Kennwortrichtlinien: Benutzer kann Passwort ändern --> Benutzerkennwort für Anmeldung

[OnkelGauss 10]

Hallo Leute

 

Ausgangslage

Wir müssen wegen eines Entscheids der Gruppenleitung neue Kennwortrichtlinien erzwingen. Das Kennwort muss durch den Benutzer mindestens ein mal Pro Jahr geändert werden. Bis jetzt war eine Änderung nicht erlaubt. Die Kennwortrichtlinien werden gerade erarbeitet und gesetzt.

 

Jetzt zum Problem

Bis jetzt wurden die Kennwörter bei einer Benutzereröffnung zentral vergeben und waren der Informatik somit bekannt. Wenn jetzt jeder Benutzer sein Passwort selbst ändern kann/muss, ist dies nicht mehr der Fall.

Es kommt oft vor, dass wir Änderungen (Profil des Benutzers) an den Rechnern vornehmen müssen und, wie es bei Windows halt so ist, die Rechner auch öfters neu starten und uns anschliessend ja wieder anmelden müssen. Dies wird ohne Kennwort sehr stark erschwert ,->

Eine (umständliche) "Lösung" wäre, das Kennwort auf irgend ein Standard-Kennwort zurückzusetzen, welches jedem User bekannt ist/gemacht wird und falls dieser sich mit seinem Kennwort nicht einloggen kann, soll er es mit dem "Support"-Kennwort probieren und nach erfolgreicher Anmeldung das Kennwort wieder ändern. Aber wie will man ihn zur Änderung zwingen?

 

Gibt es eine saubere Lösung für dieses Problem?

 

PS: Wir haben noch keine zentrale Softwareverteilung, keine servergespeicherten Profile und nur minimale Gruppenrichtlinen. Aus diesem Grund der Aufwand an den Kisten.

PPS: "User must change password at next logon" will irgendwie nicht greifen. Erst nach secedit /refreshpolicy ... /enforce melden sich die Kisten. Idee?

 

Danke für eure Vorschläge!

[ChristianHemker 10]

Hallo,

 

da sträuben sich aber jedem sicherheitsbewussten Netzwerker die Nackenhaare:

1. Die vorherige Praxis brauche ich ja nicht extra schlecht reden, denke ich.

2. Nutzt für eventuelle Kennwortrücksetzungen bloß kein Standard Support Kennwort, welches den Usern auch noch bekannt ist. Dann kann sich ja jeder mit diesem Kennwort als ein Benutzer anmelden und damit ist jeder Sicherheitsgedanke im Keim erstickt.

 

Lösung:

Wenn sich ein Supporter als ein Benutzer anmelden muss und dabei das Kennwort zurücksetzt, dann nehmt jedesmal ein neues, komplexes Passwort. Nach erledigter Arbeit einen gelben Zettel an den Monitor, dass er sich bei der Supportabteilung zwecks Kennwortänderung melden soll.

Erkennt man die Personen an der Stimme, geht das per telefon, ansonsten muss das persönlich stattfinden, da sonst ja wieder jeder anrufen könnte.

[OnkelGauss 10]

Hallo ChristianHemker

 

[zitat]da sträuben sich aber jedem sicherheitsbewussten Netzwerker die Nackenhaare[/zitat]

 

Das Kennwort wäre ja nur für Benutzer geändert, an deren Rechnern etwas geändert wurde. Aber mir gefällt diese Idee auch nicht... Aber wir brauchen irgend eine Lösung. Gelbe Zettel an den Monitor klappt nicht, da die meisten Rechner in den Niederlassungen im ganzen Land stehen. Und eine E-Mail senden geht ja auch nicht, da er Outlook erst nach der Anmeldung sichtbar wird ,->

 

Das einfachste ist, wenn der Benutzer anrufen kann und wir dann das "neue" Passwort eintippen und er anschliessend das Kennwort ändern/muss. Teilweise sind die Mitarbeiter früher an Arbeitsplatz, als die Informatik. Auch an den Wochenenden sind manche Mitarbeiter aktiv und wenn am Freitag noch etwas geändert wurde, dann werden diese keine Freude mehr haben... Wir anschliessend auch nicht mehr ,->

[ChristianHemker 10]

Wir anschliessend auch nicht mehr ,->

Wie meldet ihr euch denn an den Rechnern an, wenn die weit weg sind? oder testet ihr das Profil auf einem anderen Rechner vor Ort?

Habt ihr vielleicht ein Voicemail System, auf dem man eine Nachricht hinterlassen könnte, statt einem gelben Zettel?

[OnkelGauss 10]

Für die Fernwartung der Clients verwenden wir RealVNC und Telnet. Fast alle Änderungen (Software aktualisieren/änden/deinstallieren, Einstellungen, usw.) werden auf jedem Rechner einzeln durchgeführt. Dies mache ich meistens am Abend und in der Nacht, damit die Benutzer die Arbeit nicht unterbrechen müssen, denn es dauert immer länger, als man denkt ,->

 

Software, usw. können wir ohne Probleme mit dem lokalen Admin- oder Domain-Admin-Accounts pflegen, die meisten Änderungen betreffen aber auch das Benutzerprofil (Software konfigureren).

 

Die Idee mit dem Anrufbeantworter ist Klasse. Total vergessen, dass es so etwas noch gibt, denn heute ist man ja 24 Stunden erreichbar ,-> An Wochenenden ist dann der Benutzer evtl. informiert, dass das Kennwort geändert wurde, kann sich aber nicht bei uns melden und somit nicht arbeiten.

