18
Kontosperrungsschwelle greift nicht
Hallo zusammen!
Ich habe mal wieder geprüft, ob die Kontosperrschwellen greifen. Diese funktionieren nicht wie gewünscht. Die Frage ist jetzt, ob ich eine falsche Vorstellung von diesen habe oder ob diese wirklich nicht greifen.
Lokale Sicherheitsrichtlinie: (wird auch per GPO ausgerollt)
Nun bin ich hingegangen und habe bei einem User das ganze mit Strichen getestet. Domäne\User, 12 mal PW falsch eingegeben --> wird nicht gesperrt.
Dabei habe ich beobachtet, dass das Konto nur gesperrt wird, wenn es eine Verbindung zur Domäne hat. (Gerät meldet dann die Falschanmeldungen der AD und Konto muss freigegeben werden.) Wenn ich das Gerät aber nicht am Netzwerk habe und dies mache, kann ich auch nach 20 Anmeldeversuchen mit dem richten Passwort ohne Probleme verbinden. Für mich stellt sich die Frage, wieso? Grundsätzlich ist ja das grösste Risiko bei einem Laptop, dass er gestohlen wird oder im Zug vergessen wird. Wenn dann einer mit einem Programm einfach das PW per Bruteforce hacken kann, macht für mich diese Einstellung nicht so Sinn.
Das der lokale Administrator von dieser Einstellung nicht betroffen ist, weiss ich, deshalb ist dieser deaktiviert und ein anderer lokaler admin eingerichtet.
Könnt ihr mich über die Logik dahinter aufklären? Oder läuft bei mir Grundsätzlich was falsch?
Informationen zu Umgebung:
Ich habe mal wieder geprüft, ob die Kontosperrschwellen greifen. Diese funktionieren nicht wie gewünscht. Die Frage ist jetzt, ob ich eine falsche Vorstellung von diesen habe oder ob diese wirklich nicht greifen.
Lokale Sicherheitsrichtlinie: (wird auch per GPO ausgerollt)
- Kontosperrungsschwelle: 10 ungültige Anmeldeversuche
- Kontosperrdauer: 300 Minuten
- Zurücksetzungsdauer des Kontosperrungszählers: 300 Minuten
Nun bin ich hingegangen und habe bei einem User das ganze mit Strichen getestet. Domäne\User, 12 mal PW falsch eingegeben --> wird nicht gesperrt.
Dabei habe ich beobachtet, dass das Konto nur gesperrt wird, wenn es eine Verbindung zur Domäne hat. (Gerät meldet dann die Falschanmeldungen der AD und Konto muss freigegeben werden.) Wenn ich das Gerät aber nicht am Netzwerk habe und dies mache, kann ich auch nach 20 Anmeldeversuchen mit dem richten Passwort ohne Probleme verbinden. Für mich stellt sich die Frage, wieso? Grundsätzlich ist ja das grösste Risiko bei einem Laptop, dass er gestohlen wird oder im Zug vergessen wird. Wenn dann einer mit einem Programm einfach das PW per Bruteforce hacken kann, macht für mich diese Einstellung nicht so Sinn.
Das der lokale Administrator von dieser Einstellung nicht betroffen ist, weiss ich, deshalb ist dieser deaktiviert und ein anderer lokaler admin eingerichtet.
Könnt ihr mich über die Logik dahinter aufklären? Oder läuft bei mir Grundsätzlich was falsch?
Informationen zu Umgebung:
- Windows 10 Pro 1709
- lokale Benutzerprofile (keine Servergespeicherten)
- Sicherheitsrichtlinie wird ausgerollt (ersichtlich mit rsop.msc & gpresult /r)
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 370647
Url: https://administrator.de/contentid/370647
Ausgedruckt am: 24.11.2024 um 06:11 Uhr
18 Kommentare
Neuester Kommentar
Für mich stellt sich die Frage, wieso?
Weil ein Lockout im Benzutzerkonto des AD hinterlegt ist nicht am Client. Ohne Verbindung kein Lockout.Grundsätzlich ist ja das grösste Risiko bei einem Laptop, dass er gestohlen wird oder im Zug vergessen wird.
Dann hast du aber ganz andere Probleme als den Login das kann man auch ohne "Eingabemaske" umgehen solange man an die NTHashes des Credential-Caches kommt 
=> Bitlocker nutzen.Wenn dann einer mit einem Programm einfach das PW per Bruteforce hacken kann, macht für mich diese Einstellung nicht so Sinn.
