9
Domain-Admin-Kennwort geändert, ausreichend?
Hallo, ich habe eine Frage zm Thema Security.
Bei einer Umgebung wurde jahrelang vom Geschäftsführer " aus Einfachheit" das Domain_Admin Kennwort für lokale Installationen auf ALLEN Clients verwendet in einer Domäne mit Server 2019.
Dies ist mir natürlich ein Dorn im Auge, denn es gibt eigentlich individuelle lange lokale Admin-Kennwörter für jeden Client, die dafür verwendet werden ( LAPS ist mittelfristig geplant).
Jetzt ist meine Frage, kann ich ohne die Domäne neu aufzusetzen das interne Netz wieder halbwegs "sicher" bekommen?
Bisher habe ich das Domain-Admin Kennwort geändert direkt auf dem Server. aber reicht dies aus, dass wenn z.B. ein Client infiltriert werden sollte oder sind da irgendwelche Tickets bzw Hashes noch ausnutzbar um weiterhin einfach Domain-Admin Rechte zu erhalten?
Muss ich noch etwas anderes unternehmen?
Vielen Dank und beste Grüße
Bei einer Umgebung wurde jahrelang vom Geschäftsführer " aus Einfachheit" das Domain_Admin Kennwort für lokale Installationen auf ALLEN Clients verwendet in einer Domäne mit Server 2019.
Dies ist mir natürlich ein Dorn im Auge, denn es gibt eigentlich individuelle lange lokale Admin-Kennwörter für jeden Client, die dafür verwendet werden ( LAPS ist mittelfristig geplant).
Jetzt ist meine Frage, kann ich ohne die Domäne neu aufzusetzen das interne Netz wieder halbwegs "sicher" bekommen?
Bisher habe ich das Domain-Admin Kennwort geändert direkt auf dem Server. aber reicht dies aus, dass wenn z.B. ein Client infiltriert werden sollte oder sind da irgendwelche Tickets bzw Hashes noch ausnutzbar um weiterhin einfach Domain-Admin Rechte zu erhalten?
Muss ich noch etwas anderes unternehmen?
Vielen Dank und beste Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 62833278431
Url: https://administrator.de/contentid/62833278431
Printed on: April 27, 2024 at 12:04 o'clock
9 Comments
Latest comment
Nun ja das Kennwort zu ändern ist schon mal ein Anfang.
Wenn sich da dann jemand aber in irgendwelche Sicherheitsgruppen eingetragen hat
dann hat er ja unterm Strich, wenn es die Richtige ist, immer noch überall Zugriff drauf.
Kontrollire auf jedenfalls alle WICHTIGEN Sicherheitsgruppen im AD.
Wenn es aber ein Ticket hatte kann er sich u.U. das Ticket entsprechend verlängern
Wenn sich da dann jemand aber in irgendwelche Sicherheitsgruppen eingetragen hat
dann hat er ja unterm Strich, wenn es die Richtige ist, immer noch überall Zugriff drauf.
Kontrollire auf jedenfalls alle WICHTIGEN Sicherheitsgruppen im AD.
Wenn es aber ein Ticket hatte kann er sich u.U. das Ticket entsprechend verlängern
Hi.
evtl. wäre es sinnvoll (und an der Zeit?) das Kerberos Passwort/AD Masterkey neu zu setzen:
www.msxfaq.de/windows/kerberos/krbtgt_keyrollover.htm
Gruß
evtl. wäre es sinnvoll (und an der Zeit?) das Kerberos Passwort/AD Masterkey neu zu setzen:
www.msxfaq.de/windows/kerberos/krbtgt_keyrollover.htm
Gruß
Hi,
Du solltest noch das Kerberos-Passwort neu setzten.
E.
Du solltest noch das Kerberos-Passwort neu setzten.
E.
Quote from @accessViolation:
Hi.
evtl. wäre es sinnvoll (und an der Zeit?) das Kerberos Passwort/AD Masterkey neu zu setzen:
www.msxfaq.de/windows/kerberos/krbtgt_keyrollover.htm
Gruß
Hi.
evtl. wäre es sinnvoll (und an der Zeit?) das Kerberos Passwort/AD Masterkey neu zu setzen:
www.msxfaq.de/windows/kerberos/krbtgt_keyrollover.htm
Gruß
Könnte dies irgendwelche Auswirkungen auf den Betrieb haben?
Also gibt es da Risiken wenn ich dies tue?
Könnte dies irgendwelche Auswirkungen auf den Betrieb haben?
Ja! unbedingt den Artikel vollständig lesen und verstehen.Also gibt es da Risiken wenn ich dies tue?
Ja! Unbedingt den Sync abwarten (falls mehrere DCs aktiv sind).Gruß
.. und mach Dich ans LAPS dran.
Macht gute Dienste und funktioniert einwandfrei.
www.alitajran.com/windows-laps/
Macht gute Dienste und funktioniert einwandfrei.
www.alitajran.com/windows-laps/
Ja, wenn du die vorgeschriebene Zweit von 12 Stunden nicht einhältst.
Das Kennwort muss auf jeden Fall zwei Mal geändert werden. Ist alles gut dokumentiert und es gibt ein Skript von Microsoft mit dem du die Voraussetzungen prüfen, und die Änderung durchführen kannst.
