Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Frage zu Windows Access Tokens

Frage Sicherheit

Mitglied: strikernet

strikernet (Level 1) - Jetzt verbinden

23.03.2009, aktualisiert 09:03 Uhr, 3540 Aufrufe, 4 Kommentare

Hallo,

bei einer Sicherheitsüberprüfung wurde festgestellt, das die Access Tokens erst nach einem Reboot gelöscht werden.
Die Empfehlung dieser Firma war nun das diese Access Tokens nach dem Abmelden des Benutzers gelöscht werden.
In dem Bericht steht das sie ein Tool names 'incognito' benutzt haben.

Ich suche habe Google und auch Technet/MSDN befragt, habe aber nichts brauchbares finden können.
Das einzige was ich bis jetzt gefunden habe war eine Power Point Presäntation mit unter anderem folgenden Inhalt:

I'm currently logged off. My account is safe...right?
It is supposed to be as all tokens should be cleaned up when a session ends (for example, when you log off in the case of an interactive login)
Whilst researching this topic I stumbled upon a case where this isn't true
On unpatched systems the tokens for interactive logins appear to persist after logoff.
Tokens are only reported as impersonation level tokens through the W32 API but if you try to use them it turns out they can access network resources!
Tokens do not disappear until reboot


Kennt sich vielleicht jemand damit aus und kann mir bei diesem Problem helfen ?

Vielen Dank

Gruß Andreas
Mitglied: DerWoWusste
23.03.2009 um 18:56 Uhr
Hallo!

Zitat aus Deiner Powerpoint-Präse (selbe Seite wie Obiges):
Therefore, if you logged into "that ropey old development system" briefly a month ago as a Domain Admin then your entire Windows Domain just got 0wned!
Sicher... unter Randumständen, die der Autor selbstredend überhaupt nicht näher anspricht bzw. verklausuliert ("On unpatched systems" - was soll das heißen? OS? Patchstand??) und bei gleichzeitigem Tiefdruckgebiet mag das klappen. Auch wenn die Präsentation offenbar aktuell ist, ist sie doch schon auf einer Blackhat-Konferent 2006 Thema gewesen - Evtl. vollkommen überholt?

Wie habt Ihr das bei Euch festgestellt, wenn ich fragen darf?
Ist Euch bewußt, dass zur Ausnutzung ein bereits kompromittiertes System und "evtl. Debug-Privilegien" benötigt werden (so die Blackhats)?

Ich würde mir bei Sicherheitschecks doch eher um weitaus banalere Dinge Sorgen machen, bzw. erstmal sicherstellen, dass die Problematik erstmal richtig skizziert wird:
Was (Wert/Zugänglichkeit) wollen wir gegen wen oder was schützen?
Bitte warten ..
Mitglied: strikernet
24.03.2009 um 08:40 Uhr
Hallo,

vielan Dank für Deine Antwort. Dein Zitat kommt mir bekannt vor ;)

Ich selber bin Praktikant in der Firma wo ich jetzt bin und im Rahmen einer Weiterbildung arbeite ich ein Projekt aus. Im Dezember 2008 war hier eine "Sicherheitsüberprüfung" die eine andere Firma durchgeführt hatte.
Ihre Aufgabe war es Sicherheitslücken in dem Netzwerk/Domäne zu finden. Diese Firma hat das Tool "incognito" eingesetzt und damit ein Konto aufgespührt and dessen Passwort nach ein paar Stunden aus einem Hashwert widerherstellen können. Dieses Konto war Mitglied der Gruppe Domänenadministratoren.

In dem Sicherheitsbericht, das wir von der Firma bekommen haben, stand dann etwas von impersonation tokens. Nun versuche ich herauszufinden, ob es dafür eine Lösung gibt.

Gruß Andreas
Bitte warten ..
Mitglied: DerWoWusste
24.03.2009 um 11:06 Uhr
Hast Du als Praktikant das Wissen dafür parat? Nicht böse gemeint, aber das ist nicht ohne und nicht Sache eines Praktikums, sondern Sache der Leute, die den Penetrationstest ausgeführt hatten. Zur Sache: prüf doch mal nach, ob die Herren Incognito mit einem lokalen Admin ausführen durften. Dann gibt es nämlich auch ohne incognito Wege, an Passworthashes des Domänenadmins zu kommen, wenn dessen Kennwort gecached auf dem PC vorliegt.
Daraus sollte man eigentlich nur den Schluss ziehen: lokale Admins nur im Notfall und Passwortcaching lokal abschalten/auf nur ein Kennwort beschränken - Stichwort cachedlogonscount
Bitte warten ..
Mitglied: strikernet
24.03.2009 um 14:26 Uhr
Ich habe mal bei einer anderen Weiterbildung den MCSE gemacht. Habe viel mit Büchern gelernt, wenig Praxis. Ein bisschen Ahnung habe ich da schon.
So wie ich das in dem Bericht gelesen habe, ging der weg über den des lokalen Administrators.
Zur Zeit ist auch ein Dienst auf jeden Client installiert dessen Anmeldekonto Mitglied der Domänenadministratoren ist. Das soll nun alles geändert werden.
Vielen Dank auch für Deine Antwort, das hilft mir schon mal sehr gut weiter.
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (9)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...

Backup
Clients als Server missbrauchen? (9)

Frage von 1410640014 zum Thema Backup ...