search
Das Medium für diejenigen, die das Unternehmen neu erfinden
Software anbieten

Was ist FGPP oder wie wendet man eine verfeinerte Passwortpolitik an?

Was ist FGPP oder wie wendet man eine verfeinerte Passwortpolitik an?

Von Jennifer Montérémal

Am 29. Oktober 2024

Die FGPP, oder verfeinerte Passwortstrategie, ist Teil der Passwortrichtlinien, die im Rahmen des Active Directory angewendet werden.

Was ist ihre Besonderheit? Sie erlaubt verschiedene Protokolle innerhalb einer Domäne.

Dies ist ein großer Vorteil in einem Geschäftsumfeld, in dem die Organisationen immer komplexer werden und die verschiedenen Abteilungen auf immer mehr Daten und Anwendungen zugreifen - mit unterschiedlichen Sensibilitäts- und Kritikalitätsgraden. Darüber hinaus wird die IT-Sicherheit zu einer immer wichtigeren Herausforderung für die Unternehmen.

Was ist also FGPP genau und was sind seine Vorteile? Gibt es Unterschiede zu einer Passwortstrategie, die über GPOs eingesetzt wird? Wie können Sie eine Fine Grained Password Policy in Ihrem Informationssystem umsetzen und welche Tools unterstützen Sie dabei?

Verschaffen wir uns einen Überblick.

Was ist FGPP?

FGPP steht für Fine Grained Password Policy und bedeutet übersetzt so viel wie verfeinerte Passwortstrategie. Sie wird als Teil einer Passwortrichtlinie ausgeführt, die über das Active Directory bereitgestellt wird.

💡 Zur Erinnerung: Das Active Directory, oder AD, wird als ein von Microsoft eingeführtes Verzeichnis von LDAP-Diensten (Lightweight Directory Access Protocol) definiert. Sein Ziel? Die Identifikations- und Authentifizierungselemente innerhalb eines einzigen Informationssystems in einer Windows-Umgebung zu zentralisieren.

Um dies zu erreichen, wird das Active Directory in verschiedene Objekte unterschiedlichen Typs (Ressourcen, Benutzer und Dienste) strukturiert.

Lange Zeit erlaubte das AD nicht, dass mehrere Passwortrichtlinien für eine Domäne angewendet werden. Aus diesem Grund entwickelte Microsoft mit der Einführung von Windows Server 2008 FGPP. So können Unternehmen nun verschiedene Richtlinien einführen, ohne neue Domänen erstellen zu müssen.

☝️ Beachten Sie: Eine Fine Grained Password Policy kann sich auf einen Benutzer oder eine Gruppe beziehen, nicht aber auf eine Organisationseinheit (ein administrativer Container, der in einer Domäne erstellt wurde).

Was ist der Unterschied zu GPOs?

GPOs (Group Policy Objects ) entsprechen einer Reihe von Gruppenrichtlinieneinstellungen, die ein System sowie sein Verhalten für die zugehörigen Benutzer festlegen.

Die Festlegung einer Passwortrichtlinie über GPOs ist nach wie vor die am weitesten verbreitete Methode, da sie seit der Einführung des Active Directory im Jahr 1999 erlaubt ist.

Was ist ihre Besonderheit?

Sie wird standardmäßig in der Domänenrichtlinie konfiguriert. Daher werden für die Benutzer einer Domäne die Einstellungen der Passwortrichtlinie angewendet, die durch ihre GPOs charakterisiert sind.

Mit anderen Worten: Für die Benutzer einer Domäne ist ein und dieselbe Passwortrichtlinie wirksam.

Was sind die Vor- und Nachteile?

FGPP und GPO haben die gleiche Liste von Einschränkungen (z. B. die erforderliche Mindestlänge). Wie wir gerade gesehen haben, unterscheiden sie sich jedoch in der Umsetzung.

GPOs und komplexe Passwörter können also Hand in Hand gehen ... aber es ist nur eine Richtlinie pro Domäne erlaubt. Diese Einschränkung zwingt Unternehmen dazu, mehr Domänen zu verwenden, wenn sie eine andere Richtlinie für verschiedene Benutzer oder Benutzergruppen anwenden möchten.

Im Gegensatz dazu bietet eine Fine Grained Password Policy den Unternehmen mehr Flexibilität. Sie können z. B. je nach Abteilung oder Sensibilität der Daten, auf die eine bestimmte Gruppe von Mitarbeitern Zugriff hat, unterschiedliche Längen von Passwörtern verlangen.