 

Ich glaube Gruppenrichtlinien und Softwareverteilung wären wohl die Lösung.

[JustinXiang 10]

Ich möchte hier auch mal einhacken!

 

Soweit ich weiß gibt es eine Richtlinie die es mir gestattet, das bevor der Anmeldeschirm kommt ich eine Nachricht auf den PC posten kann! Das ist zwar auch nicht wirklich eine schöne lösung aber eine die funktioniert und die zumindestens sicherer ist als so manch andere die angedacht wurde! Denn so kann ich meinem User anzeigen das auf seinem PC was geändert werden mußte und er sich beim Support melden soll!

Weiters verstehe ich nicht ganz warum ihr die Benutzerkonten sooft angreifen müßt! Denn im Normalfall sollten ja die User so wenig Rechte wie nur irgendwie möglich haben oder? Daher können ja diverse Änderungen nur mit höheren Rechten (Admin, bzw. definierte Support User Rechte) von statten gehen. Daher sehe ich auch nicht die Notwendigkeit des zurücksetzen eines Passwortes!

 

Zu der PPS Geschichte: Nach getaner Arbeit würde ich den PC einfach runterfahren bzw. neustarten lassen und vorher im AD bekanntgeben das der User das PW bei der nächsten Anmeldung ändern muß. Nachdem Neustart zieht dieser Effekt auf alle Fälle, falls eure User sich über VPN an der Domäne anmelden falls sie das aber nicht tun zieht auch die hälfte aller GPO nicht!

 

LG

[IThome 10]

Ich weiss ehrlich gesagt nicht, was gegen ein Standardkennwort auszusetzen ist, wenn der Haken gesetzt ist, dass man das Kennwort nach der Anmeldung ändern muss. Dieses Kennwort wird doch nur für das Konto vom Administrator gesetzt, dessen Kennwort Ihr zurückgesetzt habt und ist keineswegs für jedes Konto gültig. Und wenn auch noch das Kennwort sofort geändert werden muss und eine History gültig ist, sehe ich da kein Problem (vielleicht bin ich im Moment aber auch blind :D) ...

[JustinXiang 10]

Ich habe auch nichts gegen ein standart passwort aber das wurde ja von meinen vorschreibern irgendwie mal gleich ausser acht gelassen daher habe ich mich nicht darum gekümmert! Das einzige wo ich ein problem mit einem Standardpasswort habe ist, das wenn irgendwo einer kommt und alle comps in der früh aufdreht und auf lustig das pw seines arbeits kollegen ändert, das wäre der einzige grund der gegen ein standardpw spricht der mir derzeit einfällt

[IThome 10]

Naja, es könnte sich jemand mit jedem Benutzerkonto anmelden und bei allen das Standardkennwort probieren. Hat er einen erwischt, den Ihr zurückgesetzt habt, kann er das Kennwort in irgendein Kennwort ändern und ist auf der Maschine, das wäre schon möglich. Aber das wäre ja immer möglich, wenn man das Kennwort eines Benutzers zurücksetzt und derjenige sich nicht sofort danach anmeldet (wenn ein Standardkennwort benutzt wird) ...

[JustinXiang 10]

Darum der Vorschlag mit dem Anruf bei der Hotline aber wie soll ich das einem User mit einem postit bei bringen wenn ich z.B in Wien sitze und er in Salzburg! Da funkt das ganze nicht wirklich! Da sind wir uns ja einig oder? Was mit der Nachricht am Bildschrim auch wegfällt ist das ich ja auch gleich die Handynummer des Supporters falls Firmenhandy ist auch angeben kann ansonsten halt nur mit zustimmung des Supporters, das heißt die mitarbeiter können auch am Wochenende aktiv sein!

 

LG

[IThome 10]

Wenn die User Euch immer via Handy erreichen können, dann kannste doch auch irgendein Kennwort vergeben. Die Supporter müssen´s nur wissen, alle ... Das wäre natürlich die beste Variante ...

[JustinXiang 10]

das meinte ich ja mit meiner idee! Nur ist es ja nicht meine firma die das problem hat!

 

Mich würde aber interessieren wie ihr das problem schlussendlich gelöst habt!

 

LG

[IThome 10]

Was der TO letztendlich macht, hängt ja auch von der Sicherheitspolicy seiner Firma ab. Mit einem Standardkennwort bleibt sicherlich ein Restrisiko (man kann ja probieren und dann ändern), persönliche Übermittlung eines zufällig ausgewählten Kennwortes, wie auch immer, ist da natürlich der bessere Weg. Ein Zettel am Bildschirm allerdings ist da sicher auch nicht der Weisheit letzter Schluss ... :)

Die Frage ist natürlich auch, an wievielen Rechnern bzw. Benutzerprofilen konfiguriert wird, also auch die Kennwörter zurückgesetzt werden. Je mehr das sind, desto eher fällt die Möglichkeit mit einem Standardkennwort unter den Tisch, die mit den Zetteln allerdings auch ...

[ChristianHemker 10]

Mit einem Standardkennwort bleibt sicherlich ein Restrisiko (man kann ja probieren und dann ändern)

Wenn es nur das wäre! Der fremde User kann sich nach Kennwortänderung ja als der Originaluser anmelden und auf dessen Ressourcen zugreifen, was ich schon übel finde.

[IThome 10]

Stimmt schon, mit einem Zettel besteht das gleiche Problem und man muss auch nicht probieren. Wirklich sicher eine Änderung nur dann, wenn sie auf Anfrage des Users kommt bzw. wenn er sich direkt nach der Änderung anmeldet ...