Implementierung einer Passwortpolicy

Mitglied: agowa338

agowa338 (Level 2) - Jetzt verbinden

16.02.2016, aktualisiert 17.02.2016, 1962 Aufrufe, 9 Kommentare, 2 Danke

Sollte jemand von euch auch das Problem haben, dass es sehr viele Benutzer gibt, die nicht wissen wie man das Kennwort bei der Aufforderung ändert, hier ein kleines Skript.

Dadurch kann man das AD nach allen Usern durchsuchen, welche vor X Jahren, Monaten, Tagen geändert haben und einfach per Klick diese zum ändern beim nächsten Login auffordern.
Außerdem umgehen wir so den bug, dass ein abgelaufenes Kennwort nicht mehr geändert werden kann (Policy Maximales Kennwortalter 42 Tage)...
Alternative wäre ein E-Mail Versand gewesen, welchem die User "bestimmt" auch alle nachgekommen wären...

https://github.com/agowa338/ForcePasswordChanges

Verwendung:
Remote Server Administration Tools installieren oder an einem Domain Controller ausführen.
Powershell Execution policy mittels "Set-ExecutionPolicy -ExecutionPolicy Unrestricted" in einem Powershell Command Prompt.
Anschließend im Konfigurationsbereich des Skripts den LDAP Pfad der zu durchsuchenden OU und die Zeit (z. B. AddYears(-5) vor über 5 Jahren) angeben.

Freue mich über Rückmeldungen ;-) face-wink
Mitglied: psannz
17.02.2016, aktualisiert um 22:10 Uhr
Sers,

Unabhängig von Nutzen und Funktion deines Skriptes:
Zitat von @agowa338:
Verwendung:
Remote Server Administration Tools installieren oder an einem Domain Controller ausführen.
Powershell Execution policy mittels "Set-ExecutionPolicy -ExecutionPolicy Unrestricted" in einem Powershell Command Prompt.

Das ist grob fahrlässig!

Es kann jetzt nu wirklich kein Aufwand sein, fix ein Code Signing Certificate an der Unternehmens-PKI raus zu lassen, und das Skript damit zu signieren. Und wenn man einen passenden Time Stamp Server in den Signing Vorgang einbindet, dann bleibt das Signatur auch nach Ablauf des Zertifikats gültig.
Und die Execution Policy bleibt schön auf "AllSigned" und sicher.

Technet: Hey, Scripting Guy! How Can I Sign Windows PowerShell Scripts with an Enterprise Windows PKI? (Part 1 of 2)
Technet: Hey, Scripting Guy! How Can I Sign Windows PowerShell Scripts with an Enterprise Windows PKI? (Part 2 of 2)

Grüße,
Philip
Bitte warten ..
Mitglied: agowa338
17.02.2016, aktualisiert um 22:53 Uhr
Tja, aber selbst wenn ich es signiert hätte, würde deine Domäne das Zertifikat nicht akzeptieren. Außer ich würde mir eins kaufen.
Aber der "Execution Policy" Schutz ist sowieso gebrochen in meinen Augen: https://blog.netspi.com/15-ways-to-bypass-the-powershell-execution-polic ...

Falls es dir dabei besser geht, es gibt ja auch folgende Wege:
1. Du holst dir selbst ein Zertifikat von deiner PKI, von meiner währe das sowieso sinnlos.
2. Du startest das ganze über cmd mit dem Befehl:
3. Nach dem Benutzen weider ein "Set-ExecutionPolicy RemoteSigned" ausführen

Wo soll das jetzt Sicherheit liefern?
Außerdem bin ich eigentlich davon ausgegangen, dass wenn ich hier so etwas schreibe sich die verwendeten mit Powershell zumindest soweit auskennen, das Skript zu verstehen. Wer führt denn Programme/Skripte einer unbekannten Person die er selbst nicht versteht auf seinem Domain Controller aus???

Aber trotzdem danke für die Links zum signieren der Skripte, werde ich in Erwägung ziehen, falls ich mir irgendwann ein Code Signing Certificate holen sollte.

@psannz: Als ich mir das genauer angesehen habe, fand ich das hier: https://gallery.technet.microsoft.com/scriptcenter/Powershell-ISE-Add-on ... dadurch wird ein Menüpunkt im ISE hinzugefügt um die Signierung zu erleichtern. Getestet hab ich es jedoch nicht.
Bitte warten ..
Mitglied: psannz
17.02.2016, aktualisiert um 23:52 Uhr
Dass das Skript für die eigene PKI/Domäne signiert sein muss, und nicht von dir signiert werden kann, das dürfte wohl logisch sein.
Abgesehen davon dass bei einer "Vor-Signierung" deinerseits - selbst wenn du ein Code Signing Certificate e.g. von Thawte oder Symantec hättest - man selbst keinerlei Anpassungen mehr am Skript vornehmen könnte, ohne dass die Signierung aufgrund der Inhaltsänderung wertlos wird.

Was mich an der Anleitung einfach störte ist das Aufreissen der allgemeinen Execution Policy auf den Systemen. Auch wenn es der einfachste Weg ist PS Skripte zur Ausführung zuzulassen.
Selbst wenn es Mittel und Wege um die Policy gibt (die oftmals mehr Basisrechte erfordern als man sonst zum Starten des Skriptes bräuchte), man muss es den Angreifern nicht allzu einfach machen.

