7
Werden UAC und RDP Logins unter Windows gecached?
Hi,
es kam gerade bei uns die Frage auf, was mit Logininformationen geschieht, die ich auf einer Workstation unter Windows 10 eingebe.
Im speziellen, wenn adminbezogene Dinge getan werden, sprich ich will z.B. Software installieren und es kommt ein UAC prompt der nach einem Konto mit Adminrechten fragt. Oder man startet von der Workstation aus eine RDP Sitzung auf einen Server weil man schnell was nachsehen möchte und gibt dabei das Adminkonto des Servers ein (natürlich ohne "passwort merken"). Werden die Logins irgendwo auf der Workstation gecached? (Und wenn ja: macht es da einen Unterschied ob ich das RDP Fenster "wegxe" oder mich vom Server abmelde?)
Ist es also ein Sicherheitsrisiko wenn ich für die genannten Dinge ein Domänen Admin Konto benutze?
Danke
es kam gerade bei uns die Frage auf, was mit Logininformationen geschieht, die ich auf einer Workstation unter Windows 10 eingebe.
Im speziellen, wenn adminbezogene Dinge getan werden, sprich ich will z.B. Software installieren und es kommt ein UAC prompt der nach einem Konto mit Adminrechten fragt. Oder man startet von der Workstation aus eine RDP Sitzung auf einen Server weil man schnell was nachsehen möchte und gibt dabei das Adminkonto des Servers ein (natürlich ohne "passwort merken"). Werden die Logins irgendwo auf der Workstation gecached? (Und wenn ja: macht es da einen Unterschied ob ich das RDP Fenster "wegxe" oder mich vom Server abmelde?)
Ist es also ein Sicherheitsrisiko wenn ich für die genannten Dinge ein Domänen Admin Konto benutze?
Danke
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 356919
Url: https://administrator.de/contentid/356919
Printed on: April 19, 2024 at 19:04 o'clock
7 Comments
Latest comment
Hi,
Bei UAC nein.
Wenn Du beim RDP den Haken "Anmeldedaten speichern" nicht setzt, dann wird nichts gespeichert.
E.
Bei UAC nein.
Wenn Du beim RDP den Haken "Anmeldedaten speichern" nicht setzt, dann wird nichts gespeichert.
E.
Danke, gibt es hierzu was offizielles von Microsoft oder hat das irgendwer mal irgendwie getestet und festgehalten?
Reichen 17 Jahre Erfahrung mit RDP und 10 mit UAC?
Edit: Ach, RDP unter NT 4 vergessen ... Also 20 Jahre RDP ...
Edit: Ach, RDP unter NT 4 vergessen ... Also 20 Jahre RDP ...
Hi.
Du scheinst Dir Sorgen um die Sicherheit zu machen und suchst ein Forum heim, um das zu klären? Bereits das ist kein guter Weg.
Aber einen Grundsatz solltest Du kennen: verwende nur soviel Rechte, wie eben nötig sind. Um auf einem Client Software zu installieren, verwendet man nicht das Domänenadminkonto - auf gar keinen Fall!
Die in der UAC eingegebenen Kennwörter werden gecachet! Bei RDP ist das nicht so. An die gecachten Infos kommt jedoch nur ein lokaler Admin ran, dennoch sollte dort nicht mit dem Domänenadmin gearbeitet werden und ja, es ist ganz klar ein großes Risiko.
Wenn Du das nachprüfen möchtest: lade Dir psexec von Microsoft runter, starte dann regedit von einer elevated shell so:
psexec -s -i regedit
Dann gehe zu Computer\HKEY_LOCAL_MACHINE\SECURITY\Cache und schau an, wie sich der Cache verändert, wenn du die UAC beantwortest.
Für ein anständiges Supportkonzept, welches aus meiner Sicht maximal sicher ist, nimm Sicherer Umgang mit Supportkonten
Du scheinst Dir Sorgen um die Sicherheit zu machen und suchst ein Forum heim, um das zu klären? Bereits das ist kein guter Weg.
Aber einen Grundsatz solltest Du kennen: verwende nur soviel Rechte, wie eben nötig sind. Um auf einem Client Software zu installieren, verwendet man nicht das Domänenadminkonto - auf gar keinen Fall!
Die in der UAC eingegebenen Kennwörter werden gecachet! Bei RDP ist das nicht so. An die gecachten Infos kommt jedoch nur ein lokaler Admin ran, dennoch sollte dort nicht mit dem Domänenadmin gearbeitet werden und ja, es ist ganz klar ein großes Risiko.
Wenn Du das nachprüfen möchtest: lade Dir psexec von Microsoft runter, starte dann regedit von einer elevated shell so:
psexec -s -i regedit
Dann gehe zu Computer\HKEY_LOCAL_MACHINE\SECURITY\Cache und schau an, wie sich der Cache verändert, wenn du die UAC beantwortest.
Für ein anständiges Supportkonzept, welches aus meiner Sicht maximal sicher ist, nimm Sicherer Umgang mit Supportkonten
Danke für den Link. Wie gehst du denn vor wenn du mal direkt an einem Client mit adminrechten etwas tun musst? Dein Konzept beschreibt ja nur ein Vorgehen vom eigenen Schreibtisch aus.
Die in der UAC eingegebenen Kennwörter werden gecachet!
Jepp so ist es! Melde dich mal mit gestecktem Netzwerkkabel mit Admin Creds an, zieh den Stecker und mach es erneut...Die Hashes landen alle in der Registry und mit der "Mimikatz" schnell ausgelesen, also never ever do it like this. Guckst du:https://blog.cobaltstrike.com/2015/05/21/how-to-pass-the-hash-with-mimik ...
Domain-Admins und Enterprise-Admin-Accounts gehören in den Save, die braucht keiner täglich, wenn man die Rechte vernünftig delegiert.
Wie gehst du denn vor wenn du mal direkt an einem Client mit adminrechten etwas tun musst?
Gar nicht. Aus Sicherheitsgründen gebe ich keine Kennwörter in der Usersitzung ein. Wenn ich das Problem nicht mit dem Nutzer zusammen lösen kann, gehe ich an meinen Schreibtisch und verbinde mich remote wie beschrieben.
