Ein häufiger Stolperstein in größeren Active-Directory-Umgebungen sind Benutzerkonten, deren Kennwörter niemals ablaufen. Sie stellen ein potenzielles Sicherheitsrisiko dar, da Angreifer durch sogenannte Brute-Force-Attacken über Zeit hinweg Hashwerte knacken könnten. Um diese Konten zu finden, genügt folgender Befehl in einer Eingabeaufforderung oder PowerShell-Konsole mit installiertem RSAT-Modul (Active-Directory-Verwaltungstools):

dsquery * domainroot -filter "(&(objectCategory=person)(objectClass=user)(userAccountControl:1.2.840.113556.1.4.803:=65536))" -limit 0

Der Parameter "userAccountControl" beschreibt verschiedene Eigenschaften eines Benutzerkontos über eine Bitmaske. Jedes Bit steht für eine bestimmte Einstellung, zum Beispiel:

• 0x0002 (2): Konto ist deaktiviert
• 0x10000 (65536): Passwort läuft nie ab
• 0x40000 (262144): Smartcard-Anmeldung erforderlich

Die lange Kennziffer "1.2.840.113556.1.4.803" steht also für den LDAP-Matching-Rule-OID "bitwise AND". Sie sorgt dafür, dass genau die Einträge gefunden werden, bei denen das entsprechende Bit gesetzt ist – in diesem Fall also 65536.

Wer lieber mit PowerShell arbeitet, kann dieselbe Abfrage deutlich komfortabler durchführen:

Get-ADUser -Filter {PasswordNeverExpires -eq $true} -Properties PasswordNeverExpires

Beide Varianten liefern eine Liste aller Benutzerkonten, deren Passwort nicht abläuft. Für diese Accounts sollten Sie anschließend eine zentrale Passwort-Policy oder – besser noch – eine Anmeldung mit Multifaktor-Authentifizierung (MFA) vorsehen. So lässt sich die Angriffsfläche im Active Directory deutlich verringern, ohne zusätzliche Tools einsetzen zu müssen.

Mehr zum Thema AD-Sicherheit lesen Sie in unserem Sonderheft II/2024 Active Directory.