Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Lokal gespeicherte Domain-Kennwörter sicher?

Frage Microsoft Windows Userverwaltung

Mitglied: 73519

73519 (Level 1)

24.02.2010 um 13:18 Uhr, 5388 Aufrufe, 7 Kommentare

Hallo Zusammen,

ich habe eine Frage zum Thema Sicherheit lokal gespeicherter Kennwörter.
Es ist ja allgemein bekannt, dass die Kennwörter lokaler Accounts ohne weiteres und häufig in wenigen Sekunden ausgelesen werden können. Nun hat sich mir die Frage gestellt, wie es mit Domänenaccounts aussieht, bei denen die Kennwörter lokal hinterlegt sind.
Szenario ist, dass die Kennwörter der Domänenbenutzer zwischengespeichert werden um sich anmelden zu können, wenn man keine Verbindung zum DC hat. Dies ist ja z.B. regelmäßig bei Notebooks der Fall.

Auf Grund dieser beiden Punkte stellt sich mir nun die Frage, ob sich von diesen, lokal zwischengespeicherten, Account-Passwort Kombinationen die Passwörter auch auslesen lassen.
Es ist ausschließlich eine Frage nach der technischen Möglichkeit, da dies natürlich eine Sicherheitslücke wäre. Ziel ist es nicht eine Anleitung für ein Passwortknacken zu bekommen, sondern heraus zu finden, ob jemand schon mal Berührungspunkte damit hatte und mir sagen kann, ob sowas möglich wäre. Dann müsste man über die Funktion der lokal zwischengespeicherten Kennwörter nochmal nachdenken, was sich z.B. bei Notebooks als schwierig herausstellen könnte.
Mitglied: maretz
24.02.2010 um 13:43 Uhr
Moin,

welche Kennwörter meinst du? Wenn nen Domänen-Benutzer seine PWs im Internet-Explorer, Firefox u. Co. speichert? Dann liest du die genauso aus als wäre er nen lokaler User (sofern er die Rechte zum Starten der Anwendung hat usw.).

Ob das eine Sicherheitslücke ist? Jein: Klar ist es erstmal eine Lücke das jemand seine Kennwörter speichert und die ausgelesen werden können. Wenn ich allerdings sehe bei wievielen Kollegen die Passwörter auch auf nem Zettel auf der Schreibtisch-Unterlage liegen ist die frage ob man da von "Sicherheitslücke" sprechen kann. Denn für den Zettel brauch ich kein Tool um was zu entschlüsseln - und ich möchte nichtmal raten wieviele Leute ihr normales Passwort auch für das eigene Email-Postfach bei Web.de usw. verwenden... Und ich bin an der Stelle ehrlich: Mir persönlich ist es mittlerweile egal ob die Leute ihre Kennwörter (innerhalb der Firma) weitergeben - wenn irgendein Unsinn mit deren Account angestellt wird greifft die AA-Regel (meine beliebte "Am-Arsch-Regel") immer beim Account-Inhaber...
Bitte warten ..
Mitglied: Phalanx82
24.02.2010 um 13:46 Uhr
Moin,

Die Domain-User Passwörter die lokal gecached werden sind afaik genauso schnell und mit den gleichen Tools
knackbar wie ein PW eines regulären Kontos.
Somit würde sich bei Notebooks imho eine Festplatten-Verschlüsselung empfehlen um nicht nur sonstige sensible
Daten zu schützen im Fall von Verlust des Notebooks. Sondern auch gleich des möglichen Einsatzes von solchen Tools
vorzubeugen. Natürlich greift das nur solange das Notebook ausgeschaltet ist wenns geklaut werden sollte bzw. jemand
nicht berechtigtes Zugriff auf das Notebook bekommt.

Mfg.
Bitte warten ..
Mitglied: mrtux
24.02.2010 um 13:49 Uhr
Hi !

Zitat von maretz:
welche Kennwörter meinst du? Wenn nen Domänen-Benutzer seine PWs im Internet-Explorer, Firefox u. Co. speichert?

Ich denke eher er mein das anders. Ich habe das so verstanden, dass es wohl um das Anmeldepasswort an der Domain geht, richtig? Und die sind nicht wirklich sicher, wenn man direkten Zugang zu der Maschine hat (sich also davor setzen kann und eine...hmmh...einlegen und starten kann) und eigentlich habe ich jetzt schon zu viel gesagt.

mrtux
Bitte warten ..
Mitglied: 73519
24.02.2010 um 13:56 Uhr
Zitat von Phalanx82:
Moin,

Die Domain-User Passwörter die lokal gecached werden sind afaik genauso schnell und mit den gleichen Tools
knackbar wie ein PW eines regulären Kontos.
Somit würde sich bei Notebooks imho eine Festplatten-Verschlüsselung empfehlen um nicht nur sonstige sensible
Daten zu schützen im Fall von Verlust des Notebooks. Sondern auch gleich des möglichen Einsatzes von solchen Tools
vorzubeugen. Natürlich greift das nur solange das Notebook ausgeschaltet ist wenns geklaut werden sollte bzw. jemand
nicht berechtigtes Zugriff auf das Notebook bekommt.

Mfg.

