Passwortrichtlinien im AD

Mitglied: arccos

arccos (Level 1) - Jetzt verbinden

20.04.2021 um 14:34 Uhr, 562 Aufrufe, 6 Kommentare, 1 Danke

Hallo zusammen. Ich suche nach einer Möglichkeit, Passwörter per Gruppenrichtlinie zu verbieten.
Wir haben eine Liste mit Kennwörtern, die nicht zulässig sind und dort gepflegt werden sollen. Kennt dort jemand eine Möglichkeit? Es wäre schön, wenn dies mit Windows Bordmitteln machbar wäre.
Vielen Dank für eure Tipps :o)
Mitglied: Doskias
20.04.2021 um 14:49 Uhr
Moin,

Ich weiß man fragt da nicht nach aber was sind das für Kennwörter? :-) face-smile Meiner Erfahrung nach lässt sich das Problem sehr gut lösen, indem du einfach die Komplexitätsvoraussetzungen und die Kennwortlänge entsprechend anpasst.

Gruß
Doskias
Bitte warten ..
Mitglied: arccos
20.04.2021 um 14:54 Uhr
Hmm naja. Manche Kennwörter dürfen bestimme Wörter, oder Zeichenfolgen nicht enthalten. Oder mit 1234 anfangen, oder diese Zahlen in der Reihenfolge enthalten. Mit der Kennwortlänge werden wir daher vermutlich nicht ganz so weit kommen. Aber vielen Dank :) face-smile
Bitte warten ..
Mitglied: mbehrens
20.04.2021 um 14:56 Uhr
Zitat von @arccos:

Hallo zusammen. Ich suche nach einer Möglichkeit, Passwörter per Gruppenrichtlinie zu verbieten.
Wir haben eine Liste mit Kennwörtern, die nicht zulässig sind und dort gepflegt werden sollen. Kennt dort jemand eine Möglichkeit? Es wäre schön, wenn dies mit Windows Bordmitteln machbar wäre.

Man kann eine Password Filter DLL implementieren und diese dann über die GPO Password must meet complexity requirements nutzen.
Bitte warten ..
Mitglied: Doskias
20.04.2021 um 15:26 Uhr
Naja einen Teil wirst du dann schon abfangen können:

Das Kennwort darf nicht den Kontonamen des Benutzers oder mehr als zwei Zeichen enthalten, die nacheinander im vollständigen Namen des Benutzers vorkommen.
Das Kennwort muss mindestens sechs Zeichen lang sein.
Das Kennwort muss Zeichen aus drei der folgenden Kategorien enthalten:
1. Großbuchstaben (A bis Z)
2. Kleinbuchstaben (a bis z)
3. Zahlen zur Basis 10 (0 bis 9)
4. Nicht alphabetische Zeichen (zum Beispiel !, $, #, %)

Das zu dann die kennwortlänge auf 15 Zeichen. Klar, es schützt nicht vor 1234Administrator, aber vor allen Kombination mit dem eigenen Namen und zu kurzen Kennwörtern schonmal schon.

Für Zeichenfolgen die Abgefangen werden sollen, braucht es wohl Zusatztools. Wenn das auch mit Boardmitteln geht, wäre ich auch dabei :-) face-smile

Gruß
Doskias
Bitte warten ..
Mitglied: Mr-Gustav
LÖSUNG 20.04.2021, aktualisiert um 16:31 Uhr
Dir ist aber schon bekannt, dass das Passwort dann für die Überprüfung dafür im PlainText vorliegen muss ?
Wenn du dein Password änderst wird es direkt in verschlüsselter Form gespeichert.
Hingegen wenn es erst überprüft werden muss, auf was auch immer, muss es wie oben schon erwähnt im Klartext
geschehen und kann dann erst abgespeichert und verschlüsselt werden. Hier liegt dann ein Angrifsvektor vor.

Bedenke aber auch je komplizierter du das mit dem Passwort gestalltest desto eher wird das Password aufgeschrieben und irgendwo abgelegt. Immer dran denken: Für viele ist der PC nur ein Mittel zum Zweck und das muss eben so eingfach wie möglich sein und ohne viel Hickhack. Je Komplizierter des eher sind die Benutzer frustriert und machen sachen was man nicht macht :-) face-smile

Der Benutzer Derwusstewo hatte da mal was zu geschreiben. Finde ich nur gerade nicht. Wenn doch füge ich es hier ein.

