6
Passwortrichtlinien im AD
Hallo zusammen. Ich suche nach einer Möglichkeit, Passwörter per Gruppenrichtlinie zu verbieten.
Wir haben eine Liste mit Kennwörtern, die nicht zulässig sind und dort gepflegt werden sollen. Kennt dort jemand eine Möglichkeit? Es wäre schön, wenn dies mit Windows Bordmitteln machbar wäre.
Vielen Dank für eure Tipps :o)
Wir haben eine Liste mit Kennwörtern, die nicht zulässig sind und dort gepflegt werden sollen. Kennt dort jemand eine Möglichkeit? Es wäre schön, wenn dies mit Windows Bordmitteln machbar wäre.
Vielen Dank für eure Tipps :o)
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 665940
Url: https://administrator.de/contentid/665940
Printed on: April 25, 2024 at 05:04 o'clock
6 Comments
Latest comment
Moin,
Ich weiß man fragt da nicht nach aber was sind das für Kennwörter?
Meiner Erfahrung nach lässt sich das Problem sehr gut lösen, indem du einfach die Komplexitätsvoraussetzungen und die Kennwortlänge entsprechend anpasst.
Gruß
Doskias
Ich weiß man fragt da nicht nach aber was sind das für Kennwörter?
Meiner Erfahrung nach lässt sich das Problem sehr gut lösen, indem du einfach die Komplexitätsvoraussetzungen und die Kennwortlänge entsprechend anpasst.Gruß
Doskias
Hmm naja. Manche Kennwörter dürfen bestimme Wörter, oder Zeichenfolgen nicht enthalten. Oder mit 1234 anfangen, oder diese Zahlen in der Reihenfolge enthalten. Mit der Kennwortlänge werden wir daher vermutlich nicht ganz so weit kommen. Aber vielen Dank
Hallo zusammen. Ich suche nach einer Möglichkeit, Passwörter per Gruppenrichtlinie zu verbieten.
Wir haben eine Liste mit Kennwörtern, die nicht zulässig sind und dort gepflegt werden sollen. Kennt dort jemand eine Möglichkeit? Es wäre schön, wenn dies mit Windows Bordmitteln machbar wäre.
Wir haben eine Liste mit Kennwörtern, die nicht zulässig sind und dort gepflegt werden sollen. Kennt dort jemand eine Möglichkeit? Es wäre schön, wenn dies mit Windows Bordmitteln machbar wäre.
Man kann eine Password Filter DLL implementieren und diese dann über die GPO Password must meet complexity requirements nutzen.
Naja einen Teil wirst du dann schon abfangen können:
Das zu dann die kennwortlänge auf 15 Zeichen. Klar, es schützt nicht vor 1234Administrator, aber vor allen Kombination mit dem eigenen Namen und zu kurzen Kennwörtern schonmal schon.
Für Zeichenfolgen die Abgefangen werden sollen, braucht es wohl Zusatztools. Wenn das auch mit Boardmitteln geht, wäre ich auch dabei
Gruß
Doskias
Das Kennwort darf nicht den Kontonamen des Benutzers oder mehr als zwei Zeichen enthalten, die nacheinander im vollständigen Namen des Benutzers vorkommen.
Das Kennwort muss mindestens sechs Zeichen lang sein.
Das Kennwort muss Zeichen aus drei der folgenden Kategorien enthalten:
1. Großbuchstaben (A bis Z)
2. Kleinbuchstaben (a bis z)
3. Zahlen zur Basis 10 (0 bis 9)
4. Nicht alphabetische Zeichen (zum Beispiel !, $, #, %)
Das Kennwort muss mindestens sechs Zeichen lang sein.
Das Kennwort muss Zeichen aus drei der folgenden Kategorien enthalten:
1. Großbuchstaben (A bis Z)
2. Kleinbuchstaben (a bis z)
3. Zahlen zur Basis 10 (0 bis 9)
4. Nicht alphabetische Zeichen (zum Beispiel !, $, #, %)
Das zu dann die kennwortlänge auf 15 Zeichen. Klar, es schützt nicht vor 1234Administrator, aber vor allen Kombination mit dem eigenen Namen und zu kurzen Kennwörtern schonmal schon.
