Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Active Directory: Kommunikation beim lesen von Attributen

Mitglied: SeaStorm

SeaStorm (Level 2) - Jetzt verbinden

24.06.2019 um 16:50 Uhr, 271 Aufrufe, 8 Kommentare

Hallo zusammen,

bei der Installation von LAPS kam hier eben eine interessante Frage auf.
Hintergrund ist der, das die Passwörter der Computer\lokalen Admins ja im klartext im AD stehen.
Zugriff hat zwar nur, wer berechtigt ist, aber das Kennwort wird ja über das Kabel transportiert und wäre somit grundsätzlich erst mal abgreifbar.

Deshalb kam gerade die Frage auf:
Ist die Kommunikation mit dem AD, bzw genauer gesagt beim Lesen von Objekt-Attributen grundsätzlich verschlüsselt? Und wenn ja, wie?
Oder muss man da erst noch was einstellen, damit sowas verschlüsselt erfolgt?
AFAIK wird hier ja irgendwas MS-Eigenes (ADTS?) verwendet und nicht LDAP(S).

Auf die schnelle habe ich dazu nichts gefunden, weshalb ich die Frage hier gerne mal in den Raum werfen wollte.


Gruß Sea
Mitglied: Sven91
LÖSUNG 24.06.2019 um 18:29 Uhr
Servus,

das habe ich dazu gefunden. Besser könnte ich es nicht erklären. Hoffe ich kann dir damit helfen.

Quelle: https://www.kryptowissen.de/kerberos.php

Auszug : " im oberen Beispiel möchte Alice auf eine Ressource zugreifen. Dafür meldet sie sich erst einmal auf ihrer Workstation (Client) durch Eingabe ihres Benutzernamens samt Passwort an. Der Client wandelt anschließend das Passwort in einen geheimen Schlüssel um, in dem er das Passwort als Parameter in eine Hashfunktion gibt. Auch wenn oben der Authentication Server (AS) und der Ticket-Granting Server (TGS) einzeln dargestellt sind, wird davon ausgegangen (wie in vielen Fällen), dass beide Systeme vom sogenannten Key Distribution Center (KDC) ausgeübt werden. "
Bitte warten ..
Mitglied: 1st1
25.06.2019 um 10:48 Uhr
Im AD werden keine Passwörter gespeichert, sondern immer nur Hashes, die aus dem Passwort errechnet werden.
Bitte warten ..
Mitglied: Raboom
25.06.2019 um 11:30 Uhr
Bei LAPS schon, wie sollte man sie sonst lesen?
Bitte warten ..
Mitglied: SeaStorm
25.06.2019 um 11:56 Uhr
Hi

AFAIK wird Kerberos ja nur zur Authentifizierung verwendet. Eine "Datenübertragung" erfolgt damit dann nicht. Das übernimmt dann jeweils ein Protokoll der entsprechenden Software
Bitte warten ..
Mitglied: NetzwerkDude
25.06.2019 um 14:48 Uhr
PowerShell Remoting nutzt WinRM, schätze mal LAPS wird es auch nutzen - lt. doku verschlüsselt WinRM symmetrisch mit AES256
https://docs.microsoft.com/en-us/powershell/scripting/learn/remoting/win ...

Aber ist auch nur geraten - kannst du einen LAPS upload manuell initieren und mit Wireshark shauen wie die Pakete ausschauen?
Bitte warten ..
Mitglied: SeaStorm
25.06.2019 um 16:24 Uhr
wäre mir jetzt neu das LAPS irgendwas mit PSRM\WinRM zu tun hat.
Bitte warten ..
Mitglied: SeaStorm
25.06.2019 um 16:28 Uhr
Gerade noch mal gegoogled und auf
https://blogs.msdn.microsoft.com/laps/2015/06/01/laps-and-password-stora ...
gestoßen.
Sieht wohl doch so aus, das Kerberos verwendet wird um den Transport zu verschlüsseln.
Und der Artikel hat noch ein paar andere interessante Details.

