carnivore 10 Geschrieben 29. Dezember 2015 Melden Teilen Geschrieben 29. Dezember 2015 (bearbeitet) Hallo, Ich habe in diesem Microsoftartikel diesen kleinen Abschnitt gefunden. If the attacker obtains the credentials for a domain administrator or an equivalent account with privileged access to Active Directory, then the attacker can compromise all of the computers in the Active Directory forest. The attacker may also compromise other domains that trust the compromised domain. Leider ohne nähere Erläuterung Wir redesignen unsere AD-Struktur, bestehend aus vielen kleinen Domänen zu einer großen Domäne. Die jetzigen Domänen haben Domaintrusts zu den unterschiedlichsten Partnern (externe Partner, Kunden, Testdomänen etc.). Viele der Trustbeziehungen (manche einseitig, manche auch zweiseitig) müssen auch in der neuen Welt fortbestehen. Könnte also eine kompromotierte externe Domäne, auf deren Security wir kaum Einfluss haben, unsere große Domäne über die Trustbeziehung gefährden? Ich kann mir eine Denial of Service Attacken vorstellen, wenn die externe Domäne alle unsere Konten sieht, aber wie siehts mit Kerberostickets etc. aus, die unsere User zum Trustpartner senden? Oder was kann der Trustpartner mit dem Trustpassword anfangen, das zum initialen Einrichten des Trusts verwendet wird. Wir haben ein Systemhaus engagiert, aber die zucken bei diesen Fragen mehr oder weniger nur mit den Schultern. Merci Carnivore bearbeitet 29. Dezember 2015 von carnivore Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 29. Dezember 2015 Melden Teilen Geschrieben 29. Dezember 2015 Je nach dem welche Rechte du den externen gibst. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 29. Dezember 2015 Melden Teilen Geschrieben 29. Dezember 2015 (bearbeitet) Hmm, also irgendwie doch aber auch logisch, oder? ;) Wenn du in der einen Domain alles darfst und dir wird vertraut... ;) Also nicht immer volle Kanne. Ich nehme an, du meinst _diese_ Artikel hier? https://www.microsoft.com/en-us/download/details.aspx?id=36036 Bye Norbert bearbeitet 29. Dezember 2015 von NorbertFe Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 4. Januar 2016 Melden Teilen Geschrieben 4. Januar 2016 Moin, was genau ist jetzt deine Frage? EIn Trust setzt Vertrauen voraus. Wenn man kein ausreichendes Vertrauen zur anderen Seite hat, dann darf man keinen Trust betreiben. Der Trust sagt aus, dass die vertrauende Seite der anderen Seite in Bezug auf die Authentisierung vertraut: Genau wie ein EU-Staat die Ausweise aller anderen EU-Staaten pauschal akzeptiert und kein Visum-Verfahren erfordert, sondern die betreffenden Personen einfach aufgrund ihrer EU-Staatsbürgerschaft mit zahlreichen Rechten ausstattet. Wenn der Admin einer solchen vertrauten Domäne nachlässig handelt und einem "Bösen" einen Account in seiner Domäne anlegt, dann behandelt eure Domäne diesen Account so wie jeden anderen aus der vertrauten Umgebung, ohne weitere Handhabe. Die einzige Steuerung besteht dann über konkrete Zugriffsrechte, aber alles, was nicht stärker eingeschränkt ist, wird der "Böse" genauso erreichen wie der "Gute" aus der vertrauten Domäne. Aus Security-Sicht ist eine Aussage wie "Domaintrusts zu den unterschiedlichsten Partnern (externe Partner, Kunden, Testdomänen etc.)" schon als sehr heikel einzuschätzen. Mag sein, dass das alles seine Richtigkeit hat - zumindest potenziell lauern dort Probleme. Ein Trust ist eine Holzhammer-Methode. Gruß, Nils Zitieren Link zu diesem Kommentar
carnivore 10 Geschrieben 4. Januar 2016 Autor Melden Teilen Geschrieben 4. Januar 2016 @Norbert: Sorry, hatte den Link vergessen. Merci! Hallo Nils, Danke für deine Einschätzung! Die grundsätzliche (oben schon beantwortete) Frage lautete: "Könnte also eine kompromotierte externe Domäne, auf deren Security wir kaum Einfluss haben, unsere große Domäne über die Trustbeziehung gefährden?" Interessant ist für mich das Bedrohungspotential, wenn der Trust nur einseitig ist. Geht von einer kompromitierten Trusting-Domain auch Gefahr für die Trusted-Domain aus? Gruß Carnivore Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 4. Januar 2016 Melden Teilen Geschrieben 4. Januar 2016 Moin, Interessant ist für mich das Bedrohungspotential, wenn der Trust nur einseitig ist. Geht von einer kompromitierten Trusting-Domain auch Gefahr für die Trusted-Domain aus? so allgemein formuliert: Ja, natürlich. Die User der Trusted Domain greifen ja schließlich auf die kompromittierte Domain zu. Wer weiß, was da genau kompromittiert ist. Schon die Information, wer denn da von der Trusted Domain aus zugreift, geht einen Angreifer vermutlich nichts an. Und das ist nur die allererste Stufe. Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.