Jump to content

Maschinen-Passwörter in der Domäne


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Jeder Client der in einer Domäne eingebunden ist hat ja ein eigenes Passwort, das ich als Admin nie zu Gesicht bekomme.

Dieses wird in der Kommunikation zwischen Client und DC immer mal wieder neu ausgehandelt.

Nun meine Fragen:

  1. kann ich dieses Passwort irgendwie auslesen und wenn ja, wie und wo?
  2. kann ich feststellen, wann dieses Passwort das letztemal geändert worden ist, wenn ja, wie und wo?
  3. kann ich die Zeit, nach der dieses Passwort geändert wird beeinflussen, und wenn ja, wie und wo?

Link zu diesem Kommentar

Hola,

 

  1. kann ich dieses Passwort irgendwie auslesen...?

 

nein.

 

 

  • kann ich feststellen, wann dieses Passwort das letztemal geändert worden ist, wenn ja, wie und wo?

 

Ja, kannst du. Im Attribut pwdlastset in den Eigenschaften eines jeden Computerkontos.

Dort ist ein Integer Wert hinterlegt, den du dann noch umrechnen musst, z.B. so: w32tm /ntte <Wert>.

 

 

  • kann ich die Zeit, nach der dieses Passwort geändert wird beeinflussen, und wenn ja, wie und wo?

 

Ja, beeinflussen kannst du es per Richtlinie. Aus Sicherheitsgründen solltest du es aber nicht deaktivieren bzw. sooo hoch den Wert setzen.

 

Computerkonfiguration - Windows-Einstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Sicherheitsoptionen -

"Domänenmitglied: Maximalalter von Computerkontenkennwörtern".

Link zu diesem Kommentar

Da hab ich direkt eine Frage an den Experten :)

 

Du schreibst ja, dass man die Funktion der Computerkennwörter nicht deaktivieren soll.

Gibt es dazu Beispiele warum man das machen soll. Gab es schon Versuche diese Passwörter zu hacken oder zu kompromittieren.

Wurden schon Sicherheitslücken dieser Funktion bekannt.

Ich persönlich schalte das in einer Umgebung mit VM`s gerne ab, um nicht in Probleme zu laufen, wenn ich mal ein Snapshot wieder zurück spiele.

Link zu diesem Kommentar

Aloha,

 

hast du gerade viel zu tun? Denn du warst mal aktivier on Board. ;)

 

 

Da hab ich direkt eine Frage an den Experten :)

 

Sag doch sowas nicht. Wo soll der denn sein, im Supermarkt?

Wenn du tatsächlich einen treffen solltest sag ihm, ich hätte auch eine Frage an ihn, nämlich, wie die Lottozahlen von nächster Woche lauten. :)

 

 

Du schreibst ja, dass man die Funktion der Computerkennwörter nicht deaktivieren soll.

 

Genau.

 

 

Gibt es dazu Beispiele warum man das machen soll.

 

Ein Netzwerk hat nicht nur ein Sicherheitsschloss was die Sicherheit anbetrifft, sondern mehrere und eins davon, sollte bereits an der Eingangstür zu dem Gebäude hängen. Kann jeder einfach (vielleicht auch noch unbemerkt) das Gebäude betreten? Ein weiteres Sicherheitsschloss wäre das Thema Social Engineering usw.

 

Die Sicherheit des Netzwerks ist nicht nur die Firewall die das Netz gegenüber den bösen Gefahren aus dem Internet schützen soll. Wie sieht es aber mit den internen Gefahren aus. Denke nicht nur an Firmen die lediglich hier in Deutschland angesiedelt sind. Denke auch an Enterprise-Unternehmen mit weltweiten Strukturen, wo sich Standorte mitten im Urwald befinden etc. Idealerweise sollte sich, alles was durch Kennwörter geschützt werden soll, das Kennwort regelmäßig ändern. Denn die Sicherheit eines Netzes ist sehr vielschichtig.