Hi,

ja, genau das ist der Fall, um den es geht. Mit Tools wie [##ZENSIERT##MfGBiber##] o.ä. lassen sich die Kennwörter ja mit Hilfe [##ZENSIERT##MfGBiber##] von jeder halbwegs technisch begabten Person auslesen.
Ich hatte kein Tool gefunden, mit dem das auch bei Domänenaccounts klappt, deren Anmeldeinformationen lokal gecached werden und gehofft, dass diese besser geschützt seien. Dann habe ich wohl leider nur die Tools nicht gesehen, die sowas auch können.
In dem Fall ist eine Festplattenverschlüsselung wohl tatsächlich der einzig mögliche Weg einem Auslesen entgegen zu wirken.
Bitte warten ..
Mitglied: 73519
24.02.2010 um 13:58 Uhr
Zitat von mrtux:
Hi !

> Zitat von maretz:
> ----
> welche Kennwörter meinst du? Wenn nen Domänen-Benutzer seine PWs im Internet-Explorer, Firefox u. Co. speichert?

Ich denke eher er mein das anders. Ich habe das so verstanden, dass es wohl um das Anmeldepasswort an der Domain geht, richtig?
Und die sind nicht wirklich sicher, wenn man direkten Zugang zu der Maschine hat (sich also davor setzen kann und
eine...hmmh...einlegen und starten kann) und eigentlich habe ich jetzt schon zu viel gesagt.

mrtux


Hi,

genau, um den Fall geht es!
Es wird also wohl auf eine Festplattenverschlüsselung hinaus laufen, wie Phalanx82 schon vorgeschlagen hat.
Bitte warten ..
Mitglied: mrtux
24.02.2010 um 14:03 Uhr
Hi !

Zitat von 73519:
ja, genau das ist der Fall, um den es geht. Mit Tools wie xxxxxx o.ä. lassen sich die Kennwörter ja mit Hilfe einer
xxxxxxx von jeder halbwegs technisch begabten Person auslesen.

Warum schreibst Du nicht gleich noch ein Tutorial in extra grossen Buchstaben, damit es auch noch jeder blinde Computerzeitungsadmin hinbekommt....Was glaubst Du wohl warum ich das umschrieben habe? Auf der einen Seite machst Du dir Sorgen um die Sicherheit eures Netzes und dann nennst Du hier auch noch Tools beim Namen (was übrigens auch noch gegen die Forenregeln hier verstösst).....Kopfschüttel......Manchmal kann man es nicht glauben....

mrtux
Bitte warten ..
Mitglied: Phalanx82
24.02.2010 um 14:07 Uhr
Mhm joa,

die gecachten PWs stehen halt nicht in der normalen hive wo die PWs der lokalen Accounts drin stehen,
mehr sag ich dazu nicht.
Und anders oder gar besser geschützt sind die auch nicht (wunderts dich bei Microsoft?)

Adminrechte für User entziehen oder Zugriff auf Systemordner wäre der erste Schritt den man gehen kann.
Danach die Platten verschlüsseln der zweite und vor allem wichtigerere. Nach Möglichkeit natürlich beides
zum Einsatz bringen.

Mfg.
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
WPA2 sicher, wenn Kennwort bekannt?
Frage von stephan902LAN, WAN, Wireless12 Kommentare

Hallo, ist WPA2 für die Datenübertragung noch sicher, wenn ein Angreifer das Kennwort kennt? Es geht nicht um die ...

Windows Userverwaltung
Lokalen Bentuzer Kennwort Ändern
gelöst Frage von Adnan88Windows Userverwaltung9 Kommentare

Hallo, ich würde gerne auf jedem Client die wir haben das lokale Kennwort des Admin ändern. Ich würde das ...

DNS
Öffentliche Domain wie eine lokale Domain behandeln
gelöst Frage von mikahaapamaekiDNS5 Kommentare

Nabend Zusammen, ich hoffe der Titel ist aussagekräftig bzw. korrekt für das Thema haha Kurze Frage: Eine Webanwendung wird ...

Windows Server
Von Roamingprofilen auf lokal gespeicherte Profile wechseln
gelöst Frage von CeruttiWindows Server6 Kommentare

Hallo zusammen Mein Problem: Wir sind eine Architekturfirma mit ca. 70 Mitarbeiter. Wir arbeiten nun schon seid mehreren Jahren ...

Neue Wissensbeiträge
Windows 10

Windows 10 Fall Creators Update - Neue Funktion Hyper-V Standardswitch kann ggf. Fehler bei Proxy Configs verursachen

Erfahrungsbericht von rzlbrnft vor 8 StundenWindows 102 Kommentare

Hallo Kollegen, Da wir die Gefahr lieben, haben wir bei einigen Usern nun mittlerweile das Creators Update drauf. Einige ...

Sicherheit

TLS-Zertifikat und privater Schlüssel von Microsofts Dynamics 365 geleakt

Information von Penny.Cilin vor 10 StundenSicherheit

Microsoft hat versehentlich das TLS-Zertifikat inklusive dem privaten Schlüssel seiner Business-Anwendung Dynamics 365 geleakt. TLS-Zertifikat und privater Schlüssel von ...

Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 1 TagViren und Trojaner3 Kommentare

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 1 TagRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

Netzwerkmanagement
NAS über zwei weitere Ethernet Anschlüsse verbinden
gelöst Frage von Sibelius001Netzwerkmanagement15 Kommentare

Sorry - ich bin hier wahrscheinlich als kompetter IT Trottel unterwegs. Aber eventuell kann mir jemand ganz einfach helfen: ...

LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...

Netzwerkgrundlagen
Hi eine blöde frage. xD
Frage von 132954Netzwerkgrundlagen12 Kommentare

Also: Habe 2012 r2 essentials neuinstalliert, allerdings installiert diese version ja gleich diesen gangen AD kram mit, den hab ...