kmulife
Goto Top

Kontosperrungsschwelle greift nicht

Hallo zusammen!

Ich habe mal wieder geprüft, ob die Kontosperrschwellen greifen. Diese funktionieren nicht wie gewünscht. Die Frage ist jetzt, ob ich eine falsche Vorstellung von diesen habe oder ob diese wirklich nicht greifen.

Lokale Sicherheitsrichtlinie: (wird auch per GPO ausgerollt)
  • Kontosperrungsschwelle: 10 ungültige Anmeldeversuche
  • Kontosperrdauer: 300 Minuten
  • Zurücksetzungsdauer des Kontosperrungszählers: 300 Minuten

Nun bin ich hingegangen und habe bei einem User das ganze mit Strichen getestet. Domäne\User, 12 mal PW falsch eingegeben --> wird nicht gesperrt.
Dabei habe ich beobachtet, dass das Konto nur gesperrt wird, wenn es eine Verbindung zur Domäne hat. (Gerät meldet dann die Falschanmeldungen der AD und Konto muss freigegeben werden.) Wenn ich das Gerät aber nicht am Netzwerk habe und dies mache, kann ich auch nach 20 Anmeldeversuchen mit dem richten Passwort ohne Probleme verbinden. Für mich stellt sich die Frage, wieso? Grundsätzlich ist ja das grösste Risiko bei einem Laptop, dass er gestohlen wird oder im Zug vergessen wird. Wenn dann einer mit einem Programm einfach das PW per Bruteforce hacken kann, macht für mich diese Einstellung nicht so Sinn.

Das der lokale Administrator von dieser Einstellung nicht betroffen ist, weiss ich, deshalb ist dieser deaktiviert und ein anderer lokaler admin eingerichtet.

Könnt ihr mich über die Logik dahinter aufklären? Oder läuft bei mir Grundsätzlich was falsch?

Informationen zu Umgebung:
  • Windows 10 Pro 1709
  • lokale Benutzerprofile (keine Servergespeicherten)
  • Sicherheitsrichtlinie wird ausgerollt (ersichtlich mit rsop.msc & gpresult /r)

Content-Key: 370647

Url: https://administrator.de/contentid/370647

Ausgedruckt am: 29.03.2024 um 11:03 Uhr

Mitglied: 135799
Lösung 135799 10.04.2018 aktualisiert um 10:28:51 Uhr
Goto Top
Für mich stellt sich die Frage, wieso?
Weil ein Lockout im Benzutzerkonto des AD hinterlegt ist nicht am Client. Ohne Verbindung kein Lockout.
Grundsätzlich ist ja das grösste Risiko bei einem Laptop, dass er gestohlen wird oder im Zug vergessen wird.
Dann hast du aber ganz andere Probleme als den Login das kann man auch ohne "Eingabemaske" umgehen solange man an die NTHashes des Credential-Caches kommt face-wink => Bitlocker nutzen.
Wenn dann einer mit einem Programm einfach das PW per Bruteforce hacken kann, macht für mich diese Einstellung nicht so Sinn.
Doch. Das ist dafür da die Domäne zu schützen nicht den Laptop. den Laptop musst du anders sichern => Bitlocker & Co.

Gruß Schnuffi
Mitglied: Archeon
Lösung Archeon 10.04.2018 um 11:05:59 Uhr
Goto Top
Hallo,

zu mal ich mir nicht die Mühe machen würde, auf den Erfolg eines Bruteforce Angriffs zu warten, da gibt es schnellere und einfachere Methoden an die Daten zu kommen oder das Passwort zu umgehen.
Zum Lockout hatte ja @135799 schon was geschrieben.

Gruß
Mitglied: DerWoWusste
Lösung DerWoWusste 10.04.2018 aktualisiert um 11:08:49 Uhr
Goto Top
Hi.

Wenn dann einer mit einem Programm einfach das PW per Bruteforce hacken kann, macht für mich diese Einstellung nicht so Sinn.
Wie stellst Du dir das vor? Du kannst als normaler Nutzer nicht an die Hashes, welche ggf. auf dem Rechner vorliegen, ran. Selbst wenn: bei dem Prozess, diese zu brechen, wird doch gar keine Anmeldung versucht - du hast eine falsche Vorstellung davon, wie das abläuft.

Deine Richtlinie wird nur ziehen, wenn der PC mit der Domäne verbunden ist und nur dann, wenn Sie am DC greift - auf dem Client muss sie nicht angewendet werden, der hat mit Domänenkonten nichts zu tun - allein der DC wertet das aus.
Mitglied: VGem-e
Lösung VGem-e 10.04.2018 um 11:14:33 Uhr
Goto Top
Servus,

ergänzend zu Bitlocker habe ich für Notebooks, die außerhalb der Büros unterwegs sind, noch ein BIOS-Passwort gesetzt.