Für Zeichenfolgen die Abgefangen werden sollen, braucht es wohl Zusatztools. Wenn das auch mit Boardmitteln geht, wäre ich auch dabei
Gruß
Doskias
Dir ist aber schon bekannt, dass das Passwort dann für die Überprüfung dafür im PlainText vorliegen muss ?
Wenn du dein Password änderst wird es direkt in verschlüsselter Form gespeichert.
Hingegen wenn es erst überprüft werden muss, auf was auch immer, muss es wie oben schon erwähnt im Klartext
geschehen und kann dann erst abgespeichert und verschlüsselt werden. Hier liegt dann ein Angrifsvektor vor.
Bedenke aber auch je komplizierter du das mit dem Passwort gestalltest desto eher wird das Password aufgeschrieben und irgendwo abgelegt. Immer dran denken: Für viele ist der PC nur ein Mittel zum Zweck und das muss eben so eingfach wie möglich sein und ohne viel Hickhack. Je Komplizierter des eher sind die Benutzer frustriert und machen sachen was man nicht macht
Der Benutzer Derwusstewo hatte da mal was zu geschreiben. Finde ich nur gerade nicht. Wenn doch füge ich es hier ein.
Habe da eben einen Angriffsweg im Internet gefunden:#
https://pentestlab.blog/2020/02/10/credential-access-password-filter-dll ...
( wenn der Link nicht OK dann bitte löschen =
Ich würde da eher abraten.
Alternativ kannst du ja, entsprechendes AD Level vorrausgesetzt, Verschiedene Passwörter bzw. Richtlienen anwenden.
Stichwort hier
Fine granted password policy to user groups
Eventuell hilt dir das weiter
Wenn du dein Password änderst wird es direkt in verschlüsselter Form gespeichert.
Hingegen wenn es erst überprüft werden muss, auf was auch immer, muss es wie oben schon erwähnt im Klartext
geschehen und kann dann erst abgespeichert und verschlüsselt werden. Hier liegt dann ein Angrifsvektor vor.
Bedenke aber auch je komplizierter du das mit dem Passwort gestalltest desto eher wird das Password aufgeschrieben und irgendwo abgelegt. Immer dran denken: Für viele ist der PC nur ein Mittel zum Zweck und das muss eben so eingfach wie möglich sein und ohne viel Hickhack. Je Komplizierter des eher sind die Benutzer frustriert und machen sachen was man nicht macht
Der Benutzer Derwusstewo hatte da mal was zu geschreiben. Finde ich nur gerade nicht. Wenn doch füge ich es hier ein.
Habe da eben einen Angriffsweg im Internet gefunden:#
https://pentestlab.blog/2020/02/10/credential-access-password-filter-dll ...
( wenn der Link nicht OK dann bitte löschen =
Ich würde da eher abraten.
Alternativ kannst du ja, entsprechendes AD Level vorrausgesetzt, Verschiedene Passwörter bzw. Richtlienen anwenden.
Stichwort hier
Fine granted password policy to user groups
Eventuell hilt dir das weiter
1
N'Abend.
Ist es leider nicht.
Komplexität und Länge hochsetzen, zusätzlich 2FA implementieren wäre mein Ansatz. User sind immer sehr erfinderisch, solche Regeln irgendwie zu umgehen - mit z.B. 12 Zeichen Mindestlänge, voller Komplexität und 2FA kann ich zwar den "Spieltrieb" nicht wirklich einschränken, aber dennoch für Sicherheit sorgen.
Cheers,
jsysde
Ist es leider nicht.
Komplexität und Länge hochsetzen, zusätzlich 2FA implementieren wäre mein Ansatz. User sind immer sehr erfinderisch, solche Regeln irgendwie zu umgehen - mit z.B. 12 Zeichen Mindestlänge, voller Komplexität und 2FA kann ich zwar den "Spieltrieb" nicht wirklich einschränken, aber dennoch für Sicherheit sorgen.
Cheers,
jsysde
