Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Active Directory: Kommunikation beim lesen von Attributen

Mitglied: SeaStorm

SeaStorm (Level 2) - Jetzt verbinden

24.06.2019 um 16:50 Uhr, 438 Aufrufe, 8 Kommentare

Hallo zusammen,

bei der Installation von LAPS kam hier eben eine interessante Frage auf.
Hintergrund ist der, das die Passwörter der Computer\lokalen Admins ja im klartext im AD stehen.
Zugriff hat zwar nur, wer berechtigt ist, aber das Kennwort wird ja über das Kabel transportiert und wäre somit grundsätzlich erst mal abgreifbar.

Deshalb kam gerade die Frage auf:
Ist die Kommunikation mit dem AD, bzw genauer gesagt beim Lesen von Objekt-Attributen grundsätzlich verschlüsselt? Und wenn ja, wie?
Oder muss man da erst noch was einstellen, damit sowas verschlüsselt erfolgt?
AFAIK wird hier ja irgendwas MS-Eigenes (ADTS?) verwendet und nicht LDAP(S).

Auf die schnelle habe ich dazu nichts gefunden, weshalb ich die Frage hier gerne mal in den Raum werfen wollte.


Gruß Sea
Mitglied: Sven91
LÖSUNG 24.06.2019 um 18:29 Uhr
Servus,

das habe ich dazu gefunden. Besser könnte ich es nicht erklären. Hoffe ich kann dir damit helfen.

Quelle: https://www.kryptowissen.de/kerberos.php

Auszug : " im oberen Beispiel möchte Alice auf eine Ressource zugreifen. Dafür meldet sie sich erst einmal auf ihrer Workstation (Client) durch Eingabe ihres Benutzernamens samt Passwort an. Der Client wandelt anschließend das Passwort in einen geheimen Schlüssel um, in dem er das Passwort als Parameter in eine Hashfunktion gibt. Auch wenn oben der Authentication Server (AS) und der Ticket-Granting Server (TGS) einzeln dargestellt sind, wird davon ausgegangen (wie in vielen Fällen), dass beide Systeme vom sogenannten Key Distribution Center (KDC) ausgeübt werden. "
Bitte warten ..
Mitglied: 1st1
25.06.2019 um 10:48 Uhr
Im AD werden keine Passwörter gespeichert, sondern immer nur Hashes, die aus dem Passwort errechnet werden.
Bitte warten ..
Mitglied: Raboom
25.06.2019 um 11:30 Uhr
Bei LAPS schon, wie sollte man sie sonst lesen?
Bitte warten ..
Mitglied: SeaStorm
25.06.2019 um 11:56 Uhr
Hi

AFAIK wird Kerberos ja nur zur Authentifizierung verwendet. Eine "Datenübertragung" erfolgt damit dann nicht. Das übernimmt dann jeweils ein Protokoll der entsprechenden Software
Bitte warten ..
Mitglied: NetzwerkDude
25.06.2019 um 14:48 Uhr
PowerShell Remoting nutzt WinRM, schätze mal LAPS wird es auch nutzen - lt. doku verschlüsselt WinRM symmetrisch mit AES256
https://docs.microsoft.com/en-us/powershell/scripting/learn/remoting/win ...

Aber ist auch nur geraten - kannst du einen LAPS upload manuell initieren und mit Wireshark shauen wie die Pakete ausschauen?
Bitte warten ..
Mitglied: SeaStorm
25.06.2019 um 16:24 Uhr
wäre mir jetzt neu das LAPS irgendwas mit PSRM\WinRM zu tun hat.
Bitte warten ..
Mitglied: SeaStorm
25.06.2019 um 16:28 Uhr
Gerade noch mal gegoogled und auf
https://blogs.msdn.microsoft.com/laps/2015/06/01/laps-and-password-stora ...
gestoßen.
Sieht wohl doch so aus, das Kerberos verwendet wird um den Transport zu verschlüsseln.
Und der Artikel hat noch ein paar andere interessante Details.

