Zum Inhalt wechseln


Foto

Kennwortrichtlinien auf Server 2003 - Testmöglichkeiten?


  • Bitte melde dich an um zu Antworten
36 Antworten in diesem Thema

#16 peter999

peter999

    Newbie

  • 111 Beiträge

 

Geschrieben 19. Oktober 2015 - 14:20

Naja, so komplexe Kennwörter in alle Anwendungen. Aber da der Server noch auf 2003 läuft..ich vermute es gibt den "Sparmaßnahmen" nach zu urteilen auch ebenso alte User PCs.

Evtl. sollte dann dem GF auch klar gemacht werden das gerade dort ein nicht zun unterschätzendes Sicherheitsrisiko vorhanden ist. Dann nutzt man diesen aufgescheuchten Hühnerhaufen wenigstens noch.

 

Gruß

Peter



#17 NorbertFe

NorbertFe

    Expert Member

  • 30.934 Beiträge

 

Geschrieben 19. Oktober 2015 - 15:37

Aktionismus also. ;) Komisch, dass man bei 5 stelligen Passworten die jeder Kollege wahrscheinlich von jedem abgucken kann auch mal "gehackt" wird. Und 2003 als Sicherheitsrisiko ist natürlich egal... Da braucht man nicht mal das Passwort hacken.

Make something i***-proof and they will build a better i***.


#18 blub

blub

    Moderator

  • 7.605 Beiträge

 

Geschrieben 23. Oktober 2015 - 09:24

Und 2003 als Sicherheitsrisiko ist natürlich egal... Da braucht man nicht mal das Passwort hacken.

 

Das Ende der Welt, wie wir sie kennen

https://channel9.msd...DCIM-B367#fbid=

https://www.microsof...ws-server-2003/


Ein Kluger bemerkt alles, Ein Dummer macht über alles eine Bemerkung. (Heinrich Heine)


#19 kaineanung

kaineanung

    Member

  • 207 Beiträge

 

Geschrieben 27. Oktober 2015 - 16:25

Nur um nochmals sicher zu gehen die Frage vom Eingangpost:

 

 

Ich bearbeite die Richtlinie auf dem DC-Server unter "Systemsteuerung->Verwaltung->Sicherheitsrichtlinie für Domänen" und dort unter "Sicherheitseinstellungen->Kontorichtlinien->Kennwortrichtlinien", richtig? Das ist ja die 'Default Domain Policy' (Standard-domänensicherheitseinstellungen)?

 

Ich mache das ja so selten (bzw. einmal während der Ausbildungszeit vor Zig-Jahren in einer Testumgebung) und daher frage ich lieber sicherheitshalber bei den Profis nach.

Es gibt ja auch den Punkt 'Sicherheitsrichtlinien für Domaincontroller' statt 'Sicherheitsrichtlinien für Domänen'. Das ist sicherlich dann nur eine lokale Sicherheitsrichtlinie aber ich will lieber sichergehen.

Aber lokal würde auch die 'Lokalen Richtlinien' statt der 'Kontorichtlinien' bedeuten.

 

 

@NorbertFe

 

Ja, das sehe ich genauso. Wenn es nach mir gehen würde hätten wir schon seit mindestens 4 Jahren einen Server 2008 schon alleine weil man die Clients damit mit den GPOs viel besser steuern könnte

 

 



#20 NorbertFe

NorbertFe

    Expert Member

  • 30.934 Beiträge

 

Geschrieben 27. Oktober 2015 - 16:43

Starte die GPMC. Da sieht man das besser. ;)

Make something i***-proof and they will build a better i***.


#21 Sunny61

Sunny61

    Expert Member

  • 22.248 Beiträge

 

Geschrieben 27. Oktober 2015 - 18:40

@NorbertFe
 
Ja, das sehe ich genauso. Wenn es nach mir gehen würde hätten wir schon seit mindestens 4 Jahren einen Server 2008 schon alleine weil man die Clients damit mit den GPOs viel besser steuern könnte


Dazu brauchts keinen Server 2008. Central Store einrichten und den aktuell halten. Zusätzlich die GPMC auf einem aktuellen OS starten, kann natürlich auch eine VM sein.
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#22 DavidS

DavidS

    Newbie

  • 145 Beiträge

 

