Toon posts:

[2k3] lock user account na het verlopen van het wachtwoord.

Pagina: 1
Acties:

woensdag 5 maart 2008 14:46

Acties:
  • dutch_warrior
  • Registratie: Mei 2005
  • Laatst online: 29-05-2023

dutch_warrior

Topicstarter
Wij moeten hier op mijn stage een security policy doorvoeren.
De active directory draait op een HP proliant ml370 server met windows server 2003 als besturingssysteem, in het netwerk zitten ook nog NT servers en users (deze gaan er binnenkort uit) en Server 2000 servers, de policy die moet worden doorgevoerd hoeft alleen maar op xp user accounts worden toegepast.

In de security policy staat dat een wachtwoord moet verlopen na 90 dagen, als een user dan niet zijn wachtwoord wijzigt moet het account worden gelockt.

Het probleem is dat het account niet werkelijk wordt gelockt als het wachtwoord verloopt.
De user krijgt dan na 90 dagen een bericht wat hierop lijkt: "U moet nu uw wachtwoord wijzigen voordat u weer kunt inloggen"

Nu heb ik een hele tijd lopen zoeken via google en microsoft technet, maar voor zover ik weet is er geen tijdslimitiet aan hoe lang dit bericht blijft staan, volgens mij als iemand na een maand wil inloggen op de acount ziet die persoon nog steeds hetzelfde bericht.

Is er een mogelijkheid om te zorgen dat de account automatisch wordt uitgeschakeld als de gebruiker verzuimt om het wachtwoord te wijzigen ?
Een bijkomend voordeel is dan dat je kan zien welke accounts nog gebruikt worden en welke accounts niet, want als het wachtwoord niet wordt gewijzigd en niemand meldt dat hij of zij niet meer in de account kan dan is dat dus een inactief account.

Ik weet dat deze regel misschien overdreven klinkt, maar dit krijgen we opgelegd van boven.
Dit is iets wat je geloof ik kan invoeren via citrix oplossingen en in linux versies maar voor server 2003 heb ik nog niets kunnen vinden.

In ieder geval: Alvast Bedankt.

[ Voor 8% gewijzigd door dutch_warrior op 05-03-2008 15:34 ]

woensdag 5 maart 2008 15:57

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

dutch_warrior schreef op woensdag 05 maart 2008 @ 14:46:
Is er een mogelijkheid om te zorgen dat de account automatisch wordt uitgeschakeld als de gebruiker verzuimt om het wachtwoord te wijzigen ?
Een ingelogde sessie blijft afhankelijk van de duur van het kerberos ticket wat de user krijgt, zolang die niet verlopen is en de authenticatie nog steeds geldig is kun je hier niks aan doen.
Een bijkomend voordeel is dan dat je kan zien welke accounts nog gebruikt worden en welke accounts niet, want als het wachtwoord niet wordt gewijzigd en niemand meldt dat hij of zij niet meer in de account kan dan is dat dus een inactief account.
Dat kan je eventueel ook aan Lastlogon waarden en lastchange password achterhalen.
Daar zijn tools en scripts genoeg voor te vinden.
Ik weet dat deze regel misschien overdreven klinkt, maar dit krijgen we opgelegd van boven.
Gokje: dat zijn niet de mensen die weten hoe AD technisch werkt?

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

woensdag 5 maart 2008 16:04

Acties:

Verwijderd

Zoals alt-92 zegt; scriptjes kun je daarvoor aanmaken, beetje zoeken naar een scriptje die de registerwaarden verandert van de policy (of gewoon van de useraccountinstellingen ofzo, moet kunnen) met een batchbestand of iets dergelijks (don't ask me! Ben zelf geen held met scripting :+ )

woensdag 5 maart 2008 16:09

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Verwijderd schreef op woensdag 05 maart 2008 @ 16:04:
beetje zoeken naar een scriptje die de registerwaarden verandert van de policy (of gewoon van de useraccountinstellingen ofzo, moet kunnen)
Bespeur ik hier een hoog klok en klepel gehalte? :)

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

woensdag 5 maart 2008 17:06

Acties:

Verwijderd

huh? :')

woensdag 5 maart 2008 17:26

Acties:
  • dutch_warrior
  • Registratie: Mei 2005
  • Laatst online: 29-05-2023

dutch_warrior

Topicstarter
alt-92 schreef op woensdag 05 maart 2008 @ 15:57:
[...]

Een ingelogde sessie blijft afhankelijk van de duur van het kerberos ticket wat de user krijgt, zolang die niet verlopen is en de authenticatie nog steeds geldig is kun je hier niks aan doen.


[...]

Dat kan je eventueel ook aan Lastlogon waarden en lastchange password achterhalen.
Daar zijn tools en scripts genoeg voor te vinden.


[...]


