Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst "Gefährdungsbeurteilung" für das Ausschalten des automatischen Passwortwechsel des Computer Kontos (AD)

Mitglied: Fritz242

Fritz242 (Level 1) - Jetzt verbinden

13.05.2019 um 10:35 Uhr, 396 Aufrufe, 7 Kommentare

Hallo zusammen,

um den Fehler "Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden" zu umgehen, gibt es die Empfehlung den
automatischen Wechsel des Computerkennwortes auszuschalten oder die Zeitspanne zu erhöhen.
Für virtuelle Maschinen wird das "generell empfohlen", damit es keine Probleme mit Snapshots gibt.

Macht es Sinn das für die gesamte Domöne auszuschalten?
Gewinne ich mit dem automatischen Passwortwechsel "viel mehr Sicherheit", oder ist die Domänenzugehörigkeit schon ausreichend?
Mir ist klar, dass es kein falsch oder richtig an der Stelle gibt, aber ich habe aktuell kein Gefühl für die Auswirkung auf die Sicherheit im AD/Netzwerk/Umgebung,
wenn die Funktion ausgeschaltet werden sollte.
Kann mir da evtl. jemand einen Tipp oder weitere Infos geben?

Vielen Dank im Voraus,
Fritz242
Mitglied: brammer
13.05.2019 um 11:03 Uhr
Hallo,

wenn du den aktuellen Diskussionen zur Verwendung von Passwörtern folgst

So gehen sichere Passwörter
Schlechte Passwörter vermeiden

kann man über die Gültigkeitsdauer eines Passworts zu Recht diskutieren.
90 Tage oder weniger führen nicht zu mehr Sicherheit.
Wohl lieber ein paar Stellen mehr im Passwort (64 Zeichen und mehr) und alle Sonderzeichen und dann lass das Passwort ein Jahr gültig.

Wenn du dann noch im Netzwerk einschränken kannst das Login nur aus einem bestimmten Netz oder von bestimmten Rechnern aus möglich ist, sollte das passen, oder gibt es andere Risiken denn der Server ausgesetzt ist?

brammer
Bitte warten ..
Mitglied: Fritz242
13.05.2019 um 11:27 Uhr
Hallo brammer,

danke für deine Antwort, aber es geht um das "Computer Passwort" also das Kennwort das automatisch für das Computerobjekt im AD gesetzt und verwaltet wird. Die Diskussion mit "Correct Horse Battery Staple" ist mir bekannt.
Bitte warten ..
Mitglied: ArnoNymous
13.05.2019 um 11:30 Uhr
Moin,

taucht das Problem denn so oft auf, dass es ein ernstes Problem ist?


Gruß
Bitte warten ..
Mitglied: DerWoWusste
13.05.2019 um 14:03 Uhr
Frage dich bitte: "wenn ich es ausschalte, was für Angriffe werden dadurch möglich, die uns betreffen könnten?" Wenn Du dazu Denkanstöße brauchst, dann nenne bitte, was Du daran nicht verstehst.
Bitte warten ..
Mitglied: Fritz242
13.05.2019 um 14:23 Uhr
Zitat von DerWoWusste:

"wenn ich es ausschalte, was für Angriffe werden dadurch möglich, die uns betreffen könnten?"

Hallo DerWoWuste,
gut auf den Punkt gebracht - "welche Angriffe werden dadurch möglich" - genau dazu habe ich keine Idee.
Wenn ich die hätte könnte ich schauen, ob das Risiko oder der "Komfortgewinn" höher ist.
Leider gehen die Artikel, die ich gefunden habe, nicht näher auf das Thema ein.

Eine Expertenmeinung (Würde ich nicht machen, weil ..... oder Kein Problem, denn ...) mit kurzer Begründung reicht aus, dann habe ich Stoff weiter
zu recherchieren.
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 13.05.2019 um 16:26 Uhr
Ok.

Szenario 1: Jemand, der physikalischen Zugang zum System hat, zieht ein Image der Festplatte. Er kann, wenn Du das Ablaufen der Computerkonten-Kennwörter nicht ausschaltest, dieses Image nutzen, um seinen PC in der alten Konfiguration vom Image zu restoren.
Warum sollte er das tun wollen, was erhofft er sich?
Er könnte damit eine ungepatchte Konfiguration wiedererlangen, gegen die er Angriffe fahren kann, die zum Zeitpunkt der imageerstellung noch gar nicht bekannt waren, zum Beispiel um Kennworthashes auszulesen, die auf dem PC gespeichert worden sind.

