Jump to content

Best-Practice / Kennwortrichtlinie


Recommended Posts

Hallo,

 

was ist aktuell Best-Practice für die Kennwortrichtlinie von Domänen-Benutzern? Aktuell sind wir bei 10 Zeichen und es dürfen die letzten drei wiederkehrenden Passwörter nicht verwendet werden. Wir würden diese gerne auf mindestens 12 Zeichen anheben. Wie handhabt Ihr dies in euren Umgebungen? 

 

Wenn möglich würde ich gerne vers. Richtlinie an vers. Benutzer verteilen, da es zum Teil "kritischerer" Benutzer gibt, die ggf. stärkere Kennwörter verwenden sollen.

Link to comment
vor 11 Minuten schrieb NorbertFe:

Den Default auf die schwächste Richtlinie (also bspw. 12 Zeichen x History usw.) wie bisher konfigurieren. Für alle die davon abweichende (schärfere) Richtlinien benötigen gibt es PSOs.

 

Hi Norbert, danke für den ersten Einwand.

Was hast du denn so bei deiner Umgebung an Konfiguration gesetzt?

Link to comment
vor 1 Minute schrieb NorbertFe:

Wir sind aktuell bei 14 Zeichen Länge und 10 History sowie 120 Tage maximales Kennwortalter und aktivierte Komplexität. Wir überlegen gerade, ob wir von den 120 Tagen hochgehen auf 365 und dafür 16 Zeichen erzwingen.

 

Also habt ihr NTLM schon abgeschaltet, so dass Pass-the-Hash nicht mehr ohne weiteres funktioniert? :lol2:

Link to comment
Gerade eben schrieb NorbertFe:

Natürlich nicht. ;) Und ich bezweifle auch, dass es schon praxisrelevante Anzahlen von Umgebungen ohne NTLM gibt. ;)

Für diejenigen, die dort arbeiten, ist 1x doch durchaus eine praxisrelevante Zahl :-) 

Aber klar, natürlich gibt es nur sehr wenige. Daher finde ich die Diskussion um jahrelang nicht gerollte Passwörter immer so spannend...

 

Link to comment
vor 4 Stunden schrieb NorbertFe:

dass es schon praxisrelevante Anzahlen von Umgebungen ohne NTLM gibt

 

Hier - bis auf die von Microsoft erzwungenen Ausnahmen für SQL- und HyperV-Cluster, die noch nicht ohne können. Frei nach einer meiner bevorzugten Bands: "It's a long way to the top"...

Ich weiß inzwischen Dinge über Kerberos in Windows und in krb5.conf, die ich eigentlich nie wissen wollte 😂

Link to comment

Moin, 

 

Die Frage ist ja auch, ob es vor dem Hintergrund, den Evgenij meint, einen Unterschied macht, ob man nach 120 oder nach 365 Tagen das Kennwort ändert. Soweit ich es verstehe, müsste man das dann schon in wesentlich geringeren Abständen tun, eher unterhalb von 24 Stunden. Also braucht man zusätzliche Sicherungen, denn das ist ja nicht praktikabel. Es zeigt eher, dass das ganze Kennwort-Ding M*st ist.

 

Eine Lösung habe ich nicht dafür, aber der NTLM-Einwand zielt auf eine andere Ebene als das hier diskutiere Thema. 

 

Gruß, Nils

Edited by NilsK
Link to comment

Komplexität halte ich für sinnfrei, lieber länger. Und bei 365 Tagen Gültigkeit kann man auch gleich "nicht ablaufend" verwenden - die Historie ist bei nem Änderungsintervall von nem Jahr auch eher uninteressant.

Aber jm2c :-) Ich bin ein erklärter Gegner von erzwungenen Kennwortänderungen. Wie das BSI 😂

  • Thanks 3
Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...