Automatisches Ändern der Passwörter für Konten, die eine Anmeldung via Smartcard oder Windows Hello for Business erfordern

Eine neue Funktion von Windows Server 2016 ist, dass die Passwörter für Konten, die eine reine Anmeldung mit Smartcards erfordern, gemäß den Passwortlichtlinien automatisch erneuert werden.

Wird die Option „Smart card is required for interactive logon“ für ein Benutzerkonto aktiviert, wird das Kennwort des Benutzerkontos einmalig auf einen zufälligen Wert gesetzt. Das Passwort ändert sich jedoch anschließend nie mehr, was das Konto anfälliger für Pass-the-Hash Angriffe macht.

Die neu eingeführte Funktion löst dieses Problem, indem für entsprechende Konten regelmäßig (in Abhängigkeit der für das Konto konfigurierten Passwortrichtlinie) neue zufallsgenerierte Passwörter erzeugt werden.

Zuvor musste man hierfür ein Script schreiben, welches beispielsweise die Option „Smart card is required for interactive logon“ kurzzeitig entfern und anschließend sofort wieder aktiviert, um ein vergleichbares Ergebnis zu erzielen

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

Aktivieren der Option

Damit die Einstellung wirkt, muss das funktionelle Level der Gesamtstruktur auf Windows Server 2016 sein.

Über das Active Directory Administrative Center wird rechts auf den Domänennamen geklickt und „Properties“ gewählt.

Anschließend kann die Option „Enable rolling of expiring NTLM secrets during sign in, for users who are required to use Microsoft Passport or smart card for interactive sign on“ aktiviert werden.

Auf Domänen-Ebene wird damit das Attribut msDS-ExpirePasswordsOnSmartcardOnlyAccounts auf TRUE gesetzt.

Wird die Domäne mit funktionellem Level „Windows Server 2016“ installiert, ist das Attribut bereits aktiviert.

Liens complémentaires :

Sources externes

• Forest and Domain Functional Levels (Microsoft)
• What’s new in Credential Protection (Microsoft)
• Expire Passwords On Smart Card Only Accounts (Microsoft)