Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Frage zu Windows Access Tokens

Frage Sicherheit

Mitglied: strikernet

strikernet (Level 1) - Jetzt verbinden

23.03.2009, aktualisiert 09:03 Uhr, 3555 Aufrufe, 4 Kommentare

Hallo,

bei einer Sicherheitsüberprüfung wurde festgestellt, das die Access Tokens erst nach einem Reboot gelöscht werden.
Die Empfehlung dieser Firma war nun das diese Access Tokens nach dem Abmelden des Benutzers gelöscht werden.
In dem Bericht steht das sie ein Tool names 'incognito' benutzt haben.

Ich suche habe Google und auch Technet/MSDN befragt, habe aber nichts brauchbares finden können.
Das einzige was ich bis jetzt gefunden habe war eine Power Point Presäntation mit unter anderem folgenden Inhalt:

I'm currently logged off. My account is safe...right?
It is supposed to be as all tokens should be cleaned up when a session ends (for example, when you log off in the case of an interactive login)
Whilst researching this topic I stumbled upon a case where this isn't true
On unpatched systems the tokens for interactive logins appear to persist after logoff.
Tokens are only reported as impersonation level tokens through the W32 API but if you try to use them it turns out they can access network resources!
Tokens do not disappear until reboot


Kennt sich vielleicht jemand damit aus und kann mir bei diesem Problem helfen ?

Vielen Dank

Gruß Andreas
Mitglied: DerWoWusste
23.03.2009 um 18:56 Uhr
Hallo!

Zitat aus Deiner Powerpoint-Präse (selbe Seite wie Obiges):
Therefore, if you logged into "that ropey old development system" briefly a month ago as a Domain Admin then your entire Windows Domain just got 0wned!
Sicher... unter Randumständen, die der Autor selbstredend überhaupt nicht näher anspricht bzw. verklausuliert ("On unpatched systems" - was soll das heißen? OS? Patchstand??) und bei gleichzeitigem Tiefdruckgebiet mag das klappen. Auch wenn die Präsentation offenbar aktuell ist, ist sie doch schon auf einer Blackhat-Konferent 2006 Thema gewesen - Evtl. vollkommen überholt?

Wie habt Ihr das bei Euch festgestellt, wenn ich fragen darf?
Ist Euch bewußt, dass zur Ausnutzung ein bereits kompromittiertes System und "evtl. Debug-Privilegien" benötigt werden (so die Blackhats)?

Ich würde mir bei Sicherheitschecks doch eher um weitaus banalere Dinge Sorgen machen, bzw. erstmal sicherstellen, dass die Problematik erstmal richtig skizziert wird:
Was (Wert/Zugänglichkeit) wollen wir gegen wen oder was schützen?
Bitte warten ..
Mitglied: strikernet
24.03.2009 um 08:40 Uhr
Hallo,

vielan Dank für Deine Antwort. Dein Zitat kommt mir bekannt vor ;)

Ich selber bin Praktikant in der Firma wo ich jetzt bin und im Rahmen einer Weiterbildung arbeite ich ein Projekt aus. Im Dezember 2008 war hier eine "Sicherheitsüberprüfung" die eine andere Firma durchgeführt hatte.
Ihre Aufgabe war es Sicherheitslücken in dem Netzwerk/Domäne zu finden. Diese Firma hat das Tool "incognito" eingesetzt und damit ein Konto aufgespührt and dessen Passwort nach ein paar Stunden aus einem Hashwert widerherstellen können. Dieses Konto war Mitglied der Gruppe Domänenadministratoren.

In dem Sicherheitsbericht, das wir von der Firma bekommen haben, stand dann etwas von impersonation tokens. Nun versuche ich herauszufinden, ob es dafür eine Lösung gibt.

Gruß Andreas
Bitte warten ..
Mitglied: DerWoWusste
24.03.2009 um 11:06 Uhr
Hast Du als Praktikant das Wissen dafür parat? Nicht böse gemeint, aber das ist nicht ohne und nicht Sache eines Praktikums, sondern Sache der Leute, die den Penetrationstest ausgeführt hatten. Zur Sache: prüf doch mal nach, ob die Herren Incognito mit einem lokalen Admin ausführen durften. Dann gibt es nämlich auch ohne incognito Wege, an Passworthashes des Domänenadmins zu kommen, wenn dessen Kennwort gecached auf dem PC vorliegt.
Daraus sollte man eigentlich nur den Schluss ziehen: lokale Admins nur im Notfall und Passwortcaching lokal abschalten/auf nur ein Kennwort beschränken - Stichwort cachedlogonscount
Bitte warten ..
Mitglied: strikernet
24.03.2009 um 14:26 Uhr
Ich habe mal bei einer anderen Weiterbildung den MCSE gemacht. Habe viel mit Büchern gelernt, wenig Praxis. Ein bisschen Ahnung habe ich da schon.
So wie ich das in dem Bericht gelesen habe, ging der weg über den des lokalen Administrators.
Zur Zeit ist auch ein Dienst auf jeden Client installiert dessen Anmeldekonto Mitglied der Domänenadministratoren ist. Das soll nun alles geändert werden.
Vielen Dank auch für Deine Antwort, das hilft mir schon mal sehr gut weiter.
Bitte warten ..
Ähnliche Inhalte
Windows Installation
Eine etwas (wirklich) speziellere Frage: Windows 10-Installation über (16)

Frage von DerFurrer zum Thema Windows Installation ...

Windows Server
gelöst Update zu Lizenz Frage - Windows Server 2016 + Exchange (ggf. auf Hyper-V) (12)

Frage von martin2309 zum Thema Windows Server ...

Windows 10
Windows 10 mit Direct Access 2012 R2 zeigt es nicht alle Ordner an (4)

Frage von rainergugus zum Thema Windows 10 ...

Neue Wissensbeiträge
Tipps & Tricks

Wie Hackt man sich am besten in ein Computernetzwerk ein

(29)

Erfahrungsbericht von Herbrich19 zum Thema Tipps & Tricks ...

Humor (lol)

Bester Vorschlag eines Supporttechnikers ever: APC

(15)

Erfahrungsbericht von DerWoWusste zum Thema Humor (lol) ...

Windows Server

Exchange 2010 Active Directory und Windows Server 2016

(4)

Erfahrungsbericht von Herbrich19 zum Thema Windows Server ...

Heiß diskutierte Inhalte
Internet
gelöst Mitarbeiter surft auf unerwünschter Seite - Wie damit umgehen? (33)

Frage von sabines zum Thema Internet ...

Netzwerke
Wie erstelle ich ein Intranet (19)

Frage von Leonardnet zum Thema Netzwerke ...

LAN, WAN, Wireless
gelöst Eintägige Netzwerkunterbrechung trotz Backupleitung (15)

Frage von iAmbricksta zum Thema LAN, WAN, Wireless ...

Netzwerke
VPN-Server einrichten PPTPD-Einrichtung gescheitert (14)

Frage von MIlexx zum Thema Netzwerke ...