derwowusste
Goto Top

Gründe, die gegen eine Kontensperrung nach x falschen Kennworteingaben sprechen

Ich grüße Euch.

Gibt es jemanden hier, der in seiner Windowsdomäne die Kontensperrung nach x falschen Kennworteingaben deaktiviert hat?
Wenn ja, mögt Ihr die Gründe dafür nennen?

Danke

Content-ID: 611568

Url: https://administrator.de/contentid/611568

Ausgedruckt am: 22.11.2024 um 04:11 Uhr

Tjelvar
Tjelvar 09.10.2020 um 15:24:14 Uhr
Goto Top
Moin!

das ist zwar jetzt nicht mehr aktuell, allerdings hatte ich bei meinem ehemaligen Arbeitgeber einen Fall, dass ein Benutzerkonto immer wieder gesperrt wurde und mir nicht klar war warum. Die Logs haben immer nur von einer versuchten Auth gefaselt, aber nicht klar gemacht wo die herkam. Nach drei Monaten und immerwieder freischalten und immer wieder prüfen habe ich die vorübergehend deaktiviert. Am Ende hat sich dann rausgestellt, dass er sein altes iPad, auf dem auch das Exchange Konto eingerichtet war, an seine Töchter weitergegeben. Er hat das Konto allerdings nicht gelöscht und nach dem nächsten PW Wechsel hat es sich immer wieder versucht zu authentifizieren und zum Fehler geführt. Aber Himmel habe ich damals geschimpft weil ich den Ursprung des Fehlers nicht gefunden habe.

Gruß,
Tjelvar
certifiedit.net
certifiedit.net 09.10.2020 um 17:12:25 Uhr
Goto Top
Moin...

Ist aber kein Grund es abzuschalten...hätte ja auch was anderes sein können...Bruteforce und wenn das kennwort dann eben Hallo123! statt Hallo123 heisst, dann kommt man irgendwann drauf
BassFishFox
BassFishFox 09.10.2020 um 18:48:36 Uhr
Goto Top
Ja hatten wir.

Weil es den Benutzern nicht wirklich immer moeglich war richtig zu tippen.
Ist mittlerweile Geschichte da W10 etwas andere Moeglichkeiten bietet.

BFF
DerWoWusste
DerWoWusste 09.10.2020 um 20:44:15 Uhr
Goto Top
Vor einem mutwilligen Massenlockout durch Spaßvögel (oder Hacker) hat keiner von Euch Angst?
jsysde
jsysde 09.10.2020 um 21:36:26 Uhr
Goto Top
N'Abend.

Zitat von @DerWoWusste:
Vor einem mutwilligen Massenlockout durch Spaßvögel (oder Hacker) hat keiner von Euch Angst?
Doch - deswegen isses ja abgeschaltet. Spätestens, wenn man nen Exchange öffentlich zugänglich hat (und keinen Kemp o.ä. davor betreibt), ist das ein prima Ziel für nen DDoS-Angriff. Kann natürlich auch jeder Praktikant von intern per PowerShell für nen DDoS nutzen etc.

Das Abschalten sollte aber nur dort geschehen, wo andere Sicherheitskriterien konsequent durchgesetzt werden wie z.B. Passwortlänge > 12 Zeichen, entsprechendes Monitoring auf Datenabfluss etc. Andernfalls ist das Blockieren nach x falschen Versuchen das "last resort", um größeres Unheil zu verhindern. "Exoten", wie etwa Lösungen, die nach ner falschen Kennworteingabe n Sekunden verzögern, sind natürlich auch nützlich, ich hab' sowas aber in >20 Jahren in der IT erst zwei Mal live in Betrieb gesehen.

Die Frage nach dem "Warum abschalten" ist glaub' ich recht einfach zu beantworten. Der Rattenschwanz an Möglichkeiten und sonstigen Konfigurationen füllt aber ganze Vortragswochen....

Cheers,
jsysde
certifiedit.net
certifiedit.net 09.10.2020 aktualisiert um 22:31:17 Uhr
Goto Top
Zitat von @DerWoWusste:

Vor einem mutwilligen Massenlockout durch Spaßvögel (oder Hacker) hat keiner von Euch Angst?

hatte das mal, kleine Klitsche, Sicherheitskritischer Bereich - UTM ausgefallen, dachten erst Hitze oder so, dabei hat die irgendwann gesagt, ne, will nicht mehr...ging einfach nix mehr. Und jetzt sag ich dir, das war gut, egal was der Unternehmenskunde dir sagt, lieber, du sagst, die Pfeiffe hat sich 5 mal vertippt und wenn du dafür 1000€ abrechnest ist der Unternehmenskunde immer noch besser dran, als wenn das ganze Netz Ihm um die Ohren fliegt. Die Partnerfirma, ca 150Mio Umsatz sehr gute Gewinnzahlen (kannst von träumen in dem Umsatzsegment) war für 2 Wochen tot, weil Sie da durchkamen und alles "mitgenommen" haben...