Doch. Das ist dafür da die Domäne zu schützen nicht den Laptop. den Laptop musst du anders sichern => Bitlocker & Co.Gruß Schnuffi
Hallo,
zu mal ich mir nicht die Mühe machen würde, auf den Erfolg eines Bruteforce Angriffs zu warten, da gibt es schnellere und einfachere Methoden an die Daten zu kommen oder das Passwort zu umgehen.
Zum Lockout hatte ja @135799 schon was geschrieben.
Gruß
zu mal ich mir nicht die Mühe machen würde, auf den Erfolg eines Bruteforce Angriffs zu warten, da gibt es schnellere und einfachere Methoden an die Daten zu kommen oder das Passwort zu umgehen.
Zum Lockout hatte ja @135799 schon was geschrieben.
Gruß
Hi.
Deine Richtlinie wird nur ziehen, wenn der PC mit der Domäne verbunden ist und nur dann, wenn Sie am DC greift - auf dem Client muss sie nicht angewendet werden, der hat mit Domänenkonten nichts zu tun - allein der DC wertet das aus.
Wenn dann einer mit einem Programm einfach das PW per Bruteforce hacken kann, macht für mich diese Einstellung nicht so Sinn.
Wie stellst Du dir das vor? Du kannst als normaler Nutzer nicht an die Hashes, welche ggf. auf dem Rechner vorliegen, ran. Selbst wenn: bei dem Prozess, diese zu brechen, wird doch gar keine Anmeldung versucht - du hast eine falsche Vorstellung davon, wie das abläuft.Deine Richtlinie wird nur ziehen, wenn der PC mit der Domäne verbunden ist und nur dann, wenn Sie am DC greift - auf dem Client muss sie nicht angewendet werden, der hat mit Domänenkonten nichts zu tun - allein der DC wertet das aus.
Servus,
ergänzend zu Bitlocker habe ich für Notebooks, die außerhalb der Büros unterwegs sind, noch ein BIOS-Passwort gesetzt.
Gruß
VGem-e
ergänzend zu Bitlocker habe ich für Notebooks, die außerhalb der Büros unterwegs sind, noch ein BIOS-Passwort gesetzt.
Gruß
VGem-e
1
Anscheinend... wieso hat man dann überhaupt ein Lockout auf Domänenebene?
Deine Richtlinie wird nur ziehen, wenn der PC mit der Domäne verbunden ist und nur dann, wenn Sie am DC greift - auf dem Client muss sie nicht angewendet werden, der hat mit Domänenkonten nichts zu tun - allein der DC wertet das aus.
Aber wenn keine Verbindung zum DC besteht, wäre ich froh, der Client würde diesen Lockout auch machen. Wenn die Funktion schon gegeben ist.
Bitlocker ist auf den Geräten aktiviert, aber jedoch ohne Initialpasswort. Dann müsste ich wohl anfangen Initialpasswörter zu setzen um Aussendienstmitarbeiter zu schützen? (und wie @VGem-e geschrieben hat zusätzlich evt. noch BIOS-PW)
Danke für euer Wissen!
LG
KMUlife
Deine Richtlinie wird nur ziehen, wenn der PC mit der Domäne verbunden ist und nur dann, wenn Sie am DC greift - auf dem Client muss sie nicht angewendet werden, der hat mit Domänenkonten nichts zu tun - allein der DC wertet das aus.
Bitlocker ist auf den Geräten aktiviert, aber jedoch ohne Initialpasswort. Dann müsste ich wohl anfangen Initialpasswörter zu setzen um Aussendienstmitarbeiter zu schützen? (und wie @VGem-e geschrieben hat zusätzlich evt. noch BIOS-PW)
Danke für euer Wissen!
LG
KMUlife
Aber dann geh doch mal davon aus, der Mitarbeiter hat einen wichtigen Termin bei einem Kunden, gibt sein Passwort versehentlich falsch ein, weil er es gestern geändert hat und und ihm fällt das nach dem 9. Versuch erst auf, dann gibt er das neue Passwort ein, vertippt sich dabei aber und der Account wird gesperrt, wie willst du ihn dann wieder freischalten?
Es macht also unter Umständen schon Sinn, dass das nur in Kombination mit Verbindung zur Domäne funktioniert.
Es macht also unter Umständen schon Sinn, dass das nur in Kombination mit Verbindung zur Domäne funktioniert.
1
Hi,
das Verschlüsseln mit Bitlocker schützt Dich davor, dass jemand die HDD aus- und woanders einbaut, und davor, dass jemand von CD bootet, um so die Windows-Anmeldung zu umgehen oder zu hacken.