Geschrieben 27. Oktober 2015 - 19:03

Solltest Du zu einem späteren Zeitpunkt in den Genuß eines aktuellen Server Betriebssystems kommen findet sich hier eine Anleitung zur Einrichtung einer granularen Passwortrichtlinie:

 

http://www.florianst...server-2008-r2/

 

Google suchbegriff granulare Passwortrichtlinie, damit bist Du in der Lage für mehrere Einsatzscenarien unterschiedliche Passwortrichtlinien zu erstellen, u.a. für die GF eine vereinfachte :-))



#23 NorbertFe

NorbertFe

    Expert Member

  • 30.934 Beiträge

 

Geschrieben 27. Oktober 2015 - 19:05

Stimmt weil die gf die unkritischen Unternehmensdaten im Zugriff hat, brauchen sie quasi kein Passwort. Die fgpp können mal von der passwortlänge auch nicht mehr anbieten. ;)

Make something i***-proof and they will build a better i***.


#24 kaineanung

kaineanung

    Member

  • 207 Beiträge

 

Geschrieben 28. Oktober 2015 - 08:43

Ist es das Group-Polcy Management?

Da muss ich ein 'neues Gruppenrichtlinienobjekt erstellen und verknüpfen', richtig?

Ist es da nicht einfacher wie o.g. vorzugehen?

Ich werde es mir aber mal anschauen. Nur mal angenommen ich würde mich für die erstere Variante entscheiden (wirklich nur mal angenommen, sozusagen als sicheres alternatives Vorgehen falls ich mit GPO-Management nicht klarkommen würde), dann wäre das der o.g. Pfad zu den Kennwortrichtlinien?



#25 NorbertFe

NorbertFe

    Expert Member

  • 30.934 Beiträge

 

Geschrieben 28. Oktober 2015 - 09:24

Boah ganz ehrlich... Du machst deinem Nick grad alle Ehre. Was siehst du denn da? Gibt's da die Default Domain Policy?

Make something i***-proof and they will build a better i***.


#26 kaineanung

kaineanung

    Member

  • 207 Beiträge

 

Geschrieben 28. Oktober 2015 - 10:34

@NorbertFe

 

Ich würde auch gerne 'professionell' mit GPOs, neuem Server, am besten auch mit einer Testumgebung wo ich mich austoben kann, arbeiten.

Ich bin sicher in kurzer Zeit würde ich viel verbessern können und es auch 'richtig' machen können. Aber was soll ich tun wenn ich eben da arbeite wo ich arbeite und die hier alles mit einem Handwink 'abtun' wenn ich was vorschlage?

Die meinen dann: alles nur Theorie und meine Tipps kommen nicht aus der Praxis und es wird alles nicht so heiß gegessen wie es gekocht wird...?!?!?

Die würden mir neue Turnschuhe bereitstellen damit ich meine Arbeit erledigen kann..... Das ist zwar als Spaß gemeint, aber irgendwie in die Richtung geht das schon....

Auch ein "Argument" welches ich mir ab und zu anhören muss:

Der professionelle Administrator (MSDE, MCSE usw.) würde erklären können warum etwas nicht geht, der 'Turnschuhadministrator' (also damit meint er uns hier) würde nicht erklären können warum etwas geht, aber es geht...

 

So, nun genug von meinem Leid, immerhin bekomme ich ja jeden Monat etwas (Schmerzens-)Geld für all das und ich muss nicht hungern.. )

 

Ich habe den Gruppenrichtlinien-Editor im GPO-Management geöffnet (Domain-Controllers->Default-Domain-Policy) und sehe das was ich sehen sollte (denke ich):

Computerkonfiguration->Windows-Einstellungen->Sicherheitseinstellungen->Kontorichtlinien->Kennwortrichtlinien.

 

Da habe ich dann die Mindespasswortlänge eingestellt, höchstes Kennwortalter (90 Tage) und werde die Kennwortchronik auf eventuell 5 Stellen (das würde ja dann bedeuten daß das erste Passwort erst nach 5 x 90 Tagen wieder verwendet werden darf).

 

So weit so richtig, richtig?

