Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Kontosperrungsschwelle greift nicht

Mitglied: KMUlife

KMUlife (Level 2) - Jetzt verbinden

10.04.2018 um 10:17 Uhr, 2108 Aufrufe, 18 Kommentare, 4 Danke

Hallo zusammen!

Ich habe mal wieder geprüft, ob die Kontosperrschwellen greifen. Diese funktionieren nicht wie gewünscht. Die Frage ist jetzt, ob ich eine falsche Vorstellung von diesen habe oder ob diese wirklich nicht greifen.

Lokale Sicherheitsrichtlinie: (wird auch per GPO ausgerollt)
  • Kontosperrungsschwelle: 10 ungültige Anmeldeversuche
  • Kontosperrdauer: 300 Minuten
  • Zurücksetzungsdauer des Kontosperrungszählers: 300 Minuten

Nun bin ich hingegangen und habe bei einem User das ganze mit Strichen getestet. Domäne\User, 12 mal PW falsch eingegeben --> wird nicht gesperrt.
Dabei habe ich beobachtet, dass das Konto nur gesperrt wird, wenn es eine Verbindung zur Domäne hat. (Gerät meldet dann die Falschanmeldungen der AD und Konto muss freigegeben werden.) Wenn ich das Gerät aber nicht am Netzwerk habe und dies mache, kann ich auch nach 20 Anmeldeversuchen mit dem richten Passwort ohne Probleme verbinden. Für mich stellt sich die Frage, wieso? Grundsätzlich ist ja das grösste Risiko bei einem Laptop, dass er gestohlen wird oder im Zug vergessen wird. Wenn dann einer mit einem Programm einfach das PW per Bruteforce hacken kann, macht für mich diese Einstellung nicht so Sinn.

Das der lokale Administrator von dieser Einstellung nicht betroffen ist, weiss ich, deshalb ist dieser deaktiviert und ein anderer lokaler admin eingerichtet.

Könnt ihr mich über die Logik dahinter aufklären? Oder läuft bei mir Grundsätzlich was falsch?

Informationen zu Umgebung:
  • Windows 10 Pro 1709
  • lokale Benutzerprofile (keine Servergespeicherten)
  • Sicherheitsrichtlinie wird ausgerollt (ersichtlich mit rsop.msc & gpresult /r)

Mitglied: 135799
LÖSUNG 10.04.2018, aktualisiert um 10:28 Uhr
Für mich stellt sich die Frage, wieso?
Weil ein Lockout im Benzutzerkonto des AD hinterlegt ist nicht am Client. Ohne Verbindung kein Lockout.
Grundsätzlich ist ja das grösste Risiko bei einem Laptop, dass er gestohlen wird oder im Zug vergessen wird.
Dann hast du aber ganz andere Probleme als den Login das kann man auch ohne "Eingabemaske" umgehen solange man an die NTHashes des Credential-Caches kommt => Bitlocker nutzen.
Wenn dann einer mit einem Programm einfach das PW per Bruteforce hacken kann, macht für mich diese Einstellung nicht so Sinn.
Doch. Das ist dafür da die Domäne zu schützen nicht den Laptop. den Laptop musst du anders sichern => Bitlocker & Co.

Gruß Schnuffi
Bitte warten ..
Mitglied: Archeon
LÖSUNG 10.04.2018 um 11:05 Uhr
Hallo,

zu mal ich mir nicht die Mühe machen würde, auf den Erfolg eines Bruteforce Angriffs zu warten, da gibt es schnellere und einfachere Methoden an die Daten zu kommen oder das Passwort zu umgehen.
Zum Lockout hatte ja @135799 schon was geschrieben.

Gruß
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 10.04.2018, aktualisiert um 11:08 Uhr
Hi.

Wenn dann einer mit einem Programm einfach das PW per Bruteforce hacken kann, macht für mich diese Einstellung nicht so Sinn.
Wie stellst Du dir das vor? Du kannst als normaler Nutzer nicht an die Hashes, welche ggf. auf dem Rechner vorliegen, ran. Selbst wenn: bei dem Prozess, diese zu brechen, wird doch gar keine Anmeldung versucht - du hast eine falsche Vorstellung davon, wie das abläuft.

