Ansichten:

Das Ablaufdatum von Passwörtern begrenzt das Risiko, dass ein Bedrohungsakteur ein Passwort errät oder knackt, bevor es geändert wird.

Konten ohne die Anforderung zur Passwortablauf können unbegrenzt verwendet werden (es sei denn, das Konto wird gelöscht). Mit der Zeit werden unveränderte Passwörter für Bedrohungsakteure zunehmend leichter zu knacken. Active Directory und Microsoft Entra-ID-Administratoren (globaler Administrator oder Benutzeradministrator) können die Anforderung für Benutzer, ihre Passwörter regelmäßig zu ändern, entfernen oder vorübergehend deaktivieren. Dies sollte jedoch nur auf Notfallzugriffskonten angewendet werden.
Sie können das Problem durch die folgenden Methoden beheben:
System
Schritte
Active Directory
  • Definieren Sie den Zeitraum für das Ablaufen von Passwörtern in den Gruppenrichtlinienobjekten für alle Konten.
  • Aktivieren Sie "Kennwort läuft nie ab" nicht für alle Konten im Domänencontroller.
Microsoft Entra-ID
Konfigurieren Sie die Richtlinie zur Kennwortablauf mit PowerShell.
  1. Öffnen Sie eine PowerShell-Eingabeaufforderung und verbinden Sie sich mit Ihrem Microsoft Entra-ID-Mandanten mit einem globalen Administrator- oder Benutzeradministrator-Konto:
    Connect-AzureAD -Confirm
  2. Erfordern Sie das Ablaufen des Passworts, indem Sie einen der folgenden Befehle ausführen:
    • Einzelbenutzer (Sie müssen die Benutzer-ID des Kontoinhabers angeben.)
      Set-AzureADUser -ObjectId <user ID> -PasswordPolicies None
    • Alle Benutzer im Unternehmen
      Get-AzureADUser -All $true | Set-AzureADUser -PasswordPolicies None
Weitere Informationen finden Sie unter https://learn.microsoft.com/en-us/azure/active-directory/authentication/concept-sspr-policy.
Abhängig von der einzigartigen Konfiguration Ihrer Organisation können Sie möglicherweise das Ablaufen von Passwörtern für alle Konten nicht erzwingen. Sie können das Problem zur Ausnahmeliste hinzufügen, um damit verbundene Risikodaten von der Berechnung des Cyber Risk Index Ihres Unternehmens auszuschließen.
Die folgende Tabelle zeigt die Situationen, in denen Sie die Ausnahmeliste nutzen und alternative Lösungen anwenden können.
Konstellation
Aktion
Verwendung von sowohl Microsoft Entra-ID als auch Active Directory (hybride Umgebung)
Fügen Sie das Problem "Passwortablauf deaktiviert" zur Ausnahmeliste hinzu.
Verwendung von Identity and Access Management (IAM)-Systemen von Drittanbietern
  • Aktivieren Sie die Richtlinie zur Passwortablauf in Ihrem IAM-System.
  • Fügen Sie das Problem "Passwortablauf deaktiviert" zur Ausnahmeliste hinzu.
Verwendung von Gruppenrichtlinienobjekten
  • Aktivieren Sie die Richtlinie zur Kennwortablauf über GPOs.
  • Fügen Sie das Problem "Passwortablauf deaktiviert" zur Ausnahmeliste hinzu.
Wichtig
Wichtig
  • Das Hinzufügen von Problemen zur Ausnahmeliste schließt die zugehörigen Risikodaten dauerhaft von den Risk Insights-Apps aus.
  • Falls erforderlich, können Sie Probleme schließlich aus der Liste entfernen, aber ausgeschlossene Risikodaten können nicht wiederhergestellt werden.
  • Änderungen an der Ausnahmeliste werden nur auf neue Risikovorfälle angewendet.