Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Eingabepause bei fehlerhaftem Anmeldepasswort am Windowsclient

Frage Microsoft Windows Server

Mitglied: LokalAd.ministrator

LokalAd.ministrator (Level 1) - Jetzt verbinden

16.07.2014 um 14:43 Uhr, 1249 Aufrufe, 11 Kommentare

Hallo,

ich suche eine Möglichkeit die erneute Eingabe des Windows-Anmeldepassworts nach einer zuvor falschen Eingabe zeitlich zu verzögern.
Z.B. mit den Abständen 2 Sekunden bis zur zweiten Eingabe, 5 Sek. bis zur dritten, 10 Sek. bis zur vierten Anmeldung, um Passwortcracktools die "Arbeit" zu erschweren.

Meine Systeme sind Windows 2008R2-Server und Windows 7 Professional.

Hat das schon mal jemand in der AD umgesetzt?
Geht das mit Windows-Boardmitteln oder kann mir jemand eine Drittanbietersoftware empfehlen?

Danke und Gruss,
Peter
Mitglied: drobskind
16.07.2014 um 14:57 Uhr
Mein Windows 7 macht das in der Standardinstallation von Haus aus...
Oder bilde ich mir das ein? o.O

Gruß
Bitte warten ..
Mitglied: DerWoWusste
16.07.2014, aktualisiert um 15:14 Uhr
Hi.

Wie arbeiten "Cracktools" Deiner Ansicht nach? Diese melden sich doch nicht interaktiv an wie ein User...
Ein Cracktool arbeitet gegen einen Hash, den muss es erstmal kriegen. Verhindere doch einfach, dass dieser Hash gefunden werden kann, indem Du keinen anlegen lässt. Außerdem können nur Admins diesen auslesen.

Desweiteren sollte man BruteForcing nicht fürchten müssen, wenn man Kennwörter mit ausreichender Länge (9+) und Komplexität verwendet, die in keinen Wörterbüchern stehen.
Bitte warten ..
Mitglied: LokalAd.ministrator
16.07.2014 um 16:26 Uhr
es geht hierbei um eine Vorgabe der Geschäftsführung; man hat diese Vorgehensweise bei der Sophos-Verschlüsselung mit SafeGuard gesehen (sich daran erfreut) und wünscht nun eine ähnliche Anmeldeprozedur an den Workstations (um BruteForce zu erschweren)...
Bitte warten ..
Mitglied: DerWoWusste
16.07.2014, aktualisiert um 17:07 Uhr
Geh doch bitte auf mein Kommentar ein. Was Sophos da macht ist evtl. nur Marketing - sie wollen, dass es für den unbedarften User sicherer aussieht, obwohl sie selber wissen, dass defacto niemand auf diese Weise einen Brute-Force-Angriff führt und es somit nichts bringt.

Sollte bei Sophos jedoch ein PIN-Login erfolgen (4-stellig evtl. gar nur), dann ist es natürlich sinnvoll.
Aber stell' Dir bitte mal vor, jemand macht von Hand einen Brute-Force auf ein Windows-Anmeldekennwort von geschätzten 9 Zeichen, wobei man davon ausgeht, dass Komplexität erzwungen wird... das würde bei Eingabedauer von 3 Sekunden in der Stunde ja nur 1200 Kennwörter schaffen - und das gegen einen Kennwortraum von Trillionen Kennwörtern... ->wozu sollte man da denn bitte noch eine Bremse einbauen?
Bitte warten ..
Mitglied: drobskind
16.07.2014, aktualisiert um 17:42 Uhr
Also,
mal abgesehen davon dass ich einer Meinung bin mit DerWoWusste,
habe ich es gerade nochmal bei mir daheim getestet.

Windows 7 Professional ohne Domäne

Die ersten 4 Passworteingaben gingen direkt hintereinander.
Bei der 5ten hat Windows das Willkommen angezeigt und ca 15 Sekunden gewartet.
Anschließend: Passwort falsch.
Alle Versuche danach haben eine Wartezeit verursacht.
Erst das korrekte Kennwort hat den PC direkt entsperrt.

Versuchs einfach mal in deiner Umgebung.

Anschließend kannst du deinen Führungskräften ja verklickern, dass du es komfortabel parametriert hast, so muss man nicht sofort warten, falls man sich bei den ersten 2 Versuchen mal vertippt

Gruß
Bitte warten ..
Mitglied: LokalAd.ministrator
16.07.2014 um 17:46 Uhr
Das ist kein Marketing, bei falschem Passwort muss man immer länger auf die nächste Eingabe warten.
Die SafeGuard-Anmeldung ist genau das, was ich suche. Allerdings möchte ich mir die Kosten von 300 Verschlüsselungslizenzen und den ganzen Verschlüsselungsaufwand sparen und suche daher nach einer Lösung, die - wie oben beschrieben - funktioniert.

Dass niemand solche Brute-Force-Angriffe von Hand durchführt braucht nicht erwähnt zu werden - die Hochrechnungen kennt jeder.

Und nach dem Auslesen von Hashes war auch nicht gefragt.
Bitte warten ..
Mitglied: LokalAd.ministrator
16.07.2014 um 17:48 Uhr
Versuch im Morgen sofort, danke!

Vier falsche PW-Eingaben hintereinander habe ich natürlich nicht getestet....
Bitte warten ..
Mitglied: DerWoWusste
16.07.2014, aktualisiert 18.07.2014
Zur Info: das Konzept gegen password-hammering ist MS nicht unbekannt und wird auch bei der Bitlocker-PIN benutzt.
Bitte warten ..
Mitglied: drobskind
18.07.2014, aktualisiert um 06:50 Uhr
Hallo LokalAd.ministrator,

konnte dein Problem gelöst damit werden?
Ist die Obrigkeit zufrieden?

Grüße
Bitte warten ..
Mitglied: DerWoWusste
22.07.2014 um 00:02 Uhr
drobskind, die "Bremse" kommt zwar nach jedem 5. Mal einige Sekunden , aber beim sechsten ist es wieder schnell und es ist auch nicht konfigurierbar.
Es hat schon seinen Grund, warum MS es hier nicht macht, aber bei Bitlocker schon.
Bitte warten ..
Mitglied: drobskind
22.07.2014, aktualisiert um 10:28 Uhr
@ DerWoWusste,

hmm, bei mir war jeder Versuch danach auch "gebremmst"... eventuell gibt es hier noch Kombinationen die zu berücksichtigen sind.
Domänenmitglied oder nur Arbeitsgruppe, 32 oder 64 bit, Internetexplorer = Standardbrowser usw...
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Heiß diskutierte Inhalte
Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (9)

Frage von JayyyH zum Thema Switche und Hubs ...

Backup
Clients als Server missbrauchen? (8)

Frage von 1410640014 zum Thema Backup ...