Active Directory - Passwortvorgaben

16 Dec 2019
248
86
#1
Moin,

bin derzeit dabei bei uns im Unternehmen die Password Policy festzulegen.
Da die AD Einstellmöglichkeiten ziemlich beschissen sind (bis auf Azure AD), bin ich auf der Suche nach einer Möglichkeit Custom Banned Lists + eigene Komplexitätsanforderungen einzurichten.

Das beste was ich gefunden habe ist eine DLL über die Domäne zu laden.
https://docs.microsoft.com/en-us/wi...ing-a-password-filter-dll?redirectedfrom=MSDN
https://github.com/jephthai/OpenPasswordFilter (ist Alpha und seit 4 Jahren nicht mehr angefasst worden)

Da das aber ein bisschen umständlicher ist, wollt ich in Erfahrung bringen, ob vlt. jemand eine bessere Methode weiß.

Beste Grüße
Raylands
 
5 Jul 2017
98
45
#4
Ja, aber wie gesagt, die Einstellungsmöglichkeiten sind ein Joke für den Businessbereich.
keine ahnung was da dein problem ist, wenn du einfach ein 20 stelliges passwort vorgibst, in dem zahlen und buchstaben drinnen sind, dann crackt das kein pc der welt, auch nicht in 100 jahren.

vielleicht noch als zusatz, aber kein hacker bruteforced passwörter, wenn, dann werden eure user sowieso gephised, und da hilft dir dann nix außer 2fa.
 
16 Dec 2019
248
86
#6
keine ahnung was da dein problem ist, wenn du einfach ein 20 stelliges passwort vorgibst, in dem zahlen und buchstaben drinnen sind, dann crackt das kein pc der welt, auch nicht in 100 jahren.

vielleicht noch als zusatz, aber kein hacker bruteforced passwörter, wenn, dann werden eure user sowieso gephised, und da hilft dir dann nix außer 2fa.
Mir geht es nicht um reines Brute-Force sondern eher um bestimmt Wörter zu verbieten. Wenn Passwort5 das meist verwendete Passwort im Unternehmen ist, brauchst wirklich keinen guten Rechner...
Bezüglich 20 Zeichen, da springt dir jeder ins Gesicht. Deswegen lieber "kürzer" aber mit zwanghaften Sonderzeichen.

Du kannst über die GPOs schon sagen wie "Komplex" das Password sein soll, also ob Sondernzeichen, Groß und Klein + die Länge.
Das zeigst mir mal. Das einzigste was ich gefunden habe, ist einzustellen ob ein Passwort komplex sein soll.
Code:
Das Kennwort muss Zeichen aus drei der folgenden Kategorien enthalten:
Großbuchstaben (A bis Z)
Kleinbuchstaben (a bis z)
Zahlen zur Basis 10 (0 bis 9)
Nicht alphabetische Zeichen (zum Beispiel !, $, #, %)
Also Sonderzeichen sind keine Pflicht.
 
17 Nov 2013
214
34
#7
Dann frag mal im fisi Forum wenn die Vorschläge hier nicht ankommen :sleeping: nativ gibt's sonst nichts von AD/GPO. MFA war schon mal n guter Tipp da geht's aber nur mit Azure und nem MFA Server
 
23 Dec 2014
5,251
3,843
#8
Dann frag mal im fisi Forum wenn die Vorschläge hier nicht ankommen :sleeping: nativ gibt's sonst nichts von AD/GPO. MFA war schon mal n guter Tipp da geht's aber nur mit Azure und nem MFA Server
Gab ist doch glaube FISI pro

https://docs.microsoft.com/en-us/windows/win32/secmgmt/strong-password-enforcement-and-passfilt-dll

Gibt mir keinen bekannten Weg das mit "Boardmitteln" zu machen. Du kannst an den 3 von 5 nichts ändern leider. Müsstest das eher über 3rd Party Tools lösen
 
Last edited:
Likes: Gab