Komplexitätsvoraussetzungen im AD anpassen

[meinerjunge 10]

Hallo Forum,

 

gibt es eine Möglichkeit die Komplexitätsvoraussetzungen in den Gruppenrichtlinien (mit "Boardmittel") zu editieren, die von MS vorgegebene Einschränkungen sind uns zu "dünn".

 

 

Vielen Dank!

 

MfG Meiner

[NorbertFe 1.804]

Nein. Entweder "Komplex" an oder aus. Mehr geht nicht (von der Länge mal abgesehen). @NilsK kann dazu bestimmt auch noch was erzählen. :)

[NilsK 2.785]

Moin,

 

mit Bordmitteln (ohne "a" übrigens) geht das nicht. Es gibt kommerzielle Software für sowas, mittlerweile auch ein paar Community-Projekte*. Falls ihr eine Anbindung an Azure AD und die passenden Subscriptions habt, lassen sich auch AAD-Bordmittel einsetzen.

 

Gruß, Nils

* das ist das, was Norbert mit seiner Anspielung meinte. An solche Software hat sich lange in der Community niemand rangetraut. Welche Qualität die vorhandenen Projekte haben, kann ich aber nicht sagen.

* PS. vielleicht meint Norbert auch, dass die sog. "Komplexität" viel weniger wichtig ist als die Länge von Kennwörtern. Mindestens für Admins und andere hochprivilegierte Accounts würde ich daher vor allem lange Kennwörter vorschreiben, die Komplexität kann man sich dann eher sparen.

 

[meinerjunge 10]

Ok, hätte es wohl besser so schreiben sollen. "Bo(a)rdmittel"  

Eine Azure Anbindung ist nicht vorhanden.

 

Es geht vor allem um schützenswerte Konten welche mit hochkomplexen und langen Passwörtern versehen sein sollen.

 

Was gibt es denn da für kommerzielle Software und ggf. Community-Projekte?

 

 

MfG Meiner

[NorbertFe 1.804]

vor 6 Minuten schrieb meinerjunge:

Es geht vor allem um schützenswerte Konten welche mit hochkomplexen und langen Passwörtern versehen sein sollen.

 

Die Länge kannst du ja vorgeben für diese schützenswerten Konten. Komplexität ist ja eine andere Frage.

[meinerjunge 10]

vor 1 Minute schrieb NorbertFe:

Die Länge kannst du ja vorgeben für diese schützenswerten Konten. Komplexität ist ja eine andere Frage.

Unsere Vorgabe beinhaltet leider beides.

[NorbertFe 1.804]

vor 1 Minute schrieb meinerjunge:

Unsere Vorgabe

Und was ist "eure Vorgabe"? Was genau ist jetzt schlecht an der vorhandenen Funktion, so dass es bei euch nicht paßt?

[NilsK 2.785]

Moin,

 

für schützenswerte Konten würde ich ein oder mehrere PSOs (Password Settings Objects) einrichten und lange Kennwörter vorschreiben. Dann reicht die normale Komplexität völlig aus. Für Service Accounts lässt man sich dann gute Kennwörter generieren und Benutzern mit Accounts dieser Kategorie empfiehlt man, mit Kennwortsätzen zu arbeiten, die man gut tippen kann. (Eine Suche nach "Correct Horse Battery Staple" illustriert, was ich meine.)

 

Gruß, Nils

 

[meinerjunge 10]

Großbuchstaben, Kleinbuchstaben, Zahlen, min 1 Sonderzeichen und min 10 Stellen

 

Die Komplexitätsvoraussetzung verlangt ja nur 3 der 4 Zeichenarten.

[NilsK 2.785]

Moin,

 

da kann man sich jetzt mit gewisser Berechtigung fragen, ob eure Vorgabe sinnvoll ist. Wenn ihr tatsächlich von der nicht abrücken könnt, dürfte an kommerzieller Software kein Weg vorbeigehen.

 

Eine Webrecherche nach "Password Filter Active Directory" weist den Weg.

 

Gruß, Nils

PS. 10 Zeichen gelten schon lange nicht mehr als "sicher", unabhängig vom geforderten Zeichensatz.

PPS. oder deutlicher: eure Vorgabe erzeugt weder hochkomplexe noch lange Kennwörter.

bearbeitet 7. Dezember 2022 von NilsK

[NorbertFe 1.804]

vor 18 Minuten schrieb meinerjunge:

Die Komplexitätsvoraussetzung verlangt ja nur 3 der 4 Zeichenarten.

 

Naja.... Ich sag dazu mal nix. Geht aktuell nicht, und ansonsten seh ich das wie Nils.

[cj_berlin 1.137]

Moin,

eine Alternative, die für meinen Geschmack viel zu selten betrachtet wird, ist, das Kennwort nicht mit Windows-Bordmitteln zu ändern. Die UX dafür ist sowieso bescheiden.

Und die IAM-Systeme, die man dafür einsetzen kann (einiges davon ist auch Open Source und frei verfügbar), machen die Prüfung dann nach eigenen Kriterien.

[NorbertFe 1.804]

vor 1 Minute schrieb cj_berlin:

eine Alternative, die für meinen Geschmack viel zu selten betrachtet wird

Das liegt daran, dass nicht jeder mehr als die Windows Bordmittel zur Verfügung hat. Denn am Ende müßte man ja dafür sorgen, dass Nutzer am PC nicht mittels Bordmitteln ihr Kennwort ändern können, sondern nur über IAM. ;) Bei großen Organisationen sicherlich möglich, bei allem anderen eher unwahrscheinlich.

[daabm 1.185]

vor 2 Stunden schrieb meinerjunge:

Großbuchstaben, Kleinbuchstaben, Zahlen, min 1 Sonderzeichen und min 10 Stellen

 

Gehe in die Diskussion mit dem "Vorgabenverantwortlichen", wie auch immer der heißt und welche Funktion auch immer er hat. 10 Stellen sind "waaay too short", das vorne ist veralteter Krempel. Länge zählt, sonst nahezu nichts.

 

vor 2 Stunden schrieb meinerjunge:

hochkomplexen und langen Passwörtern versehen sein sollen.

 

10 ist nicht lang. 10 ist geradzu irrsinnig kurz, da hilft auch Komplexität nichts.

[cj_berlin 1.137]

(bezieht sich auf die Antwort von @NorbertFe)

 

Vor 10 Jahren hätte ich das auch gesagt. Aber die meisten Firmen haben eher zu viele Third Party Tools als zu wenige - bis auf die Stellen, wo es *wirklich* darauf ankommt.

 

Und was das Verhindern angeht - das kann das gleiche IAM für Dich erledigen, indem die User mit dem Merkmal "cannot change password" versehen werden. Die Maske in Windows zu deaktivieren ist EINE GPO Einstellung. Die Maske in OWA deaktivieren ist EIN PowerShell-Befehl. Die Maske in StoreFront deaktivieren ist EIN Häkchen. Klar können das nur die Großen  

bearbeitet 7. Dezember 2022 von cj_berlin