Gokje: dat zijn niet de mensen die weten hoe AD technisch werkt?
Dat heb je goed gegokt, op de hoofdvestiging hebben ze een systeem dat door een bedrijf is opgezet daar draait een geloof ik een citrix systeem, in ieder geval geen volledige AD op een 2k3 machine. Er is gewoon een policy gemaakt voor hun systeem en die is gewoon naar alle andere vestigingen gestuurd zonder verder te kijken naar het systeem.
dutch_warrior schreef op woensdag 05 maart 2008 @ 14:46:
Is er een mogelijkheid om te zorgen dat de account automatisch wordt uitgeschakeld als de gebruiker verzuimt om het wachtwoord te wijzigen ?
Ik bedoel hier dat een gebruiker die zijn wachtwoord bijvoorbeeld over 2 dagen moet wijzigen en dat niet doet. Als deze persoon dan enkele dagen niet aanwezig is verloopt de account, men wil dus dat de account wordt uitgeschackeld, ik heb alles afgezocht maar volgens mij is dit gewoon nauwlijks haalbaar binnen een active directory.

woensdag 5 maart 2008 17:32

Acties:

Verwijderd

alt-92 schreef op woensdag 05 maart 2008 @ 15:57:
[...]

Een ingelogde sessie blijft afhankelijk van de duur van het kerberos ticket wat de user krijgt, zolang die niet verlopen is en de authenticatie nog steeds geldig is kun je hier niks aan doen.
volgens mij wordt zelfs je kerberos tickets nog steeds vernieuwd als je ingelogd blijft. Alleen wanneer je je pw daadwerkelijk wijzigt zou het miskunnen gaan (bijv. je logt in op je werkstation en logt in op een ts server met hetzelfde account en vervolgens wijzig je je pw op de ts server; op een gegeven moment krijg je dan een probleem op je werkstation).
Dat kan je eventueel ook aan Lastlogon waarden en lastchange password achterhalen.
Daar zijn tools en scripts genoeg voor te vinden.

Gokje: dat zijn niet de mensen die weten hoe AD technisch werkt?
grinz,

De lockout heeft zowieso niets met je pw policy te maken en is dus idd niet mogelijk. lockout heeft alleen met het aantal failed logon attempts te maken.
Dat even naar boven terugschoppen en een wel werkbaar voorstel doen.
(bijv. account die xx maanden niet gebruikt zijn disablen en na nog eens xx maanden definitief verwijderen; dek het wel procedureel ook af, bijv. lijsten sturen naar managers dat gebruikers gedisabled cq verwijderd gaan worden).

woensdag 5 maart 2008 17:37

Acties:

Verwijderd

Dat heb je goed gegokt, op de hoofdvestiging hebben ze een systeem dat door een bedrijf is opgezet daar draait een geloof ik een citrix systeem, in ieder geval geen volledige AD op een 2k3 machine. Er is gewoon een policy gemaakt voor hun systeem en die is gewoon naar alle andere vestigingen gestuurd zonder verder te kijken naar het systeem.
beetje vaag verhaal, met een halve ad ga je echt niet meer in kunnen loggen haha.

Citrix en terminal servers kan je natuurlijk wel zo instellen dat inactive sessie na een bepaalde tijd wordt uitgelogd waardoor je mensen dwingt om opnieuw aan te loggen. Dat kan je met werkstations evt ook doen door workhours te definieren en een force logoff te geven als ze buiten deze tijden komen. Of je dat werkelijk wil is een andere vraag :)
Ik bedoel hier dat een gebruiker die zijn wachtwoord bijvoorbeeld over 2 dagen moet wijzigen en dat niet doet. Als deze persoon dan enkele dagen niet aanwezig is verloopt de account, men wil dus dat de account wordt uitgeschackeld, ik heb alles afgezocht maar volgens mij is dit gewoon nauwlijks haalbaar binnen een active directory.
nee niet mogelijk

donderdag 6 maart 2008 00:34

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Verwijderd schreef op woensdag 05 maart 2008 @ 17:37:
[password change achterhalen]

nee niet mogelijk
Nou...

How Can I Determine When a User Last Changed His or Her Password?
Stel, je hebt een 30 dagen policy.
Je zoekt op een PasswordLastChanged waarde >30.

gevolgd door een
Visual Basic:
1
2

objUser.AccountDisabled = True
objUser.SetInfo

Lijkt me dat je daar toch wel iets mee kan scripten toch? :)

[ Voor 8% gewijzigd door alt-92 op 06-03-2008 00:37 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

donderdag 6 maart 2008 15:44

Acties:

Verwijderd

alt-92 schreef op donderdag 06 maart 2008 @ 00:34:
[...]

Nou...

