Zum Inhalt wechseln


Foto

Kennwortrichtlinien auf Server 2003 - Testmöglichkeiten?


  • Bitte melde dich an um zu Antworten
36 Antworten in diesem Thema

#1 kaineanung

kaineanung

    Member

  • 207 Beiträge

 

Geschrieben 15. Oktober 2015 - 14:48

Hallo Leute,

 

wir haben hier bisher keine Kennwortrichtlinien benutzt und wollen dies nun ändern.

Ich habe den Auftrag bekommen dies vorab zu 'klären' und dann baldmöglichst umzusetzen.

 

Wir benutzen einen Server 2003 bei welchem, nachdem ich kurz gegoogel hatte, es nur eine Kennworttrichtlinie geben kann und ich somit nicht mehrere anlegen kann.

Mein Problem dabei sind die Vorgaben die ich dann so ja nicht umsetzen werden kann (wenn ich das richtig verstehe):

 

Passwörter sollen so aufgebaut sein:

 

bei min. 20 Zeichen -> beliebige Zeichen

oder

bei min. 15 Zeichen -> muss mindestens ein Groß- und ein Kleinbuchstabe vorkommen

oder

bei min.10 Zeichen -> muss mindestens ein Groß- und ein Kleinbuchstabe eine Zahl vorkommen

oder

bei min. 8 Zeichen -> muss Groß-, Kleinbuchstabe, Zahl und Sonderzeichen vorkommen

 

So, das kann ich dann auf einem Server 2003 so nicht umsetzen. Habe ich das richtig verstanden?

 

Das nächste Problem:

Wie ist die Vorgehensweise? Ich würde es gerne testen bevor ich es aktiviere. Da die Passwortrichtlinie in der 'Default-Domain-Policy' stehen kann ich das ja nicht auf einen (Test-) User beschränken.

 

Und nochmals um sicherzugehen:

Ich bearbeite die Richtlinie auf dem DC-Server unter "Systemsteuerung->Verwaltung->Sicherheitsrichtlinie für Domänen" und dort unter "Sicherheitseinstellungen->Kontorichtlinien->Kennwortrichtlinien", richtig? Das ist ja die 'Default Domain Policy' (Standard-domänensicherheitseinstellungen)?

 

Schoneinmal vorab ein Dankeschön für eure Mühe.



#2 NorbertFe

NorbertFe

    Expert Member

  • 30.934 Beiträge

 

Geschrieben 15. Oktober 2015 - 19:56

Das kannst du auch imt keiner anderen Windows-Version umsetzen. Und wenn das nicht geht, was willst du dann testen? ;) Also bleibt dir bei diesen Anforderungen wenn überhaupt nur 3rd Party Software.

Bye
Norbert

Make something i***-proof and they will build a better i***.


#3 testperson

testperson

    Board Veteran

  • 4.658 Beiträge

 

Geschrieben 15. Oktober 2015 - 20:43

Hi,

 

vielleicht sollte man im gleichen Zug mal drüber nachdenken, den Server 2003 durch etwas modernes und supportetes zu ersetzen ;)

 

Gruß

Jan


Good morning, that's a nice TNETENNBA!

#4 kaineanung

kaineanung

    Member

  • 207 Beiträge

 

Geschrieben 16. Oktober 2015 - 06:51

@NorbertFe

 

Wenn das gar nicht geht dann wird dieser Teil eben ausgelassen.

Sprich: wir beschränken uns auf das min. 8-Stellige Kennwort mit erzwungener Groß- und Kleinschreibung, eine Zahl muss vorkommen und ein Sonderzeichen.

Dennoch würde ich es gerne vorher testen und da suche ich noch eine Vorgehensweise. Ich würde auch gerne wissen bzw. es nur noch einmal bestätigt wissen das ich auch an der richtigen Stelle die Kennwortrichtlinien setze. Die von mir oben genannte Stelle ist ja die Richtige, richtig?

