7
"Gefährdungsbeurteilung" für das Ausschalten des automatischen Passwortwechsel des Computer Kontos (AD)
Hallo zusammen,
um den Fehler "Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden" zu umgehen, gibt es die Empfehlung den
automatischen Wechsel des Computerkennwortes auszuschalten oder die Zeitspanne zu erhöhen.
Für virtuelle Maschinen wird das "generell empfohlen", damit es keine Probleme mit Snapshots gibt.
Macht es Sinn das für die gesamte Domöne auszuschalten?
Gewinne ich mit dem automatischen Passwortwechsel "viel mehr Sicherheit", oder ist die Domänenzugehörigkeit schon ausreichend?
Mir ist klar, dass es kein falsch oder richtig an der Stelle gibt, aber ich habe aktuell kein Gefühl für die Auswirkung auf die Sicherheit im AD/Netzwerk/Umgebung,
wenn die Funktion ausgeschaltet werden sollte.
Kann mir da evtl. jemand einen Tipp oder weitere Infos geben?
Vielen Dank im Voraus,
Fritz242
um den Fehler "Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden" zu umgehen, gibt es die Empfehlung den
automatischen Wechsel des Computerkennwortes auszuschalten oder die Zeitspanne zu erhöhen.
Für virtuelle Maschinen wird das "generell empfohlen", damit es keine Probleme mit Snapshots gibt.
Macht es Sinn das für die gesamte Domöne auszuschalten?
Gewinne ich mit dem automatischen Passwortwechsel "viel mehr Sicherheit", oder ist die Domänenzugehörigkeit schon ausreichend?
Mir ist klar, dass es kein falsch oder richtig an der Stelle gibt, aber ich habe aktuell kein Gefühl für die Auswirkung auf die Sicherheit im AD/Netzwerk/Umgebung,
wenn die Funktion ausgeschaltet werden sollte.
Kann mir da evtl. jemand einen Tipp oder weitere Infos geben?
Vielen Dank im Voraus,
Fritz242
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 451092
Url: https://administrator.de/contentid/451092
Printed on: April 25, 2024 at 04:04 o'clock
7 Comments
Latest comment
Hallo,
wenn du den aktuellen Diskussionen zur Verwendung von Passwörtern folgst
So gehen sichere Passwörter
Schlechte Passwörter vermeiden
kann man über die Gültigkeitsdauer eines Passworts zu Recht diskutieren.
90 Tage oder weniger führen nicht zu mehr Sicherheit.
Wohl lieber ein paar Stellen mehr im Passwort (64 Zeichen und mehr) und alle Sonderzeichen und dann lass das Passwort ein Jahr gültig.
Wenn du dann noch im Netzwerk einschränken kannst das Login nur aus einem bestimmten Netz oder von bestimmten Rechnern aus möglich ist, sollte das passen, oder gibt es andere Risiken denn der Server ausgesetzt ist?
brammer
wenn du den aktuellen Diskussionen zur Verwendung von Passwörtern folgst
So gehen sichere Passwörter
Schlechte Passwörter vermeiden
kann man über die Gültigkeitsdauer eines Passworts zu Recht diskutieren.
90 Tage oder weniger führen nicht zu mehr Sicherheit.
Wohl lieber ein paar Stellen mehr im Passwort (64 Zeichen und mehr) und alle Sonderzeichen und dann lass das Passwort ein Jahr gültig.
Wenn du dann noch im Netzwerk einschränken kannst das Login nur aus einem bestimmten Netz oder von bestimmten Rechnern aus möglich ist, sollte das passen, oder gibt es andere Risiken denn der Server ausgesetzt ist?
brammer
Hallo brammer,
danke für deine Antwort, aber es geht um das "Computer Passwort" also das Kennwort das automatisch für das Computerobjekt im AD gesetzt und verwaltet wird. Die Diskussion mit "Correct Horse Battery Staple" ist mir bekannt.
danke für deine Antwort, aber es geht um das "Computer Passwort" also das Kennwort das automatisch für das Computerobjekt im AD gesetzt und verwaltet wird. Die Diskussion mit "Correct Horse Battery Staple" ist mir bekannt.
Moin,
taucht das Problem denn so oft auf, dass es ein ernstes Problem ist?
Gruß
taucht das Problem denn so oft auf, dass es ein ernstes Problem ist?
Gruß
Frage dich bitte: "wenn ich es ausschalte, was für Angriffe werden dadurch möglich, die uns betreffen könnten?" Wenn Du dazu Denkanstöße brauchst, dann nenne bitte, was Du daran nicht verstehst.
Zitat von @DerWoWusste:
"wenn ich es ausschalte, was für Angriffe werden dadurch möglich, die uns betreffen könnten?"
"wenn ich es ausschalte, was für Angriffe werden dadurch möglich, die uns betreffen könnten?"
Hallo DerWoWuste,
gut auf den Punkt gebracht - "welche Angriffe werden dadurch möglich" - genau dazu habe ich keine Idee.
Wenn ich die hätte könnte ich schauen, ob das Risiko oder der "Komfortgewinn" höher ist.
Leider gehen die Artikel, die ich gefunden habe, nicht näher auf das Thema ein.
Eine Expertenmeinung (Würde ich nicht machen, weil ..... oder Kein Problem, denn ...) mit kurzer Begründung reicht aus, dann habe ich Stoff weiter
zu recherchieren.
Ok.
Szenario 1: Jemand, der physikalischen Zugang zum System hat, zieht ein Image der Festplatte. Er kann, wenn Du das Ablaufen der Computerkonten-Kennwörter nicht ausschaltest, dieses Image nutzen, um seinen PC in der alten Konfiguration vom Image zu restoren.
Warum sollte er das tun wollen, was erhofft er sich?
Er könnte damit eine ungepatchte Konfiguration wiedererlangen, gegen die er Angriffe fahren kann, die zum Zeitpunkt der imageerstellung noch gar nicht bekannt waren, zum Beispiel um Kennworthashes auszulesen, die auf dem PC gespeichert worden sind.
Szenario 2: ?
Mehr fällt mir nicht ein, denn wenn die Platte verschlüsselt sind, sind die meisten anderen Szenarien hinfällig.
Ergo: in gesicherten Umgebungen sicherlich eine wichtige Einstellung. In 08/15-Umgebungen, wo der Admin nicht fiel von Absicherung versteht, eher unwichtig.
Szenario 1: Jemand, der physikalischen Zugang zum System hat, zieht ein Image der Festplatte. Er kann, wenn Du das Ablaufen der Computerkonten-Kennwörter nicht ausschaltest, dieses Image nutzen, um seinen PC in der alten Konfiguration vom Image zu restoren.
Warum sollte er das tun wollen, was erhofft er sich?
Er könnte damit eine ungepatchte Konfiguration wiedererlangen, gegen die er Angriffe fahren kann, die zum Zeitpunkt der imageerstellung noch gar nicht bekannt waren, zum Beispiel um Kennworthashes auszulesen, die auf dem PC gespeichert worden sind.
Szenario 2: ?
Mehr fällt mir nicht ein, denn wenn die Platte verschlüsselt sind, sind die meisten anderen Szenarien hinfällig.
Ergo: in gesicherten Umgebungen sicherlich eine wichtige Einstellung. In 08/15-Umgebungen, wo der Admin nicht fiel von Absicherung versteht, eher unwichtig.
Prima,
vielen Dank das hilft mir weiter.
vielen Dank das hilft mir weiter.