Gruß
VGem-e
Mitglied: KMUlife
KMUlife 10.04.2018 um 11:27:15 Uhr
Goto Top
Zitat von @DerWoWusste:

du hast eine falsche Vorstellung davon, wie das abläuft.
Anscheinend... wieso hat man dann überhaupt ein Lockout auf Domänenebene?


Deine Richtlinie wird nur ziehen, wenn der PC mit der Domäne verbunden ist und nur dann, wenn Sie am DC greift - auf dem Client muss sie nicht angewendet werden, der hat mit Domänenkonten nichts zu tun - allein der DC wertet das aus.
Aber wenn keine Verbindung zum DC besteht, wäre ich froh, der Client würde diesen Lockout auch machen. Wenn die Funktion schon gegeben ist.

Bitlocker ist auf den Geräten aktiviert, aber jedoch ohne Initialpasswort. Dann müsste ich wohl anfangen Initialpasswörter zu setzen um Aussendienstmitarbeiter zu schützen? (und wie @VGem-e geschrieben hat zusätzlich evt. noch BIOS-PW)

Danke für euer Wissen!
LG
KMUlife
Mitglied: Archeon
Archeon 10.04.2018 aktualisiert um 11:32:22 Uhr
Goto Top
Aber dann geh doch mal davon aus, der Mitarbeiter hat einen wichtigen Termin bei einem Kunden, gibt sein Passwort versehentlich falsch ein, weil er es gestern geändert hat und und ihm fällt das nach dem 9. Versuch erst auf, dann gibt er das neue Passwort ein, vertippt sich dabei aber und der Account wird gesperrt, wie willst du ihn dann wieder freischalten?
Es macht also unter Umständen schon Sinn, dass das nur in Kombination mit Verbindung zur Domäne funktioniert.
Mitglied: emeriks
emeriks 10.04.2018 um 11:34:21 Uhr
Goto Top
Hi,
das Verschlüsseln mit Bitlocker schützt Dich davor, dass jemand die HDD aus- und woanders einbaut, und davor, dass jemand von CD bootet, um so die Windows-Anmeldung zu umgehen oder zu hacken.

E.
Mitglied: KMUlife
KMUlife 10.04.2018 um 11:36:09 Uhr
Goto Top
Zitat von @Archeon:

Aber dann geh doch mal davon aus, der Mitarbeiter hat einen wichtigen Termin bei einem Kunden, gibt sein Passwort versehentlich falsch ein, weil er es gestern geändert hat und und ihm fällt das nach dem 9. Versuch erst auf, dann gibt er das neue Passwort ein, vertippt sich dabei aber und der Account wird gesperrt, wie willst du ihn dann wieder freischalten?
Es macht also unter Umständen schon Sinn, dass das nur in Kombination mit Verbindung zur Domäne funktioniert.

Shit happens... ich bin lieber Safe oder stelle die Sperrung halt auf 25ig oder so...Aber anscheinend macht man es ja garnicht mit der "Bruteforce" Variante. Bzw. habe ich eine falsche Vorstellung davon. Könnt ihr mich den aufklären, was die häufigsten Wege sind? Denn ich kann mich nur vor was effektiv schützen, wenn ich auch weiss, wie das Vorgehen ist.

Grüsse aus der Schweiz
KMUlife
Mitglied: KMUlife
KMUlife 10.04.2018 um 11:37:34 Uhr
Goto Top
Das ist mir bewusst. Deshalb habe ich momentan auch kein Initial-pw. Weil Bitlocker greifft ja, sobald ich die HDD in einem neuen Gerät einbaue. Aber mit einem Initialpw hätte man ja eine Hürde mehr, wofür ist denn diese Hürde gedacht?
Mitglied: Archeon
Archeon 10.04.2018 um 11:41:00 Uhr
Goto Top
Wie man solche Dinge umgeht darf ich dir nicht schreiben, das solltest du als Admin aber auch selbst raus finden können face-wink
Versuch den Start von externen Medien zu verhindern oder zu erschweren, das ist schon mal ein guter Anfang und zum Schutz der Daten halt eine Verschlüsselung, da gibt es ja genügend zur Auswahl.

