Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Frage zu Windows Access Tokens

Frage Sicherheit

Mitglied: strikernet

strikernet (Level 1) - Jetzt verbinden

23.03.2009, aktualisiert 09:03 Uhr, 3572 Aufrufe, 4 Kommentare

Hallo,

bei einer Sicherheitsüberprüfung wurde festgestellt, das die Access Tokens erst nach einem Reboot gelöscht werden.
Die Empfehlung dieser Firma war nun das diese Access Tokens nach dem Abmelden des Benutzers gelöscht werden.
In dem Bericht steht das sie ein Tool names 'incognito' benutzt haben.

Ich suche habe Google und auch Technet/MSDN befragt, habe aber nichts brauchbares finden können.
Das einzige was ich bis jetzt gefunden habe war eine Power Point Presäntation mit unter anderem folgenden Inhalt:

I'm currently logged off. My account is safe...right?
It is supposed to be as all tokens should be cleaned up when a session ends (for example, when you log off in the case of an interactive login)
Whilst researching this topic I stumbled upon a case where this isn't true
On unpatched systems the tokens for interactive logins appear to persist after logoff.
Tokens are only reported as impersonation level tokens through the W32 API but if you try to use them it turns out they can access network resources!
Tokens do not disappear until reboot


Kennt sich vielleicht jemand damit aus und kann mir bei diesem Problem helfen ?

Vielen Dank

Gruß Andreas
Mitglied: DerWoWusste
23.03.2009 um 18:56 Uhr
Hallo!

Zitat aus Deiner Powerpoint-Präse (selbe Seite wie Obiges):
Therefore, if you logged into "that ropey old development system" briefly a month ago as a Domain Admin then your entire Windows Domain just got 0wned!
Sicher... unter Randumständen, die der Autor selbstredend überhaupt nicht näher anspricht bzw. verklausuliert ("On unpatched systems" - was soll das heißen? OS? Patchstand??) und bei gleichzeitigem Tiefdruckgebiet mag das klappen. Auch wenn die Präsentation offenbar aktuell ist, ist sie doch schon auf einer Blackhat-Konferent 2006 Thema gewesen - Evtl. vollkommen überholt?

Wie habt Ihr das bei Euch festgestellt, wenn ich fragen darf?
Ist Euch bewußt, dass zur Ausnutzung ein bereits kompromittiertes System und "evtl. Debug-Privilegien" benötigt werden (so die Blackhats)?

Ich würde mir bei Sicherheitschecks doch eher um weitaus banalere Dinge Sorgen machen, bzw. erstmal sicherstellen, dass die Problematik erstmal richtig skizziert wird:
Was (Wert/Zugänglichkeit) wollen wir gegen wen oder was schützen?
Bitte warten ..
Mitglied: strikernet
24.03.2009 um 08:40 Uhr
Hallo,

vielan Dank für Deine Antwort. Dein Zitat kommt mir bekannt vor ;)

Ich selber bin Praktikant in der Firma wo ich jetzt bin und im Rahmen einer Weiterbildung arbeite ich ein Projekt aus. Im Dezember 2008 war hier eine "Sicherheitsüberprüfung" die eine andere Firma durchgeführt hatte.
Ihre Aufgabe war es Sicherheitslücken in dem Netzwerk/Domäne zu finden. Diese Firma hat das Tool "incognito" eingesetzt und damit ein Konto aufgespührt and dessen Passwort nach ein paar Stunden aus einem Hashwert widerherstellen können. Dieses Konto war Mitglied der Gruppe Domänenadministratoren.

In dem Sicherheitsbericht, das wir von der Firma bekommen haben, stand dann etwas von impersonation tokens. Nun versuche ich herauszufinden, ob es dafür eine Lösung gibt.

Gruß Andreas
Bitte warten ..
Mitglied: DerWoWusste
24.03.2009 um 11:06 Uhr
Hast Du als Praktikant das Wissen dafür parat? Nicht böse gemeint, aber das ist nicht ohne und nicht Sache eines Praktikums, sondern Sache der Leute, die den Penetrationstest ausgeführt hatten. Zur Sache: prüf doch mal nach, ob die Herren Incognito mit einem lokalen Admin ausführen durften. Dann gibt es nämlich auch ohne incognito Wege, an Passworthashes des Domänenadmins zu kommen, wenn dessen Kennwort gecached auf dem PC vorliegt.
Daraus sollte man eigentlich nur den Schluss ziehen: lokale Admins nur im Notfall und Passwortcaching lokal abschalten/auf nur ein Kennwort beschränken - Stichwort cachedlogonscount
Bitte warten ..
Mitglied: strikernet
24.03.2009 um 14:26 Uhr
Ich habe mal bei einer anderen Weiterbildung den MCSE gemacht. Habe viel mit Büchern gelernt, wenig Praxis. Ein bisschen Ahnung habe ich da schon.
So wie ich das in dem Bericht gelesen habe, ging der weg über den des lokalen Administrators.
Zur Zeit ist auch ein Dienst auf jeden Client installiert dessen Anmeldekonto Mitglied der Domänenadministratoren ist. Das soll nun alles geändert werden.
Vielen Dank auch für Deine Antwort, das hilft mir schon mal sehr gut weiter.
Bitte warten ..
Ähnliche Inhalte
Batch & Shell
CMD cURL Access Token parsen
Frage von maddigBatch & Shell2 Kommentare

Hallo, ich habe ein Problem mit einem CMD Script. Und zwar in dem Script eine Datei per cURL zu ...

Batch & Shell
Warum Funktioniert der tokens befehl nicht
gelöst Frage von DomiZone1Batch & Shell5 Kommentare

Hallo liebe Administartor Community Ich Beis gleich in mein nicht vorhandenes lenkrad :D der befehl: for /f "delims=: tokens1,2" ...

LAN, WAN, Wireless
Fragen zur Integration einen WLAN Access Point
Frage von ThreeSixtyLAN, WAN, Wireless1 Kommentar

Hallo Leute, ich mache derzeit eine Ausbildung zum Fachinformatiker für Systemintegration und bereite mich ein wenig auf mein Abschlussprojekt ...

Sicherheit
Sophos Lan Crypt mit Token
Frage von hscheipSicherheit1 Kommentar

Hallo zusammen, ich hab erfolgreich Lancrypt installiert und würde jetzt gerne einen Token für die Authentifizierung des Nutzers einsetzen. ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 1 TagWindows 102 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 1 TagSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 1 TagInternet3 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 1 TagDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
Windows Server
GPO nur für bestimmte Computer
Frage von Leo-leWindows Server13 Kommentare

Hallo Forum, gern würde ich ein Robocopy script per Bat an eine GPO hängen. Wichtig wäre aber dort der ...

Windows Server
KMS Facts for Client configuration
Frage von winlinWindows Server13 Kommentare

Hey Leute, wir haben in unserem Netz nun einen neuen KMS Server. Haben Bestands-VMs die noch nicht aktiviert sind. ...

Router & Routing
OpenWRT bzw. L.E.D.E auf Buffalo WZR-HP-AG300H - update
gelöst Frage von EpigeneseRouter & Routing11 Kommentare

Guten Tag, ich habe auf einem Buffalo WZR-HP-AG300H die alternative Firmware vom L.E.D.E Projekt geflasht. Ich bin es von ...

Windows Tools
Software-Tool zum Entfernen von bösartigem Windows
Frage von emeriksWindows Tools11 Kommentare

Hi, siehe Betreff hat das jemals irgendjemand schonmal sinnvoll eingesetzt? (MRT) E.