Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Active Directory: Kommunikation beim lesen von Attributen

Mitglied: SeaStorm

SeaStorm (Level 2) - Jetzt verbinden

24.06.2019 um 16:50 Uhr, 482 Aufrufe, 8 Kommentare

Hallo zusammen,

bei der Installation von LAPS kam hier eben eine interessante Frage auf.
Hintergrund ist der, das die Passwörter der Computer\lokalen Admins ja im klartext im AD stehen.
Zugriff hat zwar nur, wer berechtigt ist, aber das Kennwort wird ja über das Kabel transportiert und wäre somit grundsätzlich erst mal abgreifbar.

Deshalb kam gerade die Frage auf:
Ist die Kommunikation mit dem AD, bzw genauer gesagt beim Lesen von Objekt-Attributen grundsätzlich verschlüsselt? Und wenn ja, wie?
Oder muss man da erst noch was einstellen, damit sowas verschlüsselt erfolgt?
AFAIK wird hier ja irgendwas MS-Eigenes (ADTS?) verwendet und nicht LDAP(S).

Auf die schnelle habe ich dazu nichts gefunden, weshalb ich die Frage hier gerne mal in den Raum werfen wollte.


Gruß Sea
Mitglied: Sven91
LÖSUNG 24.06.2019 um 18:29 Uhr
Servus,

das habe ich dazu gefunden. Besser könnte ich es nicht erklären. Hoffe ich kann dir damit helfen.

Quelle: https://www.kryptowissen.de/kerberos.php

Auszug : " im oberen Beispiel möchte Alice auf eine Ressource zugreifen. Dafür meldet sie sich erst einmal auf ihrer Workstation (Client) durch Eingabe ihres Benutzernamens samt Passwort an. Der Client wandelt anschließend das Passwort in einen geheimen Schlüssel um, in dem er das Passwort als Parameter in eine Hashfunktion gibt. Auch wenn oben der Authentication Server (AS) und der Ticket-Granting Server (TGS) einzeln dargestellt sind, wird davon ausgegangen (wie in vielen Fällen), dass beide Systeme vom sogenannten Key Distribution Center (KDC) ausgeübt werden. "
Bitte warten ..
Mitglied: 1st1
25.06.2019 um 10:48 Uhr
Im AD werden keine Passwörter gespeichert, sondern immer nur Hashes, die aus dem Passwort errechnet werden.
Bitte warten ..
Mitglied: Raboom
25.06.2019 um 11:30 Uhr
Bei LAPS schon, wie sollte man sie sonst lesen?
Bitte warten ..
Mitglied: SeaStorm
25.06.2019 um 11:56 Uhr
Hi

AFAIK wird Kerberos ja nur zur Authentifizierung verwendet. Eine "Datenübertragung" erfolgt damit dann nicht. Das übernimmt dann jeweils ein Protokoll der entsprechenden Software
Bitte warten ..
Mitglied: NetzwerkDude
25.06.2019 um 14:48 Uhr
PowerShell Remoting nutzt WinRM, schätze mal LAPS wird es auch nutzen - lt. doku verschlüsselt WinRM symmetrisch mit AES256
https://docs.microsoft.com/en-us/powershell/scripting/learn/remoting/win ...

Aber ist auch nur geraten - kannst du einen LAPS upload manuell initieren und mit Wireshark shauen wie die Pakete ausschauen?
Bitte warten ..
Mitglied: SeaStorm
25.06.2019 um 16:24 Uhr
wäre mir jetzt neu das LAPS irgendwas mit PSRM\WinRM zu tun hat.
Bitte warten ..
Mitglied: SeaStorm
25.06.2019 um 16:28 Uhr
Gerade noch mal gegoogled und auf
https://blogs.msdn.microsoft.com/laps/2015/06/01/laps-and-password-stora ...
gestoßen.
Sieht wohl doch so aus, das Kerberos verwendet wird um den Transport zu verschlüsseln.
Und der Artikel hat noch ein paar andere interessante Details.

