globales Administratorkonto ist erforderlich, um den Proxy-Dienst für den Passwortschutz und Forest bei Azure AD zu registrieren.
  • Sie benötigen ein Konto, das über Administratorrechte für Active Directory-Domänen in der Root-Domäne des Forums verfügt, um die Windows Server Active Directory-Forests bei Azure AD zu registrieren.
  • Jede Active Directory-Domäne, die die DC Agent Servicesoftware ausführt, muss die Distributed File System Replication (DFSR) für die System Volume (SYSVOL) Replikation verwenden.
  • Der Key Distribution Service muss für alle Domain Controller in der Domäne mit Windows Server 2012 aktiviert sein. Standardmäßig ist dieser Dienst über den manuellen Triggerstart aktiviert.
Azure Machine Learning: So verwenden Sie die neue Anomalie-Erkennung

Wenn Sie die Azure AD Passwortrichtlinien einrichten, beachten Sie die folgenden Design-Grundlagen:

  • Es ist nicht vorgesehen, dass Domain Controller niemals direkt mit dem Internet kommunizieren müssen, daher das Mandat für die Nutzung des Proxy-Service.
  • Es werden keine neuen Netzwerkports auf Domain Controllern eröffnet.
  • Es sind keine AD-Schemaänderungen erforderlich. Die Software verwendet die vorhandenen AD-Container- und serviceConnectionPoint-Schemaobjekte.
  • Es ist keine minimale AD-Domäne oder Forest Functional Level (DFL/FFL) erforderlich.
  • Die Software erstellt oder benötigt keine Konten in den von ihr geschützten AD-Domänen.
  • Klartextkennwörter eines Benutzers verlassen die DC niemals, weder während der Passwortvalidierung noch zu einem anderen Zeitpunkt.
  • Die Software ist nicht von anderen Azure AD-Funktionen abhängig. Beispielsweise ist die Azure AD Passwort-Hash-Synchronisation nicht damit verbunden und wird nicht benötigt, damit der Azure AD Passwortschutz ordnungsgemäß funktioniert.
  • Eine inkrementelle Bereitstellung wird unterstützt. Die Passwortrichtlinie wird jedoch nur dort durchgesetzt, wo der DC-Agent installiert ist.

Sie sollten die Möglichkeit in Betracht ziehen, Ihre AD-Passwörter anhand einer Datenbank mit bekannten Passwortverletzungen und Hash-Werten zu vergleichen, um sicherzustellen, dass die Wiederverwendung von Passwörtern Ihr Netzwerk nicht noch unsicherer macht. Sie können sogar die Funktion einrichten, nach missbrauchten Passwörtern in Ihrer bestehenden Domäne zu suchen. Sie sollten sich in die externe Datenbank „HaveIbeenpwned“ mit gehackten Passwörtern einloggen, um die Passwörter Ihrer Benutzer zu prüfen. Dies birgt zwar ein gewisses Risiko, aber der Vorteil, dass Endbenutzer keine Passwörter wieder- oder leicht zu erratende Passwörter verwenden, ist dadurch enorm.

Nehmen Sie sich die Zeit, Ihre Passwortstrategie gründlich zu durchdenken. Fügen Sie externe Datenbanken hinzu, die sicherstellen, dass Endbenutzer Passwörter nicht erneut verwenden. All dies sorgt dafür, dass Sie keinen Angriff erleiden werden, bei dem sich der Angreifer mal eben den Weg in Ihr Netzwerk „erraten“ hat.

*Susan Bradley schreibt unter anderem für CSO.com


Mehr Artikel

img-3
News

Geschichte zum Angreifen: FHWN ermöglicht barrierefreien Zugang zu historischem Artefakt

24. Juni 2024

Eine außergewöhnliche Zusammenarbeit zwischen Studierenden des Bachelor-Studiengangs Wirtschaftsingenieur der FH Wiener Neustadt, dem Innovation Lab und dem Museum St. Peter an der Sperr hat ein bemerkenswertes Projekt hervorgebracht. Ziel war es, den Corvinusbecher, ein wertvolles Objekt aus dem 15. Jahrhundert, für Menschen mit Sehbehinderungen, Blinde und neugierige Kinder erlebbar zu machen. […]

img-9
News

Innovative Überwachungsplattform für kritische Infrastruktur

21. Juni 2024

Der auf Sensor- und Monitoring-Technologie spezialisierte Hersteller HW group bringt mit der neuen Perseus Monitoring Serie eine umfassende, netzwerkfähige Fernüberwachungs-Lösung auf den Markt. Perseus ist eine intelligente Monitoring-Plattform, die entwickelt wurde, um eine breite Palette von Daten einfach zu lesen und aufzuzeichnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*