Deine Richtlinie wird nur ziehen, wenn der PC mit der Domäne verbunden ist und nur dann, wenn Sie am DC greift - auf dem Client muss sie nicht angewendet werden, der hat mit Domänenkonten nichts zu tun - allein der DC wertet das aus.
Bitte warten ..
Mitglied: VGem-e
LÖSUNG 10.04.2018 um 11:14 Uhr
Servus,

ergänzend zu Bitlocker habe ich für Notebooks, die außerhalb der Büros unterwegs sind, noch ein BIOS-Passwort gesetzt.

Gruß
VGem-e
Bitte warten ..
Mitglied: KMUlife
10.04.2018 um 11:27 Uhr
Zitat von DerWoWusste:

du hast eine falsche Vorstellung davon, wie das abläuft.
Anscheinend... wieso hat man dann überhaupt ein Lockout auf Domänenebene?


Deine Richtlinie wird nur ziehen, wenn der PC mit der Domäne verbunden ist und nur dann, wenn Sie am DC greift - auf dem Client muss sie nicht angewendet werden, der hat mit Domänenkonten nichts zu tun - allein der DC wertet das aus.
Aber wenn keine Verbindung zum DC besteht, wäre ich froh, der Client würde diesen Lockout auch machen. Wenn die Funktion schon gegeben ist.

Bitlocker ist auf den Geräten aktiviert, aber jedoch ohne Initialpasswort. Dann müsste ich wohl anfangen Initialpasswörter zu setzen um Aussendienstmitarbeiter zu schützen? (und wie @VGem-e geschrieben hat zusätzlich evt. noch BIOS-PW)

Danke für euer Wissen!
LG
KMUlife
Bitte warten ..
Mitglied: Archeon
10.04.2018, aktualisiert um 11:32 Uhr
Aber dann geh doch mal davon aus, der Mitarbeiter hat einen wichtigen Termin bei einem Kunden, gibt sein Passwort versehentlich falsch ein, weil er es gestern geändert hat und und ihm fällt das nach dem 9. Versuch erst auf, dann gibt er das neue Passwort ein, vertippt sich dabei aber und der Account wird gesperrt, wie willst du ihn dann wieder freischalten?
Es macht also unter Umständen schon Sinn, dass das nur in Kombination mit Verbindung zur Domäne funktioniert.
Bitte warten ..
Mitglied: emeriks
10.04.2018 um 11:34 Uhr
Hi,
das Verschlüsseln mit Bitlocker schützt Dich davor, dass jemand die HDD aus- und woanders einbaut, und davor, dass jemand von CD bootet, um so die Windows-Anmeldung zu umgehen oder zu hacken.

E.
Bitte warten ..
Mitglied: KMUlife
10.04.2018 um 11:36 Uhr
Zitat von Archeon:

Aber dann geh doch mal davon aus, der Mitarbeiter hat einen wichtigen Termin bei einem Kunden, gibt sein Passwort versehentlich falsch ein, weil er es gestern geändert hat und und ihm fällt das nach dem 9. Versuch erst auf, dann gibt er das neue Passwort ein, vertippt sich dabei aber und der Account wird gesperrt, wie willst du ihn dann wieder freischalten?
Es macht also unter Umständen schon Sinn, dass das nur in Kombination mit Verbindung zur Domäne funktioniert.

Shit happens... ich bin lieber Safe oder stelle die Sperrung halt auf 25ig oder so...Aber anscheinend macht man es ja garnicht mit der "Bruteforce" Variante. Bzw. habe ich eine falsche Vorstellung davon. Könnt ihr mich den aufklären, was die häufigsten Wege sind? Denn ich kann mich nur vor was effektiv schützen, wenn ich auch weiss, wie das Vorgehen ist.

Grüsse aus der Schweiz
KMUlife
Bitte warten ..
Mitglied: KMUlife
10.04.2018 um 11:37 Uhr
Das ist mir bewusst. Deshalb habe ich momentan auch kein Initial-pw. Weil Bitlocker greifft ja, sobald ich die HDD in einem neuen Gerät einbaue. Aber mit einem Initialpw hätte man ja eine Hürde mehr, wofür ist denn diese Hürde gedacht?
Bitte warten ..
Mitglied: Archeon
10.04.2018 um 11:41 Uhr
Wie man solche Dinge umgeht darf ich dir nicht schreiben, das solltest du als Admin aber auch selbst raus finden können
Versuch den Start von externen Medien zu verhindern oder zu erschweren, das ist schon mal ein guter Anfang und zum Schutz der Daten halt eine Verschlüsselung, da gibt es ja genügend zur Auswahl.

