Passwortsicherheit

Starke Passwortsicherheit ist die Grundlage des Identitätsschutzes. ManageEngine ADSelfService Plus bietet ein vollständiges Werkzeugset, das Administratoren ermöglicht, robuste Passwortregeln durchzusetzen, regelmäßige Passworterneuerungen sicherzustellen und die Gesamtsicherheit der Unternehmensendpunkte zu erhöhen. Im Folgenden sind die wichtigsten Konfigurationen aufgeführt, um eine umfassende Passwortsicherheit zu implementieren.

Schritt 1: Erstellen Sie eine Self-Service-Richtlinie

Self-Service-Richtlinien bilden die Grundlage aller Konfigurationen in ADSelfService Plus. Eine Richtlinie verknüpft eine bestimmte Benutzergruppe, definiert durch Domains, OUs oder Gruppen, mit autorisierten Self-Service-Aktionen und Sicherheitskonfigurationen. Sie müssen die Zielgruppe über eine Richtlinie definieren, bevor Sie Passwortkomplexitätsregeln erzwingen.

Um eine Self-Service-Richtlinie zu erstellen:

1. Navigieren Sie zu Konfiguration > Self-Service > Richtlinienkonfiguration.
2. Klicken Sie auf +Neue Richtlinie hinzufügen.
3. Geben Sie einen beschreibenden Richtliniennamen ein, der die Zielbenutzer widerspiegelt (zum Beispiel, Remote-Benutzer-Richtlinie oder Richtlinie für privilegierte Konten)
4. Wählen Sie die Kästchen der Self-Service-Funktionen aus, die Sie aktivieren möchten, wie Passwort zurücksetzen oder Konto entsperren.
5. Klicken Sie auf Wählen Sie OUs/Gruppen aus und weisen Sie die Richtlinie den gewünschten Benutzern zu. Sie können Richtlinien basierend auf OU, Gruppenmitgliedschaft oder einer Kombination beider anwenden.

   Tipp: Erstellen Sie separate Richtlinien für verschiedene Benutzerrollen, um strengere Sicherheitskontrollen für privilegierte Konten durchzusetzen.

6. Klicken Sie auf Richtlinie speichern.

Abb.1: Erstellen einer Self-Service-Richtlinie in ADSelfService Plus.

Schritt 2: Richten Sie den Password Policy Enforcer ein

Schwache oder mehrfach verwendete Passwörter setzen Organisationen erheblichen Risiken aus. Der Password Policy Enforcer von ADSelfService Plus ermöglicht es Administratoren, erweiterte Passwortregeln zu definieren und anzuwenden, die an organisatorische Standards angepasst werden können.

Sie können granulare Passwortregeln konfigurieren, wie zum Beispiel:

• Obligatorische Einbeziehung von Zahlen, Sonder- und Großbuchstaben
• Einschränkungen bei Wörterbuchwörtern, Palindromen und Mustern
• Durchsetzung der Passwort-Historie, um die Wiederverwendung alter Passwörter zu verhindern.

Nach der Konfiguration sehen Benutzer eine interaktive Passworterstellungsoberfläche, die die Passwortstärke in Echtzeit validiert. Diese benutzerdefinierten Richtlinien können konsistent über unterstützte lokale und Cloud-Anwendungen durchgesetzt werden, die via Passwort-Synchronisierung.

integriert sind. Um Richtlinien bei Passwortänderungen außerhalb des Webportals durchzusetzen, installieren Sie denADSelfService Plus Login-Agent

. Dieser Agent erweitert die Passwortregeln auf den Windows-Anmeldebildschirm (Strg+Alt+Entf) und die Active Directory-Benutzer- und Computer-Konsole (ADUC).

1. Navigieren Sie zu Um Passwort-Richtlinienregeln zu konfigurieren:.
2. Konfiguration > Self-Service > Password Policy Enforcer
3. Wählen Sie die Richtlinie, auf die die Passwortregeln angewendet werden sollen. Aktivieren Sie die Benutzerdefinierte Passwortregel erzwingen
4. Option.
   • Definieren Sie Ihre gewünschten Komplexitätseinstellungen, einschließlich:
   • Erlaubte oder eingeschränkte Zeichentypen
   • Verhinderung von Zeichenwiederholungen und Wiederverwendung
   • Durchsetzung der Passwort-Historie
   • Blockieren von Wörterbuchwörtern, Palindromen oder üblichen Mustern
5. Klicken Sie auf Konfiguration der minimalen und maximalen Passwortlänge Speichern

, um die Änderungen anzuwenden.

Abb.2: Konfigurieren komplexer Passwortregeln mit ADSelfService Plus.

Schritt 3: Konfigurieren Sie Benachrichtigungen zur Passwortablauf

Regelmäßiges Aktualisieren von Passwörtern reduziert das Risiko von anmeldebasierten Angriffen. Dennoch übersehen Benutzer häufig Ablauffristen für Passwörter, was zu Kontosperrungen und Ausfallzeiten führt. Die Passwortablauf-Benachrichtigung

Funktion stellt sicher, dass Benutzer rechtzeitig Erinnerung erhalten, bevor ihre Passwörter oder Konten ablaufen. Benachrichtigungen können per E-Mail, SMS und Push-Nachrichten zugestellt werden, um Benutzer zu informieren und Zugangsunterbrechungen zu verhindern.

1. Navigieren Sie zu Um Benachrichtigungen zum Passwortablauf zu konfigurieren:.
2. Klicken Sie auf Konfiguration > Self-Service > Passwortablauf-Benachrichtigung Schaltfläche Neue Benachrichtigung hinzufügen
3. in der oberen rechten Ecke.
4. Wählen Sie die Ziel-Domains, OUs oder Gruppen für die Benachrichtigung aus.
5. Wählen Sie den Benachrichtigungstyp (Passwortablauf oder Kontenablauf).
6. Vergeben Sie einen beschreibenden Namen für den Zeitplan.
7. Wählen Sie eine oder mehrere Benachrichtigungsmethoden (E-Mail, SMS oder Push-Benachrichtigung) und stellen Sie Häufigkeit und Uhrzeit der Zustellung ein.
8. Geben Sie die Anzahl der Tage vor Ablauf an, um die Benachrichtigung auszulösen.
9. Klicken Sie auf Konfiguration der minimalen und maximalen Passwortlänge Passen Sie Betreff und Inhalt der Benachrichtigung an. Verwenden Sie Makros, um Nachrichten individuell für jeden Benutzer zu personalisieren.

, um den Benachrichtigungszeitplan zu aktivieren.

Abb.3: Zeitplanung von Passwortablaufbenachrichtigungen in ADSelfService Plus.

Best Practices für Passwortsicherheit

Ergänzen Sie die Passwortregeln mit einer starken Sicherheitsstrategie. Setzen Sie auf mehrschichtigen Schutz: Kombinieren Sie Passwortregeln mit MFA

für zusätzlichen Schutz gegen Identitätsdiebstahl. Überwachen und verhindern Sie kompromittierte Passwörter: Nutzen Sie die Have I Been Pwned?

Integration in ADSelfService Plus, um automatisch Passwörter zu sperren, die in Datenlecks bekannt geworden sind. Verwenden Sie Passphrasen statt komplexer Passwörter:

Ermutigen Sie Benutzer, längere, einprägsame Passphrasen anstelle kurzer, komplexer Passwörter zu erstellen. Setzen Sie realistische Komplexitätsanforderungen:

Vermeiden Sie zu restriktive Passwortregeln, die zu Benutzerfrustration und unsicherer Speicherung führen. Prüfen Sie regelmäßig: