Hangt van je omgeving af ...

Ik ken de backends van Windows omgevingen niet zo goed , maar blijkbaar is er in jullie opzet iets dat niet synchroniseert tussen lokaal/off-line password en AD ?

Waar ik de laatste tijd werkte werd Office 365 gebruikt, en password wijzigingen daar syncten ook naar AD.
(en vice versa).

Min of meer hetzelfde, maar als bij jullie Outlook web access gebruikt wordt en je daarin wijzigt is dat direct een wijziging in AD.

Ik zou denken/verwachten dat zolang de laptop in het domein hangt en daar zo af en toe in komt (VPN ?) zo'n wijziging dan ook doorkomt op de laptop en de off-line password cache.

Dus ja , het kan gewoon - mits de omgeving handig ingericht is.

Wat je wilt voorkomen is dat AD en lokaal password gaan verschillen terwijl het voor de gebruiker heel onduidelijk is welke gebruikt moet worden.
Misschien kun je afdwingen dat "laptop" passwords alleen gewijzigd kunnen worden als er een verbinding met AD is (vpn actief) .

Of is je omgeving klein genoeg (<10 ?) dat je het met uitleg en educatie kunt oplossen.

Maar als nu je laptops totaal offline werken tenzij de fysiek op kantoor zijn moet je alsnog een VPN of iets dergelijks gaan inrichten.
Of gewoon accepteren dat het "laptop password" en het "kantoor password" twee dingen zijn.
Als mensen ook herkenbaar anders inloggen KA_DOMAIN\jansen en jansen kan je daar misschien gewoon mee leven.

Verder - als mensen helemaal offline werken en gewoon niet remote op kantoor kunnen, waarom is het dan nog belangrijk om hun AD-kantoor-password op drie maans basis te wijzigen ?

Het ligt inderdaad aan hoe het is ingeregeld.

Wij hebben meerdere manieren een hiervan is dat de VPN opstart tijdens het inladen van de OS, op die manier logt men al in op het domein voordat de laptop wordt ontgrendeld.

Alternatief die we hebben is dat men inlogt via de webmail en daar het wachtwoord aanpast daar dit gelijk is aan de AD gegevens, indien hij is verlopen (wat wij bij sommige klanten hebben ingesteld) dan kan dit worden gecontroleerd en aangepast via de webmail.

Bij verlopen krijg je daar namelijk meteen de prompt dat hij is verlopen en je een nieuw WW moet opgeven.

Waarom? Dit gaat direct in tegen het best-practise advies dat al zeker 5 jaar door het NIST wordt uitgebracht.


Inloggen met 2 factor (bv. wachtwoord slechts geldig op 1 fysieke laptop) kan een middel zijn. Kijk anders eens naar Windows Hello, zonder je omgeving te kennen valt er weinig over te zeggen.

Dus de policy is eigenlijk:

Als je die policy wilt uitdragen, maak het de gebruiker dan ook gemakkelijk en laat ze één dag in 3 maanden op kantoor werken. Dit is effectief (1 persoon in 90 dagen) 1% van de medewerkers die op locatie aanwezig is. Neem aan dat dit wel valt binnen de Corona-maatregelen.

Bij ons moet je IT bellen, die gaan dan een nieuw wachtwoord voor je bedenken en via SMS naar je telefoonnummer toesturen die je aan ze doorgeeft....

Het Nederlands Cyber Security Center (NCSC) adviseert periodiek wijzigen van wachtwoorden niet,
omdat het hooguit maar een marginale verbetering geeft, en mensen hierdoor juist vaker gemakkelijke wachtwoorden gaan gebruiken. (namelijk omdat elke keer wéér een ander ingewikkeld (sterk) wachtwoord onthouden te lastig is)
Het NCSC adviseert daarom het gebruik van twee-factor.

Zie:
https://www.ncsc.nl/onderwerpen/authenticatie
https://www.ncsc.nl/binaries/ncsc/documenten/factsheets/2019/juni/01/factsheet-gebruik-tweefactorauthenticatie/20181022+Factsheet-Gebruik-tweefactorauthenticatie.pdf
Zie kader "Advies voor werkplekhouders".
Citaat:

Dit kan niet waar zijn!!

[X] Ongeschikt