fritz242
Goto Top

"Gefährdungsbeurteilung" für das Ausschalten des automatischen Passwortwechsel des Computer Kontos (AD)

Hallo zusammen,

um den Fehler "Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden" zu umgehen, gibt es die Empfehlung den
automatischen Wechsel des Computerkennwortes auszuschalten oder die Zeitspanne zu erhöhen.
Für virtuelle Maschinen wird das "generell empfohlen", damit es keine Probleme mit Snapshots gibt.

Macht es Sinn das für die gesamte Domöne auszuschalten?
Gewinne ich mit dem automatischen Passwortwechsel "viel mehr Sicherheit", oder ist die Domänenzugehörigkeit schon ausreichend?
Mir ist klar, dass es kein falsch oder richtig an der Stelle gibt, aber ich habe aktuell kein Gefühl für die Auswirkung auf die Sicherheit im AD/Netzwerk/Umgebung,
wenn die Funktion ausgeschaltet werden sollte.
Kann mir da evtl. jemand einen Tipp oder weitere Infos geben?

Vielen Dank im Voraus,
Fritz242

Content-ID: 451092

Url: https://administrator.de/forum/gefaehrdungsbeurteilung-fuer-das-ausschalten-des-automatischen-passwortwechsel-des-computer-kontos-ad-451092.html

Ausgedruckt am: 22.12.2024 um 17:12 Uhr

brammer
brammer 13.05.2019 um 11:03:32 Uhr
Goto Top
Hallo,

wenn du den aktuellen Diskussionen zur Verwendung von Passwörtern folgst

So gehen sichere Passwörter
Schlechte Passwörter vermeiden

kann man über die Gültigkeitsdauer eines Passworts zu Recht diskutieren.
90 Tage oder weniger führen nicht zu mehr Sicherheit.
Wohl lieber ein paar Stellen mehr im Passwort (64 Zeichen und mehr) und alle Sonderzeichen und dann lass das Passwort ein Jahr gültig.

Wenn du dann noch im Netzwerk einschränken kannst das Login nur aus einem bestimmten Netz oder von bestimmten Rechnern aus möglich ist, sollte das passen, oder gibt es andere Risiken denn der Server ausgesetzt ist?

brammer
Fritz242
Fritz242 13.05.2019 um 11:27:09 Uhr
Goto Top
Hallo brammer,

danke für deine Antwort, aber es geht um das "Computer Passwort" also das Kennwort das automatisch für das Computerobjekt im AD gesetzt und verwaltet wird. Die Diskussion mit "Correct Horse Battery Staple" ist mir bekannt.
ArnoNymous
ArnoNymous 13.05.2019 um 11:30:43 Uhr
Goto Top
Moin,

taucht das Problem denn so oft auf, dass es ein ernstes Problem ist?


Gruß
DerWoWusste
DerWoWusste 13.05.2019 um 14:03:17 Uhr
Goto Top
Frage dich bitte: "wenn ich es ausschalte, was für Angriffe werden dadurch möglich, die uns betreffen könnten?" Wenn Du dazu Denkanstöße brauchst, dann nenne bitte, was Du daran nicht verstehst.
Fritz242
Fritz242 13.05.2019 um 14:23:09 Uhr
Goto Top
Zitat von @DerWoWusste:

"wenn ich es ausschalte, was für Angriffe werden dadurch möglich, die uns betreffen könnten?"

Hallo DerWoWuste,
gut auf den Punkt gebracht - "welche Angriffe werden dadurch möglich" - genau dazu habe ich keine Idee.
Wenn ich die hätte könnte ich schauen, ob das Risiko oder der "Komfortgewinn" höher ist.
Leider gehen die Artikel, die ich gefunden habe, nicht näher auf das Thema ein.

Eine Expertenmeinung (Würde ich nicht machen, weil ..... oder Kein Problem, denn ...) mit kurzer Begründung reicht aus, dann habe ich Stoff weiter
zu recherchieren.
DerWoWusste
Lösung DerWoWusste 13.05.2019 um 16:26:37 Uhr
Goto Top
Ok.

Szenario 1: Jemand, der physikalischen Zugang zum System hat, zieht ein Image der Festplatte. Er kann, wenn Du das Ablaufen der Computerkonten-Kennwörter nicht ausschaltest, dieses Image nutzen, um seinen PC in der alten Konfiguration vom Image zu restoren.
Warum sollte er das tun wollen, was erhofft er sich?
Er könnte damit eine ungepatchte Konfiguration wiedererlangen, gegen die er Angriffe fahren kann, die zum Zeitpunkt der imageerstellung noch gar nicht bekannt waren, zum Beispiel um Kennworthashes auszulesen, die auf dem PC gespeichert worden sind.

Szenario 2: ?

Mehr fällt mir nicht ein, denn wenn die Platte verschlüsselt sind, sind die meisten anderen Szenarien hinfällig.

Ergo: in gesicherten Umgebungen sicherlich eine wichtige Einstellung. In 08/15-Umgebungen, wo der Admin nicht fiel von Absicherung versteht, eher unwichtig.
Fritz242
Fritz242 14.05.2019 um 07:47:44 Uhr
Goto Top
Prima,
vielen Dank das hilft mir weiter.