Ich würde mich an die folgende Anleitung halten:
www.msxfaq.de/windows/kerberos/krbtgt_keyrollover.htm
Bei nicht Englischen Servern muss nämlich was am Skript geändert werden. Ist alles beschrieben und hat bei mir auch direkt funktioniert.
Das Kennwort muss auf jeden Fall zwei Mal geändert werden. Ist alles gut dokumentiert und es gibt ein Skript von Microsoft mit dem du die Voraussetzungen prüfen, und die Änderung durchführen kannst.
Ich würde mich an die folgende Anleitung halten:
www.msxfaq.de/windows/kerberos/krbtgt_keyrollover.htm
Bei nicht Englischen Servern muss nämlich was am Skript geändert werden. Ist alles beschrieben und hat bei mir auch direkt funktioniert.
Auf keinen Fall sollte man das Passwort „krbtgt“ direkt abändern, es sei denn man hat vorher alles abgesichert und weiß was man tut.
Die meisten vergessen, dass das eine Operation am offenen Herzen ist (DC). Du solltest sowas vorher in deiner VM Testumgebung durchspielen!
und wie schon geschrieben, reicht es, das Passwort zu ändern. Damit werden die alten Hashes obsolet.
-> Vorrausgesetzt natürlich das vorher keine Infiltration stattgefunden hat.
Die meisten vergessen, dass das eine Operation am offenen Herzen ist (DC). Du solltest sowas vorher in deiner VM Testumgebung durchspielen!
und wie schon geschrieben, reicht es, das Passwort zu ändern. Damit werden die alten Hashes obsolet.
-> Vorrausgesetzt natürlich das vorher keine Infiltration stattgefunden hat.
Spiele es in Gedanken einmal durch:
Jemand hat das Domänenadminkennwort oder den Hash geschnappt und sich eine Backdoor auf dem DC angelegt (er konnte ja c$ des DCs von seinem PC aus manipulieren und hatte somit vollen Datei- und Registryzugriff auf die DCs).
Mit dieser Backdoor kann er jederzeit auch bei geändertem Kennwort wieder rein. Was auch immer du tust, er hat die Macht, solange, bis du diese Backdoor ausfindig machst.
Das Auffinden ist jedoch schwierig, da Windows sehr komplex ist. Ergo hast Du ein Risiko.
Um das abzustellen, müsstest Du die Domäne neu aufsetzen - das wirst Du mit Sicherheit nicht wollen.
Somit musst Du mit diesem Risiko leben und könntest tatsächlich von der vorigen Administration/dem Chef eine Erklärung verlangen, die den Sachverhalt dokumentiert und im Fall der Fälle belastet werden kann.
Nun setze dem Gedankenspiel entgegen:
Mehrfach im Jahr gibt es Sicherheitslücken, die, falls sie vor dem Patchen bekannt wären, jedermann im LAN ermöglichen, die Domäne zu übernehmen. Das Risiko ist immer da und nur der, der in der Lage ist, wirklich jedes unerwartete Hüsteln auf den DCs aufzuzeichnen und auszuwerten, ist einigermaßen dagegen gefeit.
Fazit: das Konstrukt kann Jahre gutgehen oder dir jederzeit um die Ohren fliegen. Somit ist nur die Frage: wer ist verantwortlich? In deinem Fall haben dich andere völlig unnötig reellen Gefahren ausgesetzt. Dafür sollten sie nun zumindest einen Wisch zeichnen, dass sie das getan haben.
Jemand hat das Domänenadminkennwort oder den Hash geschnappt und sich eine Backdoor auf dem DC angelegt (er konnte ja c$ des DCs von seinem PC aus manipulieren und hatte somit vollen Datei- und Registryzugriff auf die DCs).
Mit dieser Backdoor kann er jederzeit auch bei geändertem Kennwort wieder rein. Was auch immer du tust, er hat die Macht, solange, bis du diese Backdoor ausfindig machst.
Das Auffinden ist jedoch schwierig, da Windows sehr komplex ist. Ergo hast Du ein Risiko.
Um das abzustellen, müsstest Du die Domäne neu aufsetzen - das wirst Du mit Sicherheit nicht wollen.
Somit musst Du mit diesem Risiko leben und könntest tatsächlich von der vorigen Administration/dem Chef eine Erklärung verlangen, die den Sachverhalt dokumentiert und im Fall der Fälle belastet werden kann.
Nun setze dem Gedankenspiel entgegen:
Mehrfach im Jahr gibt es Sicherheitslücken, die, falls sie vor dem Patchen bekannt wären, jedermann im LAN ermöglichen, die Domäne zu übernehmen. Das Risiko ist immer da und nur der, der in der Lage ist, wirklich jedes unerwartete Hüsteln auf den DCs aufzuzeichnen und auszuwerten, ist einigermaßen dagegen gefeit.
Fazit: das Konstrukt kann Jahre gutgehen oder dir jederzeit um die Ohren fliegen. Somit ist nur die Frage: wer ist verantwortlich? In deinem Fall haben dich andere völlig unnötig reellen Gefahren ausgesetzt. Dafür sollten sie nun zumindest einen Wisch zeichnen, dass sie das getan haben.
2