Verständnisfrage: Rechte normaler User im AD (Kennwörter anderer User)

[wznutzer 35]

Guten Morgen,

 

es gibt kein Problem, aber verstehen würde ich es trotzdem gerne. Wenn man z. B. die User eines VPN der Firewall gegen das AD authentifizieren will, macht man z. B. im Fall einer Sophos einen Domainjoin in das AD und hinterlegt in der Sophos einen User in dessen Kontext Abfragen (Gruppenmitgliedschaften, Kennwort korrekt usw.) an das AD gestellt werden. Dieser User benötigt aber keinerlei besondere Rechte.

 

Gruppenmitgliedschaften auslesen gehört zu den Standardberechtigungen, die man ja auch einschränken kann. Aber wie funktioniert das mit den Passwörter? Klar kann jeder User versuchen sich irgendwo mit einem fremden Account anzumelden und Passwörter erraten, aber wie macht das z. B. regulär eine Firewall? Auch mit einem Loginversuch, wo? Die Firewall braucht kein Passwort aus dem AD auslesen, es reicht ja die Info richtig oder falsch? Wenn man weiß wie das funktioniert, könnte man da evtl. ableiten, dass irgendwas besser verboten gehört, was bisher erlaubt ist?

 

Danke und Grüße

 

bearbeitet 2. Oktober von wznutzer
Schreibfehler

[NorbertFe 2.034]

Gerade eben schrieb wznutzer:

macht man z. B. im Fall einer Sophos einen Domainjoin in das AD und hinterlegt in der Sophos einen User in dessen Kontext Abfragen (Gruppenmitgliedschaften, Kennwort korrekt usw.) an das AD gestellt werden.

Nö, macht man eigentlich schon länger nicht mehr so. LDAP Abfragen oder RADIUS sind auch ohne Domainjoin jederzeit möglich (letzteres setzt natürlich einen RADIUS Server voraus). Der User braucht schon ein paar "besondere" Rechte. Vor allem falls Mitgliedschaften abgefragt werden sollen/müssen. Leider steckt bei vielen aber die Gruppe der Authentifizierten User in der Gruppe Prä-Windows 2000. ;) Und die darf viel zu viel lesen.

 

Den Rest versteh ich nicht so ganz, was du da "ableiten" willst usw.

 

[testperson 1.675]

Spoiler: Das RD Gateway bzw. der NPS "dahinter", tuts nicht mehr, wenn du die Authentifizierten User aus der Prä-Windows 2000 Gruppe entfernst. ;)

 

(Problem Remote Desktop Gateway mit RPC over HTTP - Windows Server Forum - MCSEboard.de)

 

[wznutzer 35]

vor 15 Minuten schrieb NorbertFe:

Den Rest versteh ich nicht so ganz, was du da "ableiten" willst usw.

Ich kann z. B. schon jetzt aus Deiner Antwort „ableiten“, dass es eher schlecht ist, die Authenifizierten User in der Prä-Windows 2000 Gruppe zu haben . So hatte ich das auch mit dem Passwort im Sinn. Wie findet die Firewall heraus, ob das Passwort stimmt oder nicht?

[NorbertFe 2.034]

Indem ein LDAP Bind durchgeführt wird. Hier sieht man das ganz gut:

https://connect2id.com/products/ldapauth/auth-explained

 

Für Radius findest du es sicher auch irgendwo.

vor 4 Minuten schrieb wznutzer:

dass es eher schlecht ist, die Authenifizierten User in der Prä-Windows 2000 Gruppe zu haben 

Das ist gut, aber warum kommst du zu dieser Erkenntnis erst jetzt? ;) Ich mein, der Name der Gruppe sollte doch Indikator genug sein.

vor 11 Minuten schrieb testperson:

Spoiler: Das RD Gateway bzw. der NPS "dahinter", tuts nicht mehr, wenn du die Authentifizierten User aus der Prä-Windows 2000 Gruppe entfernst. ;)

 

Dazu müssen aber nicht die Authentifizierten User in der Gruppe stecken, da tuts zur Not auch das RD Gateway oder der NPS. Und selbst das könnte man sich vermutlich sparen wenn man die Windows-Autorisierungszugriffsgruppe nutzt.

bearbeitet 2. Oktober von NorbertFe

[cj_berlin 1.313]

Moin,

das mit dem Domain Join des VPN-Konzentrators bzw. des RADIUS-Servers kann helfen, LDAP mit S nicht betreiben zu müssen, denn wenn Kerberos bereits zwischen Client (VPN-Konzentrator) und Server (Domain Controller) verwendet wird, kann auf LDAPS verzichtet werden. Aber nur, wenn es ordentlich gemacht wurde

[testperson 1.675]

vor 14 Minuten schrieb NorbertFe:

Und selbst das könnte man sich vermutlich sparen wenn man die Windows-Autorisierungszugriffsgruppe nutzt.