 

Wenn ich so weitermache muss ich mir einen neuen Nick asudenken: nureinkleinweniganung statt kaineanung oder so... ;)



#27 lefg

lefg

    Expert Member

  • 20.510 Beiträge

 

Geschrieben 28. Oktober 2015 - 11:26

Nur Mut, hab keine Angst. :)


Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#28 NorbertFe

NorbertFe

    Expert Member

  • 30.934 Beiträge

 

Geschrieben 28. Oktober 2015 - 15:25

@NorbertFe
 
Ich würde auch gerne 'professionell' mit GPOs, neuem Server, am besten auch mit einer Testumgebung wo ich mich austoben kann, arbeiten.
Ich bin sicher in kurzer Zeit würde ich viel verbessern können und es auch 'richtig' machen können. Aber was soll ich tun wenn ich eben da arbeite wo ich arbeite und die hier alles mit einem Handwink 'abtun' wenn ich was vorschlage?
Die meinen dann: alles nur Theorie und meine Tipps kommen nicht aus der Praxis und es wird alles nicht so heiß gegessen wie es gekocht wird...?!?!?
Die würden mir neue Turnschuhe bereitstellen damit ich meine Arbeit erledigen kann..... Das ist zwar als Spaß gemeint, aber irgendwie in die Richtung geht das schon....
Auch ein "Argument" welches ich mir ab und zu anhören muss:
Der professionelle Administrator (MSDE, MCSE usw.) würde erklären können warum etwas nicht geht, der 'Turnschuhadministrator' (also damit meint er uns hier) würde nicht erklären können warum etwas geht, aber es geht...


Kannst dich ja mit Willy zusammentun und dann klagt ihr euch gegenseitig euer Leid. ;)

Bye
Norbert

Make something i***-proof and they will build a better i***.


#29 daabm

daabm

    Expert Member

  • 2.111 Beiträge

 

Geschrieben 28. Oktober 2015 - 18:38

Die meinen dann: alles nur Theorie und meine Tipps kommen nicht aus der Praxis und es wird alles nicht so heiß gegessen wie es gekocht wird...?!?!?


Nee - in der IT hat das Essen die unangenehme Angewohnheit, daß es während des Herumstehens sogar noch heißer wird, wenn es falsch zubereitet wurde...

Also frag einfach weiter hier oder in den Technetforen und eigne Dir das für Dich erforderliche Wissen an. Besser heute also morgen, noch besser gestern :)

(Könnte ja jetzt ein Büchlein über GPOs mit tonnenweise Hintergrundinfos empfehlen, aber dann krieg ich möglicherweise wieder Haue von den Mods.)

Greetings/Grüße, Martin

Mal ein gutes Buch über GPOs lesen? Oder ein kleines, aber feines Blog darüber?

Und wenn mir die IT mal auf die Nerven geht - coke bottle design refreshment (-:


#30 kaineanung

kaineanung

    Member

  • 207 Beiträge

 

Geschrieben 30. Oktober 2015 - 13:13

@daabm

 

Genau das sehe ich auch so. Wenn ich mir unsicher bin, und bevor ich was falsch mache, frage ich in den dazugehörigen Foren einmal nach. Dann probiere ich es aus und meistens behalte ich das Wissen ja dann auch. Beim nächsten mal kann es nur noch passieren das es zwischenzeitlich 3 neue Generationen an DCs gibt (aktuelles Beispiel bei uns: W2K3 ist was wir haben und was ist aktuell? 2012?)

 

@all

 

Ich habe es jetzt gut umgesetzt und Mindestpasswortlänge, Passwortchronik und Maximales Kennwortalter gesetzt.

Jetzt sollte ich 'nur' noch die Komplexität einschalten. Bevor ich es aber einschalten kann muss ich diese ja definieren.

Ich dachte mir: ich schalte mal ein und dann kommt schon der Hinweis irgendwo wo ich diese Richtlinie erstellen kann. Ich habe Pech gehabt -> steht nirgends und ich kann es nicht wirklich selber finden (natürlich habe ich es versucht zu finden).

Daher noch eine letzte Bitte zu diesem Thema: Wo definiere ich diese Komplexitätsregel? Im Group-Plicy-Management nicht da ich ja keine neue Regel erstellen will und nu für diverse OU zuweisen will sondern in der Defaul Domain Policy. Aber wo hoffe ich von euch zu erfahren.

 

Vielen Dank für die bisherige als auch zukünftige Hilfe! (so oft nerve ich euch ja nicht und somit hoffentlich noch im 'grünen Bereich'....)