3
Cached Credentials bei Outlook-Profilen
Folgendes Problem:
Wir haben Computer, vorrangig in der Fertigung, wo sich ein allgemeiner Benutzer am Windows automatisch anmeldet. Die Windows 10 (20H2) - PCs sind Zugang für mehrere Benutzer. Jeder bei uns hat ein Exchange-Postfach/eine E-Mail-Adresse. Jetzt habe ich im Outlook Profile eingerichtet, quasi für jeden Benutzer ein eigenes Outlook-Profil. Outlook Cache-Modus (OST) ist dort an diesen Stellen per GPO ausgeschaltet. Auch, dass Anmeldedaten gespeichert werden können, ist deaktiviert.
Es läuft quasi so ab, dass Outlook vom Desktop gestartet wird und die Profil-Auswahl angezeigt wird, der Benutzer wählt seinen Account aus und meldet sich mit Benutzername und Passwort an und kommt somit auf sein Postfach. Der PC läuft None-Stop durch. So weit - so gut.
Wenn das Outlook wieder geschlossen wird, merkt sich scheinbar Outlook bzw. Windows die Anmeldedaten im Hintergrund. D.h. wenn ich Outlook erneut starte und das vorherig gestartete Outlook-Profil wieder auswähle, entfällt die Benutzeranmeldung und ich sehe den Postfachinhalt. Das gilt im Übrigen für alle Profile, die bereits in dieser Windows-Session erfolgreich angemeldet waren. (Mit einem Reboot bzw. Abmelden sind diese Cached Credentials natürlich wieder entfernt)
Aus meiner Sicht ein Sicherheitsproblem.
Wie kann ich Windows/Outlook dazu bringen, diese Credentials nicht im Hauptspeicher zu halten?
Wir haben Computer, vorrangig in der Fertigung, wo sich ein allgemeiner Benutzer am Windows automatisch anmeldet. Die Windows 10 (20H2) - PCs sind Zugang für mehrere Benutzer. Jeder bei uns hat ein Exchange-Postfach/eine E-Mail-Adresse. Jetzt habe ich im Outlook Profile eingerichtet, quasi für jeden Benutzer ein eigenes Outlook-Profil. Outlook Cache-Modus (OST) ist dort an diesen Stellen per GPO ausgeschaltet. Auch, dass Anmeldedaten gespeichert werden können, ist deaktiviert.
Es läuft quasi so ab, dass Outlook vom Desktop gestartet wird und die Profil-Auswahl angezeigt wird, der Benutzer wählt seinen Account aus und meldet sich mit Benutzername und Passwort an und kommt somit auf sein Postfach. Der PC läuft None-Stop durch. So weit - so gut.
Wenn das Outlook wieder geschlossen wird, merkt sich scheinbar Outlook bzw. Windows die Anmeldedaten im Hintergrund. D.h. wenn ich Outlook erneut starte und das vorherig gestartete Outlook-Profil wieder auswähle, entfällt die Benutzeranmeldung und ich sehe den Postfachinhalt. Das gilt im Übrigen für alle Profile, die bereits in dieser Windows-Session erfolgreich angemeldet waren. (Mit einem Reboot bzw. Abmelden sind diese Cached Credentials natürlich wieder entfernt)
Aus meiner Sicht ein Sicherheitsproblem.
Wie kann ich Windows/Outlook dazu bringen, diese Credentials nicht im Hauptspeicher zu halten?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1291152775
Url: https://administrator.de/contentid/1291152775
Printed on: April 24, 2024 at 22:04 o'clock
3 Comments
Latest comment
Hi.
Du baust dir diverse Sicherheitsprobleme selbst und pickst nun ein kleines heraus. Ist dir das klar? Wenn's um Sicherheit geht, teilt man keine Nutzerprofile.
Du kannst mit
Klist purge
Auf der Kommandozeile die Kerberostickets löschen, das dürfte helfen. Aber es ist schwer zu verhindern, dass jemand der gewillt ist, einen Keylogger einsetzt oder ähnliches, was das Ganze dann zu Fall bringt.
Du baust dir diverse Sicherheitsprobleme selbst und pickst nun ein kleines heraus. Ist dir das klar? Wenn's um Sicherheit geht, teilt man keine Nutzerprofile.
Du kannst mit
Klist purge
Auf der Kommandozeile die Kerberostickets löschen, das dürfte helfen. Aber es ist schwer zu verhindern, dass jemand der gewillt ist, einen Keylogger einsetzt oder ähnliches, was das Ganze dann zu Fall bringt.
OK, Danke.
Jetzt sehe ich zwei Möglichkeiten, dort einzugreifen.
Entweder setze ich die Lifetime von User-Kerberos-Tickets (Default: 10 Stunden) auf wenige Minuten, gesetzt per Local Policy oder GPO. (Computer Configuration >> Policies >> Windows Settings >> Security Settings >> Account Policies >> Kerberos)
oder ich kann per Task-Job den klist-Befehl ausführen, am besten noch eingegrenzt auf die Outlook-Anmeldungen.
Was passiert mit dem User, der im Outlook gerade angemeldet ist und ein klist purge läuft durch. Wird dann beim nächsten Klick ein neues Ticket erzeugt?
Jetzt sehe ich zwei Möglichkeiten, dort einzugreifen.
Entweder setze ich die Lifetime von User-Kerberos-Tickets (Default: 10 Stunden) auf wenige Minuten, gesetzt per Local Policy oder GPO. (Computer Configuration >> Policies >> Windows Settings >> Security Settings >> Account Policies >> Kerberos)
oder ich kann per Task-Job den klist-Befehl ausführen, am besten noch eingegrenzt auf die Outlook-Anmeldungen.
Was passiert mit dem User, der im Outlook gerade angemeldet ist und ein klist purge läuft durch. Wird dann beim nächsten Klick ein neues Ticket erzeugt?
Probier es bitte aus. Reibungslos läuft das nicht
