Jump to content

Kennwortrichtlinien auf Server 2003 - Testmöglichkeiten?

kaineanung

Von kaineanung
in Windows Forum — Security

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

peter999 Community Regular

peter999   24

Geschrieben
Geschrieben

Naja, so komplexe Kennwörter in alle Anwendungen. Aber da der Server noch auf 2003 läuft..ich vermute es gibt den "Sparmaßnahmen" nach zu urteilen auch ebenso alte User PCs.

Evtl. sollte dann dem GF auch klar gemacht werden das gerade dort ein nicht zun unterschätzendes Sicherheitsrisiko vorhanden ist. Dann nutzt man diesen aufgescheuchten Hühnerhaufen wenigstens noch.

 

Gruß

Peter

Link zu diesem Kommentar
kaineanung Experienced

kaineanung   14

Geschrieben
  • Autor
Geschrieben

Nur um nochmals sicher zu gehen die Frage vom Eingangpost:

 

 

Ich bearbeite die Richtlinie auf dem DC-Server unter "Systemsteuerung->Verwaltung->Sicherheitsrichtlinie für Domänen" und dort unter "Sicherheitseinstellungen->Kontorichtlinien->Kennwortrichtlinien", richtig? Das ist ja die 'Default Domain Policy' (Standard-domänensicherheitseinstellungen)?

 

Ich mache das ja so selten (bzw. einmal während der Ausbildungszeit vor Zig-Jahren in einer Testumgebung) und daher frage ich lieber sicherheitshalber bei den Profis nach.

Es gibt ja auch den Punkt 'Sicherheitsrichtlinien für Domaincontroller' statt 'Sicherheitsrichtlinien für Domänen'. Das ist sicherlich dann nur eine lokale Sicherheitsrichtlinie aber ich will lieber sichergehen.

Aber lokal würde auch die 'Lokalen Richtlinien' statt der 'Kontorichtlinien' bedeuten.

 

 

@NorbertFe

 

Ja, das sehe ich genauso. Wenn es nach mir gehen würde hätten wir schon seit mindestens 4 Jahren einen Server 2008 schon alleine weil man die Clients damit mit den GPOs viel besser steuern könnte

 

 

Link zu diesem Kommentar
Sunny61 Grand Master

Sunny61   806

Geschrieben
Geschrieben

@NorbertFe

 

Ja, das sehe ich genauso. Wenn es nach mir gehen würde hätten wir schon seit mindestens 4 Jahren einen Server 2008 schon alleine weil man die Clients damit mit den GPOs viel besser steuern könnte

Dazu brauchts keinen Server 2008. Central Store einrichten und den aktuell halten. Zusätzlich die GPMC auf einem aktuellen OS starten, kann natürlich auch eine VM sein.

Link zu diesem Kommentar
DavidS Community Regular

DavidS   11

Geschrieben
Geschrieben

Solltest Du zu einem späteren Zeitpunkt in den Genuß eines aktuellen Server Betriebssystems kommen findet sich hier eine Anleitung zur Einrichtung einer granularen Passwortrichtlinie:

 

http://www.florianstaehr.de/it-security/konfiguration-der-granularen-passwortrichtlinie-unter-windows-server-2008-r2/

 

Google suchbegriff granulare Passwortrichtlinie, damit bist Du in der Lage für mehrere Einsatzscenarien unterschiedliche Passwortrichtlinien zu erstellen, u.a. für die GF eine vereinfachte :-))

Link zu diesem Kommentar
kaineanung Experienced

kaineanung   14

Geschrieben
  • Autor
Geschrieben

Ist es das Group-Polcy Management?

Da muss ich ein 'neues Gruppenrichtlinienobjekt erstellen und verknüpfen', richtig?

Ist es da nicht einfacher wie o.g. vorzugehen?

Ich werde es mir aber mal anschauen. Nur mal angenommen ich würde mich für die erstere Variante entscheiden (wirklich nur mal angenommen, sozusagen als sicheres alternatives Vorgehen falls ich mit GPO-Management nicht klarkommen würde), dann wäre das der o.g. Pfad zu den Kennwortrichtlinien?

Link zu diesem Kommentar
kaineanung Experienced

kaineanung   14

Geschrieben
  • Autor
Geschrieben

@NorbertFe

 

Ich würde auch gerne 'professionell' mit GPOs, neuem Server, am besten auch mit einer Testumgebung wo ich mich austoben kann, arbeiten.

Ich bin sicher in kurzer Zeit würde ich viel verbessern können und es auch 'richtig' machen können. Aber was soll ich tun wenn ich eben da arbeite wo ich arbeite und die hier alles mit einem Handwink 'abtun' wenn ich was vorschlage?

Die meinen dann: alles nur Theorie und meine Tipps kommen nicht aus der Praxis und es wird alles nicht so heiß gegessen wie es gekocht wird...?!?!?

Die würden mir neue Turnschuhe bereitstellen damit ich meine Arbeit erledigen kann..... Das ist zwar als Spaß gemeint, aber irgendwie in die Richtung geht das schon....