Das reicht AFAIK nicht aus.

[NorbertFe 2.034]

vor 7 Minuten schrieb cj_berlin:

Moin,

das mit dem Domain Join des VPN-Konzentrators bzw. des RADIUS-Servers kann helfen, LDAP mit S nicht betreiben zu müssen, denn wenn Kerberos bereits zwischen Client (VPN-Konzentrator) und Server (Domain Controller) verwendet wird, kann auf LDAPS verzichtet werden. Aber nur, wenn es ordentlich gemacht wurde

Hat aber den Nachteil, dass man dann mit der Kiste eben Mitglied des AD ist und somit ggf. auch dort neue Angriffspunkte schafft, die LDAPs oder Radius in der Form nicht haben.

vor 2 Minuten schrieb testperson:

Das reicht AFAIK nicht aus.

Bei ADFS reicht es den Group-Managed Service Account in die Gruppe zu packen unter dem die ADFS laufen. Aber im Zweifel muss man eben mal das Logging im AD hochdrehen. Lösbar sollte es auf jeden Fall auch ohne die Prä-Windows 2000 Gruppe sein.

[wznutzer 35]

vor 33 Minuten schrieb NorbertFe:

Das ist gut, aber warum kommst du zu dieser Erkenntnis erst jetzt? ;)

Nein, die Erkenntnis hatte ich schon vor längerer Zeit. Deswegen ist das Computerkonto des RD-Gateway auch da drin. Jetzt muss ich aber noch rausfinden, warum die Abfrage der Gruppenmitgliedschaften geht, obwohl ich mich an keine spezielle Rechtevergabe erinnern kann. Danke für den Hinweis mit LDAP Bind.

 

Das die Mitglieschaft der Authentifizierten User in der Prä-Windows 2000 Gruppe ein größeres Sicherheitsproblem ist, war mir tatsächlich nicht bewusst, war eher „braucht man nicht mehr“.

bearbeitet 2. Oktober von wznutzer

[testperson 1.675]

vor 9 Minuten schrieb NorbertFe:

Bei ADFS reicht es den Group-Managed Service Account in die Gruppe zu packen unter dem die ADFS laufen. Aber im Zweifel muss man eben mal das Logging im AD hochdrehen. Lösbar sollte es auf jeden Fall auch ohne die Prä-Windows 2000 Gruppe sein.

Habe es gerade getestet und es reicht nicht. Die "Mühe" mit dem Logging wollte ich mir irgendwann mal machen. Aber irgendwie nutzen dann doch zu wenige Kunden das RDGW. :)

[NorbertFe 2.034]

Weil die Gruppe PräWindows 2000 so ziemlich alle Attribute im AD lesen kann (abgesehen von confidental attributes). 

Gerade eben schrieb testperson:

Aber irgendwie nutzen dann doch zu wenige Kunden das RDGW. :)

Das kann sich bei Citrix' Kundenverhalten ja bald ändern. ;)

[testperson 1.675]

vor 2 Minuten schrieb NorbertFe:

Das kann sich bei Citrix' Kundenverhalten ja bald ändern. ;)

Davon losgelöst habe ich da so ne Idee bzgl. Remote Access per Netscaler Unified Gateway und dem RDP Proxy. ;) Und "Plan B" bzw. eine Alternative wäre im Moment halt "Microsoft Entra Private Access".

[wznutzer 35]

vor 11 Minuten schrieb NorbertFe:

Weil die Gruppe PräWindows 2000 so ziemlich alle Attribute im AD lesen kann (abgesehen von confidental attributes).

In meinen Fall ist der User nicht Mitglied, geht aber trotzdem. Das meinte ich damit.

[NorbertFe 2.034]

Welcher User?

[wznutzer 35]

Gerade eben schrieb NorbertFe:

Welcher User?

Der User in der Firewall der verwendet wird um die Passwörter zu checken (LDAP Bind wie ich gelernt habe) und mit dem auch die Gruppen ausgelesen werden (z. B. darf VPN). Vermutlich wurde doch mal ein Recht vergeben und leider vergessen / nicht dokumentiert.

vor 38 Minuten schrieb cj_berlin:

LDAP mit S nicht betreiben zu müssen

Verstehe ich das richtig? Nicht zu müssen heißt aber zu können. Aber dann geht das Passwort beim LDAP Bind unverschlüsselt über die Leitung und das will man nicht. Richtig?