"Gefährdungsbeurteilung" für das Ausschalten des automatischen Passwortwechsel des Computer Kontos (AD)
Hallo zusammen,
um den Fehler "Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden" zu umgehen, gibt es die Empfehlung den
automatischen Wechsel des Computerkennwortes auszuschalten oder die Zeitspanne zu erhöhen.
Für virtuelle Maschinen wird das "generell empfohlen", damit es keine Probleme mit Snapshots gibt.
Macht es Sinn das für die gesamte Domöne auszuschalten?
Gewinne ich mit dem automatischen Passwortwechsel "viel mehr Sicherheit", oder ist die Domänenzugehörigkeit schon ausreichend?
Mir ist klar, dass es kein falsch oder richtig an der Stelle gibt, aber ich habe aktuell kein Gefühl für die Auswirkung auf die Sicherheit im AD/Netzwerk/Umgebung,
wenn die Funktion ausgeschaltet werden sollte.
Kann mir da evtl. jemand einen Tipp oder weitere Infos geben?
Vielen Dank im Voraus,
Fritz242
um den Fehler "Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden" zu umgehen, gibt es die Empfehlung den
automatischen Wechsel des Computerkennwortes auszuschalten oder die Zeitspanne zu erhöhen.
Für virtuelle Maschinen wird das "generell empfohlen", damit es keine Probleme mit Snapshots gibt.
Macht es Sinn das für die gesamte Domöne auszuschalten?
Gewinne ich mit dem automatischen Passwortwechsel "viel mehr Sicherheit", oder ist die Domänenzugehörigkeit schon ausreichend?
Mir ist klar, dass es kein falsch oder richtig an der Stelle gibt, aber ich habe aktuell kein Gefühl für die Auswirkung auf die Sicherheit im AD/Netzwerk/Umgebung,
wenn die Funktion ausgeschaltet werden sollte.
Kann mir da evtl. jemand einen Tipp oder weitere Infos geben?
Vielen Dank im Voraus,
Fritz242
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 451092
Url: https://administrator.de/forum/gefaehrdungsbeurteilung-fuer-das-ausschalten-des-automatischen-passwortwechsel-des-computer-kontos-ad-451092.html
Ausgedruckt am: 22.12.2024 um 17:12 Uhr
7 Kommentare
Neuester Kommentar
Hallo,
wenn du den aktuellen Diskussionen zur Verwendung von Passwörtern folgst
So gehen sichere Passwörter
Schlechte Passwörter vermeiden
kann man über die Gültigkeitsdauer eines Passworts zu Recht diskutieren.
90 Tage oder weniger führen nicht zu mehr Sicherheit.
Wohl lieber ein paar Stellen mehr im Passwort (64 Zeichen und mehr) und alle Sonderzeichen und dann lass das Passwort ein Jahr gültig.
Wenn du dann noch im Netzwerk einschränken kannst das Login nur aus einem bestimmten Netz oder von bestimmten Rechnern aus möglich ist, sollte das passen, oder gibt es andere Risiken denn der Server ausgesetzt ist?
brammer
wenn du den aktuellen Diskussionen zur Verwendung von Passwörtern folgst
So gehen sichere Passwörter
Schlechte Passwörter vermeiden
kann man über die Gültigkeitsdauer eines Passworts zu Recht diskutieren.
90 Tage oder weniger führen nicht zu mehr Sicherheit.
Wohl lieber ein paar Stellen mehr im Passwort (64 Zeichen und mehr) und alle Sonderzeichen und dann lass das Passwort ein Jahr gültig.
Wenn du dann noch im Netzwerk einschränken kannst das Login nur aus einem bestimmten Netz oder von bestimmten Rechnern aus möglich ist, sollte das passen, oder gibt es andere Risiken denn der Server ausgesetzt ist?
brammer
Ok.
Szenario 1: Jemand, der physikalischen Zugang zum System hat, zieht ein Image der Festplatte. Er kann, wenn Du das Ablaufen der Computerkonten-Kennwörter nicht ausschaltest, dieses Image nutzen, um seinen PC in der alten Konfiguration vom Image zu restoren.
Warum sollte er das tun wollen, was erhofft er sich?
Er könnte damit eine ungepatchte Konfiguration wiedererlangen, gegen die er Angriffe fahren kann, die zum Zeitpunkt der imageerstellung noch gar nicht bekannt waren, zum Beispiel um Kennworthashes auszulesen, die auf dem PC gespeichert worden sind.
Szenario 2: ?
Mehr fällt mir nicht ein, denn wenn die Platte verschlüsselt sind, sind die meisten anderen Szenarien hinfällig.
Ergo: in gesicherten Umgebungen sicherlich eine wichtige Einstellung. In 08/15-Umgebungen, wo der Admin nicht fiel von Absicherung versteht, eher unwichtig.
Szenario 1: Jemand, der physikalischen Zugang zum System hat, zieht ein Image der Festplatte. Er kann, wenn Du das Ablaufen der Computerkonten-Kennwörter nicht ausschaltest, dieses Image nutzen, um seinen PC in der alten Konfiguration vom Image zu restoren.
Warum sollte er das tun wollen, was erhofft er sich?
Er könnte damit eine ungepatchte Konfiguration wiedererlangen, gegen die er Angriffe fahren kann, die zum Zeitpunkt der imageerstellung noch gar nicht bekannt waren, zum Beispiel um Kennworthashes auszulesen, die auf dem PC gespeichert worden sind.
Szenario 2: ?
Mehr fällt mir nicht ein, denn wenn die Platte verschlüsselt sind, sind die meisten anderen Szenarien hinfällig.
Ergo: in gesicherten Umgebungen sicherlich eine wichtige Einstellung. In 08/15-Umgebungen, wo der Admin nicht fiel von Absicherung versteht, eher unwichtig.