user79
Goto Top

Verschlüsselungsmethode Active-Directory Domänen Usern

Ahoi, ich hätte eine Frage bez. Passwörter von Active-Directory/Domänen Usern.
Und zwar würde ich gerne wissen mit welcher Verschlüsselungsmethode die Passwörter verschlüsselt werden. (Typ und Bit)

Domänenfunktionsebene ist (leider noch) Server 2003

Gruß

Content-Key: 320242

Url: https://administrator.de/contentid/320242

Ausgedruckt am: 19.03.2024 um 05:03 Uhr

Mitglied: SlainteMhath
Lösung SlainteMhath 07.11.2016 um 15:21:59 Uhr
Goto Top
Moin,

AD bzw. Windows Server "kann" mehrere Methoden:

- MD4 (aka NT Hash) - Used for NTLM authentication.
- LM Hash - Disabled by default since Windows Server 2003 (for a very good reason). Used for LM authentication.
- DES_CBC_MD5 - Salted with user logon name and hashed 4096 times using MD5. Used for Kerberos authentication.
- AES256_CTS_HMAC_SHA1_96, AES128_CTS_HMAC_SHA1_96 - Used for Kerberos authentication since Windows Server 2008. Salted with user -logon name and hashed 4096 times using HMAC-SHA1.
- 29 MD5 hashes, each using a different combination of login and domain name. Used for WDigest authentication
- Reversibly encrypted cleartext password - Disabled by default. Required by MS-CHAPv1 RADIUS authentication.

Quelle (u.A.): https://www.dsinternals.com/en/dumping-ntds-dit-files-using-powershell/

lg,
Slainte
Mitglied: User79
User79 07.11.2016 aktualisiert um 19:45:35 Uhr
Goto Top
Danke dir vielmals face-smile

Jetzt hätte ich aber trotzdem noch eine Frage. Die Domänenfunktionsebene ist noch Server 2003.
Das AD läuft auf Server 2012 R2 Standard. Heißt das dann, dass die Passwörter automatisch grundsätzlich mit CTS_HMAC_SHA1_96 verschlüsselt werden, (laut oben stehende Liste) weil Kerberos das Standard-Authentifizierungs-Protokoll einer Windows-Domäne ist seit Windows Server 2000?
Wenn ja, woher weiß ich ob:
AES256_CTS_HMAC_SHA1_96
oder
AES128_CTS_HMAC_SHA1_96
?
Mitglied: User79
User79 08.11.2016 um 08:50:08 Uhr
Goto Top
Zudem hätte ich noch eine Frage:
Die Kerberos Verschlüsselung sorgt doch nur dafür, dass der Schlüsselaustausch und die Übergabe des Passworts verschlüsselt ist, aber nicht das Passwort selbst das im AD abliegt, oder?
Denn genau darum geht es mir > Ist standardmäßig eine Verschlüsselung der AD Benutzerpasswörter Passwörter aktiv?
Mitglied: SlainteMhath
Lösung SlainteMhath 08.11.2016 um 09:34:19 Uhr
Goto Top
woher weiß ich ob:
AES256_CTS_HMAC_SHA1_96
oder
AES128_CTS_HMAC_SHA1_96
Da muss ich auch passen, sorry.

Ist standardmäßig eine Verschlüsselung der AD Benutzerpasswörter Passwörter aktiv?
Ja. Passwörder werden im AD standardmässig als Hash (also per Definition irreversible) abgelegt. Es gibt allerdings die Möglichkeit PWs mit reversibler Verschüsselung im AD zu speichern - wovon allerdings abgeraten wird.