arccos
Goto Top

Passwortrichtlinien im AD

Hallo zusammen. Ich suche nach einer Möglichkeit, Passwörter per Gruppenrichtlinie zu verbieten.
Wir haben eine Liste mit Kennwörtern, die nicht zulässig sind und dort gepflegt werden sollen. Kennt dort jemand eine Möglichkeit? Es wäre schön, wenn dies mit Windows Bordmitteln machbar wäre.
Vielen Dank für eure Tipps :o)

Content-ID: 665940

Url: https://administrator.de/contentid/665940

Ausgedruckt am: 09.11.2024 um 01:11 Uhr

Doskias
Doskias 20.04.2021 um 14:49:33 Uhr
Goto Top
Moin,

Ich weiß man fragt da nicht nach aber was sind das für Kennwörter? face-smile Meiner Erfahrung nach lässt sich das Problem sehr gut lösen, indem du einfach die Komplexitätsvoraussetzungen und die Kennwortlänge entsprechend anpasst.

Gruß
Doskias
arccos
arccos 20.04.2021 um 14:54:48 Uhr
Goto Top
Hmm naja. Manche Kennwörter dürfen bestimme Wörter, oder Zeichenfolgen nicht enthalten. Oder mit 1234 anfangen, oder diese Zahlen in der Reihenfolge enthalten. Mit der Kennwortlänge werden wir daher vermutlich nicht ganz so weit kommen. Aber vielen Dank face-smile
mbehrens
mbehrens 20.04.2021 um 14:56:48 Uhr
Goto Top
Zitat von @arccos:

Hallo zusammen. Ich suche nach einer Möglichkeit, Passwörter per Gruppenrichtlinie zu verbieten.
Wir haben eine Liste mit Kennwörtern, die nicht zulässig sind und dort gepflegt werden sollen. Kennt dort jemand eine Möglichkeit? Es wäre schön, wenn dies mit Windows Bordmitteln machbar wäre.

Man kann eine Password Filter DLL implementieren und diese dann über die GPO Password must meet complexity requirements nutzen.
Doskias
Doskias 20.04.2021 um 15:26:13 Uhr
Goto Top
Naja einen Teil wirst du dann schon abfangen können:

Das Kennwort darf nicht den Kontonamen des Benutzers oder mehr als zwei Zeichen enthalten, die nacheinander im vollständigen Namen des Benutzers vorkommen.
Das Kennwort muss mindestens sechs Zeichen lang sein.
Das Kennwort muss Zeichen aus drei der folgenden Kategorien enthalten:
1. Großbuchstaben (A bis Z)
2. Kleinbuchstaben (a bis z)
3. Zahlen zur Basis 10 (0 bis 9)
4. Nicht alphabetische Zeichen (zum Beispiel !, $, #, %)

Das zu dann die kennwortlänge auf 15 Zeichen. Klar, es schützt nicht vor 1234Administrator, aber vor allen Kombination mit dem eigenen Namen und zu kurzen Kennwörtern schonmal schon.

Für Zeichenfolgen die Abgefangen werden sollen, braucht es wohl Zusatztools. Wenn das auch mit Boardmitteln geht, wäre ich auch dabei face-smile

Gruß
Doskias
Mr-Gustav
Lösung Mr-Gustav 20.04.2021 aktualisiert um 16:31:23 Uhr
Goto Top
Dir ist aber schon bekannt, dass das Passwort dann für die Überprüfung dafür im PlainText vorliegen muss ?
Wenn du dein Password änderst wird es direkt in verschlüsselter Form gespeichert.
Hingegen wenn es erst überprüft werden muss, auf was auch immer, muss es wie oben schon erwähnt im Klartext
geschehen und kann dann erst abgespeichert und verschlüsselt werden. Hier liegt dann ein Angrifsvektor vor.

Bedenke aber auch je komplizierter du das mit dem Passwort gestalltest desto eher wird das Password aufgeschrieben und irgendwo abgelegt. Immer dran denken: Für viele ist der PC nur ein Mittel zum Zweck und das muss eben so eingfach wie möglich sein und ohne viel Hickhack. Je Komplizierter des eher sind die Benutzer frustriert und machen sachen was man nicht macht face-smile

Der Benutzer Derwusstewo hatte da mal was zu geschreiben. Finde ich nur gerade nicht. Wenn doch füge ich es hier ein.

Habe da eben einen Angriffsweg im Internet gefunden:#
https://pentestlab.blog/2020/02/10/credential-access-password-filter-dll ...
( wenn der Link nicht OK dann bitte löschen =

Ich würde da eher abraten.
Alternativ kannst du ja, entsprechendes AD Level vorrausgesetzt, Verschiedene Passwörter bzw. Richtlienen anwenden.
Stichwort hier

Fine granted password policy to user groups

Eventuell hilt dir das weiter
jsysde
Lösung jsysde 20.04.2021 um 18:49:21 Uhr
Goto Top
N'Abend.

Zitat von @arccos:
[...]wenn dies mit Windows Bordmitteln machbar wäre.
Ist es leider nicht. face-sad
Komplexität und Länge hochsetzen, zusätzlich 2FA implementieren wäre mein Ansatz. User sind immer sehr erfinderisch, solche Regeln irgendwie zu umgehen - mit z.B. 12 Zeichen Mindestlänge, voller Komplexität und 2FA kann ich zwar den "Spieltrieb" nicht wirklich einschränken, aber dennoch für Sicherheit sorgen.

Cheers,
jsysde