Kennwortrichtlinien auf Server 2003 - Testmöglichkeiten?

[kaineanung 14]

Hallo Leute,

 

wir haben hier bisher keine Kennwortrichtlinien benutzt und wollen dies nun ändern.

Ich habe den Auftrag bekommen dies vorab zu 'klären' und dann baldmöglichst umzusetzen.

 

Wir benutzen einen Server 2003 bei welchem, nachdem ich kurz gegoogel hatte, es nur eine Kennworttrichtlinie geben kann und ich somit nicht mehrere anlegen kann.

Mein Problem dabei sind die Vorgaben die ich dann so ja nicht umsetzen werden kann (wenn ich das richtig verstehe):

 

Passwörter sollen so aufgebaut sein:

 

bei min. 20 Zeichen -> beliebige Zeichen

oder

bei min. 15 Zeichen -> muss mindestens ein Groß- und ein Kleinbuchstabe vorkommen

oder

bei min.10 Zeichen -> muss mindestens ein Groß- und ein Kleinbuchstabe eine Zahl vorkommen

oder

bei min. 8 Zeichen -> muss Groß-, Kleinbuchstabe, Zahl und Sonderzeichen vorkommen

 

So, das kann ich dann auf einem Server 2003 so nicht umsetzen. Habe ich das richtig verstanden?

 

Das nächste Problem:

Wie ist die Vorgehensweise? Ich würde es gerne testen bevor ich es aktiviere. Da die Passwortrichtlinie in der 'Default-Domain-Policy' stehen kann ich das ja nicht auf einen (Test-) User beschränken.

 

Und nochmals um sicherzugehen:

Ich bearbeite die Richtlinie auf dem DC-Server unter "Systemsteuerung->Verwaltung->Sicherheitsrichtlinie für Domänen" und dort unter "Sicherheitseinstellungen->Kontorichtlinien->Kennwortrichtlinien", richtig? Das ist ja die 'Default Domain Policy' (Standard-domänensicherheitseinstellungen)?

 

Schoneinmal vorab ein Dankeschön für eure Mühe.

[NorbertFe 2.034]

Das kannst du auch imt keiner anderen Windows-Version umsetzen. Und wenn das nicht geht, was willst du dann testen? ;) Also bleibt dir bei diesen Anforderungen wenn überhaupt nur 3rd Party Software.

 

Bye

Norbert

[testperson 1.676]

Hi,

 

vielleicht sollte man im gleichen Zug mal drüber nachdenken, den Server 2003 durch etwas modernes und supportetes zu ersetzen ;)

 

Gruß

Jan

[kaineanung 14]

@NorbertFe

 

Wenn das gar nicht geht dann wird dieser Teil eben ausgelassen.

Sprich: wir beschränken uns auf das min. 8-Stellige Kennwort mit erzwungener Groß- und Kleinschreibung, eine Zahl muss vorkommen und ein Sonderzeichen.

Dennoch würde ich es gerne vorher testen und da suche ich noch eine Vorgehensweise. Ich würde auch gerne wissen bzw. es nur noch einmal bestätigt wissen das ich auch an der richtigen Stelle die Kennwortrichtlinien setze. Die von mir oben genannte Stelle ist ja die Richtige, richtig?

 

@testperson

Ich bin nicht der Chef und nicht der Inhaber dieser Firma. Ich habe einen Server 2008 schon vor mindestens 5 Jahren auf die Investitionen gesetzt und das dann auch wieder jedes Jahr so wiederholt.

Aber in einem schwäbischen Unternehmen ist das nunmal so: wenn es funktioniert dann 'rüttelt' man nicht mehr daran ;) Da investiert man Geld lieber in Produktionsmaschinen oder die Verbesserung der Produkte.

Wenn uns die IT um die Ohren fliegt dann ist die EDV eben schuld... :(

[testperson 1.676]

Hi,

 

in diesem Fall solltest du evtl. auf die Komplexität verzichten, dafür aber mindestens 20 oder mehr Zeichen verlangen. Ganz praktisch zu dem Thema: https://www.faq-o-matic.net/2011/08/11/sichere-kennwrter/

 

Was kostet ein neuer Server und was kostet es deinen Chef wenn der Server mal einen Tag oder länger offline ist? Bekommt Ihr noch Ersatzteile für den Server? Support vom Hersteller bekommt Ihr ja schon länger nicht mehr ;)

 

Gruß

Jan

[NorbertFe 2.034]

Na dann viel ERfolg.

 

Bye

Norbert

[MurdocX 949]

Ich bin nicht der Chef und nicht der Inhaber dieser Firma. Ich habe einen Server 2008 schon vor mindestens 5 Jahren auf die Investitionen gesetzt und das dann auch wieder jedes Jahr so wiederholt.