Szenario 2: ?

Mehr fällt mir nicht ein, denn wenn die Platte verschlüsselt sind, sind die meisten anderen Szenarien hinfällig.

Ergo: in gesicherten Umgebungen sicherlich eine wichtige Einstellung. In 08/15-Umgebungen, wo der Admin nicht fiel von Absicherung versteht, eher unwichtig.
Bitte warten ..
Mitglied: Fritz242
14.05.2019 um 07:47 Uhr
Prima,
vielen Dank das hilft mir weiter.
Bitte warten ..
Ähnliche Inhalte
Verschlüsselung & Zertifikate
Passwortwechsel per ldaps auf einer AD
Frage von Rheno-GermaniaVerschlüsselung & Zertifikate2 Kommentare

Hallo, folgendes Problem: wir haben eine Domain (Server 2008r2, Intanet) sowie eine Homepage (Joomla, Webspace bei der Telekom). Zur ...

Windows Userverwaltung
Passwortwechsel Zeitpunkt festlegen
gelöst Frage von Looser27Windows Userverwaltung32 Kommentare

Guten Morgen liebe Kolleginnen und Kollegen, da es eine Userin in meinem Urlaub geschafft hat, sich vom AD vollständig ...

DNS

DNS in AD - .domäne.int automatisch auffüllen?

gelöst Frage von Fr4nkiDNS3 Kommentare

Hallo Zusammen, in unserem AD gibt es ein merkwürdiges Phänomen. Wir nehmen jetzt einfach mal an, dass wir die ...

Windows Userverwaltung

AD Admin-Konten automatisch lokal cachen?

Frage von 1410640014Windows Userverwaltung4 Kommentare

Hallo, ich weiß leider nicht, ob das technisch, bzw. überhaupt aus Sicherheitsgründen machbar ist: Problem: eine Windows 2012-AD-Domäne Windows ...

Neue Wissensbeiträge
Outlook & Mail

Outlook 2016 stürzt ab, wenn man ein (at)- Zeichen im Text einer neuen E-Mail schreibt

Tipp von Enriqe vor 6 StundenOutlook & Mail4 Kommentare

Bei uns in der Firma häuften sich die Fälle, bei denen sich Outlook kommentarlos verabschiedet, wenn man ein - ...

Google Android

Google sperrt Android-Updates und den Play Store für Huawei

Information von Deepsys vor 1 TagGoogle Android8 Kommentare

Das finde ich schon ein starkes Stück, Trump der Welt Diktator. So kann man mit einem Dekret mal eben ...

Windows 7

Südkoreas Regierung setzt auf Linux, um Windows 7 Clients abzulösen

Information von kgborn vor 1 TagWindows 74 Kommentare

Kleiner Infosplitter zum Wochenanfang: Während München (LiMux) und die niedersächsische Finanzverwaltung von Linux auf einen Windows 10-Client (und Office) ...

Internet
Big Brother is Watching You
Information von transocean vor 2 TagenInternet1 Kommentar

Moin, die Datenkrake Google fischt Informationen über Einkäufe ab, die GMail Nutzer im Netz tätigen. Gruß Uwe

Heiß diskutierte Inhalte
Windows Server
Passwortänderung an RODC möglich?
Frage von DexthaWindows Server21 Kommentare

Hallo, ich habe einen RODC, auf welchen ich über ldaps (Web-Seite mit php7) Passwortänderungen durchführen möchte. Ist das grundsätzlich ...

Windows 10
Windows am MAC
Frage von LeeX01Windows 1018 Kommentare

Guten Abend zusammen, ich habe gerade ein Macbook Pro vor mir welches ich mit einem Windows 10 to go ...

Windows Server
RDP als Citrix Alternative
Frage von samreinWindows Server14 Kommentare

Hallo zusammen, ich bin neu hier und das ist mein erster Beitrag. Ich bin Einzeladmin und wir setzen bei ...

Batch & Shell
Powershell Datum der zuletzt eingespielten Patche bei remote Servern ermitteln
Frage von bensonhedgesBatch & Shell14 Kommentare

Hallo, ich möchte gerne anhand einer Serverliste (bsp. computers.txt) via PS ermitteln, wann derjeweilige Server zuletzt gepatcht wurde (Liste ...