How Can I Determine When a User Last Changed His or Her Password?
Stel, je hebt een 30 dagen policy.
Je zoekt op een PasswordLastChanged waarde >30.

gevolgd door een
Visual Basic:
1
2

objUser.AccountDisabled = True
objUser.SetInfo

Lijkt me dat je daar toch wel iets mee kan scripten toch? :)
ok i stand corrected. ik wist niet dat hier een attribute voor was.

donderdag 6 maart 2008 20:26

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Tools als NetIQ gebruiken dergelijke attributes ook als basis voor rules meen ik (althans: bij ons wel).

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

vrijdag 7 maart 2008 11:02

Acties:
  • dutch_warrior
  • Registratie: Mei 2005
  • Laatst online: 29-05-2023

dutch_warrior

Topicstarter
Thx Alt-92, daar kan ik wel wat mee.
Het gaat er eigenlijk alleen om dat gebruikers die verzuimen hun wachtwoord te wijzigen worden beschermd.
En stel iemand verlaat het bedrijf dan moet de account bewaard blijven omdat er nog data op kan staan en alleen de user directory op de server bewaren vind men niet voldoende.
Maar het moet dan wel weer zo zijn dat die account automatisch wordt uitgeschakeld als er langere tijd niet mee wordt ingelogd, zodat het wachtwoord niet kan worden achterhaald door een brute force programma.

Nou hebben wij gezegd: Als het wachtwoord is verlopen lockt de account, als iemand dan toch gebruik maakt van het account zie je dat meteen in last logon of last password changed. En als wij gewoon het account verwijderen dan is er helemaal geen probleem, want alle data kunnen we bewaren. Maar dit was niet voldoende, maar met het script van Alt-92 kan ik waarschijnlijk wel wat ja, ik wist inderdaad ook niet dat die atributes bestonden

vrijdag 7 maart 2008 11:22

Acties:
  • Bartjo
  • Registratie: April 2002
  • Laatst online: 30-01 12:12

Bartjo

Standaard kun je in AD inderdaad niet instellen dat een account wordt gedisabled als het password is verlopen. Je bent dus aangewezen op scripting. De Microsoft Script Repository heeft voor dit soort dingen heel veel info.

Je vindt o.a. "List when a password expires" en "Disable a user account" op deze pagina: http://www.microsoft.com/...ers/default.mspx?mfr=true

vrijdag 7 maart 2008 16:50

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

dutch_warrior schreef op vrijdag 07 maart 2008 @ 11:02:
Het gaat er eigenlijk alleen om dat gebruikers die verzuimen hun wachtwoord te wijzigen worden beschermd.
Ik zou het niet 'beschermen' willen noemen overigens, maar dat ben ik.
En stel iemand verlaat het bedrijf dan moet de account bewaard blijven omdat er nog data op kan staan en alleen de user directory op de server bewaren vind men niet voldoende.
Standard Operating Procedure is dat je het account disabled zet als iemand uit dienst gaat.
Verwijderen van de account (de SiD dus) kun je veel later doen, na 90 dagen bijvoorbeeld).
Maar het moet dan wel weer zo zijn dat die account automatisch wordt uitgeschakeld als er langere tijd niet mee wordt ingelogd, zodat het wachtwoord niet kan worden achterhaald door een brute force programma.
Ik zie even niet wat dat brute-force programma te zoeken heeft in dit verhaal?
Nou hebben wij gezegd: Als het wachtwoord is verlopen lockt de account, als iemand dan toch gebruik maakt van het account zie je dat meteen in last logon of last password changed.
Hoe wil je zonder Admin interventie met een locked account inloggen of een password veranderen? :)

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

dinsdag 11 maart 2008 08:31

Acties:
  • dutch_warrior
  • Registratie: Mei 2005
  • Laatst online: 29-05-2023

dutch_warrior

Topicstarter
alt-92 schreef op vrijdag 07 maart 2008 @ 16:50:
[...]

Ik zou het niet 'beschermen' willen noemen overigens, maar dat ben ik.
Tja, ik ook niet. Men heeft gewoon het idee dat een password na 90 dagen opeens eenvoudig gekraakt is.
alt-92 schreef op vrijdag 07 maart 2008 @ 16:50:
[...]
Standard Operating Procedure is dat je het account disabled zet als iemand uit dienst gaat.
Verwijderen van de account (de SiD dus) kun je veel later doen, na 90 dagen bijvoorbeeld).
Zo werken we nu ook, men is echter bang dat er een account wordt vergeten of dat er iets niet goed gaat met het verwijderen. De menselijke factor moet eruit, nou ik kijk bij het locken en verwijderen van accounts toch liever eerst zelf even of die account wel daadwerkelijk wegkan.
alt-92 schreef op vrijdag 07 maart 2008 @ 16:50:
[...]

