porschinho 10 Posted January 20, 2017 Report Share Posted January 20, 2017 Hallo zusammen, bisher sind bei mir jegliche Kontosperrungsrichtlinien deaktiviert. Derzeit wird darüber nachgedacht, diese zu aktivieren, jedoch sind hier noch Fragen offen. Wie verhält sich das mit ActiveSync Geräten? Wenn ein User z.B. sein Kennwort am PC ändert, jedoch nicht an sein Handy denkt, weil es z.B. zu Hause liegt. Ist das Handy in der Lage z.B. innerhalb kurzer Zeit durch Fehlanmeldungen den Account zu sperren? Wie verhält es sich beim Ablauf eines Kennworts? Der User müsste bei der nächsten Anmeldung am PC das Kennwort ändern. Löst ein Zugriff über ActiveSync auch diese Aktion aus, bzw. sperrt dadurch das Konto? Wie sehen "eure" Best Practices zu dem Thema aus? Vielen Dank für die Antworten ;) Quote Link to comment
NorbertFe 2,056 Posted January 20, 2017 Report Share Posted January 20, 2017 Im allgemeinen ploppt am Handy der Kennwortdialog auf. Eine Sperrung erfolgt normalerweise nicht, aber es kann vorkommen. Quote Link to comment
NilsK 2,940 Posted January 20, 2017 Report Share Posted January 20, 2017 Moin, wenn überhaupt Richtlinien zur Sperrung, dann mit hoher Schwelle und mit paralleler Einführung von Fine-grained Password Policies für Service- und Adminkonten. [DOS-Angriff für jedermann: AD-Konten sperren | faq-o-matic.net]http://www.faq-o-matic.net/2013/08/07/dos-angriff-fr-jedermann-ad-konten-sperren/ Gruß, Nils Quote Link to comment
porschinho 10 Posted January 20, 2017 Author Report Share Posted January 20, 2017 (edited) Danke für die Antworten. Das DOS Problem hatte ich auch schon im Kopf. Auch ist es denkbar, dass die Sperrung zum Mobbing genutzt wird. Versuchen jetzt über die Kennwortrichtlinien einen möglichst hohen "Schutz" zu erreichen und schieben das Thema Sperrung erst mal nach hinten. Wie sieht es denn mit dem Kennwortablauf aus? Wird ActiveSync unterbunden, sobald ein Kennwort abläuft? Wenn ja, könnte das Probleme geben, wenn ein Außendienstler unterwegs ist und sein Kennwort abläuft und er keine Möglichkeit hat, sich über Windows oder Outlook-Webaccess anzumelden, um das Kennwort zu ändern. Gruß Michael Edited January 20, 2017 by porschinho Quote Link to comment
NorbertFe 2,056 Posted January 20, 2017 Report Share Posted January 20, 2017 Ja natürlich wird das unterbunden. Durch caching des exchangeservers aber ggf. etwas zeitverzögert. Quote Link to comment
porschinho 10 Posted January 20, 2017 Author Report Share Posted January 20, 2017 OK, dann müsste man solche Benutzer halt durch "Kennwort läuft nie ab" ausklammern oder doch "Fine-Grained" ;) Quote Link to comment
NorbertFe 2,056 Posted January 20, 2017 Report Share Posted January 20, 2017 Natürlich nicht. Wie kommst du auf diese Schlussfolgerung? Quote Link to comment
testperson 1,693 Posted January 20, 2017 Report Share Posted January 20, 2017 Wenn ja, könnte das Probleme geben, wenn ein Außendienstler unterwegs ist und sein Kennwort abläuft und er keine Möglichkeit hat, sich über Windows oder Outlook-Webaccess anzumelden, um das Kennwort zu ändern. Der Außendiensler hat ein Handy und nutzt Active-Sync? Dann kann er doch vom Handy auf OWA zugreifen und sein Passwort ändern? Vielleicht noch ein Ansatz, einfach per Task die Konten auf den nächsten Ablauf prüfen und den User frühzeitig per Mail informieren. Quote Link to comment
