Jump to content

Recommended Posts

Hi, 
Ich bin recht neu in ein Projekt reingerutscht, um die Passwortsicherheit für Userkonten in unserem Windows-AD zu erhöhen. Dabei schauen wir uns auch Passwortfilter an, um trivial Passwörter wie z.B. Firmenname123, Sommer.2019, etc. zu verhindern. Habt ihr solche Filter im Einsatz bzw. falls ja, von welchem Hersteller? Wie gut ist die Microsoft eigene Lösung?

 

lg sandy 

Share this post


Link to post
Share on other sites

Hi,

 

im DSInternals PowerShell Modul (https://www.powershellgallery.com/packages/DSInternals/3.5) gibt es auch entsprechende Funktionen (http://www.stephenthompson.tech/audit-ad-passwords-with-powershell/). Allerdings musst du dort auch selber eine entsprechende "Bad Password List" erstellen.

Generell sollte man sich aber vorher wohl mal mit Betriebsrat o.ä. zusammensetzen, ob man das "mal eben so" darf.

 

Gruß

Jan

Share this post


Link to post
Share on other sites

Danke Euch für die Antworten

- Selber basteln kommt nicht in Frage

- Was kümmern Passwörter den Betriebsrat? (ich bin übrigens selbst Betriebsratsmitglied)

- Das AD liegt auf unseren eigenen Servern (On Premise). Die Azure Filter kann man importieren

Edited by SandyB

Share this post


Link to post
Share on other sites
vor 1 Stunde schrieb SandyB:

- Was kümmern Passwörter den Betriebsrat? (ich bin übrigens selbst Betriebsratsmitglied)

Z.B. das du Passwörter der User "ausliest", der User nichts davon mitbekommt und du (oder jemand anders) sich als User ohne sein Wissen / Einverständnis anmelden kann.  Ich finde es jedenfalls grenzwertig so etwas ohne Info an den User zu unternehmen.

Share this post


Link to post
Share on other sites

Um Himmels willen! Wie kommst du darauf, dass wir Passwörter von Usern auslesen wollen? Wir wollen die PW-Sicherheit erhöhen, nicht runtersetzen.

Microsoft bietet eine typisch MS-proprietäre Lösung an. Daher interessieren mich Erfahrungen mit anderen Herstellern, die z.B. Schnittstellen zu anderen Welten als das Microsoft-Universum besitzen oder Country-spezifische Backlists liefern können.

Edited by SandyB

Share this post


Link to post
Share on other sites

Moin,

 

die Kennwörter werden ja nicht ausgelesen. Nur das neu gewählte Kennwort wandert einmal durch den Filter, bevor das AD  es als neues Kennwort akzeptiert. Danach ist es nicht mehr auslesbar. Durch einen anderen als den eingebauten Filter ändert sich an dem Prinzip nichts - oder anders: Der  Vorgang geschieht jetzt auch schon.

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites
vor 11 Stunden schrieb SandyB:

Um Himmels willen! Wie kommst du darauf, dass wir Passwörter von Usern auslesen wollen? Wir wollen die PW-Sicherheit erhöhen, nicht runtersetzen.

Microsoft bietet eine typisch MS-proprietäre Lösung an. Daher interessieren mich Erfahrungen mit anderen Herstellern, die z.B. Schnittstellen zu anderen Welten als das Microsoft-Universum besitzen oder Country-spezifische Backlists liefern können.

Ich bezog mich auf die Möglichkeit mittels des verlinkten DSInternals PS Moduls aus meinem Beitrag. Da werden halt die Hashes der User Passwörter ausgelesen und mit den gehashten Einträgen aus der Passwortliste abgeglichen.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...