Ik zie even niet wat dat brute-force programma te zoeken heeft in dit verhaal?
Tja ik ook niet, het idee is dat wanneer een gebruiker zou weggaan en het password van de account daarna verloopt dan maakt dat weinig uit wan men kan altijd blijven gissen naar het oude password, we hebben al gezegd dat dat niet zo eenvoudig gaat want je moet ook meteen een nieuw password opgeven. En een account wordt sowieso wel een keer verwijderd, het kan zijn dat we hem een keer over het hoofd zien maar dan wordt hij later alsnog verwijderd.
alt-92 schreef op vrijdag 07 maart 2008 @ 16:50:
[...]
Hoe wil je zonder Admin interventie met een locked account inloggen of een password veranderen? :)
Ik bedoelde een account met verlopen wachtwoord en geen locked account, sorry ik had weer eens te snel een verhaal neergezet :P .
Maar inloggen met een verlopen account ?
Nou, niet dus. Dat hebben wij ook al gezegd, maar men is van mening dat een account met verlopen wachtwoord helemaal open ligt. Maar we moeten nu ook al regelmatig in de security logs kijken en last logon en last logoff wordt ook gecontroleerd. In feite zouden we het dus heel snel zien als er een logon poging word gedaan met een verlopen account, en ook als het wachtwoord wordt gewijzigd zie je het, maar zo ver komt het waarschijnlijk niet eens, want voordat men een ouder wachtwoord heeft geraden is het aantal failed logons al overschreden.

[ Voor 3% gewijzigd door dutch_warrior op 11-03-2008 09:01 ]

dinsdag 11 maart 2008 08:36

Acties:
  • denivan
  • Registratie: September 2002
  • Laatst online: 09-02 09:22

denivan

de enige

Volgens mij kan je met dsquery wel een lijst opvragen van users die een bepaalde tijd niet zijn aangelogd of hun paswoord verlopen is. Deze lijst kan je dan 'pipen' naar dsmod en zodoende de accounts disablen.

Als je dit in een batchfiletje giet en dan met scheduled tasks dagelijks uitvoert, dan is de policy in werking als het goed is.

[ Voor 23% gewijzigd door denivan op 11-03-2008 08:37 ]

Last night I lay in bed looking up at the stars in the sky and I thought to myself, "Where the heck is the ceiling?!"

dinsdag 11 maart 2008 17:12

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

dutch_warrior schreef op dinsdag 11 maart 2008 @ 08:31:
Tja, ik ook niet. Men heeft gewoon het idee dat een password na 90 dagen opeens eenvoudig gekraakt is.
Je hebt langer de gelegenheid met een gesniffte hash een dictionary te laten lopen op die useraccount ja.
Maar daarom heb je ook de mogelijkheid om een passphrase ( Waarom een passphrase in plaats van een wachtwoord? ) in te zetten of de wachtwoord duur te reduceren van 90 naar bijvoorbeeld 30 dagen.

Maar zoals ook in dat artikel staat, voor mensen die het bedrijf verlaten en nieuwe aanwinsten kun je ook een goede procedure uithameren met je PZ/HR afdeling.

[ Voor 11% gewijzigd door alt-92 op 11-03-2008 17:17 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

woensdag 12 maart 2008 17:09

Acties:

Verwijderd

dutch_warrior schreef op vrijdag 07 maart 2008 @ 11:02:
Thx Alt-92, daar kan ik wel wat mee.
Het gaat er eigenlijk alleen om dat gebruikers die verzuimen hun wachtwoord te wijzigen worden beschermd.
En stel iemand verlaat het bedrijf dan moet de account bewaard blijven omdat er nog data op kan staan en alleen de user directory op de server bewaren vind men niet voldoende.
Maar het moet dan wel weer zo zijn dat die account automatisch wordt uitgeschakeld als er langere tijd niet mee wordt ingelogd, zodat het wachtwoord niet kan worden achterhaald door een brute force programma.

Nou hebben wij gezegd: Als het wachtwoord is verlopen lockt de account, als iemand dan toch gebruik maakt van het account zie je dat meteen in last logon of last password changed. En als wij gewoon het account verwijderen dan is er helemaal geen probleem, want alle data kunnen we bewaren. Maar dit was niet voldoende, maar met het script van Alt-92 kan ik waarschijnlijk wel wat ja, ik wist inderdaad ook niet dat die atributes bestonden
Ummm als iemand het bedrijf verlaat moet je het account disablen. Je wilt zowieso niet dat een gebruiker die niet meer voor jullie werkt nog remote zou kunnen inloggen (geen idee of jullie citrix of vpn oplossingen hebben ofzo) en nog jaren netjes hun paswoord elke 3 maanden wijzigen. Het automatisch locken lijkt me dan een beetje een patchmiddel voor wat je werkelijk wilt bereiken en eigenlijk alleen procedureel kan afdwingen (namelijk dat managers melden dat gebruikers weggaan).
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq