Microsoft denkt bei der Kennwortsicherheit um: Verpflichtende Änderungen nach 60 Tagen sind nicht mehr Teil der Sicherheitsempfehlungen für Admins.

Microsoft hat die „Draft“-Version (als Vorläufer des Final Release) seiner Sicherheitsempfehlungen „Security Baseline“ für Windows 10 Version 1903 (19H1) und Windows Server 1903 veröffentlicht.

In einem ausführlichen Blogeintrag beschreibt das Unternehmen die Änderungen gegenüber der vorherigen Baseline für Windows 10 1809 und Windows Server 2019 und verlinkt dort auch den Baseline-Download.

Besonders interessant ist in diesem Zusammenhang, dass das Unternehmen sämtliche Kennwortablaufrichtlinien („password-expiration policies“) aus der Baseline entfernt hat.

Security Baselines sind Empfehlungen zum Einsatz von Gruppenrichtlinien. Microsoft schlägt Admins darin vor, wie sie Unternehmensnetzwerke sicherer machen können. Die bislang enthaltenen Kennwortablaufrichtlinien dienten dazu, Nutzer nach einem festgesetzten Zeitraum zur Passwortänderung aufzufordern.

Eine Excel-Tabelle im „Documentation“-Ordner der Baseline („BaselineDiffs-to-v1903-19H1-FINAL.xlsx“) dokumentiert, dass die alte Baseline eine Richtlinie für das „maximale Passwortalter“ umfasste. Sie verpflichtete zur Passwortänderung nach spätestens 60 Tagen.

Diese Empfehlung wurde jetzt ersatzlos aus der Baseline gestrichen. Das bedeutet aber nicht, dass die Gruppenrichtlinie selbst entfernt wurde. Admins können also weiterhin Kennwörter der Benutzer ablaufen lassen und finden die GPO wie gewohnt im Gruppenrichtlinien-Editor.

Die Änderung der Empfehlung bedeutet aber ein Umdenken der Verantwortlichen bei Microsoft. Mit der Streichung folgt man einer Erkenntnis, die sich in IT-Sicherheitskreisen schon lange durchgesetzt hat: Passwortänderungen sind nur dann ratsam, wenn tatsächlich eine Kompromittierung stattgefunden hat – und dann umgehend und nicht erst nach Ablauf einer zuvor festgelegten Frist.

Erzwungene regelmäßige Passwortänderungen führen hingegen häufig zu unsicheren, da halbherzig ausgedachten, zum wiederholten Male oder für mehrere Accounts verwendeten Passwörtern. Oder gar zu Passwortlisten in Schreibtischschubladen, auf denen bereits verwendete Passwörter einfach durchgestrichen werden. Microsoft nennt eben diese Gründe für die Streichung der Policies im Blogeintrag zu den Empfehlungen.

Das Unternehmen weist in diesem Zusammenhang auch darauf hin, dass die Security Baseline nur als Teil einer Sicherheitsstrategie, jedoch nicht als Komplettlösung betrachtet werden sollte. Die ersatzlose Streichung von Richtlinien bedeute keine Herabsetzung der Sicherheitsstandards; vielmehr sollten Unternehmen verstärkt eigene Maßnahmen zum Passwortschutz und zur Sicherung ihrer Infrastruktur ergreifen.