ComputerBase Menü
Aktuelles

Windows Passwörter sicherer machen

M

Mr. Robot

Lieutenant
Registriert
Nov. 2015
Beiträge
932
"Wir haben sein Windows Passwort geändert, so dass wir beide das gleiche Kennwort benutzen" - ich hätte ihm ja gerne eine gescheuert, aber er ist größer als ich...

Hallo!

Ich mache mir gerade etwas Gedanken, wie wir unsere Passwortsicherheit verbessern können. Es geht um die User-Passwörter in einer Domaine mit Windows Server 2016.
Die Standard Passwort-Richtlinien helfen da ja nur bedingt.

Kann man beim Windows Server vielleicht irgend ein Skript einbinden, dass beim Passwortwechsel das Passwort nach weiteren Kriterien überprüft?
Konkret würde ich gerne überprüfen, ob das Passwort bereits von jemand anderem benutzt wird. Außerdem würde ich es gerne gegen eine lokale Kopie der "Have I Been Pwned" Passwort Hashes checken.

(Ich will mir dafür jetzt natürlich nicht irgend ein Tool installieren, dessen Seriosität ich nicht einschätzen kann...)
 
In meinem letzten Unternehmen musste ich jedes Quartal mein Win-PW ändern. Des Weiteren durfte das neue keine Ähnlichkeit mit den 3 vorangegangen PW'S haben. Zusaätzlich die üblichen sachen wie ziffern, sonderzeichen usw.
Die IT des Hauses hat es eingestellt, keine Ahnung ob das zum standard im windows gehört.
Aber da würde ich mal anfangen zu suchen wie man das macht.

Die have-i-bin-pwnd-geschichte würde ich nicht machen, aus offensichtliche gründen.
 
Eine Passwortrichtlinie besteht immer aus mehreren tech. und organisatorischen Punkten. Les dir mal die NIST 800-63b-Richtlinie durch, dort werden die relevanten Best-Practices angesprochen. Technisch kannst du einiges erzwingen, aber für die organisatorischen Themen wirst du Management-Unterstützung bzw. mindestens Rückhalt benötigen.

Ich auditiere unsere AD-Passwörter Quartalsweise auf einer Offline-Kopie eines DCs mittels DSInternals, u.a. kann damit ein Abgleich zu HIBP stattfinden: https://github.com/MichaelGrafnette...umentation/PowerShell/Test-PasswordQuality.md

Es gibt die Möglichkeit HIBP direkt zu integrieren, ich habe das aber nicht getestet und würde auch sehr vorsichtig damit sein: https://github.com/rlabolle/hibppwdflt

Falls ihr O365/Azure nutzt, könntet ihr die Passwörter der User dort erzeugen lassen und mittels Azure AD Sync ins normale AD zurückschreiben: https://learn.microsoft.com/en-us/azure/active-directory/authentication/concept-password-ban-bad und https://learn.microsoft.com/en-us/a...tication/concept-password-ban-bad-on-premises
 
  • Gefällt mir
Reaktionen: Mr. Robot
Inzwischen hat selbst das BSI (lange nach NIST) eingesehen, dass ein regelmäßiger Passwortwechsel absoluter Blödsinn ist. Also lass alles so, wie es ist. Das einzige, ihr solltet die Richtlinien so einstellen, dass Groß- und Kleinbuchstaben und Sonderzeichen verwendet werden müssen. Alles andere ist unsinnig.
 
  • Gefällt mir
Reaktionen: klalar und Darkblade08
DSInternals sieht auf den ersten Blick schon mal interessant aus, danke! Ich lese mich da mal ein...

Wir erzwingen keinen Passwortwechsel. Mir geht es nur darum, dass wenn sie es ändern, da keinen Mist machen. Also so was wie ein "Firmenstandardpasswort", dass dann jeder Zweite benutzt...
Azure benutzen wir auch nicht.
 
Bei uns im Unternehmen war es so, dass Kennwörter, die aus Floskeln bestanden grundsätzlich nicht zugelassen waren - unabhängig von den allgemeinen Kennwortregeln.
Ansonsten könnte man natürlich auch einbinden, dass maximal zwei Buchstaben aufeinanderfolgend sein dürfen, bevor mindestens eine Zahl oder ein Sonderzeichen verwendet wird etc.