Danke!
Bitte warten ..
Mitglied: NetzwerkDude
25.06.2019 um 16:45 Uhr
Ah ja, sehr schön, dann kannst ja den Post gleich als Antwort markieren für die Nachwelt
Bitte warten ..
Ähnliche Inhalte
Windows Server

Leerzeichen am Ende von Active Directory Benutzer Attribut

gelöst Frage von crack24Windows Server5 Kommentare

Hallo, unsere Outlook Signatur speist sich aus den Benutzer Attributen des Active Directory. Ein Benutzer ist nun Prokurist geworden ...

Windows Server

Neues AD-Attribut erstellen

gelöst Frage von fox14chWindows Server3 Kommentare

Hallo zusammen Ich muss ein neues AD-Attribut erstellen. Ich habe auch diese Anleitung hier gefunden und versuche Ihr zu ...

Netzwerkgrundlagen

Kommunikation zwischen VLANs

Frage von MHorstmannNetzwerkgrundlagen6 Kommentare

Hallo, nachdem ich hier seid einigen Wochen mitgelesen habe, hab ich jetzt mein Netzwerk daheim soweit neu verdrahtet und ...

Exchange Server

Activ Sync Mapi Imap Mobilgeräte Exchange

gelöst Frage von opc123Exchange Server5 Kommentare

Hallo, wie finde ich raus welchen Dienst Mobilgeräte verwenden? Ich soll dies Verbieten für alle mobilen Geräte und neu ...

Neue Wissensbeiträge
Administrator.de Feedback
Hinweise auf Dienstleister oder auf Suchmaschinen
Information von Frank vor 3 TagenAdministrator.de Feedback71 Kommentare

Lieber User, Admins und Moderatoren, aus gegebenen Anlass möchte ich zwei Dinge endgültig klarstellen und für die Nachwelt festhalten: ...

Router & Routing

PfSense 2.4 IPSec VPN mobile Clients Phase 2 wird plötzlich nicht mehr aufgebaut - So einfach war die Lösung

Tipp von the-buccaneer vor 3 TagenRouter & Routing9 Kommentare

Moinsen! Nachdem ich mir hierbei nen Wolf gesucht habe, möchte ich doch die Welt an dieser simplen Lösung teilhaben ...

Humor (lol)
Wählscheiben Telefon
Information von brammer vor 4 TagenHumor (lol)4 Kommentare

Hallo, Mal wirkliche eine nette Spielerei brammer

Sicherheit

Zeitenwende: Mehr pot. Mac- (Heise Wortlaut) als Windowsbedrohungen

Information von certifiedit.net vor 4 TagenSicherheit4 Kommentare

Wir hatten es ja hier erst letztens, dass OS bzw Mac auch nicht der Weisheit letzter Schluss ist, nun ...

Heiß diskutierte Inhalte
Netzwerke
Instagram Fake Account
Frage von NurangnNetzwerke18 Kommentare

Hey Leute, Ich bin neu hier und hätte eine Frage. Und zwar werden mein Freund und ich von Mehreren ...

Server-Hardware
Verkaufe mein HomeLab - Hat jemand Interesse?
Frage von BirdyBServer-Hardware13 Kommentare

Hallo miteinander, auf Grund eines bald bevorstehenden Umzugs, chronischer Nichtnutzung und des sehr eingeschränkten FAF (Frauen-Akzeptanz-Faktors) möchte ich mein ...

Erkennung und -Abwehr
Außenstehenden (Fremden) Remote Zugriff via VM erlauben
gelöst Frage von Cyphy98Erkennung und -Abwehr11 Kommentare

Moin Liebe Community Schlagt mich nicht falls ich was falsch mache, ist mein erster Beitrag hier 🤪. Aber zum ...

Netzwerke
Frage zu Spanning-Tree-Layout
Frage von LordGurkeNetzwerke10 Kommentare

Hallo zusammen, ich habe aktuell das Problem, dass in einem relativ frisch aufgebauten Netzwerk mit redundanten Pfaden und MSTP ...