Kennwortschutz für On-Premises-Umgebungen nicht aktiviert

Dieser IoE wird nur für Mandanten mit einer Entra ID-P1- oder -P2-Lizenz ausgeführt, da diese Premium-Lizenzen für diese Sicherheitsfunktion erforderlich sind.

Entra ID nutzt Microsoft Entra-Kennwortschutz, um das Risiko zu mindern, dass Benutzer leicht zu erratende Passwörter festlegen, die anfällig für Brute-Force-Angriffe sind. Diese Funktion verwendet eine globale Liste gesperrter Passwörter, die standardmäßig aktiviert ist und nicht deaktiviert werden kann. Die Liste enthält häufig verwendete schwache Passwörter und wird von Microsoft gepflegt und regelmäßig aktualisiert.

Obwohl Microsoft Entra-Kennwortschutz eine cloudbasierte Funktion ist, können Organisationen sie auf das klassische On-Premises Active Directory (auch bekannt als „Windows Server Active Directory“) ausweiten, wie unter „Erzwingen des lokalen Microsoft Entra-Kennwortschutzes für Active Directory Domain Services“ beschrieben. Sie vereinfachen diese Integration, indem sie einen dedizierten Microsoft-Agent auf den On-Premises Active Directory-Domänencontrollern installieren und gleichzeitig die Passwortschutzrichtlinien über das cloudbasierte Entra-Portal konfigurieren.

Dieser Indicator of Exposure wertet zwei Einstellungen von Microsoft Entra-Kennwortschutz aus, die die Durchsetzung der Funktion in der On-Premises-Umgebung bestimmen:

• „Kennwortschutz für Windows Server Active Directory aktivieren“ sollte „Ja“ sein.
• „Modus“ sollte „Erzwungen“ sein.

Hinweis:

1. Dieser IoE wird nur für Mandanten ausgeführt, die mit einem On-Premises Active Directory synchronisiert werden (z. B. Microsoft Entra Connect oder Microsoft Entra-Cloudsynchronisierung). Er stützt seine Analyse auf die Eigenschaft onPremisesSyncEnabled von organization.
2. Die Aktivierung von Microsoft Entra-Kennwortschutz für die On-Premises Active Directory-Domäne (wie im Abschnitt mit den Empfehlungen beschrieben) erfordert, dass Organisationen einen Agent auf allen Domänencontrollern innerhalb der On-Premises-Umgebung bereitstellen. Dieser IoE überprüft die relevanten Einstellungen im Entra ID-Portal, kann jedoch den tatsächlichen Bereitstellungsstatus des Agents auf den On-Premises Active Directory-Domänencontrollern nicht validieren. Infolgedessen besteht die Möglichkeit von falsch negativen Ergebnissen, bei denen die Konfiguration in Entra konform zu sein scheint, obwohl der Agent nicht vollständig auf allen Active Directory-Domänencontrollern bereitgestellt wurde oder nicht ordnungsgemäß funktioniert.

Die Aktivierung von Microsoft Entra-Kennwortschutz, einschließlich der Ausweitung der Funktion auf On-Premises Active Directory-Domänen, hilft Organisationen, die Verwendung schwacher Passwörter zu eliminieren, und verringert so die Wahrscheinlichkeit, dass Angreifer diese Anmeldeinformationen erfolgreich erraten und sich nicht autorisierten Zugriff auf die Infrastruktur der Organisation verschaffen.

Obwohl diese Funktion für Entra ID in der Cloud standardmäßig aktiviert ist, wird sie nicht automatisch auf Active Directory-Domänencontroller in der On-Premises-Umgebung erweitert. Durch die Erweiterung dieser Funktion auf Active Directory können Organisationen auch ihre On-Premises AD-Benutzer schützen, vorausgesetzt, der Mandant nutzt eine Premium-Lizenz: Entra ID-P1 oder -P2.

Tenable empfiehlt Folgendes:

1. Sie sollten das Konzept verstehen.
2. Sie sollten einen dedizierten Microsoft-Agent bereitstellen, der eine Passwortfilter-DLL auf On-Premises-Domänencontrollern implementiert.
3. Sie sollten den On-Premises-Passwortschutz aktivieren, indem Sie die Option „Kennwortschutz für Windows Server Active Directory aktivieren“ auf „Ja“ und „Modus“ auf „Überwachen“ und dann nach der Evaluierung abschließend auf „Erzwungen“ festlegen.

Name: Kennwortschutz für On-Premises-Umgebungen nicht aktiviert

Codename: PASSWORD-PROTECTION-NOT-ENABLED-FOR-ON-PREMISES-ENVIRONMENTS

Schweregrad: Medium

Typ: Microsoft Entra ID Indicator of Exposure