dcfan01
Goto Top

Domain-Admin-Kennwort geändert, ausreichend?

Hallo, ich habe eine Frage zm Thema Security.

Bei einer Umgebung wurde jahrelang vom Geschäftsführer " aus Einfachheit" das Domain_Admin Kennwort für lokale Installationen auf ALLEN Clients verwendet in einer Domäne mit Server 2019.

Dies ist mir natürlich ein Dorn im Auge, denn es gibt eigentlich individuelle lange lokale Admin-Kennwörter für jeden Client, die dafür verwendet werden ( LAPS ist mittelfristig geplant).


Jetzt ist meine Frage, kann ich ohne die Domäne neu aufzusetzen das interne Netz wieder halbwegs "sicher" bekommen?

Bisher habe ich das Domain-Admin Kennwort geändert direkt auf dem Server. aber reicht dies aus, dass wenn z.B. ein Client infiltriert werden sollte oder sind da irgendwelche Tickets bzw Hashes noch ausnutzbar um weiterhin einfach Domain-Admin Rechte zu erhalten?

Muss ich noch etwas anderes unternehmen?


Vielen Dank und beste Grüße

Content-Key: 62833278431

Url: https://administrator.de/contentid/62833278431

Printed on: February 29, 2024 at 21:02 o'clock

Member: Mr-Gustav
Mr-Gustav Nov 27, 2023 at 08:32:08 (UTC)
Goto Top
Nun ja das Kennwort zu ändern ist schon mal ein Anfang.
Wenn sich da dann jemand aber in irgendwelche Sicherheitsgruppen eingetragen hat
dann hat er ja unterm Strich, wenn es die Richtige ist, immer noch überall Zugriff drauf.
Kontrollire auf jedenfalls alle WICHTIGEN Sicherheitsgruppen im AD.
Wenn es aber ein Ticket hatte kann er sich u.U. das Ticket entsprechend verlängern
Member: accessViolation
Solution accessViolation Nov 27, 2023 at 08:36:26 (UTC)
Goto Top
Hi.

evtl. wäre es sinnvoll (und an der Zeit?) das Kerberos Passwort/AD Masterkey neu zu setzen:

www.msxfaq.de/windows/kerberos/krbtgt_keyrollover.htm

Gruß
Member: emeriks
Solution emeriks Nov 27, 2023 at 08:37:36 (UTC)
Goto Top
Hi,
Du solltest noch das Kerberos-Passwort neu setzten.

E.
Member: DCFan01
DCFan01 Nov 27, 2023 at 08:42:51 (UTC)
Goto Top
Quote from @accessViolation:

Hi.

evtl. wäre es sinnvoll (und an der Zeit?) das Kerberos Passwort/AD Masterkey neu zu setzen:

www.msxfaq.de/windows/kerberos/krbtgt_keyrollover.htm

Gruß


Könnte dies irgendwelche Auswirkungen auf den Betrieb haben?
Also gibt es da Risiken wenn ich dies tue?
Member: accessViolation
accessViolation Nov 27, 2023 at 08:50:17 (UTC)
Goto Top
Könnte dies irgendwelche Auswirkungen auf den Betrieb haben?
Ja! unbedingt den Artikel vollständig lesen und verstehen.

Also gibt es da Risiken wenn ich dies tue?
Ja! Unbedingt den Sync abwarten (falls mehrere DCs aktiv sind).

Gruß
Member: accessViolation
accessViolation Nov 27, 2023 at 08:58:07 (UTC)
Goto Top
.. und mach Dich ans LAPS dran.

Macht gute Dienste und funktioniert einwandfrei.

www.alitajran.com/windows-laps/
Member: elix2k
elix2k Nov 27, 2023 at 09:12:31 (UTC)
Goto Top
Ja, wenn du die vorgeschriebene Zweit von 12 Stunden nicht einhältst.

Das Kennwort muss auf jeden Fall zwei Mal geändert werden. Ist alles gut dokumentiert und es gibt ein Skript von Microsoft mit dem du die Voraussetzungen prüfen, und die Änderung durchführen kannst.

Ich würde mich an die folgende Anleitung halten:
www.msxfaq.de/windows/kerberos/krbtgt_keyrollover.htm

Bei nicht Englischen Servern muss nämlich was am Skript geändert werden. Ist alles beschrieben und hat bei mir auch direkt funktioniert.
Member: watIsLos
watIsLos Nov 27, 2023 updated at 09:39:49 (UTC)
Goto Top
Auf keinen Fall sollte man das Passwort „krbtgt“ direkt abändern, es sei denn man hat vorher alles abgesichert und weiß was man tut.

Die meisten vergessen, dass das eine Operation am offenen Herzen ist (DC). Du solltest sowas vorher in deiner VM Testumgebung durchspielen!

und wie schon geschrieben, reicht es, das Passwort zu ändern. Damit werden die alten Hashes obsolet.
-> Vorrausgesetzt natürlich das vorher keine Infiltration stattgefunden hat.
Member: DerWoWusste
DerWoWusste Nov 27, 2023 updated at 21:25:48 (UTC)
Goto Top
Spiele es in Gedanken einmal durch:

Jemand hat das Domänenadminkennwort oder den Hash geschnappt und sich eine Backdoor auf dem DC angelegt (er konnte ja c$ des DCs von seinem PC aus manipulieren und hatte somit vollen Datei- und Registryzugriff auf die DCs).
Mit dieser Backdoor kann er jederzeit auch bei geändertem Kennwort wieder rein. Was auch immer du tust, er hat die Macht, solange, bis du diese Backdoor ausfindig machst.

Das Auffinden ist jedoch schwierig, da Windows sehr komplex ist. Ergo hast Du ein Risiko.
Um das abzustellen, müsstest Du die Domäne neu aufsetzen - das wirst Du mit Sicherheit nicht wollen.
Somit musst Du mit diesem Risiko leben und könntest tatsächlich von der vorigen Administration/dem Chef eine Erklärung verlangen, die den Sachverhalt dokumentiert und im Fall der Fälle belastet werden kann.

Nun setze dem Gedankenspiel entgegen:
Mehrfach im Jahr gibt es Sicherheitslücken, die, falls sie vor dem Patchen bekannt wären, jedermann im LAN ermöglichen, die Domäne zu übernehmen. Das Risiko ist immer da und nur der, der in der Lage ist, wirklich jedes unerwartete Hüsteln auf den DCs aufzuzeichnen und auszuwerten, ist einigermaßen dagegen gefeit.

Fazit: das Konstrukt kann Jahre gutgehen oder dir jederzeit um die Ohren fliegen. Somit ist nur die Frage: wer ist verantwortlich? In deinem Fall haben dich andere völlig unnötig reellen Gefahren ausgesetzt. Dafür sollten sie nun zumindest einen Wisch zeichnen, dass sie das getan haben.