Maschinen-Passwörter in der Domäne

[TruckerTom 10]

Jeder Client der in einer Domäne eingebunden ist hat ja ein eigenes Passwort, das ich als Admin nie zu Gesicht bekomme.

Dieses wird in der Kommunikation zwischen Client und DC immer mal wieder neu ausgehandelt.

Nun meine Fragen:

1. kann ich dieses Passwort irgendwie auslesen und wenn ja, wie und wo?
   
2. kann ich feststellen, wann dieses Passwort das letztemal geändert worden ist, wenn ja, wie und wo?
   
3. kann ich die Zeit, nach der dieses Passwort geändert wird beeinflussen, und wenn ja, wie und wo?
   

[NorbertFe 2.016]

[*]kann ich feststellen, wann dieses Passwort das letztemal geändert worden ist, wenn ja, wie und wo?

 

Genauso wie beim User (passwordlastset o.ä.) Gibts auch genügend Scripte für.

 

[*]kann ich die Zeit, nach der dieses Passwort geändert wird beeinflussen, und wenn ja, wie und wo?

 

Ja. Per GPO.

 

Bye

Norbert

[Daim 12]

Hola,

 

1. kann ich dieses Passwort irgendwie auslesen...?

 

nein.

 

 

• kann ich feststellen, wann dieses Passwort das letztemal geändert worden ist, wenn ja, wie und wo?

 

Ja, kannst du. Im Attribut pwdlastset in den Eigenschaften eines jeden Computerkontos.

Dort ist ein Integer Wert hinterlegt, den du dann noch umrechnen musst, z.B. so: w32tm /ntte <Wert>.

 

 

• kann ich die Zeit, nach der dieses Passwort geändert wird beeinflussen, und wenn ja, wie und wo?
  

 

Ja, beeinflussen kannst du es per Richtlinie. Aus Sicherheitsgründen solltest du es aber nicht deaktivieren bzw. sooo hoch den Wert setzen.

 

Computerkonfiguration - Windows-Einstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Sicherheitsoptionen -

"Domänenmitglied: Maximalalter von Computerkontenkennwörtern".

[ducke 11]

Da hab ich direkt eine Frage an den Experten :)

 

Du schreibst ja, dass man die Funktion der Computerkennwörter nicht deaktivieren soll.

Gibt es dazu Beispiele warum man das machen soll. Gab es schon Versuche diese Passwörter zu hacken oder zu kompromittieren.

Wurden schon Sicherheitslücken dieser Funktion bekannt.

Ich persönlich schalte das in einer Umgebung mit VM`s gerne ab, um nicht in Probleme zu laufen, wenn ich mal ein Snapshot wieder zurück spiele.

[Daim 12]

Aloha,

 

hast du gerade viel zu tun? Denn du warst mal aktivier on Board. ;)

 

 

Da hab ich direkt eine Frage an den Experten :)

 

Sag doch sowas nicht. Wo soll der denn sein, im Supermarkt?

Wenn du tatsächlich einen treffen solltest sag ihm, ich hätte auch eine Frage an ihn, nämlich, wie die Lottozahlen von nächster Woche lauten. :)

 

 

Du schreibst ja, dass man die Funktion der Computerkennwörter nicht deaktivieren soll.

 

Genau.

 

 

Gibt es dazu Beispiele warum man das machen soll.

 

Ein Netzwerk hat nicht nur ein Sicherheitsschloss was die Sicherheit anbetrifft, sondern mehrere und eins davon, sollte bereits an der Eingangstür zu dem Gebäude hängen. Kann jeder einfach (vielleicht auch noch unbemerkt) das Gebäude betreten? Ein weiteres Sicherheitsschloss wäre das Thema Social Engineering usw.

 

Die Sicherheit des Netzwerks ist nicht nur die Firewall die das Netz gegenüber den bösen Gefahren aus dem Internet schützen soll. Wie sieht es aber mit den internen Gefahren aus. Denke nicht nur an Firmen die lediglich hier in Deutschland angesiedelt sind. Denke auch an Enterprise-Unternehmen mit weltweiten Strukturen, wo sich Standorte mitten im Urwald befinden etc. Idealerweise sollte sich, alles was durch Kennwörter geschützt werden soll, das Kennwort regelmäßig ändern. Denn die Sicherheit eines Netzes ist sehr vielschichtig.