Sehen wir uns nun genauer an, wie man eine FGPP einsetzt.

Wie kann man verfeinerte Passwortrichtlinien einführen?

Die Voraussetzungen für FGPP

Für den Einsatz einer FGPP sind mehrere Voraussetzungen erforderlich.

Erstens muss mindestens eine Funktionsstufe von Windows Server 2008 vorhanden sein, da, wie wir uns erinnern, die Fine Grained Password Policy mit dieser Version eingeführt wurde.

Zweitens muss die Person, die die Konfiguration vornimmt, zwingend Administrator der betreffenden Domäne sein. Um dies zu gewährleisten, wird unter dem Domänennamen im Active Directory Administrative Center (ADAC) der folgende Vermerk angebracht: " system\Password Settings Container".

Die Anwendungsreihenfolge

Das Active Directory beinhaltet eine Hierarchie im Verzeichnis, die in Form einer Baumstruktur dargestellt wird, um Computer und Benutzer in Gruppen und Untergruppen zu organisieren.

Aus diesem Grund müssen Sie verstehen, wie die Anwendungsbefehle einer FGPP wirken.

  1. Zur Erinnerung: Die festgelegte Passwortrichtlinie wird entweder auf einen Benutzer oder auf eine Gruppe angewendet. Wir empfehlen Ihnen jedoch die erste Option. Auf diese Weise wird die gewählte Richtlinie automatisch für jede Gruppe wirksam, die den betreffenden Benutzer enthält.

  2. Wenn sich mehrere Richtlinien auf denselben Benutzer oder dieselbe Gruppe beziehen, priorisiert das System die Richtlinie mit dem niedrigsten Wert im Attribut " Vorrang" oder " Priorität".
    Wenn die Werte identisch sind, gewinnt die Richtlinie mit dem kleinsten GUID (Globally Unique IDentifier ).

  3. Wenn eine Gruppe weitere Gruppen enthält (verschachtelte Gruppen), wird das Protokoll auf alle Benutzer dieser Gruppen angewendet.

Die Parameter, die Sie angeben müssen

Länge, Komplexität, Ablaufdatum des Passworts... Active Directory ermöglicht es, verschiedene Parameter zu verwalten. Konkret bedeutet dies, dass Sie wie folgt vorgehen müssen.

Starten Sie die Active Directory-Konsole (in den Windows-Verwaltungstools) und klicken Sie auf Password Setting Container > New > Settings.

Nachdem Sie die Konfigurationsoberfläche gestartet haben, geben Sie die verschiedenen Eigenschaften Ihrer Passwortrichtlinie an. Dazu müssen Sie Werte in Felder eintragen oder je nach Vorliebe Kästchen an- und abwählen.

Hier sind die verschiedenen Parameter, um die es geht:

  • " Name" oder " Name": Hierbei handelt es sich um den Namen der Passwortrichtlinie. Er sollte idealerweise die betroffene Gruppe oder Einzelperson widerspiegeln.

  • " Precedence" oder " Priorität": Die FGPP Precedence gibt den Wert an, der zur Priorisierung verwendet wird, insbesondere wenn mehrere Fine Grained Password Policies auf einen Benutzer oder eine Gruppe angewendet werden. In diesem Fall haben die kleineren Zahlen Vorrang.

  • " Enforce minimum password length" oder " Mindestlänge des Passworts", in Anzahl der Zeichen.

  • " Enforce password history" oder " Anzahl der gespeicherten Passwörter", um die Wiederverwendung von Passwörtern zu verhindern.

  • " Password must meet complexity requirements" oder " Das Passwort muss die Sicherheitsanforderungen erfüllen": Mit diesem Attribut können Sie festlegen, ob das erforderliche Komplexitätsniveau eingehalten werden soll oder nicht. Die standardmäßig angewendeten Sicherheitsanforderungen operieren auf zwei Ebenen:
    • Das Passwort darf nicht den Benutzernamen (den Wert amAccountName) oder den gesamten Wert Vollständiger Name (displayName) enthalten;
    • es muss Zeichen aus mindestens drei der folgenden fünf Kategorien enthalten:
      • Großbuchstaben,
      • Kleinbuchstaben,
      • Ziffern,
      • Sonderzeichen und Unicode-Zeichen, die als alphabetische Zeichen klassifiziert sind (z. B. Zeichen aus asiatischen Sprachen).