Zum Thema "Shit happens", Hauptsache das sieht dein Chef auch so gelassen wie du, wenn die Präsentation ausfällt der mögliche potenzielle Neukunde dadurch weg bleibt.
Mitglied: KMUlife
KMUlife 10.04.2018 um 11:42:49 Uhr
Goto Top
Zitat von @Archeon:
Zum Thema "Shit happens", Hauptsache das sieht dein Chef auch so gelassen wie du, wenn die Präsentation ausfällt der mögliche potenzielle Neukunde dadurch weg bleibt.

Die Anforderung kommt vom Chef face-smile.
Mitglied: 135799
135799 10.04.2018 aktualisiert um 11:56:00 Uhr
Goto Top
Die Anforderung kommt vom Chef .
Da hilft der berühmte Tritt in die Kronjuwelen face-smile.
Mitglied: Archeon
Archeon 10.04.2018 um 11:56:30 Uhr
Goto Top
Das mag ja sein, in dem Falle gibt es ja auch keine Probleme, weil du das gesperrte Konto wieder freischalten kannst.
Mein Beispiel sollte nur verdeutlichen, warum es durchaus Sinn macht, dass das nur funktioniert, wenn der Rechner mit der Domäne Kontakt hat.
Mitglied: DerWoWusste
DerWoWusste 10.04.2018 aktualisiert um 12:56:26 Uhr
Goto Top
wieso hat man dann überhaupt ein Lockout auf Domänenebene?
Am ehestenfür den Fall, dass jemand wirklich meint, er würde mit bloßem Raten da rankommen - zum Beispiel, wenn jemand dich bei der Kennworteingabe beobachtet hat, aber sich bei einigen Zeichen nicht sicher ist und es nun ausprobieren will.
Mitglied: KMUlife
KMUlife 10.04.2018 um 13:06:00 Uhr
Goto Top
Dann sind eurer Meinung nach folgende Schritte genügend:

- Bitlocker aktivieren (Initialkennwort nötig?)
- BIOS Passwort
- erlauben von externen Geräten verweigern
- Lockout für "interne" Angriffe per Try and Error

Oder gibt es noch andere Einstellungen die man beachten könnte?

Problematik sehe ich in meinem Anwendungsfall, dass die Aussendienstmitarbeiter erstens Surfssticks verwenden sowie auch Datensticks mit gewissen Programmen. Teils müssen auch "fremde" Sticks an den Notebooks angeschlossen werden, wenn Sie ein Stick des Kunden für den Kunden vorbereiten müssen. Weshalb ich das "anschließen von externen Geräten" verweigern wohl vergessen kann.

Hmmmmm...
Mitglied: DerWoWusste
Lösung DerWoWusste 10.04.2018 um 13:29:21 Uhr
Goto Top
Wenig sinnvoll, genau aufzulisten, was Du mitgenommen hast, wenn noch nicht genau aufgelistet wurde, was Du wogegen schützen möchtest.
Für den Standardfall Laptopabsicherung (ohne dass die User lokale Admins sind):

-Alle PCs gehören verschlüsselt. Ob nun mit TPM allein, oder mit TPM und PIN, muss jeder selbst entscheiden.
-Firewall muss an
-Windows-Kennwort darf zumindest nicht erratbar sein
-Durchmarsch über DMA-Attacken (z.B. Firewireport) darf nicht möglich sein (dagegen gibt es eine GPO)
-Nutzer darf für die Verschlüsselung keine Recoverykeys bekommen (inklusive MBAM-Selfservice), welche Offline-Manipulation erlauben
Mitglied: Archeon
Archeon 10.04.2018 um 13:51:16 Uhr
Goto Top
Zitat von @KMUlife:
Teils müssen auch "fremde" Sticks an den Notebooks angeschlossen werden, wenn Sie ein Stick des Kunden für den Kunden vorbereiten müssen. Weshalb ich das "anschließen von externen Geräten" verweigern wohl vergessen kann.
Das bezog sich darauf, zu unterbinden, dass von externen Geräten gebootet werden kann.
Mitglied: maretz
maretz 11.04.2018 um 10:10:15 Uhr
Goto Top
Moin,
und du bist dir sicher das der sich dessen bewusst ist? Ich würde da vorher mal explizit drauf hinweisen. Das wäre nicht der erste Chef der die Vorstellung hat: "Der PC erkennt schon das es JETZT doof wäre das Konto zu sperren und macht das nur wenn der geklaut wird"... Wenns dann doch bei der relevanten Präsentation stattfindet - dann gibts erst mal mecker warum das denn alles nich funktioniert ....

Leider ist da oft die Vorstellung von der Realität leicht abweichend... so um einige 100% oder so....