 

Natürlich wird nicht alles so heiß gegessen wie es gekocht wird, aber manch anderer glaubt auch das er mit einem DHCP-Server Angreifer abschrecken könnte. Es gibt aber auch Situationen, in denen das ändern des Computerkontokennworts zu einem Problem werden kann, wie z.B. beim Einsatz von PC-Wächter etc.

 

Fakt ist, dass Computerkontokennwort dient zur Absicherung der Datenkommunikation zwischen Client und Server (sicherer Kanal). Und das ist eben ein nicht unwichtiger Punkt.

 

 

Gab es schon Versuche diese Passwörter zu hacken oder zu kompromittieren.

 

Glaubst du das man davon erfahren würde? Welche Firma würde das preis geben oder wieviele Firmen haben das erst garnicht bemerkt etc.

Du könntest auch Fragen, in welchen Firmen bereits ein DC geklauft wurde. Das wirst du genauso wenig erfahren oder wenn, dann nur durch Zufall.

 

 

Wurden schon Sicherheitslücken dieser Funktion bekannt.

 

Wie gesagt, damit wäre ein Schloss was die Sicherheits des Netzwerks anbetrifft, bereits offen.

 

 

Ich persönlich schalte das in einer Umgebung mit VM`s gerne ab, um nicht in Probleme zu laufen, wenn ich mal ein Snapshot wieder zurück spiele.

 

Das machst du aber auch deswegen, weil du die VMs vermutlich in einer Testumgebung verwendest die auch mal längere Tage ausgeschaltet sind. Eine produktive VM wird sicherlich in der Firma nicht länger als 30 Tage ausgeschaltet sein oder wenn es das wäre, ist es nicht kritisch. Daher kannst du das in deiner Testumgebung gerne tun.

[TruckerTom 10]

Ja, beeinflussen kannst du es per Richtlinie. Aus Sicherheitsgründen solltest du es aber nicht deaktivieren bzw. sooo hoch den Wert setzen.

 

Computerkonfiguration - Windows-Einstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Sicherheitsoptionen -

"Domänenmitglied: Maximalalter von Computerkontenkennwörtern".

 

Ist das eine Richtlinie, die ich nur auf Domänenebene setzen kann oder kann ich diese auch für einzelne OUs setzen und sie werden da wirksam?

[Daim 12]

...oder kann ich diese auch für einzelne OUs setzen und sie werden da wirksam?

 

Korrekt.

[blub 115]

 

Fakt ist, dass Computerkontokennwort dient zur Absicherung der Datenkommunikation zwischen Client und Server (sicherer Kanal). Und das ist eben ein nicht unwichtiger Punkt.

 

 

Wahrscheinlich nur ein falscher Begriff: soweit ich das verstanden haben, wird ein "sicherer Kanal" bzw "Securechannel" zwischen einem DC und einem Client vom NetlogonService über NTLM aufgebaut. d.h für den SecureChannel ist das ComputerPassword nicht notwendig. (securechannels gibts schon länger als Computerpasswörter)

Das ComputerPassword ist für die Kerberosauthentifizierung des Clients am DC notwendig.

 

cu

blub

[grizzly999 11]

Wahrscheinlich nur ein falscher Begriff: soweit ich das verstanden haben, wird ein "sicherer Kanal" bzw "Securechannel" zwischen einem DC und einem Client vom NetlogonService über NTLM aufgebaut.

Hi :)

 

Und wie authentifiziert sich der Computer dann über NTLM? Dazu braucht's ebenso einen Kennworthash, in dem Fall den des Computers

[Daim 12]

Wahrscheinlich nur ein falscher Begriff: soweit ich das verstanden haben, wird ein "sicherer Kanal" bzw "Securechannel" zwischen einem DC und einem Client vom NetlogonService über NTLM aufgebaut. d.h für den SecureChannel ist das ComputerPassword nicht notwendig.

 

Ich habe mich zwar nicht eindeutig ausgedrückt, aber du auch nicht ganz. ;)

Wie baut denn der Client eine Verbindung zum DC auf?

Nämlich durch den sicheren Kanal, für den er das Computerkontokennwort benötigt. :p

[blub 115]

ja, aber das ist kein festes Kennwort, was sich z.B. alle 30 Tage ändert, sondern wird während des NTLM-Prozesses neu gebildet. Das Hinzufügen eines neuen Computers geht auch über NTLM und da hat der Computer sicher noch kein Domänenpasswort.

 

Aber wiegesagt: soweit hab ich das Thema "NTLM-Kerberos-Computerpassword-SecureChannel" im stillen Kämmerlein verstanden. Ich lass mich gerne eines Besseren belehren