Habe da eben einen Angriffsweg im Internet gefunden:#
https://pentestlab.blog/2020/02/10/credential-access-password-filter-dll ...
( wenn der Link nicht OK dann bitte löschen =

Ich würde da eher abraten.
Alternativ kannst du ja, entsprechendes AD Level vorrausgesetzt, Verschiedene Passwörter bzw. Richtlienen anwenden.
Stichwort hier

Fine granted password policy to user groups

Eventuell hilt dir das weiter
Bitte warten ..
Mitglied: jsysde
LÖSUNG 20.04.2021 um 18:49 Uhr
N'Abend.

Zitat von @arccos:
[...]wenn dies mit Windows Bordmitteln machbar wäre.
Ist es leider nicht. :-( face-sad
Komplexität und Länge hochsetzen, zusätzlich 2FA implementieren wäre mein Ansatz. User sind immer sehr erfinderisch, solche Regeln irgendwie zu umgehen - mit z.B. 12 Zeichen Mindestlänge, voller Komplexität und 2FA kann ich zwar den "Spieltrieb" nicht wirklich einschränken, aber dennoch für Sicherheit sorgen.

Cheers,
jsysde
Bitte warten ..
Heiß diskutierte Inhalte
Linux Netzwerk
NAS läßt sich unter Ubuntu-Server nicht anpingen, unter Windows jedoch schon?!
gelöst dr.zetoVor 1 TagFrageLinux Netzwerk53 Kommentare

Hallo, ich habe das Problem, dass ich eine Synology-NAS unter einem Ubuntu-Server nicht pingen kann. Unter einem Windows-Client jedoch wird der Ping beantwortet. Hierzu ...

Netzwerke
Suche aktuelle Fernwartungsmöglichkeiten ab 2021?
watchdog76Vor 23 StundenFrageNetzwerke10 Kommentare

Hallo, das ist für viele vermutlich ein uraltes Thema und es gibt schon viele alte Threads, weshalb ich trotzdem einen eneue Thread geschrieben habe. ...

CPU, RAM, Mainboards
Wohin geht die Zukunft?
cramtroniVor 1 TagFrageCPU, RAM, Mainboards6 Kommentare

Guten Tag zusammen, wir sind gerade dabei, uns eine neue IT-Infrastruktur anzuschaffen, bisher haben wir 2 physische Server, auf denen unsere 9 virtuellen Server ...

Batch & Shell
Accounts nach 6 Monaten löschen
lordofremixesVor 16 StundenFrageBatch & Shell6 Kommentare

Hallo Freunde der Sonne, tatsächlich bin ich jetzt kein ITler mehr, sondern so ein IT Datenschutztyp ITler. Muss leider die Kunden immer darauf hinweisen, ...

Netzwerke
DHCP IP passt nicht zu MAC-Adresse
KirschiVor 11 StundenFrageNetzwerke16 Kommentare

Hallo zusammen, wir haben einen Drucker dem die feste IP 192.168.0.10 per DHCP zugewiesen wird. Ebenso existiert ein PC, der die IP 192.168.0.19 auf ...

Multimedia & Zubehör
Suche Handy im Hallen und Außenbereich
gelöst favoriten-listeVor 1 TagFrageMultimedia & Zubehör6 Kommentare

Hallo Für die Produktion suchen wir aktuell Handy. Es reicht ein normales Tasten Telefon. ( Es muss kein Smartphone sein! ) Es sollte Robust ...

Drucker und Scanner
Erfahrungen mit Triumph-Adler
gelöst IT-SpitzbubeVor 6 StundenFrageDrucker und Scanner16 Kommentare

Hi, hat jemand von Euch bereits Erfahrungen mit Triumph-Adler im Zusammenhang mit MFPs gemacht. Wenn ja schaut Ihr hierauf positiv oder negativ zurück. Lieben ...

Server-Hardware
10" Server - für Netzwerkschrank
snop123Vor 1 TagFrageServer-Hardware9 Kommentare

Hallo, im Bereich der Heimnetzwerk setzen sich immer mehr 10" Zoll Netzwerkschränke durch. Ich möchte hier keine Diskussion für das für und wider im ...