Bitte vergiss nicht, dass die Anleitungen hier regelmäßig als einzige Wahrheit gesehen werden, und stur abgebetet wird was da steht.
Bitte warten ..
Mitglied: DerWoWusste
18.02.2016 um 21:29 Uhr
Hi.

Ein nettes Skript, keine Frage.
Fragen habe ich dennoch:
Was hat der Titel mit dem Skript zu tun? Dies ist doch keine "Implementierung einer Passwortpolicy".
Was für ein Bug ist mit "bug, dass ein abgelaufenes Kennwort nicht mehr geändert werden kann" gemeint? Ich sehe da keinen.
Die Executionpolicy braucht man auch nicht zu ändern, wenn man es einfach in die ISE schreibt. Und unrestricted wäre eh die falsche Wahl, remote-signed tut es völlig, aber sei's drum. Dauerhaft verändert man jedenfalls keine Executionpolicy auf unrestricted, denn dann fällt der Schutz gegen "shoot oneself in the foot" (Zitat aus Deinem Link) nämlich flach. Nein, mit Sicherheit hat das zunächst mal nichts zu tun (steht auch in Deinem Link), es ist lediglich Schutz vor eigener Torheit.
Bitte warten ..
Mitglied: agowa338
20.02.2016 um 03:15 Uhr
Es handelt sich um ein Assistenz Skript für die Implementierung einer Passwortpolicy, deshalb der Titel.
Bitte warten ..
Mitglied: DerWoWusste
28.02.2016 um 12:28 Uhr
Ok, und der Bug?
Bitte warten ..
Mitglied: agowa338
01.03.2016 um 12:51 Uhr
- Wenn der PC gesperrt ist und das Passwort abläuft, kann der PC nicht mehr entsperrt werden.
- Wenn der Benutzer angemeldet ist und das Passwort abläuft, fliegt die Verbindung mit den Netzlaufwerken weg
- ...
Bitte warten ..
Mitglied: DerWoWusste
01.03.2016, aktualisiert um 12:57 Uhr
Wenn der PC gesperrt ist und das Passwort abläuft, kann der PC nicht mehr entsperrt werden.
Blödsinn :-) face-smile Das probier bitte mal aus, es stimmt nicht.
Wenn der Benutzer angemeldet ist und das Passwort abläuft, fliegt die Verbindung mit den Netzlaufwerken weg
Auch das stimmt so nicht, und vor allem ist das kein Bug.
Bitte warten ..
Mitglied: agowa338
01.03.2016 um 12:59 Uhr
Also das tritt bei uns definitiv so auf, eventuell ist hier aber auch eine andere Einstellung verbogen um das auszulösen, würde mich jedenfalls nicht mehr groß wundern...
Bitte warten ..
Heiß diskutierte Inhalte
Sicherheit
Verpackter Laptop entwendet
r0x3llVor 1 TagFrageSicherheit11 Kommentare

Hallo. Mir wurde aus dem Büro ein noch verpackter Dell XPS Laptop mit einem Wert von ca 3.500€ gestohlen. Kann man da was orten? ...

Off Topic
Namenskonzept Kundengeräte
bitnarratorVor 1 TagFrageOff Topic5 Kommentare

Hallo, ich möchte gerne einmal die Diskussion anstoßen, weil ich eine hier in diese Richtung noch nichts gefunden habe. Es geht um die Bennenung ...

Netzwerkgrundlagen
Router für neues Heimnetzwerk - was will man 2021 haben?
billy01Vor 1 TagFrageNetzwerkgrundlagen7 Kommentare

Guten Abend zusammen, nachdem sich bei mir viel getan hat, stehe ich nun vor einem Umzug und dem Neuaufbau meines Heimnetzwerkes. Also weg von ...

LAN, WAN, Wireless
2x Fritzbox 7590 mit separatem DSL über WAN verbinden
gelöst FailixVor 22 StundenFrageLAN, WAN, Wireless19 Kommentare

Liebes Administrator Forum, Ich bin schon länger passiver Lese und habe mich jetzt entschlossen mit einer Frage den ersten Post hier zu schreiben. Über ...

Off Topic
Wie sieht eine korrekte IT-Organisation aus?
imebroVor 5 StundenFrageOff Topic17 Kommentare

Hallo, da unser IT-Verantwortlicher ja vor einem Jahr gehen musste, stelle ich mir die Frage, wie denn eine korrekte IT-Organisation überhaupt aussehen muss. Zur ...

LAN, WAN, Wireless
Cat 7 Patchkabel mit nur 11MBits im Download
gelöst RickHHVor 20 StundenFrageLAN, WAN, Wireless7 Kommentare

Moin zusammen, ich habe mir soeben ein paar Patchkabel (aus einem Cat 7 Kabel) fertig gemacht. Die Belegung ist: 1 weiß/grün 2 grün 3 weiß/orange 4 blau 5 weiß/blau ...

DNS
Network Scanner zeigt falschen Hostname an
gelöst vafk18Vor 22 StundenFrageDNS10 Kommentare

Ich habe in meinem Netzwerk 3 Fritzboxen im Betrieb. Die Fritzboxen haben in den Einstellungen als Namen "fb7270", "fb7369" und "fb7412". Jede Fritzbox hat ...

Windows 10
Windows 10 keine Eingabegeräte mehr erkannt - Anmelden nicht möglich
akira2012Vor 1 TagFrageWindows 107 Kommentare

Hallo Zusammen! Ich habe hier einen Windows 10 Rechner. Er bootet ganz normal aber nach dem hochfahren, werden die Eingabegeräte nicht mehr erkannt. Weder ...