5
Kennwortrichtlinie wird nicht komplett umgesetzt
Hallo Zusammen,
ich habe ein Problem mit der Kennwortrichtlinie in unserem (Win) Netzwerk und komme nicht recht weiter.
DC: Windows Server 2016
PC: Windows 10
Wir haben folgende Einstellungen in der Default Domain Policy eingestellt unter:
Computer - Richtlinie - Windows-Einstellungen - Kennwortrichtlinien
Kennwort muss Komplexitätsvoraussetzungen entsprechen - Aktiviert
Kennwortchronik erzwingen - 3 gespeicherten Kennwörter
Maximales Alter - 365 Tage
Min Kennwortlänge - 9 Zeichen
Min Alter - 0 Tage
...
Wenn ich nun am PC das Kennwort ändere, bekomme ich bei allen Punkten eine Meldung, dass dies nicht zulässig ist, wenn die Länge des KW zu kurz, der Benutzername (oder Teile davon) enthalten sind, oder eines der letzten verwendet wurde.
Ich kann aber auch Kennwörter vergeben, die keine Sonderzeichen enthalten. Hier bekomme ich keinerlei Meldung.
Dies ist der Punkt, an dem ich gerne Eure Hilfe hätte. habt Ihr hier evtl. einen Tipp für mich, wo ich dies noch prüfen kann?
Vielen Dank schon mal im Voraus.
Scherdel
ich habe ein Problem mit der Kennwortrichtlinie in unserem (Win) Netzwerk und komme nicht recht weiter.
DC: Windows Server 2016
PC: Windows 10
Wir haben folgende Einstellungen in der Default Domain Policy eingestellt unter:
Computer - Richtlinie - Windows-Einstellungen - Kennwortrichtlinien
Kennwortchronik erzwingen - 3 gespeicherten Kennwörter
Maximales Alter - 365 Tage
Min Kennwortlänge - 9 Zeichen
Min Alter - 0 Tage
...
Wenn ich nun am PC das Kennwort ändere, bekomme ich bei allen Punkten eine Meldung, dass dies nicht zulässig ist, wenn die Länge des KW zu kurz, der Benutzername (oder Teile davon) enthalten sind, oder eines der letzten verwendet wurde.
Ich kann aber auch Kennwörter vergeben, die keine Sonderzeichen enthalten. Hier bekomme ich keinerlei Meldung.
Dies ist der Punkt, an dem ich gerne Eure Hilfe hätte. habt Ihr hier evtl. einen Tipp für mich, wo ich dies noch prüfen kann?
Vielen Dank schon mal im Voraus.
Scherdel
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 4468233787
Url: https://administrator.de/contentid/4468233787
Printed on: April 29, 2024 at 04:04 o'clock
5 Comments
Latest comment
Das Kennwort muss nur 3 der folgenden Kriterien enthalten (Auszug aus der Microsoft Seite).
Somit können Sonderzeichen nicht erzwungen werden mit den internen "Bordmitteln".
Hätte dies auch gerne. : )
Somit kann das Passwort auch: abcdefgHH4 lauten. Da 3 Kriterien erfüllt werden.
https://learn.microsoft.com/de-de/windows/security/threat-protection/sec ...
Das Kennwort enthält Zeichen aus drei der folgenden Kategorien:
1) Großbuchstaben in europäischen Sprachen (A bis Z, mit diakritischen Zeichen, griechischen und kyrillischen Buchstaben)
2) Kleinbuchstaben in europäischen Sprachen (a bis z, scharf-s, mit diakritischen Zeichen, griechischen und kyrillischen Buchstaben)
3) Basis 10 Ziffern (0 bis 9)
4) Nicht alphanumerische Zeichen (Sonderzeichen): (~!@#$%^&*_-+='|\(){}:;"' <>,.? /) Währungssymbole wie Euro oder Britisches Pfund werden für diese Richtlinieneinstellung nicht als Sonderzeichen gezählt.
5) Jedes Unicode-Zeichen, das als alphabetisches Zeichen kategorisiert ist, aber nicht groß- oder kleingeschrieben ist. Diese Gruppe enthält Unicode-Zeichen aus asiatischen Sprachen.
Somit können Sonderzeichen nicht erzwungen werden mit den internen "Bordmitteln".
Hätte dies auch gerne. : )
Somit kann das Passwort auch: abcdefgHH4 lauten. Da 3 Kriterien erfüllt werden.
https://learn.microsoft.com/de-de/windows/security/threat-protection/sec ...
Das Kennwort enthält Zeichen aus drei der folgenden Kategorien:
1) Großbuchstaben in europäischen Sprachen (A bis Z, mit diakritischen Zeichen, griechischen und kyrillischen Buchstaben)
2) Kleinbuchstaben in europäischen Sprachen (a bis z, scharf-s, mit diakritischen Zeichen, griechischen und kyrillischen Buchstaben)
3) Basis 10 Ziffern (0 bis 9)
4) Nicht alphanumerische Zeichen (Sonderzeichen): (~!@#$%^&*_-+='|\(){}:;"' <>,.? /) Währungssymbole wie Euro oder Britisches Pfund werden für diese Richtlinieneinstellung nicht als Sonderzeichen gezählt.
5) Jedes Unicode-Zeichen, das als alphabetisches Zeichen kategorisiert ist, aber nicht groß- oder kleingeschrieben ist. Diese Gruppe enthält Unicode-Zeichen aus asiatischen Sprachen.
So ist es.
Am besten ganz weg von Kennwörtern, so schwer ist das gar nicht.
Am besten ganz weg von Kennwörtern, so schwer ist das gar nicht.
Guten Morgen Zusammen,
ja schade, dass es ein ODER und kein UND ist.
Vielen Dank für Eure Unterstützung.
ja schade, dass es ein ODER und kein UND ist.
Vielen Dank für Eure Unterstützung.
1schade, dass es ein ODER und kein UND ist.
Den Schluss muss man nicht fassen. Wäre es ein UND, wäre der Raum möglicher Kennwörter kleiner, ein Bruteforcing würde schneller zum Erfolg führen! Vermutlich ist es ganz bewusst ein ODER.Siehe https://openwall.info/wiki/john/policy
Und der Effekt ist groß bei 9 Zeichen Länge: 47% weniger mögliche Kennwörter gegenüber "ohne Komplexitätsanforderungen".
Überlege ebenso: wenn Du 4 erzwingen könntest, wäre es dir dann Recht, dass jemand ein Kennwort so setzt:
Hallo!1
Die einzigen Überlegenswerten Verbesserungen gegenüber der eingebauten Richtlinie sind Ähnlichkeitsprüfungen und Wörterbuchprüfungen. Erzwingen von 4 v. 4 ist eher fragwürdig.
1Überlege ebenso: wenn Du 4 erzwingen könntest, wäre es dir dann Recht, dass jemand ein Kennwort so setzt:
Hallo!1
ja, da hast Du natürlich recht. ¯\_(ツ)_/¯