  • " Store password using reversible encryption": Aus Sicherheitsgründen sollten Sie diese Option nicht bevorzugen.

  • " Protect from accidental deletion" oder " Vor versehentlichem Löschen schützen".

  • " Enforce minimum password age" oder " Mindestpasswortalter durchsetzen": diese Einstellung verwaltet die Mindestgültigkeitsdauer des Passworts, um zu häufige Änderungen zu vermeiden. Sie können einen Wert zwischen 1 und 998 Tagen festlegen oder Änderungen sofort zulassen, indem Sie 0 angeben.

  • " Enforce maximum password age" oder " Maximales Passwortalter anwenden" : dieses Merkmal legt fest, wann das Passwort erneuert werden soll, da eine ausreichend häufige Erneuerung eine der Voraussetzungen für die optimale Sicherheit einer Passwortrichtlinie ist. Legen Sie einen Wert zwischen 1 und 999 Tagen fest oder tragen Sie 0 ein, wenn Sie nicht möchten, dass Ihre Passwörter ablaufen.

  • " Enforce account lockout policy" oder " Kontosperrungsrichtlinie durchsetzen": Diese Einstellung umfasst :
    • " Number of failed logon attempts allowed" oder " Anzahl der zulässigen fehlgeschlagenen Anmeldeversuche",
    • Reset failed logon attempts count after" oder " Anzahl der fehlgeschlagenen Anmeldeversuche zurücksetzennach" oder " Anzahl der fehlgeschlagenen Anmeldeversuche zurücksetzen nach",
    • " Account will be locked out" oder " Das Konto wird gesperrt": Das Konto wird für eine Dauer von soundso lange (in Minuten) gesperrt, oder bis ein Administrator das Konto manuell entsperrt.

  • " Beschreibung": Sie können bei Bedarf eine Beschreibung hinzufügen. Geben Sie z. B. an, an welche Person sich die Einschränkungen richten, welche Funktionen und Verantwortlichkeiten sie in der Firma hat usw.

  • " Directly Applies to" oder "Gilt direkt für": Geben Sie an, für wen die Richtlinie gilt (Gruppe oder Benutzer).

Wenn Sie alle diese Einstellungen bestätigt haben, erscheint die Richtlinie im Password Settings Container (in einem Ordner mit dem Namen, der unter " Name" eingetragen ist).

Mit welchen Tools können Sie Ihre FGPP verwalten?

Wir haben gerade gesehen, wie man eine Passwortrichtlinie (oder sogar mehrere Passwortrichtlinien) mithilfe einer verfeinerten Richtlinie entwickeln kann .

Die zulässige Granularität kann sich jedoch als unzureichend erweisen. Erinnern wir uns nämlich daran, dass für das Attribut " Das Passwort muss die Sicherheitsanforderungen erfüllen" entweder ein Häkchen gesetzt oder ein

Um über die im Active Directory enthaltenen Standardregeln hinauszugehen, aber auch um die Umsetzung Ihrer Passwortpolitik zu erleichtern, empfehlen wir Ihnen, eine spezielle Software wie Specops Password Policy zu verwenden.

Mit diesem Tool können Sie :

  • sichern Sie Ihre Passwortrichtlinien, indem Sie bestimmte Standards (NCSC, NIST, ANSSI) einhalten: Zeichentyp, Länge der Passwörter, Blockierung bestimmter Ausdrücke durch ein benutzerdefiniertes Wörterbuch usw. ;
  • Sie können zusätzliche Funktionen nutzen, z. B. die Gültigkeitsdauer eines Passworts anhand seiner Länge berechnen;
  • filtern Sie mithilfe einer Datenbank kompromittierte Passwörter oder Passwörter, die auf Listen mit durchgesickerten Passwörtern stehen.

Wenn Ihr Unternehmen in einer Active-Directory-Umgebung arbeitet, sind FGPPs unerlässlich, um eine gewisse Granularität auf Gruppen- oder Benutzerebene zu gewährleisten.

Die Verwendung einer zusätzlichen speziellen Lösung wird jedoch dringend empfohlen, um mehr Optionen bei der Definition Ihrer Passwortpolitik zu haben, die Verwaltung zu vereinfachen und vor allem die neuesten Standards zu erfüllen, um angesichts der ständig wachsenden Zahl von Cyberangriffen ein optimales Sicherheitsniveau zu gewährleisten.

Artikel übersetzt aus dem Französischen