xrated2 15 Geschrieben 12. Juni 2019 Melden Teilen Geschrieben 12. Juni 2019 Hallo was würdet ihr als minimale Passwortlänge bei Adminaccounts setzen? Sind z.B. 8 Zeichen wirklich so schnell zu knacken? Habe was über Rainbowtables gelesen. Zitieren Link zu diesem Kommentar
Ganzjahresgriller 1 Geschrieben 12. Juni 2019 Melden Teilen Geschrieben 12. Juni 2019 Teste Deine Passwörter: https://wiesicheristmeinpasswort.de Mehr Sicherheit erreichst durch 2FA Zitieren Link zu diesem Kommentar
xrated2 15 Geschrieben 12. Juni 2019 Autor Melden Teilen Geschrieben 12. Juni 2019 Man könnte die Konten nach x Anmeldeversuchen ja sperren wenn es über BruteForce passiert. Die Frage ist eben ob kurze Passwörter in einem Zug schneller geknackt werden können z.B. wenn sie im Arbeitsspeicher oder über NTLM Hash abgegriffen werden. Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 12. Juni 2019 Melden Teilen Geschrieben 12. Juni 2019 Moin, bei Kennwörtern ist faktisch nur die Länge entscheidend. Wie viele Zeichen genau, ist Glaubenssache, aber 8 Zeichen gelten schon seit Jahren als zu kurz für ernst gemeinte Angriffe, insbesondere bei hochprivilegierten Konten. Meine Ansicht dazu ist: alles unter 20 Zeichen ist zu kurz für einen Account, der Schlimmes anrichten kann. Hier helfen Kennwortsätze. Das mit dem Sperren würde ich lassen - das ist eine Krücke, die wenig hilft, aber viel schadet. [DOS-Angriff für jedermann: AD-Konten sperren | faq-o-matic.net]https://www.faq-o-matic.net/2013/08/07/dos-angriff-fr-jedermann-ad-konten-sperren/ Und gleich noch ein Tool für lange Kennwörter, die man gut tippen kann (es gibt noch ca. 1000 andere solche Tools): [Bessere Kennwörter erzeugen und merken | faq-o-matic.net]https://www.faq-o-matic.net/2017/07/26/bessere-kennwrter-erzeugen-und-merken/ Gruß, Nils Zitieren Link zu diesem Kommentar
xrated2 15 Geschrieben 12. Juni 2019 Autor Melden Teilen Geschrieben 12. Juni 2019 Und wenn man dies nur z.B. bei ServiceAccounts macht? Man muss die Policy ja nicht auf alle Accounts ausrollen. Ist nur die Frage ob es überhaupt Attacken gibt wo das Passwort am DC via Bruteforce probiert wird. Kenne nur das abgreifen vom NTLM Hash wo man dann Offline Tools wie Ophcrack drüber laufen lässt d.h. was dann ausserhalb vom Netzwerk stattfinden kann. Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 12. Juni 2019 Melden Teilen Geschrieben 12. Juni 2019 Hi, vor 22 Minuten schrieb xrated2: Und wenn man dies nur z.B. bei ServiceAccounts macht? da wären Managed Service Accounts die bessere Wahl. Sofern die Applikation da keine Probleme mit hat. Gruß Jan Zitieren Link zu diesem Kommentar
xrated2 15 Geschrieben 12. Juni 2019 Autor Melden Teilen Geschrieben 12. Juni 2019 (bearbeitet) Werden die nur für Dienste oder Tasks verwendet oder kann man damit auch Applikationen wie PRTG benutzen die sich z.B. über Remote WMI anmelden? bearbeitet 12. Juni 2019 von xrated2 Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 12. Juni 2019 Melden Teilen Geschrieben 12. Juni 2019 LOL - die Diskussion hatte ich gerade im Büro. Ein 8 stelliges Passwort mit Groß/Klein/Zahl/Sonderzeichen knackt man per Brute Force in 5 Sekunden... Das hilft für eine erste Einschätzung: https://www.grc.com/haystack.htm (Wobei ich vermute, daß die gängigen Rainbow Tables sowieso alle Passwörter bis 12 Stellen enthalten, wenn der Hash verloren geht, ist eh Schicht im Schacht.) Admin-Kennwörter: Mindestens 20 Stellen, dafür nur einmal im Jahr ändern (oder noch besser 24 Stellen und gar nicht ändern...). Ändern bringt eh nichts: https://blogs.technet.microsoft.com/secguide/2019/04/24/security-baseline-draft-for-windows-10-v1903-and-windows-server-v1903/ Welche Anwendung mit (g)MSAs klar kommt, mußt individuell ermitteln. Die meisten können es leider noch nicht. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 12. Juni 2019 Melden Teilen Geschrieben 12. Juni 2019 vor 1 Minute schrieb daabm: Welche Anwendung mit (g)MSAs klar kommt, mußt individuell ermitteln. Die meisten können es leider noch nicht. Außer adfs hab ich in real life auch noch nie was gesehen. Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 12. Juni 2019 Melden Teilen Geschrieben 12. Juni 2019 SQL kann es. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 12. Juni 2019 Melden Teilen Geschrieben 12. Juni 2019 hab ich gelesen, aber noch nie irgendwo umgesetzt gesehen. Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 12. Juni 2019 Melden Teilen Geschrieben 12. Juni 2019 Schau mal bei uns vorbei, da siehst Du das Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 12. Juni 2019 Melden Teilen Geschrieben 12. Juni 2019 Nee das seh ich immer nur den Schalterangestellten. ;) Zitieren Link zu diesem Kommentar
xrated2 15 Geschrieben 13. Juni 2019 Autor Melden Teilen Geschrieben 13. Juni 2019 Wie handhabt ihr denn eure eigenen Benutzerkonten? Also normaler User + extra Admin Account ist klar. Aber was ist wenn man Clients + Server + Domain verwaltet. Wieviele Konten verwendet ihr da? Sich als Domain Admin an einen PC anzumelden ist ja nicht erforderlich. Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 13. Juni 2019 Melden Teilen Geschrieben 13. Juni 2019 Wir haben für diverse Ebenen und dienste extra personalisierte Admin-accounts. Z.B. domain-admin, server-admin, ws-admin, ANWENDUNG-admin. Ich schätze ich habe so ca 10 Accounts im AD. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.