Garant 3 Geschrieben 13. Mai Melden Teilen Geschrieben 13. Mai Hallo, was ist aktuell Best-Practice für die Kennwortrichtlinie von Domänen-Benutzern? Aktuell sind wir bei 10 Zeichen und es dürfen die letzten drei wiederkehrenden Passwörter nicht verwendet werden. Wir würden diese gerne auf mindestens 12 Zeichen anheben. Wie handhabt Ihr dies in euren Umgebungen? Wenn möglich würde ich gerne vers. Richtlinie an vers. Benutzer verteilen, da es zum Teil "kritischerer" Benutzer gibt, die ggf. stärkere Kennwörter verwenden sollen. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 13. Mai Melden Teilen Geschrieben 13. Mai Den Default auf die schwächste Richtlinie (also bspw. 12 Zeichen x History usw.) wie bisher konfigurieren. Für alle die davon abweichende (schärfere) Richtlinien benötigen gibt es PSOs. Zitieren Link zu diesem Kommentar
Garant 3 Geschrieben 13. Mai Autor Melden Teilen Geschrieben 13. Mai vor 11 Minuten schrieb NorbertFe: Den Default auf die schwächste Richtlinie (also bspw. 12 Zeichen x History usw.) wie bisher konfigurieren. Für alle die davon abweichende (schärfere) Richtlinien benötigen gibt es PSOs. Hi Norbert, danke für den ersten Einwand. Was hast du denn so bei deiner Umgebung an Konfiguration gesetzt? Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 13. Mai Melden Teilen Geschrieben 13. Mai Wir sind aktuell bei 14 Zeichen Länge und 10 History sowie 120 Tage maximales Kennwortalter und aktivierte Komplexität. Wir überlegen gerade, ob wir von den 120 Tagen hochgehen auf 365 und dafür 16 Zeichen erzwingen. Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben 13. Mai Melden Teilen Geschrieben 13. Mai vor 1 Minute schrieb NorbertFe: Wir sind aktuell bei 14 Zeichen Länge und 10 History sowie 120 Tage maximales Kennwortalter und aktivierte Komplexität. Wir überlegen gerade, ob wir von den 120 Tagen hochgehen auf 365 und dafür 16 Zeichen erzwingen. Also habt ihr NTLM schon abgeschaltet, so dass Pass-the-Hash nicht mehr ohne weiteres funktioniert? Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 13. Mai Melden Teilen Geschrieben 13. Mai Natürlich nicht. ;) Und ich bezweifle auch, dass es schon praxisrelevante Anzahlen von Umgebungen ohne NTLM gibt. ;) Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben 13. Mai Melden Teilen Geschrieben 13. Mai Gerade eben schrieb NorbertFe: Natürlich nicht. ;) Und ich bezweifle auch, dass es schon praxisrelevante Anzahlen von Umgebungen ohne NTLM gibt. ;) Für diejenigen, die dort arbeiten, ist 1x doch durchaus eine praxisrelevante Zahl Aber klar, natürlich gibt es nur sehr wenige. Daher finde ich die Diskussion um jahrelang nicht gerollte Passwörter immer so spannend... Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 13. Mai Melden Teilen Geschrieben 13. Mai Tjo, ich weiß schon was du meinst, aber leider sind die Securitygötter immer die, auf die man am wenigsten hören möchte. Ich persönlich hab auch kein Problem damit, die 120 Tage weiterhin beizubehalten und nur die Länge zu erhöhen :) Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 13. Mai Melden Teilen Geschrieben 13. Mai vor 4 Stunden schrieb NorbertFe: dass es schon praxisrelevante Anzahlen von Umgebungen ohne NTLM gibt Hier - bis auf die von Microsoft erzwungenen Ausnahmen für SQL- und HyperV-Cluster, die noch nicht ohne können. Frei nach einer meiner bevorzugten Bands: "It's a long way to the top"... Ich weiß inzwischen Dinge über Kerberos in Windows und in krb5.conf, die ich eigentlich nie wissen wollte 😂 Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 13. Mai Melden Teilen Geschrieben 13. Mai Ok es gibt eine Umgebung 😉 Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 14. Mai Melden Teilen Geschrieben 14. Mai (bearbeitet) Moin, Die Frage ist ja auch, ob es vor dem Hintergrund, den Evgenij meint, einen Unterschied macht, ob man nach 120 oder nach 365 Tagen das Kennwort ändert. Soweit ich es verstehe, müsste man das dann schon in wesentlich geringeren Abständen tun, eher unterhalb von 24 Stunden. Also braucht man zusätzliche Sicherungen, denn das ist ja nicht praktikabel. Es zeigt eher, dass das ganze Kennwort-Ding M*st ist. Eine Lösung habe ich nicht dafür, aber der NTLM-Einwand zielt auf eine andere Ebene als das hier diskutiere Thema. Gruß, Nils bearbeitet 14. Mai von NilsK Zitieren Link zu diesem Kommentar
MurdocX 953 Geschrieben 14. Mai Melden Teilen Geschrieben 14. Mai 14 Zeichen länge, Komplexibilität ✅, 24 Passwörter in der Historie und eine Dauer von 365 Tagen ist im guten Rahmen. Das funktioniert gut. Unabhängig des anderen Themas ;) Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 14. Mai Melden Teilen Geschrieben 14. Mai Komplexität halte ich für sinnfrei, lieber länger. Und bei 365 Tagen Gültigkeit kann man auch gleich "nicht ablaufend" verwenden - die Historie ist bei nem Änderungsintervall von nem Jahr auch eher uninteressant. Aber jm2c Ich bin ein erklärter Gegner von erzwungenen Kennwortänderungen. Wie das BSI 😂 3 Zitieren Link zu diesem Kommentar
Nobbyaushb 1.475 Geschrieben 14. Mai Melden Teilen Geschrieben 14. Mai vor 6 Minuten schrieb daabm: Aber jm2c Ich bin ein erklärter Gegner von erzwungenen Kennwortänderungen. Wie das BSI 😂 Danke,ich auch 👍 Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben 15. Mai Melden Teilen Geschrieben 15. Mai Nur hat @daabm die technologische Basis für diese Ansicht Das ist der Unterschied sowohl zum BSI als auch zu 100% der Kunden von @Nobbyaushb. 2 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.