Kontosperrungsrichtlinien / ActiveSync

[porschinho 10]

Hallo zusammen,

 

bisher sind bei mir jegliche Kontosperrungsrichtlinien deaktiviert. Derzeit wird darüber nachgedacht, diese zu aktivieren, jedoch sind hier noch Fragen offen.

Wie verhält sich das mit ActiveSync Geräten? Wenn ein User z.B. sein Kennwort am PC ändert, jedoch nicht an sein Handy denkt, weil es z.B. zu Hause liegt. 

Ist das Handy in der Lage z.B. innerhalb kurzer Zeit durch Fehlanmeldungen den Account zu sperren?

 

Wie verhält es sich beim Ablauf eines Kennworts? Der User müsste bei der nächsten Anmeldung am PC das Kennwort ändern. Löst ein Zugriff über ActiveSync auch diese Aktion aus, bzw. sperrt dadurch das Konto?

Wie sehen "eure" Best Practices zu dem Thema aus?

 

 

Vielen Dank für die Antworten ;)

[NorbertFe 1.798]

Im allgemeinen ploppt am Handy der Kennwortdialog auf. Eine Sperrung erfolgt normalerweise nicht, aber es kann vorkommen.

[NilsK 2.777]

Moin,

 

wenn überhaupt Richtlinien zur Sperrung, dann mit hoher Schwelle und mit paralleler Einführung von Fine-grained Password Policies für Service- und Adminkonten.

 

[DOS-Angriff für jedermann: AD-Konten sperren | faq-o-matic.net]
http://www.faq-o-matic.net/2013/08/07/dos-angriff-fr-jedermann-ad-konten-sperren/

 

Gruß, Nils

[porschinho 10]

Danke für die Antworten.

 

Das DOS Problem hatte ich auch schon im Kopf. Auch ist es denkbar, dass die Sperrung zum Mobbing genutzt wird. 

Versuchen jetzt über die Kennwortrichtlinien einen möglichst hohen "Schutz" zu erreichen und schieben das Thema Sperrung erst mal nach hinten.

 

 

Wie sieht es denn mit dem Kennwortablauf aus? Wird ActiveSync unterbunden, sobald ein Kennwort abläuft?

Wenn ja, könnte das Probleme geben, wenn ein Außendienstler unterwegs ist und sein Kennwort abläuft und er keine Möglichkeit hat, sich über Windows oder Outlook-Webaccess anzumelden, um das Kennwort zu ändern.

 

Gruß

 

Michael

bearbeitet 20. Januar 2017 von porschinho

[NorbertFe 1.798]

Ja natürlich wird das unterbunden. Durch caching des exchangeservers aber ggf. etwas zeitverzögert.

[porschinho 10]

OK, dann müsste man solche Benutzer halt durch "Kennwort läuft nie ab" ausklammern oder doch "Fine-Grained" ;)

[NorbertFe 1.798]

Natürlich nicht. Wie kommst du auf diese Schlussfolgerung?

[testperson 1.523]

Wenn ja, könnte das Probleme geben, wenn ein Außendienstler unterwegs ist und sein Kennwort abläuft und er keine Möglichkeit hat, sich über Windows oder Outlook-Webaccess anzumelden, um das Kennwort zu ändern.

Der Außendiensler hat ein Handy und nutzt Active-Sync? Dann kann er doch vom Handy auf OWA zugreifen und sein Passwort ändern?

Vielleicht noch ein Ansatz, einfach per Task die Konten auf den nächsten Ablauf prüfen und den User frühzeitig per Mail informieren.

[NorbertFe 1.798]

https://social.technet.microsoft.com/Forums/de-DE/c574a9a4-a0c8-42ce-a2a9-315d9c07e5c5/kennwortrichtlinien-erreichen-mac-fehlerhaft?forum=gruppenrichtliniende#a649ba88-7d94-45f7-b52d-4ca0e7ab7b7f

[testperson 1.523]

Bzgl. DOS bzw. BruteForce von extern wäre es noch ein guter Ansatz, die Authentifizierung vorzulagern und dort entsprechende Schwellenwerte zu setzen, die keine Sperrung des AD Konto mit sich bringen. Da könnte man dann auch gleichzeitig noch ganz elegant die Kennwortänderung für externe Handy User implementieren.

[porschinho 10]

Die Nutzer vorher informieren, wäre eine Möglichkeit, jedoch muss ich aus Erfahrung sagen, dass sowas gerne und häufig ignoriert wird.

Und wer darf es dann am Ende doch wieder richten ? Möchte ungern aus dem Bett geklingelt werden ;)

 

OWA ist im Übrigen nicht über das Internet frei. ActiveSync auch nur über Umwege (BlackberryEnterpriseServer).

 

@Norbert -> Das war nur als Übergangslösung gedacht, damit man die Einstellung für normale Inhouse-User schon mal aktivieren kann.

 

Das größte Problem was ich sehe ist, dass sämtliche Kennwörter sicherlich älter sind als 180 Tage. Wenn ich also den Ablauf nach 180 Tagen aktivieren würde, müssten Montag 300 User Ihr Kennwort ändern = absolutes Chaos ;) 

[NorbertFe 1.798]

Das größte Problem was ich sehe ist, dass sämtliche Kennwörter sicherlich älter sind als 180 Tage. Wenn ich also den Ablauf nach 180 Tagen aktivieren würde, müssten Montag 300 User Ihr Kennwort ändern = absolutes Chaos ;)

Das ist auch nur Chaos, wenn mans so macht, wie du es beschrieben hast. Normalerweise geht man hin und setzt die Kennwortrichtlinie auf einen Wert der deutlich tiefer liegt (also bspw. auf 30 Tage) und geht zu allen Usern und setzt den Haken "Kennwort muß bei nächster Anmeldung geändert werden" bestätigt und entfernt ihn danach sofort wieder. Damit sind dann alle Kennworte 0 Tage alt und können 30 Tage alt werden. Dann erst wird im Anschluß die Ablaufrichtlinie aktiviert. Und nach den 30 Tagen kannst du dann die Kennwortrichtlinie auf den eigentlich gewünschten Wert erhöhen.

 

Bye

Norbert

[NilsK 2.777]

Moin,

 

man könnte jetzt auch noch darüber philosophieren, ob der Zwang zum regelmäßigen Kennwortwechsel überhaupt zur Sicherheit beiträgt ...

 

Gruß, Nils

[NorbertFe 1.798]

Möchtest du eine Pauschalaussage oder eine Diskussion? :D

[testperson 1.523]

Kennwort1, Kennwort2, Kennwort3, Kennwortn :D

 

Wie ich aber grade sehe (nachdem der Thread mich drauf brachte) wurde der Source Code des DSInternals Module veröffentlicht. Somit könnte man sich den mal ansehen und ggfs. über den Einsatz des "vorhandenen Scriptes" nachdenken, welches wohl gegen die Boardregeln verstoßen würde :)