Also, JA, besser bissl ärger, weil Massenlockout (was ich auch eher ausschliessen würde - weil viel zu auffällig!), als 2 Wochen komplett tot und alles neu...Kannst ja auch mal rechnen, 150Mio /52 Wochen...die Attacke hat nur durch entgangenen Gewinn die über eine 1Mio gekostet. Waren aber wohl auch nicht so gut ausgestattet. (die dort stehende UTM war für den Normalfall gut gesized) Aber besser dicht machen als dann alles (oder etwas zu viel) rein lassen...
146211
146211 09.10.2020 um 23:37:34 Uhr
Goto Top
JA ist deaktiviert, dank WIndows 10 Enterprise Hello und YubiKey Einsatz ist das Passwort eh obsolet geworden.
godlie
godlie 10.10.2020 um 03:12:01 Uhr
Goto Top
Hallo,

Wenn ein Benutzer 3-5 mal nicht in der Lage ist, sein Passwort richtig einzutippen, dann hat er im System nichts zu suchen!

Sicherlich gibt es dann wieder die Tante aus der Buchhaltung die nervt, aber das überlebt man..
beidermachtvongreyscull
beidermachtvongreyscull 10.10.2020 um 11:00:31 Uhr
Goto Top
Grüße an Dich,

ich hatte es mal in Erwägung gezogen, bleibe aber lieber meinem Vorsatz treu, dass Daten unter (dauerhaftem) Verschluss besser sind, als wenn ich auch nur eine winzige Chance einräume, dass jemand mit unbegrenzten Versuchen durch die Authentifizierungssperren bricht und mir die Bude ausräumt.

Was ich meinen Nutzern einräume:
  • Sie müssen ihr Kennwort nicht mehr ändern.

Was ich dafür aber verlange:
  • Die Kennwörter müssen eine bestimmte Komplexität haben.
  • 2 Fehlversuche max sonst dauerhafte Sperrung (nicht zeitlich beschränkt).
  • Unsere Webportale (auch Exchange OWA) sind 2FA-gesichert.
  • Nutzer- Anmeldename hat keinerlei Ähnlichkeit mit der E-Mailadresse.

Den Konsens tragen alle mit. Damit scheinen wir gut zu fahren.

Der Gefahr eines Massenaussperrens stehe ich gelassen gegenüber, denn ohne den Aufbau des Anmeldenamens zu kennen, ist es schwierig hier jemanden von außen auszusperren. Das geht alleine schon wegen 2FA nicht. Der 2. Faktor wird von der Firewall geprüft und wenn der schon nicht stimmt, erfolgt keine Kontaktierung der Server. Zusätzlich habe ich einen Notfalladminaccount mit sehr langem Anmeldenamen und noch längerem Passwort. Diesen zu sperren, halte ich für eher unwahrscheinlich.

Gruß
bdmvg
LordGurke
LordGurke 10.10.2020 um 13:28:37 Uhr
Goto Top
Zitat von @certifiedit.net:
Zitat von @DerWoWusste:
Vor einem mutwilligen Massenlockout durch Spaßvögel (oder Hacker) hat keiner von Euch Angst?
hatte das mal, kleine Klitsche, Sicherheitskritischer Bereich - UTM ausgefallen, dachten erst Hitze oder so, dabei hat die irgendwann gesagt, ne, will nicht mehr...ging einfach nix mehr.

Ich verstehe den Zusammenhang zu Kontosperrungen und einer ausgefallenen/überlasteten UTM nicht?


Aber das Argument, dass jemand böswillig damit von außen den Betrieb lahm legen kann, wollte ich auch bringen.
Ich nehme dazu einfach die Domain der Firma, suche nach so ca. 20-25 generischen Subdomains ("exchange", "owa", "webmail"...) und wenn ich deren Outlook Web Access gefunden habe, kippe ich für jede Mailadresse die ich kenne einfach so 10-15 falsche Anmeldungen rein. Muss ja nichtmal ein variables Kennwort sein - einfach 10x versuchen mit Kennwort "xyz" anzumelden.
Das mache ich für jedes mir bekannte Mailkonto und dann arbeitet da niemand mehr, weil ja alle Konten gesperrt sind.
Ich will das Konto nicht aufmachen, ich will ja nur verhindern, dass es überhaupt jemand nutzen kann. Und das kann ich ja nicht nur einmal machen, das kann ich durchgängig so laufen lassen.
Dagegen hilft dann nur, das OWA ausschließlich per VPN oder "Trusted Networks" erreichbar zu machen, was aber meistens den Sinn des OWA konterkariert. Oder man verwendet konsequent 2FA und macht es zur Voraussetzung, dass der Login aus fremden Netzen überhaupt funktioniert - und muss sich dann nicht mehr so sehr vor Bruteforce gruseln, weil selbst ein bekanntes Kennwort keine Verwendung des Kontos ermöglicht.
Lediglich überwachen sollte man auf theoretisch erfolgreiche Logins, die dann an 2FA gescheitert sind.