 

Natürlich wird nicht alles so heiß gegessen wie es gekocht wird, aber manch anderer glaubt auch das er mit einem DHCP-Server Angreifer abschrecken könnte. Es gibt aber auch Situationen, in denen das ändern des Computerkontokennworts zu einem Problem werden kann, wie z.B. beim Einsatz von PC-Wächter etc.

 

Fakt ist, dass Computerkontokennwort dient zur Absicherung der Datenkommunikation zwischen Client und Server (sicherer Kanal). Und das ist eben ein nicht unwichtiger Punkt.

 

 

Gab es schon Versuche diese Passwörter zu hacken oder zu kompromittieren.

 

Glaubst du das man davon erfahren würde? Welche Firma würde das preis geben oder wieviele Firmen haben das erst garnicht bemerkt etc.

Du könntest auch Fragen, in welchen Firmen bereits ein DC geklauft wurde. Das wirst du genauso wenig erfahren oder wenn, dann nur durch Zufall.

 

 

Wurden schon Sicherheitslücken dieser Funktion bekannt.

 

Wie gesagt, damit wäre ein Schloss was die Sicherheits des Netzwerks anbetrifft, bereits offen.

 

 

Ich persönlich schalte das in einer Umgebung mit VM`s gerne ab, um nicht in Probleme zu laufen, wenn ich mal ein Snapshot wieder zurück spiele.

 

Das machst du aber auch deswegen, weil du die VMs vermutlich in einer Testumgebung verwendest die auch mal längere Tage ausgeschaltet sind. Eine produktive VM wird sicherlich in der Firma nicht länger als 30 Tage ausgeschaltet sein oder wenn es das wäre, ist es nicht kritisch. Daher kannst du das in deiner Testumgebung gerne tun.

Link zu diesem Kommentar
Ja, beeinflussen kannst du es per Richtlinie. Aus Sicherheitsgründen solltest du es aber nicht deaktivieren bzw. sooo hoch den Wert setzen.

 

Computerkonfiguration - Windows-Einstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Sicherheitsoptionen -

"Domänenmitglied: Maximalalter von Computerkontenkennwörtern".

 

Ist das eine Richtlinie, die ich nur auf Domänenebene setzen kann oder kann ich diese auch für einzelne OUs setzen und sie werden da wirksam?

Link zu diesem Kommentar

 

Fakt ist, dass Computerkontokennwort dient zur Absicherung der Datenkommunikation zwischen Client und Server (sicherer Kanal). Und das ist eben ein nicht unwichtiger Punkt.

 

 

Wahrscheinlich nur ein falscher Begriff: soweit ich das verstanden haben, wird ein "sicherer Kanal" bzw "Securechannel" zwischen einem DC und einem Client vom NetlogonService über NTLM aufgebaut. d.h für den SecureChannel ist das ComputerPassword nicht notwendig. (securechannels gibts schon länger als Computerpasswörter)

Das ComputerPassword ist für die Kerberosauthentifizierung des Clients am DC notwendig.

 

cu

blub

Link zu diesem Kommentar
Wahrscheinlich nur ein falscher Begriff: soweit ich das verstanden haben, wird ein "sicherer Kanal" bzw "Securechannel" zwischen einem DC und einem Client vom NetlogonService über NTLM aufgebaut. d.h für den SecureChannel ist das ComputerPassword nicht notwendig.

 

Ich habe mich zwar nicht eindeutig ausgedrückt, aber du auch nicht ganz. ;)

Wie baut denn der Client eine Verbindung zum DC auf?

Nämlich durch den sicheren Kanal, für den er das Computerkontokennwort benötigt. :p

Link zu diesem Kommentar

ja, aber das ist kein festes Kennwort, was sich z.B. alle 30 Tage ändert, sondern wird während des NTLM-Prozesses neu gebildet. Das Hinzufügen eines neuen Computers geht auch über NTLM und da hat der Computer sicher noch kein Domänenpasswort.

 

Aber wiegesagt: soweit hab ich das Thema "NTLM-Kerberos-Computerpassword-SecureChannel" im stillen Kämmerlein verstanden. Ich lass mich gerne eines Besseren belehren

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...