Eine neue Funktion von Windows Server 2016 ist, dass die Passwörter für Konten, die eine reine Anmeldung mit Smartcards erfordern, gemäß den Passwortlichtlinien automatisch erneuert werden.
Wird die Option "Smart card is required for interactive logon" für ein Benutzerkonto aktiviert, wird das Kennwort des Benutzerkontos einmalig auf einen zufälligen Wert gesetzt. Das Passwort ändert sich jedoch anschließend nie mehr, was das Konto anfälliger für Pass-the-Hash Angriffe macht.
Die neu eingeführte Funktion löst dieses Problem, indem für entsprechende Konten regelmäßig (in Abhängigkeit der für das Konto konfigurierten Passwortrichtlinie) neue zufallsgenerierte Passwörter erzeugt werden.
Zuvor musste man hierfür ein Script schreiben, welches beispielsweise die Option "Smart card is required for interactive logon" kurzzeitig entfern und anschließend sofort wieder aktiviert, um ein vergleichbares Ergebnis zu erzielen
Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.
Aktivieren der Option
Damit die Einstellung wirkt, muss das funktionelle Level der Gesamtstruktur auf Windows Server 2016 sein.
Über das Active Directory Administrative Center wird rechts auf den Domänennamen geklickt und "Properties" gewählt.
Anschließend kann die Option "Enable rolling of expiring NTLM secrets during sign in, for users who are required to use Microsoft Passport or smart card for interactive sign on" aktiviert werden.
Auf Domänen-Ebene wird damit das Attribut msDS-ExpirePasswordsOnSmartcardOnlyAccounts auf TRUE gesetzt.
Wird die Domäne mit funktionellem Level "Windows Server 2016" installiert, ist das Attribut bereits aktiviert.
Weiterführende Links:
Externe Quellen
- Forest and Domain Functional Levels (Microsoft)
- What’s new in Credential Protection (Microsoft)
- Expire Passwords On Smart Card Only Accounts (Microsoft)