Domäne zerstört - was passiert mit Clients?

[Muffel 11]

Mir geht es im Beispiel lediglich darum die Höhe des möglichen Schadens abzuschätzen, technische Antworten (Restore, Kennwörter knacken, etc.) sind uninteressant.

 

Die Passwörter für die Admin-Konten des einzigen DC kennt niemand mehr, Backups sind total veraltet. Er soll neu installiert werden. Damit gehen natürlich alle SIDs und Computerkonten verloren. Was passiert mit den Clients?

 

These 1: Wenn man an den Clients keine lokalen Konten mit Adminrechten kennt/hat kann man weder den Computer aus der alten Domäne entfernen, noch kann man ihn zu einer neuen Domäne hinzufügen, weil man keine Berechtigung hat. Solche Rechner müssten also zwangsweise neu installiert werden.

 

These 2: Hat man lokale Adminkennwörter an Clients, so kann man sich zumindest lokal anmelden und so den Rechner aus der alten Domäne entfernen und zu ein erneuen hinzufügen. Eine Neuinstallation entfällt.

 

Richtig oder falsch? Falls falsch wie ist es richtig?

 

BTW: Wie sichert man einen 2003er DC gegen Diebstahl ab? Es soll für einen Angreifer keine Möglichkeit geben Kennwörter von Domänen-Admins herausfinden oder zurücksetzen können. Möglich oder nicht?

[Daim 12]

Servus,

 

Richtig oder falsch?

 

korrekt.

 

 

BTW: Wie sichert man einen 2003er DC gegen Diebstahl ab?

 

Einen Windows Server 2003 DC sichert man idealerweise in einem abschließbaren Raum.

Dieser sollte natürlich belüftet und klimatisiert sein.

 

Das ist auch der Hauptgrund, warum es den RODC in Windows Server 2008 gibt.

Damit ist das Thema Diebstahl eines RODC entschärft.

 

Yusuf`s Directory - Blog - Read-Only Domain Controller (RODC)

 

 

Es soll für einen Angreifer keine Möglichkeit geben Kennwörter von Domänen-Admins herausfinden oder zurücksetzen können. Möglich oder nicht?

 

Die Sicherheit des Netzwerks beinhaltet weit aus mehr, dass man nicht hier in einem Forum alles durchkauen könnte. Fakt ist, schafft es der Angreifer einen DC zu kompromittieren, dann gehört ihm die Gesamtstruktur.

[Stephan Betken 43]

...Backups sind total veraltet...

 

Aber dazu muss man nicht wirklich was sagen!

[Muffel 11]

Die Sicherheit des Netzwerks beinhaltet weit aus mehr, dass man nicht hier in einem Forum alles durchkauen könnte. Fakt ist, schafft es der Angreifer einen DC zu kompromittieren, dann gehört ihm die Gesamtstruktur.

 

Das heißt man könnte auch das Kennwort des Domänen-Admins herausfinden? Dann bräuchte man den DC doch gar nicht neu zu installieren, sollte niemand mehr die Admin-Kennwörter kennen.

[Stephan Betken 43]

Das heißt man könnte auch das Kennwort des Domänen-Admins herausfinden?

 

Nein, aber es gibt Software, um es zu ändern. Aber dazu gibt es hier keinen Support. Google

[Daim 12]

Dann bräuchte man den DC doch gar nicht neu zu installieren, sollte niemand mehr die Admin-Kennwörter kennen.

 

Du hattest in deinem OP doch geschrieben:

 

...technische Antworten (Restore, Kennwörter knacken, etc.) sind uninteressant.

 

 

Also? Somit wären deine Fragen beantwortet.

[!aN 10]

Hallo,

 

ich würde bei den Clients die Netzwerkverbindung unterbrechen, mit etwas Glück ist das Domänen-Admin Passwort noch im Cache und man kann sich anmelden.

 

Mfg

[mcdaniels 29]

!an: Passwort im Cache??? -> Hilft dir aber nicht wirklich ... bzw. funktioniert das nicht.

[Stephan Betken 43]

Ist doch egal, da ja eh keiner das Passwort hat.

[Muffel 11]

Nein, aber es gibt Software, um es zu ändern.

 

Man kann das Passwort ändern, aber nicht auslesen. Gut.

 

Ein Passwort brutal zu ändern heißt aber auch, dass danach ein vom User angelegter EFS-verschlüsselter Ordner NIE mehr zu entschlüsseln ist, wenn dieses Zertifikat (ich kenn mich da nicht wirklich aus, aber da war doch was mit einem Zertifikat und EFS) nirgends gesichert wurde. Richtig oder falsch?

[lemeid 11]

Hallo,

 

Jetzt gehts ja doch um Passwörter...

... um das ganze im Keim zu ersticken:

 

http://www.mcseboard.de/rules.php#nr8

[Muffel 11]

Ich will nicht wissen wie man Passwörter knackt, sondern inwieweit man es verhindern kann bzw. wenn ein Angreifer es doch geschafft hat das Passwort zurückzusetzen, dass er dann trotzdem keine Daten verwenden kann (EFS). Hat doch wohl nix mit der Rule #8 zu tun!

[djmaker 95]

Wie bereits gesagt, das Thema Sicherheit ist sehr komplex und betrifft u.a. auch den Netzwerkverkehr auf den Switchen (Stichwort: monitoring-port).

[substyle 20]

Ich will nicht wissen wie man Passwörter knackt, sondern inwieweit man es verhindern kann bzw. wenn ein Angreifer es doch geschafft hat das Passwort zurückzusetzen, dass er dann trotzdem keine Daten verwenden kann (EFS). Hat doch wohl nix mit der Rule #8 zu tun!

 

Er kann die Daten dann nicht auslesen, durch ein gewaltsames zurücksetzten der Passwörter geht EFS "kaputt"

 

In dem Fall würde nur noch ein vorher eingerichteter EFS Recovery Agent nebst zugehörigem Passwort und vorher exportiertem Zertifikat helfen. Ohne Cert tut es aus ein lokaler administrativer User nebst PW. Aber das fällt hier wieder unter #8!

 

subby

[Muffel 11]

Er kann die Daten dann nicht auslesen, durch ein gewaltsames zurücksetzten der Passwörter geht EFS "kaputt"

 

Gut! Wirklich gut!

 

In dem Fall würde nur noch ein vorher eingerichteter EFS Recovery Agent nebst zugehörigem Passwort und vorher exportiertem Zertifikat helfen. Ohne Cert tut es aus ein lokaler administrativer User nebst PW.

 

Lokale Konten gibt es am DC aber nicht, also könnte ich somit eine gewisse Grundsicherung eines DC erreichen.

 

Danke.