Das "DoS-durch-Kontosperrung" ging eine zeitlang bei Telekom-DSL-Zugängen übrigens auch. Da konntest du dich an einem beliebigen Anschluss (auch Reseller-Anschlüsse von 1&1) versuchen mit fremder Leute Zugangsdaten anzumelden. WIMRE ging das aber sogar, wenn man versuchte sich mit diesen Zugangsdaten auf der Telekom-Webseite anzumelden - das war dann auch schlechter zurückverfolgbar als bei den DSL-Einwahlen face-wink
Du musstest nur den Benutzer kennen - was relativ leicht war, da einige Leute das als ihre reguläre Mailadresse verwendeten - und irgendein Phantasiekennwort versuchen, nach genug fehlerhaften Anmeldungen (ich glaube, man brauchte so ca. 30-40 Versuche) wurde das T-Online-Konto gesperrt und der legitime Besitzer des Zugangs konnte sich nicht mehr ins Internet einwählen. Kontofreischaltung nur mit neuem Kennwort, das musste man bei der Hotline beantragen und wurde per Post verschickt.
Das hat die Telekom dann, weil es eine beliebte DoS-Methode wurde, dann abgestellt. Und inzwischen ist es ja eh dank BNG obsolet geworden.
DerWoWusste
DerWoWusste 10.10.2020 aktualisiert um 13:37:09 Uhr
Goto Top
Ich stelle diese Frage, weil ich beabsichtige, einen Wissensbeitrag zu dem Thema zu schreiben.

Es scheint nicht allgemein bekannt zu sein, dass man fürs Aussperren von Accounts...

  • sich nicht authentifizieren muss
  • die Namen nicht wissen muss, denn man kann diese mittels net user /domain aus der Domäne auslesen
  • nicht einmal eine Domänenworkstation braucht, sondern einen eigens mitgebrachten Laptop nutzen könnte.

Da ein geskripteter Angriff gegen ca. 1000 Accounts weniger als 2 Minuten dauert (bei Aussperren nach 5-facher Fehleingabe) und dann auch keiner mehr Entsperren kann, außer dem eingebauten Administrator der Domäne, ist das Ganze schon ein heikles Thema, mit dem man sich beschäftigt haben sollte.

Lesestoff dazu: https://www.faq-o-matic.net/2013/08/07/dos-angriff-fr-jedermann-ad-konte ...
Mein Wissensbeitrag folgt bald.
certifiedit.net
certifiedit.net 10.10.2020 um 13:37:54 Uhr
Goto Top
Ich verstehe den Zusammenhang zu Kontosperrungen und einer ausgefallenen/überlasteten UTM nicht?

Der Endeffekt ist derselbe, die UTM (IPS/IDS) hat die Möglichkeit auszufallen (= gar nichts mehr durch zu lassen -> Kontosperrung) oder eben nicht mehr zu funktionieren und im Zweifel Pakete durch zu lassen, die zwangsläufig eigentlich den entsprechenden Regeln entsprechen. ;)

Ist natürlich immer eine Abwägung, VPN ist gut und Recht, aber auf den mobil-devices für Mails..?
certifiedit.net
certifiedit.net 10.10.2020 um 13:41:03 Uhr
Goto Top
Da helfen dann aber eine klare Segmentierung des Netzes und ggf. IDS/IPS und Flooding Prevention. Zeigt aber auch mal wieder: Mitgebrachte Devices ins "semi interne" = interne client Netz zu lassen ist Blödsinn. Dafür gibt es ein extra Netz.
DerWoWusste
DerWoWusste 10.10.2020 um 13:48:24 Uhr
Goto Top
@certifiedit.net
Moin. Wie schnell würde denn deine IDS zubeißen? Nimm eine kleine Firma, 100 Konten - da ist der Angriff nach 10 Sekunden erfolgreich beendet (alle Konten dicht) - da will die schon zugepackt haben? Da habe ich meine Zweifel, bzw., wenn man sie scharf einstellt, kommt es zu reichlich false positives, schätze ich.
Auch kann ich als Mitarbeiter einfach mein eigenes LAN-Kabel mal 10 Sekunden ziehen und eine vorbereitete Maschine anstecken, die ich danach wieder abstöpsele.

