Passwortrichtlinien im AD
Hallo zusammen. Ich suche nach einer Möglichkeit, Passwörter per Gruppenrichtlinie zu verbieten.
Wir haben eine Liste mit Kennwörtern, die nicht zulässig sind und dort gepflegt werden sollen. Kennt dort jemand eine Möglichkeit? Es wäre schön, wenn dies mit Windows Bordmitteln machbar wäre.
Vielen Dank für eure Tipps :o)
Wir haben eine Liste mit Kennwörtern, die nicht zulässig sind und dort gepflegt werden sollen. Kennt dort jemand eine Möglichkeit? Es wäre schön, wenn dies mit Windows Bordmitteln machbar wäre.
Vielen Dank für eure Tipps :o)
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 665940
Url: https://administrator.de/contentid/665940
Ausgedruckt am: 25.11.2024 um 10:11 Uhr
6 Kommentare
Neuester Kommentar
Hallo zusammen. Ich suche nach einer Möglichkeit, Passwörter per Gruppenrichtlinie zu verbieten.
Wir haben eine Liste mit Kennwörtern, die nicht zulässig sind und dort gepflegt werden sollen. Kennt dort jemand eine Möglichkeit? Es wäre schön, wenn dies mit Windows Bordmitteln machbar wäre.
Wir haben eine Liste mit Kennwörtern, die nicht zulässig sind und dort gepflegt werden sollen. Kennt dort jemand eine Möglichkeit? Es wäre schön, wenn dies mit Windows Bordmitteln machbar wäre.
Man kann eine Password Filter DLL implementieren und diese dann über die GPO Password must meet complexity requirements nutzen.
Naja einen Teil wirst du dann schon abfangen können:
Das zu dann die kennwortlänge auf 15 Zeichen. Klar, es schützt nicht vor 1234Administrator, aber vor allen Kombination mit dem eigenen Namen und zu kurzen Kennwörtern schonmal schon.
Für Zeichenfolgen die Abgefangen werden sollen, braucht es wohl Zusatztools. Wenn das auch mit Boardmitteln geht, wäre ich auch dabei
Gruß
Doskias
Das Kennwort darf nicht den Kontonamen des Benutzers oder mehr als zwei Zeichen enthalten, die nacheinander im vollständigen Namen des Benutzers vorkommen.
Das Kennwort muss mindestens sechs Zeichen lang sein.
Das Kennwort muss Zeichen aus drei der folgenden Kategorien enthalten:
1. Großbuchstaben (A bis Z)
2. Kleinbuchstaben (a bis z)
3. Zahlen zur Basis 10 (0 bis 9)
4. Nicht alphabetische Zeichen (zum Beispiel !, $, #, %)
Das Kennwort muss mindestens sechs Zeichen lang sein.
Das Kennwort muss Zeichen aus drei der folgenden Kategorien enthalten:
1. Großbuchstaben (A bis Z)
2. Kleinbuchstaben (a bis z)
3. Zahlen zur Basis 10 (0 bis 9)
4. Nicht alphabetische Zeichen (zum Beispiel !, $, #, %)
Das zu dann die kennwortlänge auf 15 Zeichen. Klar, es schützt nicht vor 1234Administrator, aber vor allen Kombination mit dem eigenen Namen und zu kurzen Kennwörtern schonmal schon.
Für Zeichenfolgen die Abgefangen werden sollen, braucht es wohl Zusatztools. Wenn das auch mit Boardmitteln geht, wäre ich auch dabei
Gruß
Doskias
Dir ist aber schon bekannt, dass das Passwort dann für die Überprüfung dafür im PlainText vorliegen muss ?
Wenn du dein Password änderst wird es direkt in verschlüsselter Form gespeichert.
Hingegen wenn es erst überprüft werden muss, auf was auch immer, muss es wie oben schon erwähnt im Klartext
geschehen und kann dann erst abgespeichert und verschlüsselt werden. Hier liegt dann ein Angrifsvektor vor.
Bedenke aber auch je komplizierter du das mit dem Passwort gestalltest desto eher wird das Password aufgeschrieben und irgendwo abgelegt. Immer dran denken: Für viele ist der PC nur ein Mittel zum Zweck und das muss eben so eingfach wie möglich sein und ohne viel Hickhack. Je Komplizierter des eher sind die Benutzer frustriert und machen sachen was man nicht macht
Der Benutzer Derwusstewo hatte da mal was zu geschreiben. Finde ich nur gerade nicht. Wenn doch füge ich es hier ein.
Habe da eben einen Angriffsweg im Internet gefunden:#
https://pentestlab.blog/2020/02/10/credential-access-password-filter-dll ...
( wenn der Link nicht OK dann bitte löschen =
Ich würde da eher abraten.
Alternativ kannst du ja, entsprechendes AD Level vorrausgesetzt, Verschiedene Passwörter bzw. Richtlienen anwenden.
Stichwort hier
Fine granted password policy to user groups
Eventuell hilt dir das weiter
Wenn du dein Password änderst wird es direkt in verschlüsselter Form gespeichert.
Hingegen wenn es erst überprüft werden muss, auf was auch immer, muss es wie oben schon erwähnt im Klartext
geschehen und kann dann erst abgespeichert und verschlüsselt werden. Hier liegt dann ein Angrifsvektor vor.
Bedenke aber auch je komplizierter du das mit dem Passwort gestalltest desto eher wird das Password aufgeschrieben und irgendwo abgelegt. Immer dran denken: Für viele ist der PC nur ein Mittel zum Zweck und das muss eben so eingfach wie möglich sein und ohne viel Hickhack. Je Komplizierter des eher sind die Benutzer frustriert und machen sachen was man nicht macht
Der Benutzer Derwusstewo hatte da mal was zu geschreiben. Finde ich nur gerade nicht. Wenn doch füge ich es hier ein.
Habe da eben einen Angriffsweg im Internet gefunden:#
https://pentestlab.blog/2020/02/10/credential-access-password-filter-dll ...
( wenn der Link nicht OK dann bitte löschen =
Ich würde da eher abraten.
Alternativ kannst du ja, entsprechendes AD Level vorrausgesetzt, Verschiedene Passwörter bzw. Richtlienen anwenden.
Stichwort hier
Fine granted password policy to user groups
Eventuell hilt dir das weiter
N'Abend.
Ist es leider nicht.
Komplexität und Länge hochsetzen, zusätzlich 2FA implementieren wäre mein Ansatz. User sind immer sehr erfinderisch, solche Regeln irgendwie zu umgehen - mit z.B. 12 Zeichen Mindestlänge, voller Komplexität und 2FA kann ich zwar den "Spieltrieb" nicht wirklich einschränken, aber dennoch für Sicherheit sorgen.
Cheers,
jsysde
Ist es leider nicht.
Komplexität und Länge hochsetzen, zusätzlich 2FA implementieren wäre mein Ansatz. User sind immer sehr erfinderisch, solche Regeln irgendwie zu umgehen - mit z.B. 12 Zeichen Mindestlänge, voller Komplexität und 2FA kann ich zwar den "Spieltrieb" nicht wirklich einschränken, aber dennoch für Sicherheit sorgen.
Cheers,
jsysde