Danke!
Bitte warten ..
Mitglied: NetzwerkDude
25.06.2019 um 16:45 Uhr
Ah ja, sehr schön, dann kannst ja den Post gleich als Antwort markieren für die Nachwelt
Bitte warten ..
Ähnliche Inhalte
Windows Server

Leerzeichen am Ende von Active Directory Benutzer Attribut

gelöst Frage von crack24Windows Server5 Kommentare

Hallo, unsere Outlook Signatur speist sich aus den Benutzer Attributen des Active Directory. Ein Benutzer ist nun Prokurist geworden ...

Windows Server

Neues AD-Attribut erstellen

gelöst Frage von fox14chWindows Server3 Kommentare

Hallo zusammen Ich muss ein neues AD-Attribut erstellen. Ich habe auch diese Anleitung hier gefunden und versuche Ihr zu ...

Netzwerkgrundlagen

Kommunikation zwischen VLANs

Frage von MHorstmannNetzwerkgrundlagen6 Kommentare

Hallo, nachdem ich hier seid einigen Wochen mitgelesen habe, hab ich jetzt mein Netzwerk daheim soweit neu verdrahtet und ...

Exchange Server

Activ Sync Mapi Imap Mobilgeräte Exchange

gelöst Frage von opc123Exchange Server5 Kommentare

Hallo, wie finde ich raus welchen Dienst Mobilgeräte verwenden? Ich soll dies Verbieten für alle mobilen Geräte und neu ...

Neue Wissensbeiträge
Viren und Trojaner
Emotet: IT-Totalschaden beim Kammergericht Berlin
Information von StefanKittel vor 20 StundenViren und Trojaner7 Kommentare

Interne Daten wurden geklaut und "ein kompletter Neuaufbau der IT-Infrastruktur wird angeraten", heißt es im forensischen Bericht zum ...

Viren und Trojaner
Avast verkauft anscheinend browserdaten
Tipp von magicteddy vor 1 TagViren und Trojaner14 Kommentare

Moin, da es immer wieder Anfragen zu Virenscannern gibt denke ich das der Artikel von Heise Avast verkauft Bowserdaten ...

Router & Routing

Statische Route dauerhaft einrichten unter Ubuntu 18.04 LTS

Erfahrungsbericht von the-buccaneer vor 3 TagenRouter & Routing2 Kommentare

"Kann ja nicht so schwer sein, unter Ubuntu 18.04 LTS ne statische Route einzurichten", denkt der Windows-Admin und gelegentliche ...

Microsoft

Effect on customer websites and Microsoft services and products in Chrome version 80 or later

Information von Dani vor 3 TagenMicrosoft

Guten Abend zusammen, The Stable release of the Google Chrome web browser (build 80, scheduled for release on February ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Installation USG
Frage von jo23487LAN, WAN, Wireless47 Kommentare

Hallo zusammen, nach den beiden anderen Fragen habe ich mir den Cloud Key und auch ein USG gekauft - ...

Outlook & Mail
Mehrere Domänen User, selber PC, großer IMAP Account, Vorgehen?
Frage von heifumaOutlook & Mail21 Kommentare

Moin, Szenario: - Windows Server 2019 AD - Ein und derselbe PC im Netzwerk soll im Laufe der Arbeitswoche ...

Microsoft
All-Cloud für KMU (Management, Backup, etc.)
Frage von NRGNRGMicrosoft20 Kommentare

Hallo zusammen, kurze Interessensfrage an Euch in die Runde, da ich hierzu gerade interessante Diskussionen mit Kollegen habe: Szenario: ...

Windows Server
DFS Zurgriff über Domain Steuerung
Frage von opc123Windows Server19 Kommentare

Hallo, wenn ich Freigegebene Ordner über \\"Domaine.de"\Datei aufrufen möchte innerhalb des DFS Pfades, habe ich oft kurzer Zeit kein ...