Aber gut, für und wieder, hin und her, ich werde was dazu schreiben, wo ich auf Gegenmaßnahmen eingehe. So lange könnt Ihr ja mal bei Kollege Kaczenski reinlesen.
beidermachtvongreyscull
beidermachtvongreyscull 10.10.2020 um 20:27:20 Uhr
Goto Top
Zitat von @DerWoWusste:
Ich stelle diese Frage, weil ich beabsichtige, einen Wissensbeitrag zu dem Thema zu schreiben.

Cool. Bin gespannt drauf.

Es scheint nicht allgemein bekannt zu sein, dass man fürs Aussperren von Accounts...

  • sich nicht authentifizieren muss
Die Sperrung erfolgt aber doch über eine ungültige Authentifizierung. Durch Probieren falscher Credentials (richtiger Nutzer, falsches PW) werden Konten u.a. gesperrt.

* die Namen nicht wissen muss, denn man kann diese mittels net user /domain aus der Domäne auslesen
Da bin ich bei Dir. Aber auch hier braucht es erstmal einen gültigen Domänenzugriff. Meine 2016er-Domäne verweigert diese Auskunft, wenn nicht die Workstation Mitglied oder/und der Nutzer Mitglied ist. Zumindest ergibt das mein eben durchgeführter Versuch.

* nicht einmal eine Domänenworkstation braucht, sondern einen eigens mitgebrachten Laptop nutzen könnte.
Wenn Du die Kontenliste hast, bin ich bei Dir. Um Authentifizierungsversuche zu starten, reicht ein beliebiger Rechner. Aber das Auslesen der Konten braucht aus meiner Sicht immernoch einen Domänenrechner. Korrigiere mich, wenn ich falsch liegen sollte.

Da ein geskripteter Angriff gegen ca. 1000 Accounts weniger als 2 Minuten dauert (bei Aussperren nach 5-facher Fehleingabe) und dann auch keiner mehr Entsperren kann, außer dem eingebauten Administrator der Domäne, ist das Ganze schon ein heikles Thema, mit dem man sich beschäftigt haben sollte.

Ich bin immernoch der Ansicht, dass es besser ist, die Daten liegen zugriffsgeschütztr -auch wenn das Geschöpf den Schöpfer ausperrt- als dass jemand von außen zu einfach reinkommt.

Und den physischen/technischen Netzwerkzugriff sollte man als Admin ebenfalls unter Kontrolle haben. face-smile


Bin sehr gespannt.
AbstrackterSystemimperator
AbstrackterSystemimperator 11.10.2020 um 11:33:31 Uhr
Goto Top
Zitat von @DerWoWusste:
Gibt es jemanden hier, der in seiner Windowsdomäne die Kontensperrung nach x falschen Kennworteingaben deaktiviert hat?
Wenn ja, mögt Ihr die Gründe dafür nennen?
Damit ich mir nicht ständig anhören muss, dass das der Account gesperrt wurde und wenn ich diesen freigebe, ich gleichzeitig ein neues Passwort vergeben muss, was den aktuellen Sicherheitsstandards entspricht. Selbiges ist der Fall, wenn der Benutzer sein Passwort nicht mehr weiß. Setze ich es zurück, entspricht es nicht deren "Wünschen" oder sie ändern es gleich auf "HalloWelt123"... Eigentlich die falsche Richtung, was ich jedoch noch ändern will, muss nur leider die Füße stillhalten...

Danke
Bitte.
it-fraggle
it-fraggle 11.10.2020 um 13:27:01 Uhr
Goto Top
Wir haben es abgeschaltet, denn es ist eine super Möglichkeit für einen Angriff, um alle Konten unternehmensweit zu sperren. Lieber vernünftige Passwörter und ein Monitoring für fehlgeschlagene Log-in Versuche.
DopeEx1991
DopeEx1991 11.10.2020 um 19:50:28 Uhr
Goto Top
Hi,
wir fangen dies von außen über unsere MS ADFS-Server mit smartlockout ab. Spam mit falschen Passwörtern von außen hat also keinen Einfluss auf den Kontenzugriff von innen. Alle Notebookuser authentisieren sich per always on vpn immer an den "inneren" Servern. Dies gilt auch für die O bzw M365 Konten. Die einzigen, die ab und an Probleme damit haben, wenn mal wieder eine Welle von Fehlanmeldungen aus China kommen, sind unsere Smartphone User, ist aber sehr überschaubar solange ihre access token noch gültig sind. Alles in allem funktioniert das smart lockout recht gut, da es auch differenziert zwischen Quellen mit vorher erfolgreicher Anmeldung oder unbekannte Adressen. Dazu noch etwas Geoblocking der Firewall
DerWoWusste
DerWoWusste 12.10.2020 um 13:43:21 Uhr
Goto Top
Habe nun einen Wissensbeitrag7Anleitung dazu verfasst: Kontosperrung bei Kennwortfehleingabe - Vorteile, Nachteile, Angriffe