Die Idee, abzuprüfen, ob mehrere Leute das gleiche Kennwort verwenden, finde ich grundsätzlich gut - kann Dir bei größeren Unternehmen aber sehr schnell auf die Füße fallen.
 
Zusätzliche Hürden bei der Passworterstellung führt zu einer geringeren Sicherheit der Passwörter, da die Benutzer ihre Passwörter dann aufschreiben und an den Monitor kleben (Beispiel ist bewusst ein wenig überzogen gewählt worden).

Bitte denkt nicht immer nur technisch, sondern auch organisatorisch und bindet die Benutzer vernünftig ein. Danke!
 
Das hab ich auch schon gelernt. :D
Deshalb vergebe ich auch als Erstpasswort keine "sicheren" Passwörter mehr aus dem Zufallsgenerator. Wenn man sich die Passwörter nicht mehr merken kann, ist ja auch keinem geholfen...
 
  • Gefällt mir
Reaktionen: Leranis
Mr. Robot schrieb:
Kann man beim Windows Server vielleicht irgend ein Skript einbinden, dass beim Passwortwechsel das Passwort nach weiteren Kriterien überprüft?
Zum Vergrößern anklicken....
Vergiss das. Aktiviere 2FA / MFA
User werden mit Ihrer Naivität jegliches System aushebeln.

Abseits von Windows User Passwörtern verwenden wir aktuell 20-40 Zeichen lange kryptische Kombinationen und ändern diese auch häufig und unregelmäßig.
Damit zwingen wir die User den Passwortmanager zu verwenden, denn aufschreiben lohnt nicht, das PW ist ja evtl. nur 3 Tage gültig und sie müssten das neue PW dann wieder aus dem PW Manager raus kopieren/abschreiben. Dort werden die Passwörter zentral aktualisiert. Der Passwortmanager hat ebenfalls 2FA.
Das einzige was ich leider bisher noch nicht geschafft habe ist das unterbinden vom gleichem PW in Windows und PW Manager.
Hier könnte ich aktuell nur über die Kennwortrichtlinie arbeiten, also z.B. im mind. 13 Stellen fordern, in Windows auf 12 beschränken. Würde aber dann dazu führen, dass die User einfach eine 1 oder so anhängen. Erzeugt natürlich einen ganz anderen Hash, aber mit Intelligenz schnell zu erraten.
 
  • Gefällt mir
Reaktionen: Azdak und Aduasen
Einen zentralen Passwortmanager haben wir damals auch eingerichtet und die Leute haben ernsthaft auf die Füße bekommen, wenn sie sich bei der Einrichtung von neuen Passwörtern nicht an die Regeln gehalten haben.

Es gab zwei Leute, die das administrativ verwaltet haben und einrichten durfte das neue Passwort jeder Benutzer, der halt am Kundensystem dran war (weil das Kennwort halt alle 60 Tage 'neu' musste)
Und wehe, er oder sie hat es dann NICHT im 'Zentralregister' hinterlegt.

War halt ein Unternehmen mit 1000 IT Leuten in 5 verschiedenen Städten.
Da läuft die interne Hotline heiß, wenn jemand sowas vergisst.

Und es waren immer wieder die Top-Berater, die auf die Füße bekommen haben. :D
 
Genug :D
Du wirst Dich wundern, wie das in Unternehmen aussieht, in denen der generelle Zugriff auf das Kundensystem in einer zentralen Kennwortdatei gespeichert wird.
Aber da ging es nicht um Windows, sondern um SAP und dort ist das mit den generellen Berechtigungen ja nochmal ein 'bisschen' anders.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

crashbandicot
Probleme mit Netzlaufwerken (Synology) nach Start / Reboot des Windows'
Antworten
17
Aufrufe
19.144
crashbandicot
crashbandicot
F
Lokale Seiten in HotSpots funktionieren nicht
Antworten
6
Aufrufe
2.135
faulLENZN
F
S
  • Artikel
Leserartikel Synology - Active Backup for Microsoft365 M365 Office365 O365
Antworten
2
Aufrufe
12.296
SVΞN
SVΞN
Kirito563
Kaufberatung Home-Server als zentrale Schnittstelle
Antworten
6
Aufrufe
1.562
Kirito563
Kirito563
Arjab
[Erfahrungsbericht] Virtualisierung mit PCI-Passthrough auf Manjaro Linux
2 3
Antworten
59
Aufrufe
24.627
Xenophon61
X
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz