Jump to content

Best-Practice / Kennwortrichtlinie


Empfohlene Beiträge

Hallo,

 

was ist aktuell Best-Practice für die Kennwortrichtlinie von Domänen-Benutzern? Aktuell sind wir bei 10 Zeichen und es dürfen die letzten drei wiederkehrenden Passwörter nicht verwendet werden. Wir würden diese gerne auf mindestens 12 Zeichen anheben. Wie handhabt Ihr dies in euren Umgebungen? 

 

Wenn möglich würde ich gerne vers. Richtlinie an vers. Benutzer verteilen, da es zum Teil "kritischerer" Benutzer gibt, die ggf. stärkere Kennwörter verwenden sollen.

Link zu diesem Kommentar
vor 11 Minuten schrieb NorbertFe:

Den Default auf die schwächste Richtlinie (also bspw. 12 Zeichen x History usw.) wie bisher konfigurieren. Für alle die davon abweichende (schärfere) Richtlinien benötigen gibt es PSOs.

 

Hi Norbert, danke für den ersten Einwand.

Was hast du denn so bei deiner Umgebung an Konfiguration gesetzt?

Link zu diesem Kommentar
vor 1 Minute schrieb NorbertFe:

Wir sind aktuell bei 14 Zeichen Länge und 10 History sowie 120 Tage maximales Kennwortalter und aktivierte Komplexität. Wir überlegen gerade, ob wir von den 120 Tagen hochgehen auf 365 und dafür 16 Zeichen erzwingen.

 

Also habt ihr NTLM schon abgeschaltet, so dass Pass-the-Hash nicht mehr ohne weiteres funktioniert? :lol2:

Link zu diesem Kommentar
Gerade eben schrieb NorbertFe:

Natürlich nicht. ;) Und ich bezweifle auch, dass es schon praxisrelevante Anzahlen von Umgebungen ohne NTLM gibt. ;)

Für diejenigen, die dort arbeiten, ist 1x doch durchaus eine praxisrelevante Zahl :-) 

Aber klar, natürlich gibt es nur sehr wenige. Daher finde ich die Diskussion um jahrelang nicht gerollte Passwörter immer so spannend...

 

Link zu diesem Kommentar
vor 4 Stunden schrieb NorbertFe:

dass es schon praxisrelevante Anzahlen von Umgebungen ohne NTLM gibt

 

Hier - bis auf die von Microsoft erzwungenen Ausnahmen für SQL- und HyperV-Cluster, die noch nicht ohne können. Frei nach einer meiner bevorzugten Bands: "It's a long way to the top"...

Ich weiß inzwischen Dinge über Kerberos in Windows und in krb5.conf, die ich eigentlich nie wissen wollte 😂

Link zu diesem Kommentar

Moin, 

 

Die Frage ist ja auch, ob es vor dem Hintergrund, den Evgenij meint, einen Unterschied macht, ob man nach 120 oder nach 365 Tagen das Kennwort ändert. Soweit ich es verstehe, müsste man das dann schon in wesentlich geringeren Abständen tun, eher unterhalb von 24 Stunden. Also braucht man zusätzliche Sicherungen, denn das ist ja nicht praktikabel. Es zeigt eher, dass das ganze Kennwort-Ding M*st ist.

 

Eine Lösung habe ich nicht dafür, aber der NTLM-Einwand zielt auf eine andere Ebene als das hier diskutiere Thema. 

 

Gruß, Nils

bearbeitet von NilsK
Link zu diesem Kommentar

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...