Jump to content

Passwort-Alter abfragen und ablaufen lassen


Go to solution Solved by cjmatsel,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hi,

ich möchte gern mein Netzwerk (W2k8-R2-DC) besser absichern und dazu am LDAP alle alten Passwörter abfragen. Das Beste wäre dann diese ablaufen zu lassen, sodass die besonders alten Passwörter relativ zügig geändert werden müssten. Wie könnte man so etwas lösen? Ich will nicht gleich mit dem Holzhammer rum laufen, daher dachte ich an eine Batch oder dsquery-Abfrage...

 

Ein paar Ideen hierzu wären sehr hilfreich! :-)

 

cu,

cjmatsel

Link to comment

Moin,

 

vorbereitend kannst du eine Abfrage mit OldCmp machen. Das kann auch User abfragen und gibt u.a. das Datum des letzten Kennwortwechsels aus.

oldcmp -users -report

http://www.joeware.net/freetools/tools/oldcmp/index.htm

 

 

Aber wie ich schrieb: "Ich möchte gern die Holzhammer-Methode vermeiden!"

 

Norberts Vorschlag ist auch nicht der Holzhammer, sondern der Gummihammer. Man setzt alle Kennwörter einmal auf "abgelaufen" und löscht dann das Flag gleich wieder. Die Kennwörter haben in diesem Moment "jetzt" als Änderungsdatum. Danach gilt für alle User die im AD definierte Kennwortrichtlinie, d.h. du kannst exakt sagen, wann die Kennwörter ablaufen. Die User haben dann auch noch bis zu diesem Zeitpunkt Zeit.

 

Gruß, Nils

Edited by NilsK
Link to comment

OK, dann habe ich das nicht so verstanden. Diese Idee klingt tatsächlich einfach; wie löst ihr das mit den Systemaccounts? Also den Accounts welche Programme benutzen um das LDAP abzufragen oder Dienste zu starten usw...?

 

edit: und wie würde ich den Ansatz von Norbert umsetzen? Wenn ich eine Handvoll Benutzer markiere und mit der rechten Maustaste anklicke kann ich nur sagen dass die Benutzer "bei der nächsten Anmeldung" das Kennwort ändern müssen...

Edited by cjmatsel
Link to comment

Hallo,

kennst du die Microsoft Empfehlungen bzgl. Userpasswörtern?

 

1. Maintain an 8-character minimum length requirement (and longer is not necessarily better).
2. Eliminate character-composition requirements.

3. Eliminate mandatory periodic password resets for user accounts.
4. Ban common passwords, to keep the most vulnerable passwords out of your system.
5. Educate your users not to re-use their password for non-work-related purposes.
6. Enforce registration for multi-factor authentication.
7. Enable risk based multi-factor authentication challenges.

 

https://www.microsoft.com/en-us/research/publication/password-guidance/

 

Systemaccounts, besonders solche mit eigenem SPN, sollten aber mindestens 25 Zeichen lang sein und auch ab und zu mal geändert werden.

 

blub

Link to comment

Moin,

 

bei den Empfehlungen von Microsoft muss man den Kontext beachten: Es geht um massenweise Accounts für Privatuser. Die Studie basiert auf Microsoft-Accounts. Für Unternehmensumgebungen ist daher nicht alles so anwendbar.

 

Besonders relevant sind die Punkte 4 bis 7 der obigen Liste. So stellt Microsoft das in dem Papier auch dar. Für die Punkte 1 bis 3 gibt es eine spezielle Argumentation, die vor allem mit der erwartbaren Bequemlichkeit von Anwendern zu tun hat. Als wichtigstes Element stellen die Forscher Punkt 4 heraus - wie Norbert schon anmerkt, gibt es dafür aber gar keinen Mechanismus, solange man keine Drittanbietersoftware einsetzt.

 

Bei Punkt 1 neige ich zum Widerspruch. Es lässt sich zeigen, dass längere Kennwörter durchaus "per se" besser sind als kürzere. Die Einschränkung macht die Studie wieder bei der Bequemlichkeit von Usern, die dazu neigen, auch lange Kennwörter vorhersagbar zu setzen.

 

Gruß, Nils

  • Like 1
Link to comment

Aah! :thumb1:

dsquery user -stalepwd 90 -limit 0 | dsmod user -mustchpwd yes
dsquery user -stalepwd 90 -limit 0 | dsmod user -mustchpwd no

... zum Beispiel.

 

richtig?

 

edit: ein "dsquery user -stalepwd 90 -limit 0" liefert mir aber immer noch eine Menge Benutzer aus. Ich denke das Passwort sollte jetzt 0 Tage alt sein?

Edited by cjmatsel
Link to comment

Hmm, ich verstehe es leider trotzdem noch nicht: trotz der beiden oben eingestellten Befehle meldete sich eben gerade ein Benutzer bei mir weil sein Kennwort abgelaufen ist und sofort geändert werden müsse... :confused:


edit: Es scheint als wenn die Befehle auf der Kommandozeile nicht greifen: Per Mausklick wird tatsächlich die Ergebnis-Liste immer kleiner... :-/

Seltsam...

Edited by cjmatsel
Link to comment

Moin,

 

dann schau dir deine Kommandos doch noch mal an: Du setzt das Flag bei allen Usern, deren Kennwort 90 Tage alt ist. Und dann setzt du das Flag mit demselben Filter zurück - der jetzt aber eine andere Menge zurückgibt, weil das erste Kommando ausgeführt wurde ...

 

Oder deutlicher: Die User, die du mit dem ersten Kommando behandelt hast, haben keinen Wert mehr bei pwdLastSet. Sie fallen durch den Filter deines zweiten Kommandos.

 

Skripte und Massenoperationen testet man im Lab, nicht in der Produktion.

 

Gruß, Nils

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...