Aber in einem schwäbischen Unternehmen ist das nunmal so: wenn es funktioniert dann 'rüttelt' man nicht mehr daran ;) Da investiert man Geld lieber in Produktionsmaschinen oder die Verbesserung der Produkte.

Wenn uns die IT um die Ohren fliegt dann ist die EDV eben schuld... :(

 

Naja, ich hab auch in "schwäbischen" Unternehmen gearbeitet.. Ich wohne sogar da.. ABER

1. Es geht um das Thema Sicherheit
2. Es geht um die Stabilität der Umgebung
3. UND es geht um deinen ars***  ;)

Bei deinem Chef, solltest du mit Nachdruck die Argumente vortragen. Seien wir mal Ehrlich.. 500€ für ein Betriebssystem auszugeben ist im Vergleich zu Produktionsmaschinen doch Pinatz..  ;)

[lefg 276]

Besonders diese ODER-Geschichte ist nach meiner Kenntnis nicht machbar.

[NorbertFe 2.034]

Es ist nichts davon mit Windows Boardmitteln steuerbar ausser Mindestlänge (wobei die auf 16 begrenzt ist) und die Komplexität an oder aus. ;)

 

Bye

Norbert

[testperson 1.676]

Es ist nichts davon mit Windows Boardmitteln steuerbar ausser Mindestlänge (wobei die auf 16 begrenzt ist) und die Komplexität an oder aus. ;)

 

Bye

Norbert

Mensch, die Grenze ist mir noch nie aufgefallen. Habe grade mal nachgesehen und es sind sogar nur 14 Zeichen ;)

[kaineanung 14]

Ok, und kann man das irgendwie testen bevor man es dann für die ganze Firma aktiviert?

 

 

@Murdox

 

Nein, es geht um den Ars.. meines Teamleiters der genauso 'sparsam' denkt.

Wenn es um die Ohren fliegt dann kann ich ja mit dem bösen Finger zeigen und sagen: ich habe es doch gesagt... ;)

[lefg 276]

Moin,

 

ob es lohnend, dafür eine Testumgebung zu bauen?

 

Nach meiner Erinnerung ist ein Test am Live object=Einsatz.

 

Falls es in der Firma einen Feierabend und Wochenende gibt, bis auf einen Client alle anderen vom Server getrennt, dann wäre solch ein "Test" ohne erweiterte Auswirkung möglich.

bearbeitet 16. Oktober 2015 von lefg

[NorbertFe 2.034]

Was will man denn da testen? Es gibt in 2003 Domains genau eine Kennwortrichtlinie. Entweder ist sie an oder nicht. ;) Und die Kriterien muß man halt vorher raussuchen. Das wäre jetzt für mich definitiv nix, was man testen kann/will/muß.

 

Bye

Norbert

[blub 115]

nur rein interessenhalber:

Woher habt ihr dieses Ruleset für die Passwörter?

 

Ihr solltet euch an Standards halten, wie etwa
https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m04/m04048.html

https://www.bsi-fuer-buerger.de/BSIFB/DE/MeinPC/Passwoerter/passwoerter_node.html

 

Heutzutage ist eine PW-MindestLänge von 12 absolutes Minimum, eher 15 oder 16 Zeichen.

 

blub

[kaineanung 14]

@blub

 

Unser Geschäftsleiter, der halbwegs gut IT-technisch bewandert ist, kam mit diesem Ruleset und hat es so vorgegeben bzw. nachgefragt ob dies so möglich sei?

Bisher hatten wir mindestlänge von 5 Zeichen und zwar dabei egal welche Zeichen (also z.B. auch nur 5 Kleinbuchstaben).

Jetzt wurde der eMailaccount vom geschäftsführenden Gesellschafter gehackt und erst jetzt rennen alle wie im aufgescheuchten Hühnerstall herum und wollen alles verbessern...

 

Nun ja, besser spät als nie. Aber wir können unseren Kollegen und Kolleginen keine 16 Zeichen zumuten welche die sich merken müssen, zumal es ja alle 90 Tage gewechselt werden muss (stelle ich in den Kennwortrichtlinien dann so ein) und eine gewisse komplexität haben muss (Aa1! und das mit einer mindeslänge von sagen wir einmal 8 Zeichen). Das gleiche Spiel dann auch mit all unseren anderen Systemen wie ERP, eMail, usw..

 

@NorbertFe

Ok, dann ohne Testen die Richtlinien eingeben und scharf stellen.

Man kann ja, beim ersten Anzeichen einer Fehlfunktion es zentral und domänenweit deaktivieren in genau dieser einen Kennwortrichtlinie...

 

Ist die von mir o.g. Stelle, an welcher die Kennwortrichtlinie geändert werden muss, denn auch richtig? Blöde Frage wenn es eh nur eine Richtlinie auf dem Server 2003 gibt, aber dennoch (könnte ja sein das damit was anderes gemeint ist?).