E.
das Verschlüsseln mit Bitlocker schützt Dich davor, dass jemand die HDD aus- und woanders einbaut, und davor, dass jemand von CD bootet, um so die Windows-Anmeldung zu umgehen oder zu hacken.
E.
1Zitat von @Archeon:
Aber dann geh doch mal davon aus, der Mitarbeiter hat einen wichtigen Termin bei einem Kunden, gibt sein Passwort versehentlich falsch ein, weil er es gestern geändert hat und und ihm fällt das nach dem 9. Versuch erst auf, dann gibt er das neue Passwort ein, vertippt sich dabei aber und der Account wird gesperrt, wie willst du ihn dann wieder freischalten?
Es macht also unter Umständen schon Sinn, dass das nur in Kombination mit Verbindung zur Domäne funktioniert.
Aber dann geh doch mal davon aus, der Mitarbeiter hat einen wichtigen Termin bei einem Kunden, gibt sein Passwort versehentlich falsch ein, weil er es gestern geändert hat und und ihm fällt das nach dem 9. Versuch erst auf, dann gibt er das neue Passwort ein, vertippt sich dabei aber und der Account wird gesperrt, wie willst du ihn dann wieder freischalten?
Es macht also unter Umständen schon Sinn, dass das nur in Kombination mit Verbindung zur Domäne funktioniert.
Shit happens... ich bin lieber Safe oder stelle die Sperrung halt auf 25ig oder so...Aber anscheinend macht man es ja garnicht mit der "Bruteforce" Variante. Bzw. habe ich eine falsche Vorstellung davon. Könnt ihr mich den aufklären, was die häufigsten Wege sind? Denn ich kann mich nur vor was effektiv schützen, wenn ich auch weiss, wie das Vorgehen ist.
Grüsse aus der Schweiz
KMUlife
Das ist mir bewusst. Deshalb habe ich momentan auch kein Initial-pw. Weil Bitlocker greifft ja, sobald ich die HDD in einem neuen Gerät einbaue. Aber mit einem Initialpw hätte man ja eine Hürde mehr, wofür ist denn diese Hürde gedacht?
Wie man solche Dinge umgeht darf ich dir nicht schreiben, das solltest du als Admin aber auch selbst raus finden können
Versuch den Start von externen Medien zu verhindern oder zu erschweren, das ist schon mal ein guter Anfang und zum Schutz der Daten halt eine Verschlüsselung, da gibt es ja genügend zur Auswahl.
Zum Thema "Shit happens", Hauptsache das sieht dein Chef auch so gelassen wie du, wenn die Präsentation ausfällt der mögliche potenzielle Neukunde dadurch weg bleibt.
Versuch den Start von externen Medien zu verhindern oder zu erschweren, das ist schon mal ein guter Anfang und zum Schutz der Daten halt eine Verschlüsselung, da gibt es ja genügend zur Auswahl.
Zum Thema "Shit happens", Hauptsache das sieht dein Chef auch so gelassen wie du, wenn die Präsentation ausfällt der mögliche potenzielle Neukunde dadurch weg bleibt.
Zitat von @Archeon:
Zum Thema "Shit happens", Hauptsache das sieht dein Chef auch so gelassen wie du, wenn die Präsentation ausfällt der mögliche potenzielle Neukunde dadurch weg bleibt.
Zum Thema "Shit happens", Hauptsache das sieht dein Chef auch so gelassen wie du, wenn die Präsentation ausfällt der mögliche potenzielle Neukunde dadurch weg bleibt.
Die Anforderung kommt vom Chef
.Die Anforderung kommt vom Chef .
Da hilft der berühmte Tritt in die Kronjuwelen .
Das mag ja sein, in dem Falle gibt es ja auch keine Probleme, weil du das gesperrte Konto wieder freischalten kannst.
Mein Beispiel sollte nur verdeutlichen, warum es durchaus Sinn macht, dass das nur funktioniert, wenn der Rechner mit der Domäne Kontakt hat.
Mein Beispiel sollte nur verdeutlichen, warum es durchaus Sinn macht, dass das nur funktioniert, wenn der Rechner mit der Domäne Kontakt hat.
1 wieso hat man dann überhaupt ein Lockout auf Domänenebene?
Am ehestenfür den Fall, dass jemand wirklich meint, er würde mit bloßem Raten da rankommen - zum Beispiel, wenn jemand dich bei der Kennworteingabe beobachtet hat, aber sich bei einigen Zeichen nicht sicher ist und es nun ausprobieren will.
Dann sind eurer Meinung nach folgende Schritte genügend:
- Bitlocker aktivieren (Initialkennwort nötig?)
