- SpecOps Password Policy
-
SpecOps (Abk. für Special Operations Software) Password Policy, kurz SPP, ist ein Programm zur Kennwortverwaltung für das Active Directory unter Windows auf der Basis von Gruppenrichtlinien. Die Software wurde vom Stockholmer Unternehmen Special Operation Software entwickelt und mit dem Attendee’s Pick Award auf dem TechEd Europe IT-Forum 2006 ausgezeichnet. SPP erlaubt im Active Directory mehrere Passwortrichtlinien einzurichten.
Inhaltsverzeichnis
Funktionen
Passwortrichtlinien müssen auf der Domainenebene definiert werden. Pro Domaine ist im Active Directory nur eine generelle Passwortrichtlinie für alle Benutzerprofile möglich. Es gibt aber eine Ausnahme für diese Regel. Es können weitere Kontorichtlinien für eine Organisationseinheit konfiguriert werden. Die Einstellungen der Kontorichtlinie für die Organisationseinheit wirken sich auf die lokalen Richtlinien aller Computer aus, die sich innerhalb dieser Organisationseinheit befinden. Diese zusätzlichen Konfigurationen werden in einem Passwortfilter definiert. Die Software SSP basiert auf der Technologie der Passwortfilter, ist aber mit einem GUI weit weniger umständlich einzurichten und setzt keine Kenntnisse voraus. SPP auf dem netzwerkeigenen Domain Controller erlaubt es den Administratoren, mehrere Richtlinien unbeschränkter Anzahl einzurichten und diese einzelnen Sicherheitsgruppen, Organisationseinheiten oder einzelnen Benutzerkonten zuzuordnen. Dies hat folgende Vorteile:
- Im Active Directory können mehrere Passwortrichtlinien für verschiedene Benutzerkategorien erstellt werden. Für die Administratorengruppe können beispielsweise strengere Regeln definiert werden als für normale Benutzer ohne Administrationsrechte.
- Passwortrichtlinien können gemeinsam mit den anderen Gruppenrichtlinien erarbeitet und konfiguriert werden.
- Administratoren können die Aufgabe zur Erarbeitung und Konfiguration der Passwortrichtlinien leichter delegieren. Für die Konfiguration der Richtlinien werden keine Domänen Rechte benötigt.
- In diesem Sinne dient SPP der Geschäftsprozessoptimierung.
- Für jeden User gilt nur eine Passwortrichtlinie. Die Richtlinien können nicht kumuliert werden und gelten jeweils alleinig für die definierten Benutzergruppen.
Die Software bietet über zwanzig Spezifizierungsmöglichkeiten für Passwortrichtlinien. Die wichtigsten hier zusammengefasst:
- Kombinationen mit Gross-/Kleinschreibung, Sonderzeichen und alphanummerischen Passwörtern
- Unterdrückung des Account Namens in Passwörtern
- Unterdrückung von Kombinationen anhand von Wortlisten
- Minimale sowie maximale Passwort Länge
- Erweiterte Kennwort Komplexität
- Keine aufsteigenden Passwörter (Passwort1 zu Passwort2)
- Zurücksetzungsrichtlinien für Administratoren
- Unterschiedliche Passwort Ablaufzeiten
Module
SPP besteht aus drei Teilen, der Verwaltung, welche drei Module beinhaltet, dem Richtlinienmodul, das auf jedem Domänencontroller installiert sein muss und der Client Installation.
Sentinel
Sentinel ist das Server Modul. Es muss auf jedem Domänen Controller installiert werden. Das Modul Sentinel überprüft die Passwörter beim Wechseln oder Zurücksetzen. Die Fehlermeldungen bei Nicht-Einhaltung der Richtlinien können individuell angepasst oder selbst verfasst werden. Sentinel enthält zusätzlich zwei Log-Funktionen für die Eventlogs und den Passwortverlauf.
