Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Frage zu Windows Access Tokens

Frage Sicherheit

Mitglied: strikernet

strikernet (Level 1) - Jetzt verbinden

23.03.2009, aktualisiert 09:03 Uhr, 3568 Aufrufe, 4 Kommentare

Hallo,

bei einer Sicherheitsüberprüfung wurde festgestellt, das die Access Tokens erst nach einem Reboot gelöscht werden.
Die Empfehlung dieser Firma war nun das diese Access Tokens nach dem Abmelden des Benutzers gelöscht werden.
In dem Bericht steht das sie ein Tool names 'incognito' benutzt haben.

Ich suche habe Google und auch Technet/MSDN befragt, habe aber nichts brauchbares finden können.
Das einzige was ich bis jetzt gefunden habe war eine Power Point Presäntation mit unter anderem folgenden Inhalt:

I'm currently logged off. My account is safe...right?
It is supposed to be as all tokens should be cleaned up when a session ends (for example, when you log off in the case of an interactive login)
Whilst researching this topic I stumbled upon a case where this isn't true
On unpatched systems the tokens for interactive logins appear to persist after logoff.
Tokens are only reported as impersonation level tokens through the W32 API but if you try to use them it turns out they can access network resources!
Tokens do not disappear until reboot


Kennt sich vielleicht jemand damit aus und kann mir bei diesem Problem helfen ?

Vielen Dank

Gruß Andreas
Mitglied: DerWoWusste
23.03.2009 um 18:56 Uhr
Hallo!

Zitat aus Deiner Powerpoint-Präse (selbe Seite wie Obiges):
Therefore, if you logged into "that ropey old development system" briefly a month ago as a Domain Admin then your entire Windows Domain just got 0wned!
Sicher... unter Randumständen, die der Autor selbstredend überhaupt nicht näher anspricht bzw. verklausuliert ("On unpatched systems" - was soll das heißen? OS? Patchstand??) und bei gleichzeitigem Tiefdruckgebiet mag das klappen. Auch wenn die Präsentation offenbar aktuell ist, ist sie doch schon auf einer Blackhat-Konferent 2006 Thema gewesen - Evtl. vollkommen überholt?

Wie habt Ihr das bei Euch festgestellt, wenn ich fragen darf?
Ist Euch bewußt, dass zur Ausnutzung ein bereits kompromittiertes System und "evtl. Debug-Privilegien" benötigt werden (so die Blackhats)?

Ich würde mir bei Sicherheitschecks doch eher um weitaus banalere Dinge Sorgen machen, bzw. erstmal sicherstellen, dass die Problematik erstmal richtig skizziert wird:
Was (Wert/Zugänglichkeit) wollen wir gegen wen oder was schützen?
Bitte warten ..
Mitglied: strikernet
24.03.2009 um 08:40 Uhr
Hallo,

vielan Dank für Deine Antwort. Dein Zitat kommt mir bekannt vor ;)

Ich selber bin Praktikant in der Firma wo ich jetzt bin und im Rahmen einer Weiterbildung arbeite ich ein Projekt aus. Im Dezember 2008 war hier eine "Sicherheitsüberprüfung" die eine andere Firma durchgeführt hatte.
Ihre Aufgabe war es Sicherheitslücken in dem Netzwerk/Domäne zu finden. Diese Firma hat das Tool "incognito" eingesetzt und damit ein Konto aufgespührt and dessen Passwort nach ein paar Stunden aus einem Hashwert widerherstellen können. Dieses Konto war Mitglied der Gruppe Domänenadministratoren.

In dem Sicherheitsbericht, das wir von der Firma bekommen haben, stand dann etwas von impersonation tokens. Nun versuche ich herauszufinden, ob es dafür eine Lösung gibt.

Gruß Andreas
Bitte warten ..
Mitglied: DerWoWusste
24.03.2009 um 11:06 Uhr
Hast Du als Praktikant das Wissen dafür parat? Nicht böse gemeint, aber das ist nicht ohne und nicht Sache eines Praktikums, sondern Sache der Leute, die den Penetrationstest ausgeführt hatten. Zur Sache: prüf doch mal nach, ob die Herren Incognito mit einem lokalen Admin ausführen durften. Dann gibt es nämlich auch ohne incognito Wege, an Passworthashes des Domänenadmins zu kommen, wenn dessen Kennwort gecached auf dem PC vorliegt.
Daraus sollte man eigentlich nur den Schluss ziehen: lokale Admins nur im Notfall und Passwortcaching lokal abschalten/auf nur ein Kennwort beschränken - Stichwort cachedlogonscount
Bitte warten ..
Mitglied: strikernet
24.03.2009 um 14:26 Uhr
Ich habe mal bei einer anderen Weiterbildung den MCSE gemacht. Habe viel mit Büchern gelernt, wenig Praxis. Ein bisschen Ahnung habe ich da schon.
So wie ich das in dem Bericht gelesen habe, ging der weg über den des lokalen Administrators.
Zur Zeit ist auch ein Dienst auf jeden Client installiert dessen Anmeldekonto Mitglied der Domänenadministratoren ist. Das soll nun alles geändert werden.
Vielen Dank auch für Deine Antwort, das hilft mir schon mal sehr gut weiter.
Bitte warten ..
Ähnliche Inhalte
Batch & Shell
CMD cURL Access Token parsen (2)

Frage von maddig zum Thema Batch & Shell ...

Sicherheit
gelöst OTP Hardware Token ohne zentrale Infrastruktur (3)

Frage von eglipeter zum Thema Sicherheit ...

Windows Server
gelöst Direct Access bei Site2Site (4)

Frage von geocast zum Thema Windows Server ...

Neue Wissensbeiträge
Ubuntu

Ubuntu 17.10 steht zum Download bereit

(3)

Information von Frank zum Thema Ubuntu ...

Datenschutz

Autofahrer-Pranger - Bewertungsportal illegal

(8)

Information von BassFishFox zum Thema Datenschutz ...

Windows 10

Neues Win10 Funktionsupdate verbuggt RemoteApp

(8)

Information von thomasreischer zum Thema Windows 10 ...

Microsoft

Die neuen RSAT-Tools für Win10 1709 sind da

(2)

Information von DerWoWusste zum Thema Microsoft ...

Heiß diskutierte Inhalte
Router & Routing
Allnet - VDSL2 Modem - SFP (mini-GBIC) (20)

Frage von Dobby zum Thema Router & Routing ...

Monitoring
Netzwerk-Monitoring Software (18)

Frage von Ghost108 zum Thema Monitoring ...

Windows 10
Seekrank bei Windows 10 (17)

Frage von zauberer123 zum Thema Windows 10 ...

Windows Server
gelöst Kopiervorgang schlägt fehl, weil Datei- und Ordnername zu lang sind (14)

Frage von Schroedi zum Thema Windows Server ...