NorbertFe 2,056 Posted January 20, 2017 Report Share Posted January 20, 2017 https://social.technet.microsoft.com/Forums/de-DE/c574a9a4-a0c8-42ce-a2a9-315d9c07e5c5/kennwortrichtlinien-erreichen-mac-fehlerhaft?forum=gruppenrichtliniende#a649ba88-7d94-45f7-b52d-4ca0e7ab7b7f Quote Link to comment
testperson 1,693 Posted January 20, 2017 Report Share Posted January 20, 2017 Bzgl. DOS bzw. BruteForce von extern wäre es noch ein guter Ansatz, die Authentifizierung vorzulagern und dort entsprechende Schwellenwerte zu setzen, die keine Sperrung des AD Konto mit sich bringen. Da könnte man dann auch gleichzeitig noch ganz elegant die Kennwortänderung für externe Handy User implementieren. Quote Link to comment
porschinho 10 Posted January 20, 2017 Author Report Share Posted January 20, 2017 Die Nutzer vorher informieren, wäre eine Möglichkeit, jedoch muss ich aus Erfahrung sagen, dass sowas gerne und häufig ignoriert wird. Und wer darf es dann am Ende doch wieder richten ? Möchte ungern aus dem Bett geklingelt werden ;) OWA ist im Übrigen nicht über das Internet frei. ActiveSync auch nur über Umwege (BlackberryEnterpriseServer). @Norbert -> Das war nur als Übergangslösung gedacht, damit man die Einstellung für normale Inhouse-User schon mal aktivieren kann. Das größte Problem was ich sehe ist, dass sämtliche Kennwörter sicherlich älter sind als 180 Tage. Wenn ich also den Ablauf nach 180 Tagen aktivieren würde, müssten Montag 300 User Ihr Kennwort ändern = absolutes Chaos ;) Quote Link to comment
NorbertFe 2,056 Posted January 20, 2017 Report Share Posted January 20, 2017 Das größte Problem was ich sehe ist, dass sämtliche Kennwörter sicherlich älter sind als 180 Tage. Wenn ich also den Ablauf nach 180 Tagen aktivieren würde, müssten Montag 300 User Ihr Kennwort ändern = absolutes Chaos ;) Das ist auch nur Chaos, wenn mans so macht, wie du es beschrieben hast. Normalerweise geht man hin und setzt die Kennwortrichtlinie auf einen Wert der deutlich tiefer liegt (also bspw. auf 30 Tage) und geht zu allen Usern und setzt den Haken "Kennwort muß bei nächster Anmeldung geändert werden" bestätigt und entfernt ihn danach sofort wieder. Damit sind dann alle Kennworte 0 Tage alt und können 30 Tage alt werden. Dann erst wird im Anschluß die Ablaufrichtlinie aktiviert. Und nach den 30 Tagen kannst du dann die Kennwortrichtlinie auf den eigentlich gewünschten Wert erhöhen. Bye Norbert 1 Quote Link to comment
NilsK 2,940 Posted January 20, 2017 Report Share Posted January 20, 2017 Moin, man könnte jetzt auch noch darüber philosophieren, ob der Zwang zum regelmäßigen Kennwortwechsel überhaupt zur Sicherheit beiträgt ... Gruß, Nils Quote Link to comment
NorbertFe 2,056 Posted January 20, 2017 Report Share Posted January 20, 2017 Möchtest du eine Pauschalaussage oder eine Diskussion? :D Quote Link to comment
testperson 1,693 Posted January 20, 2017 Report Share Posted January 20, 2017 Kennwort1, Kennwort2, Kennwort3, Kennwortn :D Wie ich aber grade sehe (nachdem der Thread mich drauf brachte) wurde der Source Code des DSInternals Module veröffentlicht. Somit könnte man sich den mal ansehen und ggfs. über den Einsatz des "vorhandenen Scriptes" nachdenken, welches wohl gegen die Boardregeln verstoßen würde :) Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.