itnirvana
Goto Top

GPO für Passwörter 16 Zeichen

Hallo,

wenn ich eine GPO setze im AD das User 16 Zeichen haben sollen.
Sind dann damit die Lokalen User der Server auch mit in dieser Policy ? Oder sind es nur die DomänUser ?
Computerconfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien/Kennwortrichtlinien


Gruss
Paul

Content-ID: 4148481471

Url: https://administrator.de/forum/gpo-fuer-passwoerter-16-zeichen-4148481471.html

Ausgedruckt am: 23.12.2024 um 06:12 Uhr

Spirit-of-Eli
Spirit-of-Eli 04.10.2022 um 16:21:24 Uhr
Goto Top
Moin,

was passiert denn deiner Meinung nach mit den schon bestehenden Usern? Meinst du die werden ausgesperrt?

Die Regel greift bei neuen Usern und wird meist einem erzwungenen Ändern der Kennwörter ausgerollt.

Gruß
Spirit
anteNope
anteNope 04.10.2022 um 18:41:38 Uhr
Goto Top
16? Bei meinen geht das nur bis 14 ...
Dani
Dani 04.10.2022 um 18:50:45 Uhr
Goto Top
Moin,
anstatt einer GPO würde ich auf Fine-Grained Password Policies (FGPP) setzen. Somit kannst du sehr granular definieren, für welche Benutzer bzw. Gruppen diese gelten soll.


Gruß,
Dani
crypt0r
crypt0r 04.10.2022 um 18:52:29 Uhr
Goto Top
Benutz am besten das Active Directory Administrative Center (ADAC), darüber geht das ganze granularer und mit mehr Möglichkeiten als in der GPO. Musst dazu ne AD OU verknüpfen. Gibt aber einige Anleitungen dazu online.
StefanKittel
StefanKittel 05.10.2022 um 00:06:33 Uhr
Goto Top
Hallo,

meine 30 Cents dazu...
Welcher normale Benutzer kann sich sowas merken?
Also wird es auf einen Zettel aufgeschrieben und am Schreibtisch versteckt.
Passwörter waren schon immer "doof".

Lieber etwas mit Biometrisch, Karten, Chips, etc.

Stefan
MrHeisenberg
MrHeisenberg 05.10.2022 um 07:34:46 Uhr
Goto Top
Hi,

bin da bei Stefan, 16 Zeichen und evtl. noch Komplex? Da werden dir die User wsl. die Passwörter auf den Monitor kleben gleich neben der Diddlmaus von Ihrem Freund/in, geschweige denn dass die dir deine Türe eintreten werden bzw. euren Support "aufnudeln".
Hatte bei uns schon Probleme dass ich die Policy mit 8 Zeichen und PW-Speicher durchsetzen konnte... dürfen/sollen/wollen nun die MFA einführen damit der User ja nicht sein PW auf den Display klebt.

Würd da nochmal nachdenken ob 16 Zeichen wirklich die Sicherheit hebt oder nicht sogar senkt.

LG
anteNope
anteNope 05.10.2022 aktualisiert um 07:38:32 Uhr
Goto Top
Zitat von @StefanKittel:
Welcher normale Benutzer kann sich sowas merken?
Also wird es auf einen Zettel aufgeschrieben und am Schreibtisch versteckt.
Passwörter waren schon immer "doof".

Das kann ich so nicht bestätigen. Habe gerade einem Kunden eine neue AD mit AzureAD-Sync eingerichtet. Die freuen sich einen Ast ab, dass die jetzt nur noch ein Kennwort für viele Dienste haben. Ich empfehlen denen immer einen Satz zu bilden. Den kann man sich gut merken, 14 Zeichen sind zügig beisammen und die Zettel sind nicht notwendig.

Habe ich so bei vielen Kunden im Einsatz und habe keine Probleme, dass dort Zettel rumliegen oder die Leute regelmäßig ihre Kennwörter vergessen. Keine Ahnung mit was für Luftpumpen ihr da so arbeiten müsst 😅
W-ALLE
W-ALLE 05.10.2022 um 11:45:46 Uhr
Goto Top
1. Passwortrichtlinien im AD betreffen AD Passwoerter, also nihct lokale User.
2. Wer betroffen ist, haengt davon ab, wo im AD due es fuer wen setzt.
3. Wenn es fuer alle User gesetzt ist, betrifft es auch die alten und nach einem GPUPDATE sind sie betroffen.
MrHeisenberg
MrHeisenberg 05.10.2022 um 11:50:41 Uhr
Goto Top
Zitat von @anteNope:
Keine Ahnung mit was für Luftpumpen ihr da so arbeiten müsst 😅


:D "Luftpumpen" den muss ich mir merken, noch besser als DAU-User

made my day :DD
jsysde
Lösung jsysde 05.10.2022 aktualisiert um 13:45:54 Uhr
Goto Top
Mahlzeit.

Eins vorweg: Bestehende Passwörter behalten ihre Gültigkeit, d.h. egal, was du dort einstellst, es wird kein User ausgesperrt. Die Richtlinie findet nur Anwendung, wenn ein Passwort geändert bzw. ein neues Passwort (bei Erstellung eines Useraccounts) gesetzt wird.

Auf Domain-joined Maschinen betrifft das natürlich auch die Erstellung/Passwortänderungen von lokalen Benutzern (wenn man das per Default Domain Policy regelt).

Ich würde mich heute nicht mehr mit "Fine Grained Password Policies" beschäftigen. Es gibt Tools, die Passwörter gegen eine lokale Kopie der HIBP-Datenbank abgleichen, "Normalization" betreiben usw. Die implementiert man per ADMX-Template in seine GPO-Struktur und hat dann noch viel mehr Möglichkeiten: Eigene "Banned Words", Punkte-Regel usw.

Dass Komplexität ein Passwort "sicher" macht, ist ein Mythos. Passwortlänge ist dagegen ein entscheidender Faktor, 16 Zeichen sind eigentlich das Minimum, bestenfalls natürlich kombiniert mit 2FA.

Beispiel: wInt3r$2o22#44 wäre lang und komplex. Steht aber leider in der HIPB-Datenbank. Somit wertlos und nicht mehr zu benutzen.

Cheers,
jsysde
erikro
erikro 05.10.2022 um 17:24:30 Uhr
Goto Top
Moin,

erstmal: Was ist besser? Kurz und komplex oder lang und nur Buchstaben? Ganz einfach.

Über die Tastatur kann ich 100 Zeichen erreichen. Nutze ich alle aus und nehme acht Zeichen, dann habe ich 100^8 oder 10^16 mögliche Kombinationen.

Das Alphabet hat 26 Zeichen plus noch drei Sonderzeichen (ä,ö,ü), macht 58 Zeichen insgesamt (Groß/klein). Bilde ich daraus ein Passwort mit 16 Zeichen, dann habe ich 1,64*10^28 Zeichen. Huh!

Man sieht also, dass weniger Zeichen im Vorrat, dafür längere Phrasen deutlich sicherer sind als komplexe kurze Passwörter.

Dann: Was kann man sich besser merken? Klar, das Passwort, dass z. B. iB2b.hQ# lautet, kann sich sofort jeder User problemlos einprägen, während "Maus Fahrrad Jahrmarkt" echt schwer merkbar ist. face-wink

Kurz gesagt: Komplexe und zu kurze Passwörter sind obsolet. Schon vor einigen Jahren hat der Autor, der die ursprünglichen Regeln aufgestellt hat, geschrieben, dass das ein großer Irrtum war und dass lange Passphrasen sehr viel besser sind als kurze komplexe Passwörter.

Liebe Grüße

Erik