- BIOS Passwort
- erlauben von externen Geräten verweigern
- Lockout für "interne" Angriffe per Try and Error
Oder gibt es noch andere Einstellungen die man beachten könnte?
Problematik sehe ich in meinem Anwendungsfall, dass die Aussendienstmitarbeiter erstens Surfssticks verwenden sowie auch Datensticks mit gewissen Programmen. Teils müssen auch "fremde" Sticks an den Notebooks angeschlossen werden, wenn Sie ein Stick des Kunden für den Kunden vorbereiten müssen. Weshalb ich das "anschließen von externen Geräten" verweigern wohl vergessen kann.
Hmmmmm...
- Bitlocker aktivieren (Initialkennwort nötig?)
- BIOS Passwort
- erlauben von externen Geräten verweigern
- Lockout für "interne" Angriffe per Try and Error
Oder gibt es noch andere Einstellungen die man beachten könnte?
Problematik sehe ich in meinem Anwendungsfall, dass die Aussendienstmitarbeiter erstens Surfssticks verwenden sowie auch Datensticks mit gewissen Programmen. Teils müssen auch "fremde" Sticks an den Notebooks angeschlossen werden, wenn Sie ein Stick des Kunden für den Kunden vorbereiten müssen. Weshalb ich das "anschließen von externen Geräten" verweigern wohl vergessen kann.
Hmmmmm...
Wenig sinnvoll, genau aufzulisten, was Du mitgenommen hast, wenn noch nicht genau aufgelistet wurde, was Du wogegen schützen möchtest.
Für den Standardfall Laptopabsicherung (ohne dass die User lokale Admins sind):
-Alle PCs gehören verschlüsselt. Ob nun mit TPM allein, oder mit TPM und PIN, muss jeder selbst entscheiden.
-Firewall muss an
-Windows-Kennwort darf zumindest nicht erratbar sein
-Durchmarsch über DMA-Attacken (z.B. Firewireport) darf nicht möglich sein (dagegen gibt es eine GPO)
-Nutzer darf für die Verschlüsselung keine Recoverykeys bekommen (inklusive MBAM-Selfservice), welche Offline-Manipulation erlauben
Für den Standardfall Laptopabsicherung (ohne dass die User lokale Admins sind):
-Alle PCs gehören verschlüsselt. Ob nun mit TPM allein, oder mit TPM und PIN, muss jeder selbst entscheiden.
-Firewall muss an
-Windows-Kennwort darf zumindest nicht erratbar sein
-Durchmarsch über DMA-Attacken (z.B. Firewireport) darf nicht möglich sein (dagegen gibt es eine GPO)
-Nutzer darf für die Verschlüsselung keine Recoverykeys bekommen (inklusive MBAM-Selfservice), welche Offline-Manipulation erlauben
Zitat von @KMUlife:
Teils müssen auch "fremde" Sticks an den Notebooks angeschlossen werden, wenn Sie ein Stick des Kunden für den Kunden vorbereiten müssen. Weshalb ich das "anschließen von externen Geräten" verweigern wohl vergessen kann.
Das bezog sich darauf, zu unterbinden, dass von externen Geräten gebootet werden kann.Teils müssen auch "fremde" Sticks an den Notebooks angeschlossen werden, wenn Sie ein Stick des Kunden für den Kunden vorbereiten müssen. Weshalb ich das "anschließen von externen Geräten" verweigern wohl vergessen kann.
Moin,
und du bist dir sicher das der sich dessen bewusst ist? Ich würde da vorher mal explizit drauf hinweisen. Das wäre nicht der erste Chef der die Vorstellung hat: "Der PC erkennt schon das es JETZT doof wäre das Konto zu sperren und macht das nur wenn der geklaut wird"... Wenns dann doch bei der relevanten Präsentation stattfindet - dann gibts erst mal mecker warum das denn alles nich funktioniert ....
Leider ist da oft die Vorstellung von der Realität leicht abweichend... so um einige 100% oder so....
und du bist dir sicher das der sich dessen bewusst ist? Ich würde da vorher mal explizit drauf hinweisen. Das wäre nicht der erste Chef der die Vorstellung hat: "Der PC erkennt schon das es JETZT doof wäre das Konto zu sperren und macht das nur wenn der geklaut wird"... Wenns dann doch bei der relevanten Präsentation stattfindet - dann gibts erst mal mecker warum das denn alles nich funktioniert ....
Leider ist da oft die Vorstellung von der Realität leicht abweichend... so um einige 100% oder so....