Zum Thema "Shit happens", Hauptsache das sieht dein Chef auch so gelassen wie du, wenn die Präsentation ausfällt der mögliche potenzielle Neukunde dadurch weg bleibt.
Bitte warten ..
Mitglied: KMUlife
10.04.2018 um 11:42 Uhr
Zitat von Archeon:
Zum Thema "Shit happens", Hauptsache das sieht dein Chef auch so gelassen wie du, wenn die Präsentation ausfällt der mögliche potenzielle Neukunde dadurch weg bleibt.

Die Anforderung kommt vom Chef .
Bitte warten ..
Mitglied: 135799
10.04.2018, aktualisiert um 11:56 Uhr
Die Anforderung kommt vom Chef .
Da hilft der berühmte Tritt in die Kronjuwelen .
Bitte warten ..
Mitglied: Archeon
10.04.2018 um 11:56 Uhr
Das mag ja sein, in dem Falle gibt es ja auch keine Probleme, weil du das gesperrte Konto wieder freischalten kannst.
Mein Beispiel sollte nur verdeutlichen, warum es durchaus Sinn macht, dass das nur funktioniert, wenn der Rechner mit der Domäne Kontakt hat.
Bitte warten ..
Mitglied: DerWoWusste
10.04.2018, aktualisiert um 12:56 Uhr
wieso hat man dann überhaupt ein Lockout auf Domänenebene?
Am ehestenfür den Fall, dass jemand wirklich meint, er würde mit bloßem Raten da rankommen - zum Beispiel, wenn jemand dich bei der Kennworteingabe beobachtet hat, aber sich bei einigen Zeichen nicht sicher ist und es nun ausprobieren will.
Bitte warten ..
Mitglied: KMUlife
10.04.2018 um 13:06 Uhr
Dann sind eurer Meinung nach folgende Schritte genügend:

- Bitlocker aktivieren (Initialkennwort nötig?)
- BIOS Passwort
- erlauben von externen Geräten verweigern
- Lockout für "interne" Angriffe per Try and Error

Oder gibt es noch andere Einstellungen die man beachten könnte?

Problematik sehe ich in meinem Anwendungsfall, dass die Aussendienstmitarbeiter erstens Surfssticks verwenden sowie auch Datensticks mit gewissen Programmen. Teils müssen auch "fremde" Sticks an den Notebooks angeschlossen werden, wenn Sie ein Stick des Kunden für den Kunden vorbereiten müssen. Weshalb ich das "anschließen von externen Geräten" verweigern wohl vergessen kann.

Hmmmmm...
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 10.04.2018 um 13:29 Uhr
Wenig sinnvoll, genau aufzulisten, was Du mitgenommen hast, wenn noch nicht genau aufgelistet wurde, was Du wogegen schützen möchtest.
Für den Standardfall Laptopabsicherung (ohne dass die User lokale Admins sind):

-Alle PCs gehören verschlüsselt. Ob nun mit TPM allein, oder mit TPM und PIN, muss jeder selbst entscheiden.
-Firewall muss an
-Windows-Kennwort darf zumindest nicht erratbar sein
-Durchmarsch über DMA-Attacken (z.B. Firewireport) darf nicht möglich sein (dagegen gibt es eine GPO)
-Nutzer darf für die Verschlüsselung keine Recoverykeys bekommen (inklusive MBAM-Selfservice), welche Offline-Manipulation erlauben
Bitte warten ..
Mitglied: Archeon
10.04.2018 um 13:51 Uhr
Zitat von KMUlife:
Teils müssen auch "fremde" Sticks an den Notebooks angeschlossen werden, wenn Sie ein Stick des Kunden für den Kunden vorbereiten müssen. Weshalb ich das "anschließen von externen Geräten" verweigern wohl vergessen kann.
Das bezog sich darauf, zu unterbinden, dass von externen Geräten gebootet werden kann.
Bitte warten ..
Mitglied: maretz
11.04.2018 um 10:10 Uhr
Moin,
und du bist dir sicher das der sich dessen bewusst ist? Ich würde da vorher mal explizit drauf hinweisen. Das wäre nicht der erste Chef der die Vorstellung hat: "Der PC erkennt schon das es JETZT doof wäre das Konto zu sperren und macht das nur wenn der geklaut wird"... Wenns dann doch bei der relevanten Präsentation stattfindet - dann gibts erst mal mecker warum das denn alles nich funktioniert ....