 

@testperson

Ich bin nicht der Chef und nicht der Inhaber dieser Firma. Ich habe einen Server 2008 schon vor mindestens 5 Jahren auf die Investitionen gesetzt und das dann auch wieder jedes Jahr so wiederholt.

Aber in einem schwäbischen Unternehmen ist das nunmal so: wenn es funktioniert dann 'rüttelt' man nicht mehr daran ;) Da investiert man Geld lieber in Produktionsmaschinen oder die Verbesserung der Produkte.

Wenn uns die IT um die Ohren fliegt dann ist die EDV eben schuld... :(



#5 testperson

testperson

    Board Veteran

  • 4.658 Beiträge

 

Geschrieben 16. Oktober 2015 - 07:05

Hi,

 

in diesem Fall solltest du evtl. auf die Komplexität verzichten, dafür aber mindestens 20 oder mehr Zeichen verlangen. Ganz praktisch zu dem Thema: https://www.faq-o-ma...here-kennwrter/

 

Was kostet ein neuer Server und was kostet es deinen Chef wenn der Server mal einen Tag oder länger offline ist? Bekommt Ihr noch Ersatzteile für den Server? Support vom Hersteller bekommt Ihr ja schon länger nicht mehr ;)

 

Gruß

Jan


Good morning, that's a nice TNETENNBA!

#6 NorbertFe

NorbertFe

    Expert Member

  • 30.934 Beiträge

 

Geschrieben 16. Oktober 2015 - 07:42

Na dann viel ERfolg.

Bye
Norbert

Make something i***-proof and they will build a better i***.


#7 MurdocX

MurdocX

    Board Veteran

  • 585 Beiträge

 

Geschrieben 16. Oktober 2015 - 07:47

Ich bin nicht der Chef und nicht der Inhaber dieser Firma. Ich habe einen Server 2008 schon vor mindestens 5 Jahren auf die Investitionen gesetzt und das dann auch wieder jedes Jahr so wiederholt.

Aber in einem schwäbischen Unternehmen ist das nunmal so: wenn es funktioniert dann 'rüttelt' man nicht mehr daran ;) Da investiert man Geld lieber in Produktionsmaschinen oder die Verbesserung der Produkte.

Wenn uns die IT um die Ohren fliegt dann ist die EDV eben schuld... :(

 

Naja, ich hab auch in "schwäbischen" Unternehmen gearbeitet.. Ich wohne sogar da.. ABER

  1. Es geht um das Thema Sicherheit
  2. Es geht um die Stabilität der Umgebung
  3. UND es geht um deinen ars***  ;)

Bei deinem Chef, solltest du mit Nachdruck die Argumente vortragen. Seien wir mal Ehrlich.. 500€ für ein Betriebssystem auszugeben ist im Vergleich zu Produktionsmaschinen doch Pinatz..  ;)


Mit freundlicher Unterstützung
Jan


#8 lefg

lefg

    Expert Member

  • 20.510 Beiträge

 

Geschrieben 16. Oktober 2015 - 07:52

Besonders diese ODER-Geschichte ist nach meiner Kenntnis nicht machbar.


Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#9 NorbertFe

NorbertFe

    Expert Member

  • 30.934 Beiträge

 

Geschrieben 16. Oktober 2015 - 09:02

Es ist nichts davon mit Windows Boardmitteln steuerbar ausser Mindestlänge (wobei die auf 16 begrenzt ist) und die Komplexität an oder aus. ;)

Bye
Norbert

Make something i***-proof and they will build a better i***.


#10 testperson

testperson

    Board Veteran

  • 4.658 Beiträge

 

Geschrieben 16. Oktober 2015 - 09:28

Es ist nichts davon mit Windows Boardmitteln steuerbar ausser Mindestlänge (wobei die auf 16 begrenzt ist) und die Komplexität an oder aus. ;)

Bye
Norbert

Mensch, die Grenze ist mir noch nie aufgefallen. Habe grade mal nachgesehen und es sind sogar nur 14 Zeichen ;)


Good morning, that's a nice TNETENNBA!

