Active-Directory-Kennwortänderung

Regelmäßiger Kennwortwechsel ist eine gute Angewohnheit die Cyberangriffen durch gestohlene Zugangsdaten recht wirksam vorbeugt. Sicherheitsexperten raten Administratoren, durch effiziente Kennwortablaufrichtlinien dafür zu sorgen, dass ihre Anwender ihre Kennwörter tatsächlich und rechtzeitig ändern.

Anwender können vom Administrator per E-Mail benachrichtigt werden, wenn deren Kennwörter kurz vor dem Ablauf stehen. Allerdings lassen sich bei vielen Organisationen Domänenkennwörter nur ändern, wenn der Besitzer mit dem Firmennetzwerk verbunden ist. Was passiert also, wenn VPN- und OWA-Benutzer nicht mit dem LAN verbunden sind, wenn ihre Kennwörter ablaufen?

Kennwortselbständerung

ADSelfService Plus ist eine webbasierte Lösung zur Kennwortselbständerung, die ein sicheres Portal zum Ändern von Kennwörtern in Eigenregie für Domänenbenutzer schafft. Benutzer können im Webportal auf die Registerkarte „Kennwort ändern“ klicken und das Windows-AD-Anmeldekennwort anschließend gleich selbst ändern. Bei der Kennwortänderung wird die vom Administrator festgelegte Kennwortrichtlinie berücksichtigt, die beim Festlegen des Kennwortes angezeigt wird.

Kennwörter von extern ändern

Mit ADSelfService Plus können Anwender ihre Domänenkennwörter auch von extern ändern. Bei Änderungen eines Benutzerdomänenkennwortes wird die Änderung gewöhnlich in AD, jedoch nicht auf dem lokalen Gerät des Anwenders umgesetzt. Das bedeutet, dass die im Gerät des Anwenders zwischengespeicherten Zugangsdaten ebenfalls aktualisiert werden müssen, da ansonsten keine Anmeldung am System möglich ist.

Um diesen Fallstrick zu umgehen, bietet ADSelfService Plus einen Anmeldungsagenten, der eine Schaltfläche zum Rücksetzen des Kennwortes/zum Freischalten des Kontos direkt auf dem Anmeldebildschirm platziert. Per Klick auf diese Schaltfläche können Anwender ihre vergessenen Kennwörter direkt über den Anmeldebildschirm zurücksetzen. Nach erfolgreicher Kennwortzurücksetzung wird das zwischengespeicherte Kennwort auf den Geräten des Anwenders aktualisiert.

So ändern Sie Ihr AD-Domänenkennwort mit ADSelfService Plus:

• Melden Sie sich am ADSelfService-Plus-Portal an, wechseln Sie zur Registerkarte „Kennwort ändern“.
• Geben Sie Ihr vorhandenes Active-Directory- oder Domänenkennwort in das Feld „Altes Kennwort“ ein.
• Geben Sie das neue Kennwort ein und bestätigen Sie das Kennwort durch erneute Eingabe dessen in das Feld „Neues Kennwort bestätigen“. Achten Sie darauf, dass Ihr neues Kennwort die Komplexitätsvorgaben erfüllt.
• Klicken Sie auf „Kennwort ändern“.

Warum sollten Sie ADSelfService Plus für AD-Kennwortänderungen einsetzen?

Ein Domänenbenutzer benötigt möglicherweise eine Kennwortänderung, wenn:

• Das Kennwort bald abläuft.
• Der Administrator darum bittet, das Kennwort zu ändern.
• Ein Administrator das Kennwort auf den Standardwert zurücksetzt.

Kennwort ändern versus Kennwort zurücksetzen

Beim Zurücksetzen eines Kennwortes wird ein Kennwort aktualisiert, wenn das aktuelle Kennwort vergessen wurde.. Während Microsoft Administratoren hierfür mehrere Möglichkeiten bietet, ermöglicht ADSelfService Plus Domänenbenutzern, Self-Service-Kennwortzurücksetzungen über sein Self-Service-Portal durchzuführen, indem die Identität der Benutzer mit mehreren Authentifizierungstechniken überprüft wird, die während der Registrierung konfiguriert werden.

Bei der Kennwortänderung ist keine Prüfung oder Bestätigung erforderlich. Dazu muss sich der Benutzer lediglich am ADSelfService-Plus-Endanwenderportal anmelden. Wenn Benutzer ihre Kennwörter ändern, müssen sie dazu das alte Kennwort und das neue Kennwort angeben. Wenn das alte Kennwort stimmt und das neue Kennwort den Vorgaben der Kennwortrichtlinie entspricht, wird das Kennwort erfolgreich geändert.

Einhaltung von Datenschutzbestimmungen durch Kennwortrichtlinien

Um Unternehmensdaten zu schützen, ist die Gewährleistung der Kennwortsicherheit von entscheidender Bedeutung. ADSelfService Plus hilft Ihnen durch seine Funktionen, die Kennwort- und Authentifizierungsanforderungen von IT-Vorschriften wie HIPAA, GDPR, NIST, CJIS und PCI DSS einzuhalten:

• Kennwortrichtlinienerzwingung: Konfigurieren Sie neben der standardmäßigen Domänenkennwortrichtlinie und der fein abgestuften Kennwortrichtlinie, die in AD während Kennwortänderungen verfügbar ist, erweiterte Kennwortrichtlinien. Zu den erweiterten Kennwortanforderungen, die aktiviert werden können, gehören:
  1. Wörterbuchbegriffe und Tastenfolgen auszuschließen.
  2. Die Verwendung aufeinanderfolgender Zeichen aus Benutzernamen und alten Kennwörtern zu unterbinden.
  3. Die Verwendung von Palindromen einzuschränken.
  4. Die Verwendung eines bestimmten Typs des ersten Zeichens vorzuschreiben.
• Integration mit „Have I Been Pwned?“: Prüfen Sie sämtliche Kennwörter, die beim Ändern oder Zurücksetzen über ADSelfService Plus erstellt wurden, mit der „Have I Been Pwned?“-Datenbank auf Übereinstimmung mit zuvor offengelegten Kennwörtern. Falls sich das neue Kennwort in der Datenbank befindet, wird dem Anwender dessen Nutzung untersagt.
• Multifaktor-Authentifizierung: Konfigurieren Sie neben dem Benutzernamen und dem Kennwort zusätzliche Authentifizierungsmethoden, um die Benutzeridentität während der Produktanmeldung auf Kennwortänderungen zu überprüfen. Administratoren können aus den 18 unterstützten Authentifizierungsmethoden wählen, darunter Yubico Authenticator, Google Authenticator, TOTPs und Biometrie.