8
Interessante Methode für Leute, die in einer Windowsdomäne starke Kennwörter erzwingen wollen
https://www.experts-exchange.com/articles/33078/How-to-create-an-Intelli ...
Dieser Artikel beschreibt, wie man auch ohne 3rd-party-tools die Kennwortsicherheit in Windows-Domänen erhöhen kann.
Der Grundgedanke lautet: wir prüfen regelmäßig und automatisiert die Hashes der Kennwörter auf dem DC und vergleichen diese mit einer Liste geknackter Hashes. Findet sich der Hash auf der Liste, wird eine Kennwortänderung binnen x Tagen erzwungen.
Dieser Artikel beschreibt, wie man auch ohne 3rd-party-tools die Kennwortsicherheit in Windows-Domänen erhöhen kann.
Der Grundgedanke lautet: wir prüfen regelmäßig und automatisiert die Hashes der Kennwörter auf dem DC und vergleichen diese mit einer Liste geknackter Hashes. Findet sich der Hash auf der Liste, wird eine Kennwortänderung binnen x Tagen erzwungen.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 387050
Url: https://administrator.de/contentid/387050
Printed on: April 19, 2024 at 14:04 o'clock
8 Comments
Latest comment
Hi,
das ist ein Hammer-Ansatz!
E.
das ist ein Hammer-Ansatz!
E.
Da haben wir aber schon vor 20 Jahren mit nt4 und unix-Paßwörtern so ähnlich gemacht. Ein cronjob hat regdlmäßig die Hashes brute-Force zurückgerechnet und wenn irgendein Treffer war, wurde der betreffebde Account gezwungen ein neues anzulegen.
lks
...ich hab das schon vor 40 Jahren so geplant zu tun. Man bemerke: damals gab es noch nicht einmal Windows.
Dabei sollte man aber eines auch immer im Kopf haben: Natürlich kann ich beliebig kompexe Passwörter auch erzwingen - mit dem Effekt das die eh dann irgendwo aufgeschrieben und hingelegt werden (Monitor, Unter der Tastatur, Schublade,....). Und je öfter man die Anwender zwingt die zu ändern umso höher ist die Chance das es aufgeschrieben wird. Denn die meisten wollen sich einfach nicht soviele Daten merken (es ist ja nicht nur das Passwort.... PIn-Nummer Giro-Karte, PIN für Kreditkarte, relevate Termine, private Passwörter für Mail, Banking,...). Oder es gibt Passwörter die eben einfach nur "hinten hochgezählt" werden - MeinPa$$wort01, MeinPa$$wort02,.... Macht es jetzt auch nicht wirklich sicherer....
Soll natürlich nicht heissen das man generell einfache Passwörter zulässt, man sollte es aber halt im Hinterkopf haben und einen Mittelweg finden...
Soll natürlich nicht heissen das man generell einfache Passwörter zulässt, man sollte es aber halt im Hinterkopf haben und einen Mittelweg finden...
2
@maretz
Das darf aber keine Ausrede sein. Was sollen denn wir Admins da sagen? Wieviel Passwörter/PINs hat jeder von Euch so im Kopf?
Das darf aber keine Ausrede sein. Was sollen denn wir Admins da sagen? Wieviel Passwörter/PINs hat jeder von Euch so im Kopf?
Zitat von @emeriks:
@maretz
Das darf aber keine Ausrede sein. Was sollen denn wir Admins da sagen? Wieviel Passwörter/PINs hat jeder von Euch so im Kopf?
@maretz
Das darf aber keine Ausrede sein. Was sollen denn wir Admins da sagen? Wieviel Passwörter/PINs hat jeder von Euch so im Kopf?
87 (nein, keine 42)
lks
PS: Aber nur die, die ich oft genug eingeben muß. Die, die ich mal 4 Wochen nicht brauche sind relativ schnell "weg" und ich muß im Safe nachschauen.
HI,
beim letzten Lehrgang gab Windows 2008 Server, gab es dann die Möglichkeit für User die sich kein Password merken können, eine andere Kennwortrichtlinie zu schreiben!
- ich habe User kennengelernt, die konnten sich sowas überhaupt nicht merken!
Gruß
Holli
beim letzten Lehrgang gab Windows 2008 Server, gab es dann die Möglichkeit für User die sich kein Password merken können, eine andere Kennwortrichtlinie zu schreiben!
- ich habe User kennengelernt, die konnten sich sowas überhaupt nicht merken!
Gruß
Holli
Gut, kannst du denn den Job jedes deiner Kollegen machen? Weil - die können ggf. eben gut Verkaufen, mit Kunden reden, 20 Programmiersprachen usw... Und da sagt dir doch auch keiner: DU musst das können weil die es auch können, oder?
