Eine neue Funktion von Windows Server 2016 ist, dass die Passwörter für Konten, die eine reine Anmeldung mit Smartcards erfordern, gemäß den Passwortlichtlinien automatisch erneuert werden.
Wird die Option "Smart card is required for interactive logon" für ein Benutzerkonto aktiviert, wird das Kennwort des Benutzerkontos einmalig auf einen zufälligen Wert gesetzt. Das Passwort ändert sich jedoch anschließend nie mehr, was das Konto anfälliger für Pass-the-Hash Angriffe macht.
Die neu eingeführte Funktion löst dieses Problem, indem für entsprechende Konten regelmäßig (in Abhängigkeit der für das Konto konfigurierten Passwortrichtlinie) neue zufallsgenerierte Passwörter erzeugt werden.
Zuvor musste man hierfür ein Script schreiben, welches beispielsweise die Option "Smart card is required for interactive logon" kurzzeitig entfern und anschließend sofort wieder aktiviert, um ein vergleichbares Ergebnis zu erzielen
Aktivieren der Option
Damit die Einstellung wirkt, muss das funktionelle Level der Gesamtstruktur auf Windows Server 2016 sein.
Über das Active Directory Administrative Center wird rechts auf den Domänennamen geklickt und "Properties" gewählt.
Anschließend kann die Option "Enable rolling of expiring NTLM secrets during sign in, for users who are required to use Microsoft Passport or smart card for interactive sign on" aktiviert werden.
Auf Domänen-Ebene wird damit das Attribut msDS-ExpirePasswordsOnSmartcardOnlyAccounts auf TRUE gesetzt.
Wird die Domäne mit funktionellem Level "Windows Server 2016" installiert, ist das Attribut bereits aktiviert.
Weiterführende Links:
Externe Quellen
- Forest and Domain Functional Levels (Microsoft)
- What’s new in Credential Protection (Microsoft)
- Expire Passwords On Smart Card Only Accounts (Microsoft)
Deutsch 
English