8
Active Directory: Kommunikation beim lesen von Attributen
Hallo zusammen,
bei der Installation von LAPS kam hier eben eine interessante Frage auf.
Hintergrund ist der, das die Passwörter der Computer\lokalen Admins ja im klartext im AD stehen.
Zugriff hat zwar nur, wer berechtigt ist, aber das Kennwort wird ja über das Kabel transportiert und wäre somit grundsätzlich erst mal abgreifbar.
Deshalb kam gerade die Frage auf:
Ist die Kommunikation mit dem AD, bzw genauer gesagt beim Lesen von Objekt-Attributen grundsätzlich verschlüsselt? Und wenn ja, wie?
Oder muss man da erst noch was einstellen, damit sowas verschlüsselt erfolgt?
AFAIK wird hier ja irgendwas MS-Eigenes (ADTS?) verwendet und nicht LDAP(S).
Auf die schnelle habe ich dazu nichts gefunden, weshalb ich die Frage hier gerne mal in den Raum werfen wollte.
Gruß Sea
bei der Installation von LAPS kam hier eben eine interessante Frage auf.
Hintergrund ist der, das die Passwörter der Computer\lokalen Admins ja im klartext im AD stehen.
Zugriff hat zwar nur, wer berechtigt ist, aber das Kennwort wird ja über das Kabel transportiert und wäre somit grundsätzlich erst mal abgreifbar.
Deshalb kam gerade die Frage auf:
Ist die Kommunikation mit dem AD, bzw genauer gesagt beim Lesen von Objekt-Attributen grundsätzlich verschlüsselt? Und wenn ja, wie?
Oder muss man da erst noch was einstellen, damit sowas verschlüsselt erfolgt?
AFAIK wird hier ja irgendwas MS-Eigenes (ADTS?) verwendet und nicht LDAP(S).
Auf die schnelle habe ich dazu nichts gefunden, weshalb ich die Frage hier gerne mal in den Raum werfen wollte.
Gruß Sea
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 465645
Url: https://administrator.de/contentid/465645
Printed on: April 25, 2024 at 06:04 o'clock
8 Comments
Latest comment
Servus,
das habe ich dazu gefunden. Besser könnte ich es nicht erklären. Hoffe ich kann dir damit helfen.
Quelle: https://www.kryptowissen.de/kerberos.php
Auszug : " im oberen Beispiel möchte Alice auf eine Ressource zugreifen. Dafür meldet sie sich erst einmal auf ihrer Workstation (Client) durch Eingabe ihres Benutzernamens samt Passwort an. Der Client wandelt anschließend das Passwort in einen geheimen Schlüssel um, in dem er das Passwort als Parameter in eine Hashfunktion gibt. Auch wenn oben der Authentication Server (AS) und der Ticket-Granting Server (TGS) einzeln dargestellt sind, wird davon ausgegangen (wie in vielen Fällen), dass beide Systeme vom sogenannten Key Distribution Center (KDC) ausgeübt werden. "
das habe ich dazu gefunden. Besser könnte ich es nicht erklären. Hoffe ich kann dir damit helfen.
Quelle: https://www.kryptowissen.de/kerberos.php
Auszug : " im oberen Beispiel möchte Alice auf eine Ressource zugreifen. Dafür meldet sie sich erst einmal auf ihrer Workstation (Client) durch Eingabe ihres Benutzernamens samt Passwort an. Der Client wandelt anschließend das Passwort in einen geheimen Schlüssel um, in dem er das Passwort als Parameter in eine Hashfunktion gibt. Auch wenn oben der Authentication Server (AS) und der Ticket-Granting Server (TGS) einzeln dargestellt sind, wird davon ausgegangen (wie in vielen Fällen), dass beide Systeme vom sogenannten Key Distribution Center (KDC) ausgeübt werden. "
Im AD werden keine Passwörter gespeichert, sondern immer nur Hashes, die aus dem Passwort errechnet werden.
Bei LAPS schon, wie sollte man sie sonst lesen?
Hi
AFAIK wird Kerberos ja nur zur Authentifizierung verwendet. Eine "Datenübertragung" erfolgt damit dann nicht. Das übernimmt dann jeweils ein Protokoll der entsprechenden Software
AFAIK wird Kerberos ja nur zur Authentifizierung verwendet. Eine "Datenübertragung" erfolgt damit dann nicht. Das übernimmt dann jeweils ein Protokoll der entsprechenden Software
PowerShell Remoting nutzt WinRM, schätze mal LAPS wird es auch nutzen - lt. doku verschlüsselt WinRM symmetrisch mit AES256
https://docs.microsoft.com/en-us/powershell/scripting/learn/remoting/win ...
Aber ist auch nur geraten - kannst du einen LAPS upload manuell initieren und mit Wireshark shauen wie die Pakete ausschauen?
https://docs.microsoft.com/en-us/powershell/scripting/learn/remoting/win ...
Aber ist auch nur geraten - kannst du einen LAPS upload manuell initieren und mit Wireshark shauen wie die Pakete ausschauen?
wäre mir jetzt neu das LAPS irgendwas mit PSRM\WinRM zu tun hat.
Gerade noch mal gegoogled und auf
https://blogs.msdn.microsoft.com/laps/2015/06/01/laps-and-password-stora ...
gestoßen.
Sieht wohl doch so aus, das Kerberos verwendet wird um den Transport zu verschlüsseln.
Und der Artikel hat noch ein paar andere interessante Details.
Danke!
https://blogs.msdn.microsoft.com/laps/2015/06/01/laps-and-password-stora ...
gestoßen.
Sieht wohl doch so aus, das Kerberos verwendet wird um den Transport zu verschlüsseln.
Und der Artikel hat noch ein paar andere interessante Details.
Danke!
Ah ja, sehr schön, dann kannst ja den Post gleich als Antwort markieren für die Nachwelt 