Auch ein "Argument" welches ich mir ab und zu anhören muss:

Der professionelle Administrator (MSDE, MCSE usw.) würde erklären können warum etwas nicht geht, der 'Turnschuhadministrator' (also damit meint er uns hier) würde nicht erklären können warum etwas geht, aber es geht...

 

So, nun genug von meinem Leid, immerhin bekomme ich ja jeden Monat etwas (Schmerzens-)Geld für all das und ich muss nicht hungern.. )

 

Ich habe den Gruppenrichtlinien-Editor im GPO-Management geöffnet (Domain-Controllers->Default-Domain-Policy) und sehe das was ich sehen sollte (denke ich):

Computerkonfiguration->Windows-Einstellungen->Sicherheitseinstellungen->Kontorichtlinien->Kennwortrichtlinien.

 

Da habe ich dann die Mindespasswortlänge eingestellt, höchstes Kennwortalter (90 Tage) und werde die Kennwortchronik auf eventuell 5 Stellen (das würde ja dann bedeuten daß das erste Passwort erst nach 5 x 90 Tagen wieder verwendet werden darf).

 

So weit so richtig, richtig?

 

Wenn ich so weitermache muss ich mir einen neuen Nick asudenken: nureinkleinweniganung statt kaineanung oder so... ;)

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   2.034

Geschrieben
Geschrieben

@NorbertFe

 

Ich würde auch gerne 'professionell' mit GPOs, neuem Server, am besten auch mit einer Testumgebung wo ich mich austoben kann, arbeiten.

Ich bin sicher in kurzer Zeit würde ich viel verbessern können und es auch 'richtig' machen können. Aber was soll ich tun wenn ich eben da arbeite wo ich arbeite und die hier alles mit einem Handwink 'abtun' wenn ich was vorschlage?

Die meinen dann: alles nur Theorie und meine Tipps kommen nicht aus der Praxis und es wird alles nicht so heiß gegessen wie es gekocht wird...?!?!?

Die würden mir neue Turnschuhe bereitstellen damit ich meine Arbeit erledigen kann..... Das ist zwar als Spaß gemeint, aber irgendwie in die Richtung geht das schon....

Auch ein "Argument" welches ich mir ab und zu anhören muss:

Der professionelle Administrator (MSDE, MCSE usw.) würde erklären können warum etwas nicht geht, der 'Turnschuhadministrator' (also damit meint er uns hier) würde nicht erklären können warum etwas geht, aber es geht...

Kannst dich ja mit Willy zusammentun und dann klagt ihr euch gegenseitig euer Leid. ;)

 

Bye

Norbert

Link zu diesem Kommentar
daabm Grand Master

daabm   1.354

Geschrieben
Geschrieben

Die meinen dann: alles nur Theorie und meine Tipps kommen nicht aus der Praxis und es wird alles nicht so heiß gegessen wie es gekocht wird...?!?!?

Nee - in der IT hat das Essen die unangenehme Angewohnheit, daß es während des Herumstehens sogar noch heißer wird, wenn es falsch zubereitet wurde...

 

Also frag einfach weiter hier oder in den Technetforen und eigne Dir das für Dich erforderliche Wissen an. Besser heute also morgen, noch besser gestern :)

 

(Könnte ja jetzt ein Büchlein über GPOs mit tonnenweise Hintergrundinfos empfehlen, aber dann krieg ich möglicherweise wieder Haue von den Mods.)

Link zu diesem Kommentar
kaineanung Experienced

kaineanung   14

Geschrieben
  • Autor
Geschrieben

@daabm

 

Genau das sehe ich auch so. Wenn ich mir unsicher bin, und bevor ich was falsch mache, frage ich in den dazugehörigen Foren einmal nach. Dann probiere ich es aus und meistens behalte ich das Wissen ja dann auch. Beim nächsten mal kann es nur noch passieren das es zwischenzeitlich 3 neue Generationen an DCs gibt (aktuelles Beispiel bei uns: W2K3 ist was wir haben und was ist aktuell? 2012?)

 

@all

 

Ich habe es jetzt gut umgesetzt und Mindestpasswortlänge, Passwortchronik und Maximales Kennwortalter gesetzt.

Jetzt sollte ich 'nur' noch die Komplexität einschalten. Bevor ich es aber einschalten kann muss ich diese ja definieren.

Ich dachte mir: ich schalte mal ein und dann kommt schon der Hinweis irgendwo wo ich diese Richtlinie erstellen kann. Ich habe Pech gehabt -> steht nirgends und ich kann es nicht wirklich selber finden (natürlich habe ich es versucht zu finden).

Daher noch eine letzte Bitte zu diesem Thema: Wo definiere ich diese Komplexitätsregel? Im Group-Plicy-Management nicht da ich ja keine neue Regel erstellen will und nu für diverse OU zuweisen will sondern in der Defaul Domain Policy. Aber wo hoffe ich von euch zu erfahren.

 

Vielen Dank für die bisherige als auch zukünftige Hilfe! (so oft nerve ich euch ja nicht und somit hoffentlich noch im 'grünen Bereich'....)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...