SandyB 9 Geschrieben 4. Juni 2019 Melden Teilen Geschrieben 4. Juni 2019 Hi, Ich bin recht neu in ein Projekt reingerutscht, um die Passwortsicherheit für Userkonten in unserem Windows-AD zu erhöhen. Dabei schauen wir uns auch Passwortfilter an, um trivial Passwörter wie z.B. Firmenname123, Sommer.2019, etc. zu verhindern. Habt ihr solche Filter im Einsatz bzw. falls ja, von welchem Hersteller? Wie gut ist die Microsoft eigene Lösung? lg sandy Zitieren Link zu diesem Kommentar
MurdocX 950 Geschrieben 4. Juni 2019 Melden Teilen Geschrieben 4. Juni 2019 Welchen Passwortfilter meinst du denn? Zitieren Link zu diesem Kommentar
SandyB 9 Geschrieben 4. Juni 2019 Autor Melden Teilen Geschrieben 4. Juni 2019 (bearbeitet) Von Microsoft? den hier https://docs.microsoft.com/en-us/azure/active-directory/authentication/concept-password-ban-bad-on-premises In einer Testumgebung funktioniert er auch. Aber offenbar sind hauptsächlich englische Begriffe auf der mitgelieferten Blacklist, eine deutsche Liste wäre bei uns wichtiger. bearbeitet 4. Juni 2019 von SandyB Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben 4. Juni 2019 Melden Teilen Geschrieben 4. Juni 2019 Und warum klickst Du nicht einfach mal 3 Links weiter? https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-password-ban-bad-configure Mußt Du halt selber basteln - Du kannst ja die Liste von haveibenpwnd.org einbinden https://haveibeenpwned.com/Passwords Ach nee geht nicht, können nur 1000 Einträge sein... Zitieren Link zu diesem Kommentar
testperson 1.677 Geschrieben 5. Juni 2019 Melden Teilen Geschrieben 5. Juni 2019 Hi, im DSInternals PowerShell Modul (https://www.powershellgallery.com/packages/DSInternals/3.5) gibt es auch entsprechende Funktionen (http://www.stephenthompson.tech/audit-ad-passwords-with-powershell/). Allerdings musst du dort auch selber eine entsprechende "Bad Password List" erstellen. Generell sollte man sich aber vorher wohl mal mit Betriebsrat o.ä. zusammensetzen, ob man das "mal eben so" darf. Gruß Jan Zitieren Link zu diesem Kommentar
Dukel 454 Geschrieben 5. Juni 2019 Melden Teilen Geschrieben 5. Juni 2019 Geht es um ein Lokales AD oder um Azure AD? Passwortfilter geht nur für letzteres. Zitieren Link zu diesem Kommentar
SandyB 9 Geschrieben 5. Juni 2019 Autor Melden Teilen Geschrieben 5. Juni 2019 (bearbeitet) Danke Euch für die Antworten - Selber basteln kommt nicht in Frage - Was kümmern Passwörter den Betriebsrat? (ich bin übrigens selbst Betriebsratsmitglied) - Das AD liegt auf unseren eigenen Servern (On Premise). Die Azure Filter kann man importieren bearbeitet 5. Juni 2019 von SandyB Zitieren Link zu diesem Kommentar
testperson 1.677 Geschrieben 5. Juni 2019 Melden Teilen Geschrieben 5. Juni 2019 vor 1 Stunde schrieb SandyB: - Was kümmern Passwörter den Betriebsrat? (ich bin übrigens selbst Betriebsratsmitglied) Z.B. das du Passwörter der User "ausliest", der User nichts davon mitbekommt und du (oder jemand anders) sich als User ohne sein Wissen / Einverständnis anmelden kann. Ich finde es jedenfalls grenzwertig so etwas ohne Info an den User zu unternehmen. Zitieren Link zu diesem Kommentar
SandyB 9 Geschrieben 5. Juni 2019 Autor Melden Teilen Geschrieben 5. Juni 2019 (bearbeitet) Um Himmels willen! Wie kommst du darauf, dass wir Passwörter von Usern auslesen wollen? Wir wollen die PW-Sicherheit erhöhen, nicht runtersetzen. Microsoft bietet eine typisch MS-proprietäre Lösung an. Daher interessieren mich Erfahrungen mit anderen Herstellern, die z.B. Schnittstellen zu anderen Welten als das Microsoft-Universum besitzen oder Country-spezifische Backlists liefern können. bearbeitet 5. Juni 2019 von SandyB Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 5. Juni 2019 Melden Teilen Geschrieben 5. Juni 2019 Moin, die Kennwörter werden ja nicht ausgelesen. Nur das neu gewählte Kennwort wandert einmal durch den Filter, bevor das AD es als neues Kennwort akzeptiert. Danach ist es nicht mehr auslesbar. Durch einen anderen als den eingebauten Filter ändert sich an dem Prinzip nichts - oder anders: Der Vorgang geschieht jetzt auch schon. Gruß, Nils Zitieren Link zu diesem Kommentar
testperson 1.677 Geschrieben 6. Juni 2019 Melden Teilen Geschrieben 6. Juni 2019 vor 11 Stunden schrieb SandyB: Um Himmels willen! Wie kommst du darauf, dass wir Passwörter von Usern auslesen wollen? Wir wollen die PW-Sicherheit erhöhen, nicht runtersetzen. Microsoft bietet eine typisch MS-proprietäre Lösung an. Daher interessieren mich Erfahrungen mit anderen Herstellern, die z.B. Schnittstellen zu anderen Welten als das Microsoft-Universum besitzen oder Country-spezifische Backlists liefern können. Ich bezog mich auf die Möglichkeit mittels des verlinkten DSInternals PS Moduls aus meinem Beitrag. Da werden halt die Hashes der User Passwörter ausgelesen und mit den gehashten Einträgen aus der Passwortliste abgeglichen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.