GPMC Plug-in
In der Gruppenrichtlinien-Verwaltungskonsole (GPMC) wird das SPP Plug-in integriert. Es erscheint in jeder Gruppenrichtlinie. Hier legen die Administratoren fest, welche Restriktionen die jeweilige Benutzergruppe bei der Festlegung der Passwörter zu befolgen hat. Dieses Plug-in basiert auf den Gruppenrichtlinien der Benutzer und Benutzergruppen, nicht auf der Ebene der Computer.
Domain Administration
Im Administrationstool auf dem definierten Applikationsserver für SPP können domänenübergreifende Einstellungen gemacht werden. Diese Applikation kann nach der Installation aus dem Startmenü aufgerufen werden. Auf diesem Interface kann beispielsweise SPP für die ganze Domäne aus- oder eingeschaltet oder Templates der Passwortrichtlinien verändert werden. Hier findet sich auch eine Übersicht aller definierten Passwortrichtlinien.
Active Directory Benutzer Konfiguration
Dieses Modul wird in der Active Directory Benutzer- und Computerverwaltung integriert. Jedes Objekt erhält im Untermenü (Rechtsklick auf Benutzer oder Computer) einen neuen Menüeintrag SpecOps Password Policy. Hier können alle Richtlinien eingesehen werden, die für dieses Objekt gelten, jedoch können diese Richtlinien nicht verändert werden. Dies geschieht im GPMC Plug-in.
Client
Die Client Installation ist ein kleines Programm, das die Einhaltung der Richtlinien beim Benutzer überprüft. Ist die Einhaltung der Restriktionen nicht gewährt, erscheint eine Fehlermeldung mit den verletzten Richtlinien. Es informiert den Benutzer darüber, dass sein gewähltes Passwort anders aufgebaut werden muss, zum Beispiel dass es zusätzlich eine Zahl oder einen Grossbuchstaben enthalten sollte. Diese Fehlermeldungen können von den Administratoren individuell angepasst werden.
Erweiterungen
SPP ist in vollem Umfang scriptfähig. Das bedeutet, dass Scripts zur Ausführung und Konfiguration der Richtlinien geschrieben und beispielsweise über den Taskplaner automatisch ausgeführt werden können. Die Scripts können über das Windows Server GUI, über .NET oder einen Kommandozeileninterpreter (Betriebssystem-Shell) mit den eigens integrierten Windows PowerShell Cmdlets angepasst werden. Dazu muss zunächst das Cmdlet Helpfile in das SPP Programmverzeichnis kopiert werden.
Versionen
- Offizieller Release von SPP 1.0 am 16. Januar 2006
- Am 26. April 2006 folgte Release 1.2
- Ein Jahr nach dem offiziellen Release 1.0 folgte Version 2.0
- Aktuelle Version: 2.1.1.7228, Datum: 17. Oktober 2007
Neuerungen in SPP Version 2.0:
- Sprachunterstützung von 11 Sprachen beim Passwortwechsel
- Graphische Anzeige des Passwort Sicherheitslevels
- Unterschiedliche Passwort Ablaufzeiten
- Passwort Historie für jeden Benützer
- Unterbinden von fortlaufenden identischen Zeichen
- Unterbinden von inkrementellen Passwörtern (z.B. Romeo1, Romeo2, Romeo3, etc.)
- Deaktivieren von Kontosperrung
- Automatische E-Mail Benachrichtigung vor Ablauf des Passwortes
- Delegiertes Sicherheitsmodell mit Gruppenrichtlinien
- Automatisierung mit Windows PowerShell oder .NET
- Unterstützung von 64-bit Domain Controllers
Systemvoraussetzungen
SPP wird in einer Microsoft Gruppenrichtlinien-Verwaltungskonsole (GPMC) in einem Client-Server-Modell integriert. Die verschiedenen Module haben unterschiedliche Systemvoraussetzungen.
Administrationssoftware
- Windows XP oder höher
- Microsoft Management Konsole 3.0
- Microsoft .NET Framework 2.0
- Active Directory Users und Computer
Sentinel
- Windows 2000 Server Service Pack 4 oder höher
- Kann nur auf Domänen Controllern installiert werden
Client
- Windwows 2000 Service Pack 4 oder höher
- Domänen Client
Weblinks
Wikimedia Foundation.