arccos
Goto Top

Passwortrichtlinien im AD

Hallo zusammen. Ich suche nach einer Möglichkeit, Passwörter per Gruppenrichtlinie zu verbieten.
Wir haben eine Liste mit Kennwörtern, die nicht zulässig sind und dort gepflegt werden sollen. Kennt dort jemand eine Möglichkeit? Es wäre schön, wenn dies mit Windows Bordmitteln machbar wäre.
Vielen Dank für eure Tipps :o)

Content-Key: 665940

Url: https://administrator.de/contentid/665940

Printed on: December 9, 2022 at 00:12 o'clock

Member: Doskias
Doskias Apr 20, 2021 at 12:49:33 (UTC)
Goto Top
Moin,

Ich weiß man fragt da nicht nach aber was sind das für Kennwörter? face-smile Meiner Erfahrung nach lässt sich das Problem sehr gut lösen, indem du einfach die Komplexitätsvoraussetzungen und die Kennwortlänge entsprechend anpasst.

Gruß
Doskias
Member: arccos
arccos Apr 20, 2021 at 12:54:48 (UTC)
Goto Top
Hmm naja. Manche Kennwörter dürfen bestimme Wörter, oder Zeichenfolgen nicht enthalten. Oder mit 1234 anfangen, oder diese Zahlen in der Reihenfolge enthalten. Mit der Kennwortlänge werden wir daher vermutlich nicht ganz so weit kommen. Aber vielen Dank face-smile
Member: mbehrens
mbehrens Apr 20, 2021 at 12:56:48 (UTC)
Goto Top
Zitat von @arccos:

Hallo zusammen. Ich suche nach einer Möglichkeit, Passwörter per Gruppenrichtlinie zu verbieten.
Wir haben eine Liste mit Kennwörtern, die nicht zulässig sind und dort gepflegt werden sollen. Kennt dort jemand eine Möglichkeit? Es wäre schön, wenn dies mit Windows Bordmitteln machbar wäre.

Man kann eine Password Filter DLL implementieren und diese dann über die GPO Password must meet complexity requirements nutzen.
Member: Doskias
Doskias Apr 20, 2021 at 13:26:13 (UTC)
Goto Top
Naja einen Teil wirst du dann schon abfangen können:

Das Kennwort darf nicht den Kontonamen des Benutzers oder mehr als zwei Zeichen enthalten, die nacheinander im vollständigen Namen des Benutzers vorkommen.
Das Kennwort muss mindestens sechs Zeichen lang sein.
Das Kennwort muss Zeichen aus drei der folgenden Kategorien enthalten:
1. Großbuchstaben (A bis Z)
2. Kleinbuchstaben (a bis z)
3. Zahlen zur Basis 10 (0 bis 9)
4. Nicht alphabetische Zeichen (zum Beispiel !, $, #, %)

Das zu dann die kennwortlänge auf 15 Zeichen. Klar, es schützt nicht vor 1234Administrator, aber vor allen Kombination mit dem eigenen Namen und zu kurzen Kennwörtern schonmal schon.

Für Zeichenfolgen die Abgefangen werden sollen, braucht es wohl Zusatztools. Wenn das auch mit Boardmitteln geht, wäre ich auch dabei face-smile

Gruß
Doskias
Member: Mr-Gustav
Solution Mr-Gustav Apr 20, 2021 updated at 14:31:23 (UTC)
Goto Top
Dir ist aber schon bekannt, dass das Passwort dann für die Überprüfung dafür im PlainText vorliegen muss ?
Wenn du dein Password änderst wird es direkt in verschlüsselter Form gespeichert.
Hingegen wenn es erst überprüft werden muss, auf was auch immer, muss es wie oben schon erwähnt im Klartext
geschehen und kann dann erst abgespeichert und verschlüsselt werden. Hier liegt dann ein Angrifsvektor vor.

Bedenke aber auch je komplizierter du das mit dem Passwort gestalltest desto eher wird das Password aufgeschrieben und irgendwo abgelegt. Immer dran denken: Für viele ist der PC nur ein Mittel zum Zweck und das muss eben so eingfach wie möglich sein und ohne viel Hickhack. Je Komplizierter des eher sind die Benutzer frustriert und machen sachen was man nicht macht face-smile

Der Benutzer Derwusstewo hatte da mal was zu geschreiben. Finde ich nur gerade nicht. Wenn doch füge ich es hier ein.

Habe da eben einen Angriffsweg im Internet gefunden:#
https://pentestlab.blog/2020/02/10/credential-access-password-filter-dll ...
( wenn der Link nicht OK dann bitte löschen =

Ich würde da eher abraten.
Alternativ kannst du ja, entsprechendes AD Level vorrausgesetzt, Verschiedene Passwörter bzw. Richtlienen anwenden.
Stichwort hier

Fine granted password policy to user groups

Eventuell hilt dir das weiter
Member: jsysde
Solution jsysde Apr 20, 2021 at 16:49:21 (UTC)
Goto Top
N'Abend.

Zitat von @arccos:
[...]wenn dies mit Windows Bordmitteln machbar wäre.
Ist es leider nicht. face-sad
Komplexität und Länge hochsetzen, zusätzlich 2FA implementieren wäre mein Ansatz. User sind immer sehr erfinderisch, solche Regeln irgendwie zu umgehen - mit z.B. 12 Zeichen Mindestlänge, voller Komplexität und 2FA kann ich zwar den "Spieltrieb" nicht wirklich einschränken, aber dennoch für Sicherheit sorgen.

Cheers,
jsysde