scherdel
Goto Top

Kennwortrichtlinie wird nicht komplett umgesetzt

Hallo Zusammen,

ich habe ein Problem mit der Kennwortrichtlinie in unserem (Win) Netzwerk und komme nicht recht weiter.
DC: Windows Server 2016
PC: Windows 10
Wir haben folgende Einstellungen in der Default Domain Policy eingestellt unter:
Computer - Richtlinie - Windows-Einstellungen - Kennwortrichtlinien
gpo_kennwort
Kennwort muss Komplexitätsvoraussetzungen entsprechen - Aktiviert
Kennwortchronik erzwingen - 3 gespeicherten Kennwörter
Maximales Alter - 365 Tage
Min Kennwortlänge - 9 Zeichen
Min Alter - 0 Tage
...

Wenn ich nun am PC das Kennwort ändere, bekomme ich bei allen Punkten eine Meldung, dass dies nicht zulässig ist, wenn die Länge des KW zu kurz, der Benutzername (oder Teile davon) enthalten sind, oder eines der letzten verwendet wurde.
Ich kann aber auch Kennwörter vergeben, die keine Sonderzeichen enthalten. Hier bekomme ich keinerlei Meldung.
Dies ist der Punkt, an dem ich gerne Eure Hilfe hätte. habt Ihr hier evtl. einen Tipp für mich, wo ich dies noch prüfen kann?
Vielen Dank schon mal im Voraus.

Scherdel

Content-ID: 4468233787

Url: https://administrator.de/contentid/4468233787

Ausgedruckt am: 22.11.2024 um 03:11 Uhr

Retace
Lösung Retace 31.10.2022 um 15:41:43 Uhr
Goto Top
Das Kennwort muss nur 3 der folgenden Kriterien enthalten (Auszug aus der Microsoft Seite).

Somit können Sonderzeichen nicht erzwungen werden mit den internen "Bordmitteln".
Hätte dies auch gerne. : )

Somit kann das Passwort auch: abcdefgHH4 lauten. Da 3 Kriterien erfüllt werden.

https://learn.microsoft.com/de-de/windows/security/threat-protection/sec ...

Das Kennwort enthält Zeichen aus drei der folgenden Kategorien:

1) Großbuchstaben in europäischen Sprachen (A bis Z, mit diakritischen Zeichen, griechischen und kyrillischen Buchstaben)
2) Kleinbuchstaben in europäischen Sprachen (a bis z, scharf-s, mit diakritischen Zeichen, griechischen und kyrillischen Buchstaben)
3) Basis 10 Ziffern (0 bis 9)
4) Nicht alphanumerische Zeichen (Sonderzeichen): (~!@#$%^&*_-+='|\(){}:;"' <>,.? /) Währungssymbole wie Euro oder Britisches Pfund werden für diese Richtlinieneinstellung nicht als Sonderzeichen gezählt.
5) Jedes Unicode-Zeichen, das als alphabetisches Zeichen kategorisiert ist, aber nicht groß- oder kleingeschrieben ist. Diese Gruppe enthält Unicode-Zeichen aus asiatischen Sprachen.
DerWoWusste
DerWoWusste 31.10.2022 um 19:07:37 Uhr
Goto Top
So ist es.

Am besten ganz weg von Kennwörtern, so schwer ist das gar nicht.
Scherdel
Scherdel 02.11.2022 um 07:41:37 Uhr
Goto Top
Guten Morgen Zusammen,

ja schade, dass es ein ODER und kein UND ist.
Vielen Dank für Eure Unterstützung.
DerWoWusste
DerWoWusste 02.11.2022 um 09:07:25 Uhr
Goto Top
schade, dass es ein ODER und kein UND ist.
Den Schluss muss man nicht fassen. Wäre es ein UND, wäre der Raum möglicher Kennwörter kleiner, ein Bruteforcing würde schneller zum Erfolg führen! Vermutlich ist es ganz bewusst ein ODER.
Siehe https://openwall.info/wiki/john/policy
Und der Effekt ist groß bei 9 Zeichen Länge: 47% weniger mögliche Kennwörter gegenüber "ohne Komplexitätsanforderungen".

Überlege ebenso: wenn Du 4 erzwingen könntest, wäre es dir dann Recht, dass jemand ein Kennwort so setzt:
Hallo!1

Die einzigen Überlegenswerten Verbesserungen gegenüber der eingebauten Richtlinie sind Ähnlichkeitsprüfungen und Wörterbuchprüfungen. Erzwingen von 4 v. 4 ist eher fragwürdig.
Scherdel
Scherdel 02.11.2022 um 09:40:39 Uhr
Goto Top

Überlege ebenso: wenn Du 4 erzwingen könntest, wäre es dir dann Recht, dass jemand ein Kennwort so setzt:
Hallo!1

ja, da hast Du natürlich recht. ¯\_(ツ)_/¯