Kontosperrungsschwelle greift nicht
Hallo zusammen!
Ich habe mal wieder geprüft, ob die Kontosperrschwellen greifen. Diese funktionieren nicht wie gewünscht. Die Frage ist jetzt, ob ich eine falsche Vorstellung von diesen habe oder ob diese wirklich nicht greifen.
Lokale Sicherheitsrichtlinie: (wird auch per GPO ausgerollt)
Nun bin ich hingegangen und habe bei einem User das ganze mit Strichen getestet. Domäne\User, 12 mal PW falsch eingegeben --> wird nicht gesperrt.
Dabei habe ich beobachtet, dass das Konto nur gesperrt wird, wenn es eine Verbindung zur Domäne hat. (Gerät meldet dann die Falschanmeldungen der AD und Konto muss freigegeben werden.) Wenn ich das Gerät aber nicht am Netzwerk habe und dies mache, kann ich auch nach 20 Anmeldeversuchen mit dem richten Passwort ohne Probleme verbinden. Für mich stellt sich die Frage, wieso? Grundsätzlich ist ja das grösste Risiko bei einem Laptop, dass er gestohlen wird oder im Zug vergessen wird. Wenn dann einer mit einem Programm einfach das PW per Bruteforce hacken kann, macht für mich diese Einstellung nicht so Sinn.
Das der lokale Administrator von dieser Einstellung nicht betroffen ist, weiss ich, deshalb ist dieser deaktiviert und ein anderer lokaler admin eingerichtet.
Könnt ihr mich über die Logik dahinter aufklären? Oder läuft bei mir Grundsätzlich was falsch?
Informationen zu Umgebung:
Ich habe mal wieder geprüft, ob die Kontosperrschwellen greifen. Diese funktionieren nicht wie gewünscht. Die Frage ist jetzt, ob ich eine falsche Vorstellung von diesen habe oder ob diese wirklich nicht greifen.
Lokale Sicherheitsrichtlinie: (wird auch per GPO ausgerollt)
- Kontosperrungsschwelle: 10 ungültige Anmeldeversuche
- Kontosperrdauer: 300 Minuten
- Zurücksetzungsdauer des Kontosperrungszählers: 300 Minuten
Nun bin ich hingegangen und habe bei einem User das ganze mit Strichen getestet. Domäne\User, 12 mal PW falsch eingegeben --> wird nicht gesperrt.
Dabei habe ich beobachtet, dass das Konto nur gesperrt wird, wenn es eine Verbindung zur Domäne hat. (Gerät meldet dann die Falschanmeldungen der AD und Konto muss freigegeben werden.) Wenn ich das Gerät aber nicht am Netzwerk habe und dies mache, kann ich auch nach 20 Anmeldeversuchen mit dem richten Passwort ohne Probleme verbinden. Für mich stellt sich die Frage, wieso? Grundsätzlich ist ja das grösste Risiko bei einem Laptop, dass er gestohlen wird oder im Zug vergessen wird. Wenn dann einer mit einem Programm einfach das PW per Bruteforce hacken kann, macht für mich diese Einstellung nicht so Sinn.
Das der lokale Administrator von dieser Einstellung nicht betroffen ist, weiss ich, deshalb ist dieser deaktiviert und ein anderer lokaler admin eingerichtet.
Könnt ihr mich über die Logik dahinter aufklären? Oder läuft bei mir Grundsätzlich was falsch?
Informationen zu Umgebung:
- Windows 10 Pro 1709
- lokale Benutzerprofile (keine Servergespeicherten)
- Sicherheitsrichtlinie wird ausgerollt (ersichtlich mit rsop.msc & gpresult /r)
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 370647
Url: https://administrator.de/forum/kontosperrungsschwelle-greift-nicht-370647.html
Ausgedruckt am: 25.12.2024 um 13:12 Uhr
18 Kommentare
Neuester Kommentar
Für mich stellt sich die Frage, wieso?
Weil ein Lockout im Benzutzerkonto des AD hinterlegt ist nicht am Client. Ohne Verbindung kein Lockout.Grundsätzlich ist ja das grösste Risiko bei einem Laptop, dass er gestohlen wird oder im Zug vergessen wird.
Dann hast du aber ganz andere Probleme als den Login das kann man auch ohne "Eingabemaske" umgehen solange man an die NTHashes des Credential-Caches kommt => Bitlocker nutzen.Wenn dann einer mit einem Programm einfach das PW per Bruteforce hacken kann, macht für mich diese Einstellung nicht so Sinn.
Doch. Das ist dafür da die Domäne zu schützen nicht den Laptop. den Laptop musst du anders sichern => Bitlocker & Co.Gruß Schnuffi
Hi.
Deine Richtlinie wird nur ziehen, wenn der PC mit der Domäne verbunden ist und nur dann, wenn Sie am DC greift - auf dem Client muss sie nicht angewendet werden, der hat mit Domänenkonten nichts zu tun - allein der DC wertet das aus.
Wenn dann einer mit einem Programm einfach das PW per Bruteforce hacken kann, macht für mich diese Einstellung nicht so Sinn.