Leider ist da oft die Vorstellung von der Realität leicht abweichend... so um einige 100% oder so....
Bitte warten ..
Ähnliche Inhalte
Windows Server
Top greift nicht
gelöst Frage von ThabeusWindows Server9 Kommentare

Moin. Ich habe eine GPO angelegt für Laufwerksmapping. Diese findet keine Anwendung wenn ich die diese aktiviere. Die GPO ...

Windows Userverwaltung
Gruppenrichtlinie greift nicht
gelöst Frage von Flais78Windows Userverwaltung3 Kommentare

Moin Moin liebe Community, ich habe das folgende Problem Auf meinem Domain Controller ist eine Gruppenrichtlinie für eine Ordnerumleitung ...

Windows Server
Gruppenrichtlinie greift nicht zu!
gelöst Frage von SyosseWindows Server25 Kommentare

Hallo Jungs :) Die Frage wurde evtl schon oft gestellt, jedoch komme ich nach 2 Tage intensive Recherche und ...

Windows Server

Zugriffsbasierte Aufzählung greift nicht

gelöst Frage von HardExitWindows Server2 Kommentare

Hallo zusammen, ich möchte gerne die Ordner ausblenden für welche die User keinen Zugriff haben, nur leider scheint es ...

Neue Wissensbeiträge
Microsoft
The Premier Field Engineering Blog is MOVING!
Information von Dani vor 3 StundenMicrosoft

Hello to all of our AWESOME readers that have helped us build the Premier Field Engineering TechCommunity blog up ...

Sicherheit
Alexa un Co. TU-Darmstadt entwickelt Anti-Spy Tool
Information von the-buccaneer vor 23 StundenSicherheit3 Kommentare

Moinsen! HR-Info hatte heute ein Feature in dem das "LeakyPick" der TH-Darmstadt vorgestellt wurde. Das Tool existiert bisher nur ...

Linux Tools
Rsync datenvolumen reduzieren mit -fuzzy
Anleitung von NetzwerkDude vor 3 TagenLinux Tools

Moin, aus der Kategorie "Häufig übersehene Parameter": Meistens benutzt kaum jemand den fuzzy Parameter von rsync, und er taucht ...

Sicherheit

Citrix ADC, Gateway u. SD-Wan: Schwachstellen patchen

Information von kgborn vor 5 TagenSicherheit

Keine Ahnung, wie viele Admins von Citrix-Applicances hier unterwegs sind und ob die Versorgung mit Advisories klappt. Aber im ...

Heiß diskutierte Inhalte
Windows Server
Anmelden via RDP bringt "Passwort fehlerhaft" - lokale Anmeldung möglich
Frage von it-froschWindows Server21 Kommentare

Hallo Kollegen, Windows Server 2012 Wir haben einen Server, an dem wir uns mit einem lokalen Account anmelden. Die ...

Festplatten, SSD, Raid
Backup einer an die FRITZBox angeschlossenen Festplatte
Frage von DJ-KeyFestplatten, SSD, Raid19 Kommentare

Habe eine Frstplatte, die mehrere Partitionen beherbergt. Die Festplatte die an der FRITZ!Box als NAS dient ist schon älter ...

Exchange Server
Exchange CAL Lizenzen?
gelöst Frage von KleinProfiExchange Server16 Kommentare

Hallo Jungs, wir sind in der Firma 10 Mann, haben aber auf dem Exchange 15 Postfächer bzw. 15 User ...

Mac OS X
Komische Namen und Dateiendungen
gelöst Frage von Michael71Mac OS X14 Kommentare

Moin zusammen, wir haben in unserer Firma nur Mac Rechner und Speichern unsere Daten in einer Senology Nas worauf ...