Danke!
Bitte warten ..
Mitglied: NetzwerkDude
25.06.2019 um 16:45 Uhr
Ah ja, sehr schön, dann kannst ja den Post gleich als Antwort markieren für die Nachwelt
Bitte warten ..
Ähnliche Inhalte
Windows Server

Leerzeichen am Ende von Active Directory Benutzer Attribut

gelöst Frage von crack24Windows Server5 Kommentare

Hallo, unsere Outlook Signatur speist sich aus den Benutzer Attributen des Active Directory. Ein Benutzer ist nun Prokurist geworden ...

Windows 7

Attribut Ordnerbeschreibung oder Kommentar

Frage von chef1568Windows 72 Kommentare

Hallo zusammen, ich würde gerne für einige Ordner Das Attribut "Kommentar" oder "Beschreibung" hinzufügen. Leider ist dies über Eigenschaften ...

Windows Server

Neues AD-Attribut erstellen

gelöst Frage von fox14chWindows Server3 Kommentare

Hallo zusammen Ich muss ein neues AD-Attribut erstellen. Ich habe auch diese Anleitung hier gefunden und versuche Ihr zu ...

Netzwerkgrundlagen

Kommunikation zwischen VLANs

Frage von MHorstmannNetzwerkgrundlagen6 Kommentare

Hallo, nachdem ich hier seid einigen Wochen mitgelesen habe, hab ich jetzt mein Netzwerk daheim soweit neu verdrahtet und ...

Neue Wissensbeiträge
Windows Update
Sicherheitsupdate für SQL Server 2014 SP3
Information von sabines vor 1 TagWindows Update2 Kommentare

Für den SQL Server 2014 existiert ein Sicherheitsupdate. Laut KB Artikel wird es als CU3 angezeigt: Server 2014 SP3 ...

Backup

Veeam Agent für MS Windows - neue Version verfügbar (bedingt jedoch offenbar .NET Framework 4.6)

Information von VGem-e vor 2 TagenBackup1 Kommentar

Moin Kollegen, einer unserer Server zeigte grad an, dass für o.g. Software ein Update verfügbar ist. Ob ein evtl. ...

Python

Sie meinen es ja nur gut - Microsoft hilft python-Entwicklern auf unnachahmliche Weise

Information von DerWoWusste vor 3 TagenPython2 Kommentare

Stellt Euch vor, Ihr nutzt python unter Windows 10 und skriptet damit regelmäßig Dinge. Nach dem Update auf Windows ...

Sicherheits-Tools

TrendMicro Worry-Free Business Security 10.0 SP1 steht in Englisch bereit mit Unterstützung für Windows 10 1903 (May Update)

Information von VGem-e vor 4 TagenSicherheits-Tools1 Kommentar

Moin Kollegen, Dann kommt wohl demnächst auch die deutschsprachige/europäische Version zur Auslieferung. Gruß VGem-e

Heiß diskutierte Inhalte
Windows Server
Windows Server 2016 einrichten
Frage von borjiaWindows Server34 Kommentare

Ich würde gerne einen Server einrichten, erstmal nur mit DNS und AD. Habe mich die letzten Wochen durch diverse ...

Google Android
Anbieter für Diensthandys
Frage von Pat.batGoogle Android25 Kommentare

Hallo zusammen, ich bin seit einiger Zeit zuständig für die Diensthandys bei uns in der Behörde. Eine Management Software ...

Netzwerkgrundlagen
Neue Serverumgebung von 0 aufbauen
Frage von JacareNetzwerkgrundlagen19 Kommentare

Hallo zusammen, ich bin noch nicht lange hier und weiß nicht, ob meine Frage daher etwas ungewöhnlich ist. Ich ...

Windows Server
Verbindunsproblem zwischen Klient und Wsus-Server
Frage von flashgordon78Windows Server16 Kommentare

Liebe Forum Besucher! Ich habe ein Wsus_Server (Win Server 2016) erstellt und die Update sind herunterladen worden. Aber ich ...