Wie stellst Du dir das vor? Du kannst als normaler Nutzer nicht an die Hashes, welche ggf. auf dem Rechner vorliegen, ran. Selbst wenn: bei dem Prozess, diese zu brechen, wird doch gar keine Anmeldung versucht - du hast eine falsche Vorstellung davon, wie das abläuft.Deine Richtlinie wird nur ziehen, wenn der PC mit der Domäne verbunden ist und nur dann, wenn Sie am DC greift - auf dem Client muss sie nicht angewendet werden, der hat mit Domänenkonten nichts zu tun - allein der DC wertet das aus.
Aber dann geh doch mal davon aus, der Mitarbeiter hat einen wichtigen Termin bei einem Kunden, gibt sein Passwort versehentlich falsch ein, weil er es gestern geändert hat und und ihm fällt das nach dem 9. Versuch erst auf, dann gibt er das neue Passwort ein, vertippt sich dabei aber und der Account wird gesperrt, wie willst du ihn dann wieder freischalten?
Es macht also unter Umständen schon Sinn, dass das nur in Kombination mit Verbindung zur Domäne funktioniert.
Es macht also unter Umständen schon Sinn, dass das nur in Kombination mit Verbindung zur Domäne funktioniert.
Wie man solche Dinge umgeht darf ich dir nicht schreiben, das solltest du als Admin aber auch selbst raus finden können
Versuch den Start von externen Medien zu verhindern oder zu erschweren, das ist schon mal ein guter Anfang und zum Schutz der Daten halt eine Verschlüsselung, da gibt es ja genügend zur Auswahl.
Zum Thema "Shit happens", Hauptsache das sieht dein Chef auch so gelassen wie du, wenn die Präsentation ausfällt der mögliche potenzielle Neukunde dadurch weg bleibt.
Versuch den Start von externen Medien zu verhindern oder zu erschweren, das ist schon mal ein guter Anfang und zum Schutz der Daten halt eine Verschlüsselung, da gibt es ja genügend zur Auswahl.
Zum Thema "Shit happens", Hauptsache das sieht dein Chef auch so gelassen wie du, wenn die Präsentation ausfällt der mögliche potenzielle Neukunde dadurch weg bleibt.
Die Anforderung kommt vom Chef .
Da hilft der berühmte Tritt in die Kronjuwelen .
Wenig sinnvoll, genau aufzulisten, was Du mitgenommen hast, wenn noch nicht genau aufgelistet wurde, was Du wogegen schützen möchtest.
Für den Standardfall Laptopabsicherung (ohne dass die User lokale Admins sind):
-Alle PCs gehören verschlüsselt. Ob nun mit TPM allein, oder mit TPM und PIN, muss jeder selbst entscheiden.
-Firewall muss an
-Windows-Kennwort darf zumindest nicht erratbar sein
-Durchmarsch über DMA-Attacken (z.B. Firewireport) darf nicht möglich sein (dagegen gibt es eine GPO)
-Nutzer darf für die Verschlüsselung keine Recoverykeys bekommen (inklusive MBAM-Selfservice), welche Offline-Manipulation erlauben
Für den Standardfall Laptopabsicherung (ohne dass die User lokale Admins sind):
-Alle PCs gehören verschlüsselt. Ob nun mit TPM allein, oder mit TPM und PIN, muss jeder selbst entscheiden.
-Firewall muss an
-Windows-Kennwort darf zumindest nicht erratbar sein
-Durchmarsch über DMA-Attacken (z.B. Firewireport) darf nicht möglich sein (dagegen gibt es eine GPO)
-Nutzer darf für die Verschlüsselung keine Recoverykeys bekommen (inklusive MBAM-Selfservice), welche Offline-Manipulation erlauben
Zitat von @KMUlife:
Teils müssen auch "fremde" Sticks an den Notebooks angeschlossen werden, wenn Sie ein Stick des Kunden für den Kunden vorbereiten müssen. Weshalb ich das "anschließen von externen Geräten" verweigern wohl vergessen kann.
Das bezog sich darauf, zu unterbinden, dass von externen Geräten gebootet werden kann.Teils müssen auch "fremde" Sticks an den Notebooks angeschlossen werden, wenn Sie ein Stick des Kunden für den Kunden vorbereiten müssen. Weshalb ich das "anschließen von externen Geräten" verweigern wohl vergessen kann.
Moin,
und du bist dir sicher das der sich dessen bewusst ist? Ich würde da vorher mal explizit drauf hinweisen. Das wäre nicht der erste Chef der die Vorstellung hat: "Der PC erkennt schon das es JETZT doof wäre das Konto zu sperren und macht das nur wenn der geklaut wird"... Wenns dann doch bei der relevanten Präsentation stattfindet - dann gibts erst mal mecker warum das denn alles nich funktioniert ....
Leider ist da oft die Vorstellung von der Realität leicht abweichend... so um einige 100% oder so....
und du bist dir sicher das der sich dessen bewusst ist? Ich würde da vorher mal explizit drauf hinweisen. Das wäre nicht der erste Chef der die Vorstellung hat: "Der PC erkennt schon das es JETZT doof wäre das Konto zu sperren und macht das nur wenn der geklaut wird"... Wenns dann doch bei der relevanten Präsentation stattfindet - dann gibts erst mal mecker warum das denn alles nich funktioniert ....
Leider ist da oft die Vorstellung von der Realität leicht abweichend... so um einige 100% oder so....