#11 kaineanung

kaineanung

    Member

  • 207 Beiträge

 

Geschrieben 16. Oktober 2015 - 14:40

Ok, und kann man das irgendwie testen bevor man es dann für die ganze Firma aktiviert?

 

 

@Murdox

 

Nein, es geht um den Ars.. meines Teamleiters der genauso 'sparsam' denkt.

Wenn es um die Ohren fliegt dann kann ich ja mit dem bösen Finger zeigen und sagen: ich habe es doch gesagt... ;)



#12 lefg

lefg

    Expert Member

  • 20.510 Beiträge

 

Geschrieben 16. Oktober 2015 - 15:02

Moin,

 

ob es lohnend, dafür eine Testumgebung zu bauen?

 

Nach meiner Erinnerung ist ein Test am Live object=Einsatz.

 

Falls es in der Firma einen Feierabend und Wochenende gibt, bis auf einen Client alle anderen vom Server getrennt, dann wäre solch ein "Test" ohne erweiterte Auswirkung möglich.


Bearbeitet von lefg, 16. Oktober 2015 - 15:03.

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#13 NorbertFe

NorbertFe

    Expert Member

  • 30.934 Beiträge

 

Geschrieben 16. Oktober 2015 - 15:55

Was will man denn da testen? Es gibt in 2003 Domains genau eine Kennwortrichtlinie. Entweder ist sie an oder nicht. ;) Und die Kriterien muß man halt vorher raussuchen. Das wäre jetzt für mich definitiv nix, was man testen kann/will/muß.

Bye
Norbert

Make something i***-proof and they will build a better i***.


#14 blub

blub

    Moderator

  • 7.605 Beiträge

 

Geschrieben 17. Oktober 2015 - 17:52

nur rein interessenhalber:

Woher habt ihr dieses Ruleset für die Passwörter?

 

Ihr solltet euch an Standards halten, wie etwa
https://www.bsi.bund...m04/m04048.html

https://www.bsi-fuer...erter_node.html

 

Heutzutage ist eine PW-MindestLänge von 12 absolutes Minimum, eher 15 oder 16 Zeichen.

 

blub


Ein Kluger bemerkt alles, Ein Dummer macht über alles eine Bemerkung. (Heinrich Heine)


#15 kaineanung

kaineanung

    Member

  • 207 Beiträge

 

Geschrieben 19. Oktober 2015 - 07:44

@blub

 

Unser Geschäftsleiter, der halbwegs gut IT-technisch bewandert ist, kam mit diesem Ruleset und hat es so vorgegeben bzw. nachgefragt ob dies so möglich sei?

Bisher hatten wir mindestlänge von 5 Zeichen und zwar dabei egal welche Zeichen (also z.B. auch nur 5 Kleinbuchstaben).

Jetzt wurde der eMailaccount vom geschäftsführenden Gesellschafter gehackt und erst jetzt rennen alle wie im aufgescheuchten Hühnerstall herum und wollen alles verbessern...

 

Nun ja, besser spät als nie. Aber wir können unseren Kollegen und Kolleginen keine 16 Zeichen zumuten welche die sich merken müssen, zumal es ja alle 90 Tage gewechselt werden muss (stelle ich in den Kennwortrichtlinien dann so ein) und eine gewisse komplexität haben muss (Aa1! und das mit einer mindeslänge von sagen wir einmal 8 Zeichen). Das gleiche Spiel dann auch mit all unseren anderen Systemen wie ERP, eMail, usw..

 

@NorbertFe

Ok, dann ohne Testen die Richtlinien eingeben und scharf stellen.

Man kann ja, beim ersten Anzeichen einer Fehlfunktion es zentral und domänenweit deaktivieren in genau dieser einen Kennwortrichtlinie...

 

Ist die von mir o.g. Stelle, an welcher die Kennwortrichtlinie geändert werden muss, denn auch richtig? Blöde Frage wenn es eh nur eine Richtlinie auf dem Server 2003 gibt, aber dennoch (könnte ja sein das damit was anderes gemeint ist?).