jpselter
Nov 04, 2009, updated at Nov 14, 2009 (UTC)
view6373
view7
0
Goto Top

Domänen-Passwort in Batchdatei?

GermanQuestionSecurity BasicsSecurity
Ein Kollege schreibt gerade fleissig eine Batchdatei, in die er in Klarschrift ein Domänenadmin-Kennwort reingeschrieben hat. Rein aus Sicht der IT-Sicherheit: ist sowas akzeptabel? Diese Datei liegt gerade auf einem lokalen Rechner in einem Ordner, wo nur der Kollege Zugriff hat. Ob das so sicher ist? Zweitens wird der Befehl aus der Batchdatei samt Passwort in Reinschrift durchs Netzwerk gesendet. Ist das richtig? Er fragt natürlich, wer das bitte auslesen sollte, mir geht es hier aber ums Prinzip, dass das Domänenadmin-Passwort in Klarschrift in einer Datei steht. Was soll ich machen?
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 128637

Url: https://administrator.de/contentid/128637

Printed on: April 26, 2024 at 16:04 o'clock

7 Comments
Latest comment
Goto Top
Member: calamari
calamari Nov 04, 2009 at 14:39:28 (UTC)
Goto Top
Schau mal hier http://www.steelsonic.com/steelrunas.htm
Member: JPSelter
JPSelter Nov 04, 2009 at 14:48:24 (UTC)
Goto Top
Genau das nutze ich selbst, ich überlege gerade, wie der Kollege das einsetzen könnte...
Member: maretz
maretz Nov 04, 2009 at 15:09:59 (UTC)
Goto Top
Naja - normalerweise schreibt man einfach das Passwort direkt auf jeden Monitor drauf (falls zu klein -> Schreibtischunterlage, Tastatur-Unterseite). Auf die Server kann man auch gut vorne das Passwort drauf schreiben... (gleich neben der Nummer vorm Arbeitsamt - weil man die ggf. dann sehr schnell benötigt).

Kurz: Nein, das Domänen-Admin-PW gehört mit SICHERHEIT nicht im Klartext in eine Text-File... Falls man das wirklich benötigt dann sollte man sich zumindest (und das ist wirklich das UNTERSTE minimum - selbst dafür gehört man noch verbrannt, erhängt und gevierteilt!) einen Account ohne Login-Rechte generieren und DEN Account nehmen. So kann zumindest nicht jeder Depp mit dem Passwort (weil er das mal beim Durchlaufen gesehen hat o.ä.) sich direkt am Server anmelden...
Member: JPSelter
JPSelter Nov 04, 2009 at 15:14:04 (UTC)
Goto Top
Ich hab ihm jetzt Steelrunas dahingelegt face-wink
Member: Gagarin
Gagarin Nov 04, 2009 at 15:19:54 (UTC)
Goto Top
Die Frage ist hoffentlich nicht ernst gemeint.

Lass ihr den Generalschluessel fuer eure Niederlassung auch auf jedem Schreibtisch liegen?!
Member: DerWoWusste
DerWoWusste Nov 04, 2009 at 23:42:11 (UTC)
Goto Top
Zweitens wird der Befehl aus der Batchdatei samt Passwort in Reinschrift durchs Netzwerk gesendet. Ist das richtig?
Wie stellst Du Dir das vor face-smile ?
Wenn ich auf meinem Rechner also runas benutze, um mit meinem Domänenadminkonto beispielsweise per md ein Verzeichnis auf einem Fileserver zu erstellen, dann "fliegt" das Kennwort in Klarschrift mitsniffbar durch's Netz? Genau.
Mit der Batch ist es nichts anderes, es ist also nicht prinzipiell unsicher. Oder wie arbeitet Deine Batch? Und wie lautet eigentlich das Kennwort, wo wir gerade dabei sind?

Das Prinzip ist einfach:
Wenn es keinen unvertretbaren Aufwand macht, dann sollte man es nicht tun bzw. diese Batch so schützen, wie es dem Kennwort gebührt.
Member: gnarff
gnarff Nov 14, 2009 at 15:38:51 (UTC)
Goto Top
Ich koennte mir vorstellen via Batch eine z.B. Applikation ausfuehren zulassen, die die Authentisierung verschluesselt vornimmt, dann braeuchte man theoretisch nicht einmal das Passwort da reinzuschreiben; aber das Passwort im Klartext da reinzusetzen halte ich auf alle Faelle fuer unverantwortlich..
Saludos
Gnarff
GermanQuestionSecurity BasicsSecurity