Ineens nieuwe wachtwoorden
Mijn bedrijf draait Windows Small Business Server met
Exchange Server (als je de versienummers wilt weten moet je
maar vertellen hoe ik die moet vinden). Onlangs kreeg ineens
iedereen het bericht dat hij/zij zijn password moest
wijzigen. Spontaan. Ik vind dat, eerlijk gezegd, nogal
alarmerend.
De mail server staat via port forwarding open naar de
buitenwereld (poorten smtp en pop), kan er via die weg iets
gebeurd zijn? De Windows Updates worden wel regelmatig
(minstens eens per week) bijgehouden.
Is er hier iets mis, of is dit weer een van de gewone
Microsoft-verrassingen?
aankondiging geweest dat zou gaan gebeuren. En nee dat kan niet
vanuit microsoft zijn gegaan. Dit kan alleen door een system
administrator geweest zijn. Of iemand van binnen of buiten het bedrijf
zijn geweest die dit heeft opgezet.
mensen, en ik weet wie. En die mensen kan ik echt wel
vertrouwen. Het gebeurde zomaar ineens spontaan. Een gewone
systeemmelding, zo van "uw wachtwoord is verouderd, wijzig
het" (de letterlijke tekst weet ik even niet meer). Maar
noch ik, noch de anderen weten van iets, en volgens mij
staan de passwords helemaal niet op "expireerbaar". Dat is
precies de reden waarom ik het niet vertrouw.
Controleer je expiration policy voor de wachtwoorden
eens.
gezocht). Ze expireren na 180 dagen. Maar dan toch niet
allemaal tegelijk?
Was het exact hetzelfde tijdstip dat men het wachtwoord
moest wijzigen?
Was het bij iedereen?
Kan je herinneren hoelang je je eigen wachtwoord al gebruikt?
en kun je dat met jullie 180 dagen policy op de server controleren?
Daarnaast zou je, om te kijken of er rare dingen met de
policy zijn gebeurd/uitgehaald, je oude wachtwoord weer eens
moeten proberen in te voeren. Als het goed is, is de juiste
policy zo sterk dat hij 10 of meer wachtwoorden onthoudt en
die je niet opnieuw laat gebruiken.
In ons bedrijf is de password change policy 90 dagen, maar
je machine begint al 14 dagen van te voren elke keer bij
opstarten te zeuren dat ik nog zoveel dagen heb om mijn
wachtwoord te wijzigen.
Geen idee of dat de default is en of dat een verschil kan
zijn in 2003 Server of Small Business Server.
Zou je wat meer informatie kunnen geven, bijvoorbeeld over:
Was het exact hetzelfde tijdstip dat men het wachtwoord
moest wijzigen?
Was het bij iedereen?
Kan je herinneren hoelang je je eigen wachtwoord al gebruikt?
en kun je de policy op de server inzien zodat je die
ingestelde 'password age' kan controleren?
verschillende mensen aan me vragen wat dat te betekenen had.
En zelf moest ik mijn password ook veranderen. Niet op
"exact hetzelfde tijdstip", maar op het moment dat ik
inlogde. En ik had het een paar maanden geleden ook al
veranderd, toentertijd waarschijnlijk wegens normale
expiratie. (uiteraard heb ik hier geen logboek van
bijgehouden, want ik wist toen nog niet wat er daarna zou
gebeuren ;-) ).
En, inderdaad, ik heb (nadat iemand me verteld had dat
zoiets bij Microsoft "password policy" heet) nagekeken en
gezien dat de expiratie op 180 dagen staat. Klopt goed met
die gedwongen vervanging van een paar maanden geleden (toen
was ik ws een half jaar in dienst). Maar van deze min of
meer algemene verandering kan ik dus geen chocola maken.
bieden?
Dat zou ik alvast wel even doen morgen...
opvolgen, plus een uitleg van jullie beheerder, dat zou niet
misstaan.
Misschien dat de ondersteuning van Microsoft uitkomst kan
bieden?
Dat zou ik alvast wel even doen morgen...
zijn, ik weet zelfs niet waar je naar toe zou moeten bellen.
En een beheerder hebben we niet, ik zal het zelf moeten doen...
telefoonnummer bellen.
[color=blue]020-5001500[/color]
Dit is kostenloos en betreft beveiliging voor MS producten.
Mocht het nummer niet juist zijn (omdat het hier Small
Business Server betreft) kun je vragen wie dan wel opgebeld
moet worden. Althans, zo zou ik het doen als ik voor het zelfde probleem zou staan.
En, inderdaad, ik heb (nadat iemand me verteld had dat zoiets bij Microsoft "password policy" heet) nagekeken en gezien dat de expiratie op 180 dagen staat. Klopt goed met die gedwongen vervanging van een paar maanden geleden (toen was ik ws een half jaar in dienst). Maar van deze min of meer algemene verandering kan ik dus geen chocola maken.
In ons bedrijf is de password change policy 90 dagen, maar je machine begint al 14 dagen van te voren elke keer bij opstarten te zeuren dat ik nog zoveel dagen heb om mijn wachtwoord te wijzigen. Geen idee of dat de default is en of dat een verschil kan zijn in 2003 Server of Small Business Server.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.