shiva99
Goto Top

Cached Credentials bei Outlook-Profilen

Folgendes Problem:

Wir haben Computer, vorrangig in der Fertigung, wo sich ein allgemeiner Benutzer am Windows automatisch anmeldet. Die Windows 10 (20H2) - PCs sind Zugang für mehrere Benutzer. Jeder bei uns hat ein Exchange-Postfach/eine E-Mail-Adresse. Jetzt habe ich im Outlook Profile eingerichtet, quasi für jeden Benutzer ein eigenes Outlook-Profil. Outlook Cache-Modus (OST) ist dort an diesen Stellen per GPO ausgeschaltet. Auch, dass Anmeldedaten gespeichert werden können, ist deaktiviert.
Es läuft quasi so ab, dass Outlook vom Desktop gestartet wird und die Profil-Auswahl angezeigt wird, der Benutzer wählt seinen Account aus und meldet sich mit Benutzername und Passwort an und kommt somit auf sein Postfach. Der PC läuft None-Stop durch. So weit - so gut.

Wenn das Outlook wieder geschlossen wird, merkt sich scheinbar Outlook bzw. Windows die Anmeldedaten im Hintergrund. D.h. wenn ich Outlook erneut starte und das vorherig gestartete Outlook-Profil wieder auswähle, entfällt die Benutzeranmeldung und ich sehe den Postfachinhalt. Das gilt im Übrigen für alle Profile, die bereits in dieser Windows-Session erfolgreich angemeldet waren. (Mit einem Reboot bzw. Abmelden sind diese Cached Credentials natürlich wieder entfernt)

Aus meiner Sicht ein Sicherheitsproblem.

Wie kann ich Windows/Outlook dazu bringen, diese Credentials nicht im Hauptspeicher zu halten?

Content-ID: 1291152775

Url: https://administrator.de/contentid/1291152775

Ausgedruckt am: 22.11.2024 um 08:11 Uhr

DerWoWusste
DerWoWusste 22.09.2021 um 15:28:19 Uhr
Goto Top
Hi.

Du baust dir diverse Sicherheitsprobleme selbst und pickst nun ein kleines heraus. Ist dir das klar? Wenn's um Sicherheit geht, teilt man keine Nutzerprofile.

Du kannst mit
Klist purge
Auf der Kommandozeile die Kerberostickets löschen, das dürfte helfen. Aber es ist schwer zu verhindern, dass jemand der gewillt ist, einen Keylogger einsetzt oder ähnliches, was das Ganze dann zu Fall bringt.
Shiva99
Shiva99 24.09.2021 um 13:38:23 Uhr
Goto Top
OK, Danke.
Jetzt sehe ich zwei Möglichkeiten, dort einzugreifen.

Entweder setze ich die Lifetime von User-Kerberos-Tickets (Default: 10 Stunden) auf wenige Minuten, gesetzt per Local Policy oder GPO. (Computer Configuration >> Policies >> Windows Settings >> Security Settings >> Account Policies >> Kerberos)
oder ich kann per Task-Job den klist-Befehl ausführen, am besten noch eingegrenzt auf die Outlook-Anmeldungen.

Was passiert mit dem User, der im Outlook gerade angemeldet ist und ein klist purge läuft durch. Wird dann beim nächsten Klick ein neues Ticket erzeugt?
DerWoWusste
DerWoWusste 24.09.2021 um 14:58:20 Uhr
Goto Top
Probier es bitte aus. Reibungslos läuft das nicht