Zum Inhalt wechseln


Foto

Passwort Policy


  • Bitte melde dich an um zu Antworten
11 Antworten in diesem Thema

#1 carnivore

carnivore

    Member

  • 340 Beiträge

 

Geschrieben 24. August 2016 - 14:48

Hallo,

 

Ich habe die Anforderung auf dem Tisch, dass zumindest für bestimmte User ein Alert (z.b. email) getriggert wird, wenn zu oft ein falsches Passwort für einen Account eingegeben wird. (z.b. 10-mal hintereinander oder 20-mal in 24h etc.). Es geht nicht darum, den Account über die PasswortGPO zu sperren, sondern um ein zusätzliches Monitoring.

Gibt Windows AD unter 2012R2 mit vielen DCs so etwas native her? Mir ist nämlich nichts bekannt, was aber nichts bedeutet.

 

Danke

Carnivore


Bearbeitet von carnivore, 24. August 2016 - 14:53.


#2 zahni

zahni

    Expert Member

  • 16.397 Beiträge

 

Geschrieben 24. August 2016 - 14:55

Die  Fehlversuche werden  z.B. in den Security-Eventlogs der DCs geloggt. Leider  nur  in dem DC, auf  dem sich der  User gerade anmelden will.

Es gibt div. Tools, mit denen Du die Eventlogs extern auslesen und  verwalten kannst...


  • carnivore gefällt das

Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#3 carnivore

carnivore

    Member

  • 340 Beiträge

 

Geschrieben 26. August 2016 - 02:27

Schade!
Trotzdem Danke

Carnivore

#4 datmox

datmox

    Senior Member

  • 327 Beiträge

 

Geschrieben 26. August 2016 - 08:50

?? Wieso schade?

 

LOL...  :suspect:



#5 NorbertFe

NorbertFe

    Expert Member

  • 30.608 Beiträge

 

Geschrieben 26. August 2016 - 08:52

Na schade, da muß ich ja mehr machen als nen Haken zu setzen? :D

Make something i***-proof and they will build a better i***.


#6 carnivore

carnivore

    Member

  • 340 Beiträge

 

Geschrieben 27. August 2016 - 08:25

Eine ernsthafte Antwort erwartet ihr zwei ... nicht, oder?

Carnivore

#7 NorbertFe

NorbertFe

    Expert Member

  • 30.608 Beiträge

 

Geschrieben 27. August 2016 - 08:40

Nö. Wozu auch, ...?

Make something i***-proof and they will build a better i***.


#8 MurdocX

MurdocX

    Board Veteran

  • 557 Beiträge

 

Geschrieben 27. August 2016 - 13:46

Hallo,

 

Ich habe die Anforderung auf dem Tisch, dass zumindest für bestimmte User ein Alert (z.b. email) getriggert wird, wenn zu oft ein falsches Passwort für einen Account eingegeben wird. (z.b. 10-mal hintereinander oder 20-mal in 24h etc.). Es geht nicht darum, den Account über die PasswortGPO zu sperren, sondern um ein zusätzliches Monitoring.

Gibt Windows AD unter 2012R2 mit vielen DCs so etwas native her? Mir ist nämlich nichts bekannt, was aber nichts bedeutet.

 

Danke

Carnivore

 

Ereignisabbonements

https://technet.micr...3(v=ws.11).aspx

 

Einrichten von Computern zum Weiterleiten und Sammeln von Ereignissen

https://technet.micr...0(v=ws.11).aspx


Mit freundlicher Unterstützung
Jan


#9 carnivore

carnivore

    Member

  • 340 Beiträge

 

Geschrieben 28. August 2016 - 04:12

Danke für die Links.
Die Events werden bereits von unserer SIEM-Lösung eingesammelt. Jetzt müssen wir zusammen mit unseren Admins noch einen passenden Algorithmus und Prozess finden, um dann die Lockout-Sperre nach x-Fehlversuchen herauszunehmen, aber trotzdem Attacken zuverlässig zu erkennen.

Carnivore

#10 magheinz

magheinz

    Newbie

  • 1.329 Beiträge

 

Geschrieben 28. August 2016 - 06:43

Die Lösung würde mich auch interessieren...

#11 MurdocX

MurdocX

    Board Veteran

  • 557 Beiträge

 

Geschrieben 28. August 2016 - 15:59

Hier könnte gescriptet werden. Prinzipiell keine schwere Sache. Eventlogs der zentralen Stelle auslesen, nach IDs filtern und die Ausgabe per XML einlesen. Bei mehr als X Versuchen in Y Zeit eine Mail verschicken. Fertig :)

 

EDIT:

Die Powershell ist damit gemeint.


Bearbeitet von MurdocX, 28. August 2016 - 16:00.

Mit freundlicher Unterstützung
Jan


#12 magheinz

magheinz

    Newbie

  • 1.329 Beiträge

 

Geschrieben 29. August 2016 - 10:25

Das "aber trotzdem attacken zuverlässig erkennen" hätte mich interessiert.